Private Service Connect インターフェースについて
このページでは、Private Service Connect インターフェースの概要について説明します。
Private Service Connect インターフェースは、プロデューサーの Virtual Private Cloud(VPC)ネットワークがコンシューマーの VPC ネットワーク内のさまざまな宛先への接続を開始できるようにするためのリソースです。プロデューサー ネットワークとコンシューマー ネットワークは、異なるプロジェクトや組織に属していてもかまいません。
Private Service Connect インターフェースを作成する場合、2 つ以上のネットワーク インターフェースを持つ仮想マシン(VM)インスタンスを作成します。最初のインターフェースはプロデューサー VPC ネットワーク内のサブネットに接続します。2 番目のインターフェースは、コンシューマー ネットワークのネットワーク アタッチメントへの接続をリクエストする Private Service Connect インターフェースです。接続が受け入れられると、ネットワーク アタッチメントで指定されたコンシューマー サブネットから内部 IP アドレスが Private Service Connect インターフェースに割り当てられます。
この Private Service Connect インターフェース接続を使用すると、プロデューサー組織とコンシューマー組織は、VPC ネットワークを構成します。これにより、2 つのネットワークが接続され、内部 IP アドレスを使用して通信できるようになります。たとえば、プロデューサー組織は、プロデューサー VPC ネットワークを更新して、コンシューマー サブネットのルートを追加できます。
Private Service Connect インターフェースとネットワーク アタッチメント間の接続は、Private Service Connect のエンドポイントとサービス アタッチメント間の接続に似ていますが、重要な違いが 2 つあります。
- Private Service Connect インターフェースを使用すると、プロデューサー VPC ネットワークからコンシューマー VPC ネットワークへの接続(マネージド サービスの下り、外向き)を開始できます。エンドポイントは逆方向に機能し、コンシューマー VPC ネットワークがプロデューサー VPC ネットワークへの接続(マネージド サービスの上り、内向き)を開始できるようにします。
- Private Service Connect インターフェースの接続は推移的です。つまり、プロデューサー ネットワーク内のワークロードは、コンシューマー VPC ネットワークに接続されている他のワークロードへの接続を開始できます。Private Service Connect エンドポイントは、プロデューサー VPC ネットワークへの接続のみを開始できます。
他のネットワークのワークロードへの接続
Private Service Connect インターフェース接続は推移的であるため、コンシューマー VPC ネットワーク構成で許可されている場合、プロデューサー VPC ネットワーク内のリソースは、コンシューマー ネットワークに接続されたワークロードと通信できます。これには次のものが含まれます。
- Cloud VPN トンネル、Cloud Interconnect、または VPC ネットワーク ピアリングを介してコンシューマー VPC ネットワークに接続しているネットワーク内のワークロード。
- Cloud NAT を介してコンシューマー VPC ネットワークから到達可能な外部 IP アドレスを持つワークロード。
- 限定公開の Google アクセスまたは VPC Service Controls を介してコンシューマー VPC ネットワークから到達可能な Google API とサービス。Private Service Connect インターフェースで VPC Service Controls を使用するには、追加の構成が必要です。
- Private Service Connect のエンドポイントとバックエンドを介してコンシューマー VPC ネットワークから到達可能な公開サービスと Google API。
- コンシューマー VPC ネットワークに接続している VPC スポークのワークロード。
サンプル ユースケース
Private Service Connect インターフェースのユースケースの一例としては、コンシューマー データにアクセスするために、コンシューマーの VPC ネットワークへの接続を開始する必要があるマネージド サービスがあります。このサービスは、オンプレミス、VPN または Cloud Interconnect 接続、あるいはサードパーティ サービスを介してコンシューマーのオンプレミス ネットワークで利用可能なデータやサービスにアクセスする必要があります。Private Service Connect インターフェースの接続は、これらの要件をすべて満たすことができます。
別のユースケースとして、API ゲートウェイを提供するマネージド サービスがあります。このサービスは、さまざまな API に対する呼び出しを受信すると、Private Service Connect インターフェースを使用してコンシューマーの VPC ネットワークへの接続を開始します。ゲートウェイ サービスは、リクエストを処理するバックエンド ターゲットに API リクエストを送信します。
