限定公開の Google アクセスは、プライベート IP アドレスを使用して Google API とサービスにアクセスする VPC ネットワーク、またはオンプレミス ネットワークのホストへのプライベート接続を提供します。VPC Service Controls サービス境界をこれらのネットワークのホストに拡張して、保護されたリソースへのアクセスを制御できます。
VPC ネットワーク内のホストは、プライベート IP アドレスのみを持ち(パブリック IP アドレスは不可)、限定公開の Google アクセスが有効なサブネット内に配置されている必要があります。
オンプレミス ホストが制限付き Google API サービスに接続するには、Google API へのリクエストを Cloud VPN トンネルまたは Cloud Interconnect 接続を経由して VPC ネットワーク経由で送信する必要があります。
いずれの場合も、Google API とサービスに対するすべてのリクエストを restricted.googleapis.com
の仮想 IP(VIP)アドレス範囲に送信することをおすすめします。IP アドレス範囲はインターネットに公開されません。VIP に送信されるトラフィックは、Google のネットワーク内のみに留まります。
private.googleapis.com
VIP と restricted.googleapis.com
VIP の詳細については、限定公開の Google アクセスの構成をご覧ください。
restricted.googleapis.com
の IP アドレス範囲
restricted.googleapis.com
ドメインには、次の 2 つの IP アドレス範囲が関連付けられています。
- IPv4 範囲:
199.36.153.4/30
- IPv6 範囲:
2600:2d00:0002:1000::/64
IPv6 範囲を使用して Google API にアクセスする方法については、IPv6 サポートをご覧ください。
VPC ネットワークの例
次の例では、サービス境界に 2 つのプロジェクトがあります。1 つのプロジェクトには承認済みの VPC ネットワークが設定され、もう 1 つのプロジェクトには保護された Cloud Storage リソースが設定されています。VPC ネットワークでは、VM インスタンスが 限定公開の Google アクセス が有効なサブネット内に配置されている必要があり、VPC Service Controls の制限付きサービスへのアクセス権のみが必要です。承認済みの VPC ネットワーク内の VM インスタンスから Google API またはサービスへのクエリは restricted.googleapis.com
に解決され、保護されたリソースにアクセスできます。
- DNS が VPC ネットワーク内で構成され、
*.googleapis.com
リクエストをrestricted.googleapis.com
にマッピングします。これは199.36.153.4/30
に解決されます。 - VPC ネットワークに追加されているカスタム静的ルートにより、宛先が
199.36.153.4/30
のトラフィックがネクストホップとしてdefault-internet-gateway
に転送されます。default-internet-gateway
がネクストホップとして使用されても、トラフィックは Google のネットワークを通じて適切な API やサービスに非公開でルーティングされます。 - 両方のプロジェクトが同じサービス境界にあるため、VPC ネットワークは
My-authorized-gcs-project
にアクセスする権限があります。
オンプレミス ネットワークの例
静的ルーティングを使用するには、オンプレミス ルーターで静的ルートを構成するか、Cloud Router から Border Gateway Protocol(BGP)経由で制限付きの Google API アドレス範囲を通知します。
VPC Service Controls を使用してオンプレミス ホストで限定公開の Google アクセスを使用するには、オンプレミス ホストにプライベート接続を設定して、VPC Service Controls を構成します。オンプレミス ネットワークに接続している VPC ネットワークを使用するプロジェクトにサービス境界を定義します。
次のシナリオでは、プロジェクト sensitive-buckets
内のストレージ バケットはプロジェクト main-project
内の VM インスタンスと接続されたオンプレミス アプリケーションからのみアクセスできます。オンプレミス ホストは、sensitive-buckets
と同じサービス境界内にある VPC ネットワークをトラフィックが通過するため、プロジェクト sensitive-buckets
のストレージ バケットにアクセスできます。
- オンプレミス DNS 構成では、
*.googleapis.com
リクエストがrestricted.googleapis.com
にマッピングされ、199.36.153.4/30
に解決されます。 - Cloud Router は、VPN トンネルを使用して
199.36.153.4/30
IP アドレス範囲をアドバタイズするように構成されています。Google API に送信されるトラフィックは、このトンネル経由で VPC ネットワークにルーティングされます。 - VPC ネットワークに追加されているカスタム静的ルートにより、宛先が
199.36.153.4/30
のトラフィックがネクストホップとしてdefault-internet-gateway
に転送されます。default-internet-gateway
がネクストホップとして使用されても、トラフィックは Google のネットワークを通じて適切な API やサービスに非公開でルーティングされます。 - VPC ネットワークは、
sensitive-buckets
プロジェクトにアクセス権があり、オンプレミス ホストに同じアクセス権があります。 - オンプレミス ホストは、サービス境界の外側にある他のリソースにアクセスできません。
オンプレミス ネットワークに接続するプロジェクトが制限付きのリソースにアクセスするには、サービス境界のメンバーにする必要があります。オンプレミス アクセスは、関連プロジェクトが境界ブリッジで接続されている場合にも機能します。
次のステップ
- プライベート接続を構成する方法については、プライベート接続の設定をご覧ください。