コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

エンドポイントを介した公開サービスへのアクセスについて

このドキュメントでは、Private Service Connect エンドポイントを使用して、別の VPC ネットワーク内のサービスに接続する方法の概要を説明します。独自のサービスに接続することも、Google を含む他のサービス プロデューサーから提供されたサービスに接続することもできます。

クライアントは、内部 IP アドレスを使用してエンドポイントに接続します。Private Service Connect は、ネットワーク アドレス変換(NAT)を行い、リクエストをサービスに転送します。

公開サービスの詳細については、公開サービスについてをご覧ください。

図 1. 転送ルールに基づく Private Service Connect エンドポイントを使用すると、サービス ユーザーは、ユーザーの VPC ネットワークからサービス プロデューサーの VPC ネットワーク内のサービスへとトラフィックを送信できます(クリックして拡大)。

DNS の自動構成

サービスに接続するエンドポイントを作成するときに、サービスに DNS ドメイン名が構成されている場合、Private Service Connect と Service Directory はエンドポイントの VPC ネットワーク内に DNS エントリを自動的に作成します。

詳細については、サービスの DNS 構成をご覧ください。

ロギング

  • Private Service Connect エンドポイントを使用して、別の VPC ネットワーク内のサービスにアクセスする VM を含むサブネットで VPC フローログを有効にできます。ログには、VM と Private Service Connect エンドポイントの間のフローが記録されます。

  • Private Service Connect エンドポイントの接続ステータスの変更は、監査ログで確認できます。エンドポイントの接続ステータスの変更は、リソースタイプ GCE 転送ルールのシステム イベント メタデータにキャプチャされます。pscConnectionStatus でフィルタリングすると、これらのエントリを表示できます。

    たとえば、サービス プロデューサーがプロジェクトからの接続を許可すると、エンドポイントの接続ステータスが PENDING から ACCEPTED に変更され、この変更が監査ログに反映されます。

VPC Service Controls

VPC Service Controls と Private Service Connect には互換性があります。Private Service Connect エンドポイントがデプロイされている VPC ネットワークが VPC Service Controls の境界内にある場合、Private Service Connect エンドポイントも同じ境界の一部になります。Private Service Connect エンドポイントを介してアクセスされる VPC Service Controls でサポートされているサービスには、その VPC Service Controls の境界のポリシーが適用されます。

Private Service Connect エンドポイントを作成すると、コンシューマ プロジェクトとプロデューサー プロジェクトの間でコントロール プレーンの API 呼び出しが行われ、Private Service Connect 接続を確立します。同じ VPC Service Controls の境界内にないコンシューマ プロジェクトとプロデューサー プロジェクトの間に Private Service Connect 接続を確立する場合、下り(外向き)ポリシーによる明示的な承認は必要ありません。Private Service Connect エンドポイントを介した VPC Service Controls 対応サービスとの通信は、VPC Service Controls の境界で保護されます。

料金

Private Service Connect の料金については、VPC の料金ページをご覧ください。

割り当て

公開サービスにアクセスするために作成できる Private Service Connect エンドポイントの数は、PSC Internal LB Forwarding Rules 割り当てによって制御されます。詳しくは、割り当てをご覧ください。

組織ポリシーの制約

組織のポリシーの管理者は、constraints/compute.disablePrivateServiceConnectCreationForConsumers 制約を使用して、ユーザーが転送ルールを作成できない Private Service Connect エンドポイント タイプのセットを定義できます。この制約は新しい構成に適用されます。既存の接続には影響しません。

オンプレミス アクセス

Google API へのアクセスに使用する Private Service Connect エンドポイントには、接続されているサポート対象のオンプレミス ホストからアクセスできます。詳細については、ハイブリッド ネットワークからエンドポイントにアクセスするをご覧ください。

制限事項

  • アクセスしている公開サービスと同じ VPC ネットワークに Private Service Connect エンドポイントを作成することはできません。

  • Private Service Connect エンドポイントは、ピアリングされた VPC ネットワークからアクセスできません。

  • Packet Mirroring では、Private Service Connect の公開サービス トラフィックのパケットはミラーリングできません。

次のステップ