公開サービスの概要

このドキュメントでは、Private Service Connect を使用して、サービスユーザーがサービスを利用できるようにする方法の概要について説明します。

サービスプロデューサーとして Private Service Connect を利用し、VPC ネットワークの内部 IP アドレスを使用してサービスを公開できます。サービスユーザーは、VPC ネットワークの内部 IP アドレスを使用して、公開サービスにアクセスできます。

コンシューマがサービスを利用できるようにするには、1 つ以上の専用サブネットを作成します。次に、これらのサブネットを参照するサービスアタッチメントを作成します。サービスアタッチメントに異なる接続設定を行うことができます。

サービスコンシューマの種類

Private Service Connect サービスに接続できるコンシューマには次の 2 種類があります。

エンドポイントは転送ルールに基づいています。

**図 1.**エンドポイントを使用すると、サービスユーザーは、コンシューマの VPC ネットワークからサービスプロデューサーの VPC ネットワーク内のサービスにトラフィックを送信できます（クリックして拡大）。

バックエンドはロードバランサに基づいています。

**図 2.**グローバル外部アプリケーションロードバランサを使用するバックエンドでは、インターネットにアクセスできるサービスユーザーは、サービスプロデューサーの VPC ネットワーク内のサービスにトラフィックを送信できます（クリックして拡大）。

Private Service Connect サービス構成

Private Service Connect サービスを作成するときに、サブネット、サービスアタッチメント、接続設定を構成します。必要に応じて、サービスの DNS ドメインを構成することもできます。これらの構成については、次のセクションで説明します。

NAT サブネット

Private Service Connect サービスアタッチメントは、1 つ以上の NAT サブネット（Private Service Connect サブネットとも呼ばれます）で構成されます。コンシューマ VPC ネットワークからのパケットは送信元 NAT（SNAT）を使用して変換され、元の送信元 IP アドレスが、プロデューサーの VPC ネットワーク内にある NAT サブネットからの送信元 IP アドレスに変換されます。

サービスアタッチメントには複数の NAT サブネットを設定できます。トラフィックを中断することなく、いつでも NAT サブネットをサービスアタッチメントに追加できます。

1 つのサービスアタッチメントに複数の NAT サブネットを構成できますが、1 つの NAT サブネットを複数のサービスアタッチメントで使用することはできません。

Private Service Connect NAT サブネットは、VM インスタンスや転送ルールなどのリソースに使用できません。サブネットは、受信コンシューマ接続の SNAT に IP アドレスを提供する目的でのみ使用されます。

NAT サブネットのサイズ設定

サービスを公開するときに、NAT サブネットを作成して IP アドレス範囲を選択します。サブネットのサイズによって、サービスアタッチメントに接続できる Private Service Connect エンドポイントまたはバックエンドの数が決まります。IP アドレスは、Private Service Connect 接続の数に応じて NAT サブネットから使用されます。NAT サブネット内のすべての IP アドレスが使用されると、追加の Private Service Connect 接続は失敗します。そのため、NAT サブネットのサイズを適切に設定することが重要です。

サブネットのサイズを選択する際は、次の点を考慮してください。

NAT サブネットには 4 個の使用できない IP アドレスがあるため、使用可能な IP アドレスの数は 2^{(32 - PREFIX_LENGTH)} - 4 です。たとえば、プレフィックスの長さが /24 の NAT サブネットを作成すると、Private Service Connect は 252 個の IP アドレスを SNAT に使用できます。4 個の使用可能な IP アドレスを持つ /29 サブネットが、VPC ネットワークでサポートされている最小のサブネットサイズになります。
サービスアタッチメントに接続されているエンドポイントまたはバックエンドごとに、NAT サブネット内の 1 個の IP アドレスが使用されます。
エンドポイントとバックエンドに必要な IP アドレスの数を見積もる場合は、Private Service Connect のマルチポイントアクセスを使用するマルチテナントサービスまたはコンシューマーを考慮してください。
TCP 接続または UDP 接続の数、クライアントの数、コンシューマー VPC ネットワークの数は、NAT サブネット内の IP アドレスの使用には影響しません。

たとえば、1 個のサービスアタッチメントに 2 個のエンドポイントが接続されている場合、NAT サブネット内にある 2 個の IP アドレスが使用されます。エンドポイントの数がこのまま変更されない場合は、このサービスアタッチメントで使用される 4 個の IP アドレスを加えて、/29 サブネットを使用できます。

NAT サブネットのモニタリング

NAT サブネットの IP アドレスを使用できずに Private Service Connect 接続が失敗することがないようにするため、次のことをおすすめします。

private_service_connect/producer/used_nat_ip_addresses サービスアタッチメントの指標をモニタリングします。使用する NAT IP アドレスの数が、サービスアタッチメントの NAT サブネットの容量を超えないようにします。
サービスアタッチメント接続の接続ステータスをモニタリングします。接続のステータスが「要確認」の場合、アタッチメントの NAT サブネットで使用可能な IP アドレスがない可能性があります。
マルチテナントサービスの場合、接続上限を使用して、単一のコンシューマーがサービスアタッチメントの NAT サブネットの容量を使い果たさないようにすることができます。

