Private Service Connect インターフェースについて
このページでは、Private Service Connect インターフェースの概要について説明します。
Private Service Connect インターフェースは、プロデューサーの Virtual Private Cloud(VPC)ネットワークがコンシューマーの VPC ネットワーク内のさまざまな宛先への接続を開始できるようにするためのリソースです。プロデューサー ネットワークとコンシューマー ネットワークは、異なるプロジェクトや組織に属していてもかまいません。
Private Service Connect インターフェースを作成する場合、2 つ以上のネットワーク インターフェースを持つ仮想マシン(VM)インスタンスを作成します。最初のインターフェースはプロデューサー VPC ネットワーク内のサブネットに接続します。2 番目のインターフェースは、コンシューマー ネットワークのネットワーク アタッチメントへの接続をリクエストする Private Service Connect インターフェースです。接続が受け入れられると、ネットワーク アタッチメントで指定されたコンシューマー サブネットから内部 IP アドレスが Private Service Connect インターフェースに割り当てられます。
この Private Service Connect インターフェース接続を使用すると、プロデューサー組織とコンシューマー組織は、VPC ネットワークを構成します。これにより、2 つのネットワークが接続され、内部 IP アドレスを使用して通信できるようになります。たとえば、プロデューサー組織は、プロデューサー VPC ネットワークを更新して、コンシューマー サブネットのルートを追加できます。
図 1. プロデューサーの VPC ネットワーク内の Vm-1 に 2 つのネットワーク インターフェースがあります。1 つの標準ネットワーク インターフェースはプロデューサー ネットワーク内のサブネットに接続します。もう 1 つのネットワーク インターフェースは、コンシューマー ネットワーク内のネットワーク アタッチメントに接続されている Private Service Connect インターフェースです。
Private Service Connect インターフェースとネットワーク アタッチメント間の接続は、Private Service Connect のエンドポイントとサービス アタッチメント間の接続に似ていますが、重要な違いが 2 つあります。
- Private Service Connect インターフェースを使用すると、プロデューサー VPC ネットワークからコンシューマー VPC ネットワークへの接続(マネージド サービスの下り、外向き)を開始できます。エンドポイントは逆方向に機能し、コンシューマー VPC ネットワークがプロデューサー VPC ネットワークへの接続(マネージド サービスの上り、内向き)を開始できるようにします。
- Private Service Connect インターフェースの接続は推移的です。つまり、プロデューサー ネットワーク内のワークロードは、コンシューマー VPC ネットワークに接続されている他のワークロードへの接続を開始できます。Private Service Connect エンドポイントは、プロデューサー VPC ネットワークへの接続のみを開始できます。
図 2.Private Service Connect エンドポイントは、サービス コンシューマーからサービス プロデューサーへの接続を開始できるようにします。また、Private Service Connect インターフェースはサービス プロデューサーからサービス コンシューマーへの接続を開始できるようにします。
他のネットワークのワークロードへの接続
Private Service Connect インターフェース接続は推移的であるため、コンシューマー VPC ネットワーク構成で許可されている場合、プロデューサー VPC ネットワーク内のリソースは、コンシューマー ネットワークに接続されたワークロードと通信できます。これには次のものが含まれます。
- Cloud VPN トンネル、Cloud Interconnect、または VPC ネットワーク ピアリングを介してコンシューマー VPC ネットワークに接続しているネットワーク内のワークロード。
- Cloud NAT を介してコンシューマー VPC ネットワークから到達可能な外部 IP アドレスを持つワークロード。
- 限定公開の Google アクセスまたは VPC Service Controls を介してコンシューマー VPC ネットワークから到達可能な Google API とサービス。Private Service Connect インターフェースで VPC Service Controls を使用するには、追加の構成が必要です。
- Private Service Connect のエンドポイントとバックエンドを介してコンシューマー VPC ネットワークから到達可能な公開サービスと Google API。
- コンシューマー VPC ネットワークに接続している VPC スポークのワークロード。
図 3.Private Service Connect インターフェース接続を介してコンシューマー VPC ネットワークに接続しているプロデューサー VPC ネットワークは、コンシューマー VPC に接続されているワークロードと通信できます。
サンプル ユースケース
Private Service Connect インターフェースのユースケースの一例としては、コンシューマー データにアクセスするために、コンシューマーの VPC ネットワークへの接続を開始する必要があるマネージド サービスがあります。このサービスは、オンプレミス、VPN または Cloud Interconnect 接続、あるいはサードパーティ サービスを介してコンシューマーのオンプレミス ネットワークで利用可能なデータやサービスにアクセスする必要があります。Private Service Connect インターフェースの接続は、これらの要件をすべて満たすことができます。
