ネットワーク アタッチメントについて
このページでは、ネットワーク アタッチメントの概要について説明します。
ネットワーク アタッチメントは、プロデューサーの Virtual Private Cloud(VPC)ネットワークが Private Service Connect インターフェースを介してコンシューマー VPC ネットワークへの接続を開始できるようにするためのリソースです。
ネットワーク アタッチメントが Private Service Connect インターフェースからの接続を受け入れると、Google Cloud はネットワーク アタッチメントで指定されたコンシューマー サブネットから内部 IP アドレスをインターフェースに割り振ります。Private Service Connect インターフェースの仮想マシン(VM)インスタンスには、プロデューサー サブネットに接続する通常のネットワーク インターフェースが 1 つ以上あります。
この Private Service Connect インターフェース接続を使用すると、プロデューサー組織とコンシューマー組織は、VPC ネットワークを構成します。これにより、2 つのネットワークが接続され、内部 IP アドレスを使用して通信できるようになります。たとえば、プロデューサー組織は、プロデューサー VPC ネットワークを更新して、コンシューマー サブネットのルートを追加できます。
ネットワーク アタッチメントと Private Service Connect インターフェース間の接続は、Private Service Connect エンドポイントとサービス アタッチメント間の接続に似ていますが、重要な違いが 2 つあります。
- ネットワーク アタッチメントを使用すると、プロデューサー VPC ネットワークからコンシューマー VPC ネットワークへの接続(マネージド サービスの下り、外向き)を開始できます。エンドポイントは逆方向に機能し、コンシューマー VPC ネットワークがプロデューサー VPC ネットワークへの接続(マネージド サービスの上り、内向き)を開始できるようにします。
- Private Service Connect インターフェースの接続は推移的です。つまり、プロデューサー VPC ネットワーク内のワークロードは、コンシューマー VPC ネットワークに接続されている他の VPC ネットワークのワークロードに接続できます。
たとえば、サービス コンシューマーの組織が、コンシューマーの VPC ネットワークでのみ利用可能なコンシューマー データにマネージド サービス アクセスを提供する場合があります。このサービスは、オンプレミス、VPN または Cloud Interconnect 接続、あるいはサードパーティ サービスを介して利用可能なデータやサービスにアクセスする必要があります。コンシューマは、そのデータを使用するトラフィックが独自の Egress ゲートウェイ経由でインターネットに送信されるようにしたいと考えています。これにより、コンシューマーはトラフィックをモニタリングし、カスタム セキュリティを提供できます。
Private Service Connect インターフェースの接続は、これらの要件をすべて満たすことができます。
仕様
ネットワーク アタッチメントの仕様は次のとおりです。
- ネットワーク アタッチメントは、Private Service Connect インターフェース接続のコンシューマー側を表すリージョン リソースです。
- ネットワーク アタッチメントを使用すると、Private Service Connect インターフェースからの接続を明示的または自動的に受け入れることができます。
- ネットワーク アタッチメントは 1 つのサブネットに関連付けられます。
- 接続リクエストが承認されると、Private Service Connect インターフェースにはネットワーク アタッチメントのサブネットから IP アドレスが割り振られます。
- 複数の Private Service Connect インターフェースは、同じネットワーク アタッチメントに接続できます。
- ネットワーク アタッチメントは、共有 VPC をサポートしています。ネットワーク アタッチメントはサービス プロジェクトに作成できますが、アタッチメントのサブネットはホスト プロジェクト内に存在する必要があります。
- ネットワーク アタッチメントと Private Service Connect インターフェース間の接続は双方向です。
- ネットワーク アタッチメントと Private Service Connect インターフェース間の接続は推移的です。プロデューサー VPC ネットワーク内のワークロードは、コンシューマー VPC ネットワークに接続されたワークロードと通信できます。
サブネットの割り当て
ネットワーク アタッチメントを作成するときに、単一のサブネットを割り当てる必要があります。アタッチメントは自動的に接続を受け入れるように構成されるか、プロデューサー プロジェクトが承認リストに追加されるため、プロデューサー インターフェースからの接続リクエストが承認されると、そのインターフェースにはサブネットの IP アドレス範囲の IP アドレスが割り振られます。
このサブネットには次の特徴があります。
- これは通常のサブネットである必要があります。
- サブネット内の IP アドレスは予約されていません。他のリソースをサブネットに割り当てることができます。
- ネットワーク アタッチメントに割り当てられているサブネットは削除できません。
- サブネットは置き換えることができますが、既存の接続は影響を受けません。サブネットの置き換え後に確立された接続では、新しいサブネットが使用されます。
- サブネットの CIDR 範囲を拡大すると、拡張された範囲は新しいアドレス割り振りで使用されます。
接続ポリシー
接続ポリシーは、ネットワーク アタッチメントが Private Service Connect インターフェースからの接続を受け入れるかどうかを制御します。接続ポリシーは、ネットワーク アタッチメントの次の 3 つのフィールドで構成されます。
- 接続設定:
ACCEPT_AUTOMATIC
またはACCEPT_MANUAL
のいずれか。ACCEPT_AUTOMATIC
: 新しい接続が自動的に受け入れられます。ACCEPT_MANUAL
: 新しい接続の状態は、ネットワーク アタッチメントの承認リストによって決まります。
- 承認リスト:
ACCEPT_MANUAL
接続設定のあるネットワーク アタッチメントのプロジェクト ID のリスト。このリストにあるプロジェクトからの新しい接続は受け入れられます。Private Service Connect インターフェースが接続をリクエストし、インターフェースのプロジェクトがこのリストにない場合、Private Service Connect インターフェースの VM の作成は失敗します。 - 拒否リスト:
ACCEPT_MANUAL
接続設定のあるネットワーク アタッチメントのプロジェクト ID のリスト。このリストにあるプロジェクトからの新しい接続は明示的に拒否され、Private Service Connect インターフェースの VM の作成は失敗します。
接続を手動で受け入れるようにネットワーク アタッチメントが構成されている場合、プロデューサー プロジェクトを承認リストと拒否リストの両方に追加すると、そのプロジェクトからの接続リクエストは拒否されます。Private Service Connect インターフェースの VM の作成は失敗します。
接続
ネットワーク アタッチメントが Private Service Connect インターフェースからの接続リクエストを受け入れると、論理接続が形成されます。この接続は、ネットワーク アタッチメントとそれを参照するネットワーク インターフェースで構成されるタプルです。プロデューサー VM のインターフェースは論理的にコンシューマー VPC ネットワークに属するものの、そのライフサイクルはプロデューサーによって管理されます。たとえば、図 1 のネットワーク アタッチメントには 2 つの接続があります。
ネットワーク アタッチメントの説明を取得すると、受け入れられた接続を確認できます。
制限事項
- ネットワーク アタッチメントのサブネット、承認リスト、拒否リスト、説明のみ更新できます。他のフィールドを更新する場合は、ポリシーを削除して、新しいポリシーを作成します。
- 接続が開いている場合、ネットワーク アタッチメントは削除できません。この場合、プロデューサー組織が、関連する Private Service Connect インターフェースを削除する必要があります。
- Private Service Connect インターフェースは外部 IP アドレスをサポートしていません。
料金
ネットワーク アタッチメントの料金については、VPC の料金ページをご覧ください。
割り当て
1 つのプロジェクトでリージョンごとに作成できるネットワーク アタッチメントの数には上限があります。詳細は、VPC ドキュメントの、プロジェクトごとの割り当てをご覧ください。