トラフィックを中断することなく、いつでも NAT サブネットをサービスアタッチメントに追加できます。

最大接続数

単一のプロデューサー VM は、単一の Private Service Connect エンドポイントから最大 65,536 個の TCP 接続と 65,536 個の UDP 接続を同時に受け付けることができます。単一の Private Service Connect エンドポイントがすべてのプロデューサーバックエンドで受け付けることができる TCP 接続と UDP 接続の合計数に制限はありません。コンシューマ VM は、Private Service Connect エンドポイントへの TCP 接続または UDP 接続を開始するときに、65,536 個のポートすべてを使用できます。すべてのネットワークアドレス変換は、プロデューサーホストでローカルに行われます。これには、一元的に割り当てられた NAT ポートプールは必要ありません。

その他の考慮事項

NAT サブネットには他にも次の考慮事項があります。

UDP マッピングの無通信タイムアウトは 30 秒です。この値を構成することはできません。
TCP 確立済み接続の無通信タイムアウトは 20 分です。この値を構成することはできません。
TCP 一時的な接続の無通信タイムアウトは 30 秒です。この値を構成することはできません。
5 タプル（NAT サブネットの送信元 IP アドレスと送信元ポート、宛先プロトコル、IP アドレス、宛先ポート）が再利用されるまでに 2 分ほどかかることがあります。
Private Service Connect の SNAT は、IP フラグメントをサポートしていません。

サービスアタッチメント

サービスプロデューサーは、サービスアタッチメントを介してサービスを公開します。

サービスを公開するために、サービスプロデューサーでは、サービスのロードバランサ転送ルールを参照するサービスアタッチメントを作成します。
サービスユーザーは、サービスにアクセスするためにサービスアタッチメントを参照するエンドポイントを作成します。

このサービスアタッチメントの URI の形式は projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME のようになります。

各ロードバランサは、1 つのサービスアタッチメントでのみ参照できます。同じロードバランサを使用する複数のサービスアタッチメントを構成することはできません。

接続の設定

各サービスのアタッチメントには、接続リクエストを自動的に受け入れるかどうかを指定する接続設定があります。オプションは次の 3 つです。

すべての接続を自動的に受け入れる。サービスアタッチメントは、任意のコンシューマからのすべてのインバウンド接続リクエストを自動的に受け入れます。自動承認は、受信接続をブロックする組織のポリシーでオーバーライドできます。
選択したネットワークの接続を受け入れる。サービスアタッチメントは、コンシューマ VPC ネットワークがサービスアタッチメントのコンシューマ承認リストに含まれている場合にのみ、インバウンド接続リクエストを受け入れます。
選択したプロジェクトの接続を受け入れるサービスアタッチメントは、ユーザープロジェクトがサービスアタッチメントのコンシューマ承認リストに含まれている場合にのみ、インバウンド接続リクエストを受け入れます。

選択したプロジェクトやネットワークの接続を受け入れることをおすすめします。他の手段でコンシューマーアクセスを制御し、サービスに対して制限の緩すぎるアクセスを有効にする場合は、すべての接続を自動的に受け入れるのが適切です。

接続ステータス

サービスアタッチメントの接続ステータスは接続の状態を表します。詳細については、接続ステータスをご覧ください。

コンシューマーの承認リストと拒否リスト

コンシューマーの承認リストと拒否リストは、サービスアタッチメントのセキュリティ機能です。承認リストと拒否リストを使用すると、サービスプロデューサーはサービスに対する Private Service Connect 接続を確立できるコンシューマーを指定できます。コンシューマーの承認リストは接続を受け入れるかどうかを指定し、拒否リストは接続が拒否するかどうかを指定します。どちらのリストでも、接続リソースの VPC ネットワークまたはプロジェクトごとにコンシューマーを指定できます。プロジェクトまたはネットワークを承認リストと拒否リストの両方に追加すると、そのプロジェクトまたはネットワークからの接続リクエストは拒否されます。フォルダでコンシューマを指定することはできません。

コンシューマーの承認リストと拒否リストでは、プロジェクトまたは VPC ネットワークを指定できますが、両方を同時に指定することはできません。接続を中断することなく、一方のタイプから他方のタイプにリストを変更できますが、変更は 1 回の更新で行う必要があります。そうしないと、一部の接続が一時的に保留状態になる可能性があります。

