VPC Service Controls を使用した限定公開の Google アクセス

限定公開の Google アクセスは、プライベート IP アドレスを使用して Google API とサービスにアクセスする VPC ネットワーク、またはオンプレミス ネットワークのホストにプライベート接続を提供します。保護されたリソースへのアクセスを制御するには、VPC Service Controls サービス境界を、これらのネットワークのホストに拡張します。

VPC ネットワーク内のホストでは、プライベート IP アドレスのみを使用し、パブリック IP アドレスは使用せず、限定公開の Google アクセスが有効なサブネット内に配置する必要があります。

オンプレミス ホストが制限付き Google API サービスに接続するには、Google API へのリクエストを Cloud VPN トンネルまたは Cloud Interconnect 接続を経由して VPC ネットワーク経由で送信する必要があります。

どちらの場合も、Google API とサービスへのすべてのリクエストは、仮想 IP アドレス(VIP)の範囲 199.36.153.4/30restricted.googleapis.com)に送信する必要があります。IP アドレスの範囲はインターネットには通知されません。VIP に送信されるトラフィックは、Google のネットワーク内のみに留まります。

VPC ネットワークの例

次の例では、サービス境界に 2 つのプロジェクトがあります。1 つのプロジェクトには承認済みの VPC ネットワークが設定され、もう 1 つのプロジェクトには保護された Cloud Storage リソースが設定されています。VPC ネットワークでは、VM インスタンスは 限定公開の Google アクセス が有効なサブネットにあり、VPC Service Control の制限付きサービスへのアクセスのみが必要です。承認済みの VPC ネットワーク内の VM インスタンスから Google API またはサービスへのクエリは restricted.googleapis.com に解決され、保護されたリソースにアクセスできます。

VPC Service Controls を使用した限定公開の Google アクセス(クリックして拡大)
VPC Service Controls を使用した限定公開の Google アクセス(クリックして拡大)
  • DNS が VPC ネットワーク内で構成され、*.googleapis.com リクエストを restricted.googleapis.com にマッピングします。これは 199.36.153.4/30 に解決されます。
  • VPC ネットワークに追加されているカスタム静的ルートにより、宛先が 199.36.153.4/30 のトラフィックがネクストホップとして default-internet-gateway に転送されます。default-internet-gateway がネクストホップとして使用されても、トラフィックは Google のネットワークを通じて適切な API やサービスに非公開でルーティングされます。
  • 両方のプロジェクトが同じサービス境界にあるため、VPC ネットワークは My-authorized-gcs-project にアクセスする権限があります。

オンプレミス ネットワークの例

静的ルーティングを使用するには、オンプレミス ルーターで静的ルートを構成するか、Cloud Router から Border Gateway Protocol(BGP)経由で制限付きの Google API アドレス範囲を通知します。

VPC Service Controls を使用してオンプレミス ホストで限定公開の Google アクセスを使用するには、オンプレミス ホストにプライベート接続を設定して、VPC Service Controls を構成します。オンプレミス ネットワークに接続している VPC ネットワークを使用するプロジェクトにサービス境界を定義します。

次のシナリオでは、プロジェクト sensitive-buckets 内のストレージ バケットはプロジェクト main-project 内の VM インスタンスと接続されたオンプレミス アプリケーションからのみアクセスできます。オンプレミス ホストは、sensitive-buckets と同じサービス境界内にある VPC ネットワークをトラフィックが通過するため、プロジェクト sensitive-buckets のストレージ バケットにアクセスできます。

  • オンプレミス DNS 構成では、*.googleapis.com リクエストが restricted.googleapis.com にマッピングされ、199.36.153.4/30 に解決されます。
  • Cloud Router は、VPN トンネルを使用して 199.36.153.4/30 IP アドレス範囲をアドバタイズするように構成されています。Google API に送信されるトラフィックは、このトンネル経由で VPC ネットワークにルーティングされます。
  • VPC ネットワークに追加されているカスタム静的ルートにより、宛先が 199.36.153.4/30 のトラフィックがネクストホップとして default-internet-gateway に転送されます。default-internet-gateway がネクストホップとして使用されても、トラフィックは Google のネットワークを通じて適切な API やサービスに非公開でルーティングされます。
  • VPC ネットワークは、sensitive-buckets プロジェクトにアクセス権があり、オンプレミス ホストに同じアクセス権があります。
  • オンプレミス ホストは、サービス境界の外側にある他のリソースにアクセスできません。

オンプレミス ネットワークに接続するプロジェクトが制限付きのリソースにアクセスするには、サービス境界のメンバーにする必要があります。 オンプレミス アクセスは、関連プロジェクトが境界ブリッジで接続されている場合にも機能します。

次のステップ