別のユースケースとして、API ゲートウェイを提供するマネージド サービスがあります。このサービスは、さまざまな API に対する呼び出しを受信すると、Private Service Connect インターフェースを使用してコンシューマーの VPC ネットワークへの接続を開始します。ゲートウェイ サービスは、リクエストを処理するバックエンド ターゲットに API リクエストを送信します。
Private Service Connect インターフェースと Private Service Connect エンドポイントは補完的であり、同じ VPC ネットワーク内で組み合わせて使用できます。
図 4 は、分析を提供するマネージド サービスのネットワーク構成を示しています。分析サービスは、Private Service Connect インターフェースを使用してコンシューマーの VPC ネットワークへの接続を開始します。コンシューマー ネットワーク内の Private Service Connect エンドポイントは、分析サービスから別の VPC ネットワーク内のデータベース サービスへの接続を開始できるようにします。分析サービスからデータベース サービスへのトラフィックはコンシューマー ネットワークを通過するため、コンシューマーは 2 つのサービス間のトラフィックを監視し、セキュリティを確保できます。
図 4.この構成例では、Private Service Connect インターフェースと Private Service Connect エンドポイントは補完的です。インターフェースは、分析サービスからコンシューマーの VPC ネットワークへの接続を開始できるようにします。エンドポイントは、分析サービスがコンシューマーの VPC ネットワークからデータベース サービスへの接続を開始できるようにします。
仕様
- Private Service Connect インターフェースは、ネットワーク アタッチメントに接続する特別なタイプのネットワーク インターフェースです。Private Service Connect インターフェースにはネットワーク インターフェースの仕様も適用されます。
- Private Service Connect インターフェース用の VM を作成する場合は、少なくとも 2 つのネットワーク インターフェースを作成します。最初のネットワーク インターフェースは、常に
nic0という名前のデフォルトのネットワーク インターフェースです。このインターフェースはプロデューサー サブネットに接続します。2 番目のインターフェースは、コンシューマー サブネットへの接続をリクエストする Private Service Connect インターフェースです。1 台の VM に最大 7 個の Private Service Connect インターフェースを含めることができます。 - コンシューマー プロジェクトが Private Service Connect インターフェースから接続を受け入れると、インターフェースに内部 IPv4 アドレスが割り振られます。このアドレスは、ネットワーク アタッチメントで指定されたサブネットワークから取得されます。サブネットがデュアルスタックの場合は、インターフェースにも内部 IPv6 アドレスを割り当てることができます。
- Private Service Connect インターフェースは、エイリアス IP 範囲をサポートしています。エイリアス IP 範囲は、ネットワーク アタッチメントのサブネットのプライマリ IPv4 アドレス範囲から取得する必要があります。
- Google Cloud は、Private Service Connect インターフェースに割り振られる IP アドレスが、VM の他のネットワーク インターフェースに接続されているサブネットのアドレス範囲と重複しないようにします。使用可能なアドレスが十分でない場合、VM の作成は失敗します。
- Private Service Connect インターフェースは、ネットワーク インターフェースと同じ方法で通信します。
- ネットワーク アタッチメントと Private Service Connect インターフェース間の接続は、双方向で推移的です。プロデューサー VPC ネットワーク内のワークロードは、コンシューマー VPC ネットワークに接続されているワークロードへの接続を開始できます。
制限事項
- Private Service Connect インターフェースの接続は、インターフェースの VM が削除された場合にのみ終了できます。
- Private Service Connect インターフェースは外部 IP アドレスをサポートしていません。
- Private Service Connect インターフェースを内部転送ルールのネクストホップにすることはできません。
- Private Service Connect インターフェースを Google Kubernetes Engine(GKE)ノードまたは Pod に直接関連付けることはできません。ただし、GKE では、プロキシ VM に構成された Private Service Connect インターフェースを介したサービスの下り(外向き)は可能です。
料金
Private Service Connect インターフェースの料金については、VPC の料金ページをご覧ください。
次のステップ
- Private Service Connect インターフェースの作成と管理の方法を学習する。
- Private Service Connect インターフェース マネージド サービスの Codelab を修了する。