Private Service Connect インターフェースと Private Service Connect エンドポイントは補完的であり、同じ VPC ネットワーク内で組み合わせて使用できます。
図 4 は、分析を提供するマネージド サービスのネットワーク構成を示しています。分析サービスは、Private Service Connect インターフェースを使用してコンシューマーの VPC ネットワークへの接続を開始します。コンシューマー ネットワーク内の Private Service Connect エンドポイントは、分析サービスから別の VPC ネットワーク内のデータベース サービスへの接続を開始できるようにします。分析サービスからデータベース サービスへのトラフィックはコンシューマー ネットワークを通過するため、コンシューマーは 2 つのサービス間のトラフィックを監視し、セキュリティを確保できます。
仕様
- Private Service Connect インターフェースは、ネットワーク アタッチメントに接続する特別なタイプのネットワーク インターフェースです。Private Service Connect インターフェースにはネットワーク インターフェースの仕様も適用されます。
- Private Service Connect インターフェース用の VM を作成する場合は、少なくとも 2 つのネットワーク インターフェースを作成します。最初のネットワーク インターフェースは、常に
nic0
という名前のデフォルトのネットワーク インターフェースです。このインターフェースはプロデューサー サブネットに接続します。2 番目のインターフェースは、コンシューマー サブネットへの接続をリクエストする Private Service Connect インターフェースです。1 台の VM に最大 7 個の Private Service Connect インターフェースを含めることができます。 - コンシューマー プロジェクトが Private Service Connect インターフェースから接続を受け入れると、Google Cloud はネットワーク アタッチメントのサブネットの IP アドレスを使用してインターフェースを構成します。
- 内部 IPv4 アドレスは、サブネットのプライマリ IP アドレス範囲から割り当てられます。
- ネットワーク アタッチメントのサブネットがデュアルスタックであり、Private Service Connect インターフェースがデュアルスタックの場合、サブネットの IPv6 範囲から内部 IPv6 アドレスが割り当てられます。
- Private Service Connect インターフェースは、エイリアス IP 範囲をサポートしています。エイリアス IP 範囲は、ネットワーク アタッチメントのサブネットのプライマリ IPv4 アドレス範囲から取得する必要があります。
- Google Cloud は、Private Service Connect インターフェースに割り振られる IP アドレスが、VM の他のネットワーク インターフェースに接続されているサブネットのアドレス範囲と重複しないようにします。使用可能なアドレスが十分でない場合、VM の作成は失敗します。
- Private Service Connect インターフェースは、ネットワーク インターフェースと同じ方法で通信します。
- ネットワーク アタッチメントと Private Service Connect インターフェース間の接続は、双方向で推移的です。プロデューサー VPC ネットワーク内のワークロードは、コンシューマー VPC ネットワークに接続されているワークロードへの接続を開始できます。
制限事項
Private Service Connect インターフェースの接続は、次の方法でのみ終了できます。
- プロデューサーがインターフェースの VM を削除する。
- コンシューマーが Private Service Connect インターフェースに接続されているプロジェクトを削除する。このアクションにより、インターフェースの VM が停止します。
- コンシューマーが、Private Service Connect インターフェースに接続されているプロジェクトで Compute Engine API を無効にする。このアクションにより、インターフェースの VM が停止します。
Private Service Connect インターフェースは外部 IP アドレスをサポートしていません。
Private Service Connect インターフェースを内部転送ルールのネクストホップにすることはできません。
Private Service Connect インターフェースを Google Kubernetes Engine(GKE)ノードまたは Pod に直接関連付けることはできません。ただし、GKE では、プロキシ VM に構成された Private Service Connect インターフェースを介したサービスの下り(外向き)は可能です。
料金
Private Service Connect インターフェースの料金については、VPC の料金ページをご覧ください。
次のステップ
- Private Service Connect インターフェースの作成と管理の方法を学習する。
- Private Service Connect インターフェース マネージド サービスの Codelab を修了する。