コンシューマーの承認リストと組織のポリシー間のやり取り方法については、コンシューマー承認リストと組織のポリシー間のやり取りをご覧ください。

接続調整

接続の調整により、サービスアタッチメントの許可リストまたは拒否リストの更新が既存の Private Service Connect 接続に影響を与えるかどうかが決まります。接続の調整が有効になっている場合、許可リストまたは拒否リストを更新すると、既存の接続が終了する場合があります。以前に拒否された接続が受け入れられる可能性もあります。接続の調整が無効になっている場合、許可リストまたは拒否リストの更新は新しい接続と保留中の接続にのみ影響します。

たとえば、Project-A からの複数の接続が承諾されているサービスアタッチメントがあるとします。Project-A は、サービスアタッチメントの許可リストにあります。許可リストから Project-A を削除してサービスアタッチメントを更新しました。

接続の調整が有効になっている場合、Project-A からの既存の接続はすべて PENDING に変わり、これにより、2 つの VPC ネットワーク間のネットワーク接続が切断され、ネットワークトラフィックが直ちに停止します。

接続の調整が無効になっている場合、Project-A からの既存の接続は影響を受けません。ネットワークトラフィックは引き続き既存の Private Service Connect 接続間を通過します。ただし、新しい Private Service Connect 接続は許可されません。

新しいサービスアタッチメントの接続調整を構成する方法については、明示的な承認でサービスを公開するをご覧ください。

既存のサービスアタッチメントの接続調整を構成する方法については、接続調整を構成するをご覧ください。

接続制限

コンシューマーの承認リストには、接続上限があります。これらの上限には、サービスアタッチメントが指定されたコンシューマープロジェクトまたは VPC ネットワークから受け入れることができる接続の合計数を設定します。プロデューサーはこれらの上限を使用して、個々のコンシューマーがプロデューサー VPC ネットワーク内の IP アドレスまたはリソース割り当てを使い切らないようにします。受け入れられた各 Private Service Connect 接続は、コンシューマープロジェクトまたは VPC ネットワークの構成済み上限から差し引かれます。上限は、コンシューマーの承認リストを作成または更新するときに設定されます。サービスアタッチメントの詳細を取得する際に、サービスアタッチメントの接続を確認できます。

たとえば、サービスアタッチメントに project-1 と project-2 を含むコンシューマー承認リストがあり、両方が 1 つの接続に制限されているとします。プロジェクト project-1 は 2 つの接続、project-2 は 1 つの接続、project-3 は 1 つの接続をリクエストします。project-1 には 1 つの接続という制限があるため、最初の接続は受け入れられますが、2 番目の接続は保留中のままになります。project-2 からの接続は受け入れられますが、project-3 からの接続は保留中のままになります。project-1 の上限を引き上げると、project-1 から 2 番目の接続を受け入れることが可能になります。project-3 がコンシューマーの承認リストに追加されると、その接続は保留中から承認済みに移行します。

DNS 構成

公開サービスに接続するエンドポイントの DNS 構成については、サービスの DNS 構成をご覧ください。

マルチリージョンの構成

次の構成を作成することで、複数のリージョンでサービスを使用できます。

プロデューサーの構成:

各リージョンにサービスをデプロイします。サービスの各リージョンインスタンスは、バックエンドによるアクセスをサポートするロードバランサ上に構成する必要があります。
サービスアタッチメントを作成して、サービスの各リージョンインスタンスを公開します。

コンシューマの構成:

公開サービスにアクセスするバックエンドを作成します。バックエンドはグローバル外部アプリケーションロードバランサに基づいており、次の構成を含みます。
- 各リージョンのサービスアタッチメントを指す、そのリージョンの Private Service Connect NEG。
- NEG バックエンドを含むバックエンドサービス。

この構成では、エンドポイントはデフォルトのグローバルロードバランシングポリシー（まず正常であること、次にクライアントに最も近いロケーションであること）を使用してトラフィックをルーティングします。

**図 3.** グローバル外部アプリケーションロードバランサを使用すると、インターネットにアクセスできるサービスユーザーは、サービスプロデューサーの VPC ネットワーク内のサービスにトラフィックを送信できます。サービスは複数のリージョンにデプロイされているため、ロードバランサは最も近い正常状態のリージョンの NEG にトラフィックをルーティングすることができます（クリックして拡大）。

機能と互換性

次の表で、は機能がサポートされていることを示し、は機能がサポートされていないことを示します。

選択したプロデューサーロードバランサに応じて、プロデューサーサービスはエンドポイント、バックエンド、またはその両方によるアクセスをサポートできます。

エンドポイントのサポート

次の表は、公開サービスにアクセスするエンドポイントでサポートされる構成オプションと機能をまとめたものです。

コンシューマーの構成（エンドポイント）	プロデューサーロードバランサ
コンシューマーの構成（エンドポイント）	内部パススルーネットワークロードバランサ	リージョン内部アプリケーションロードバランサ	リージョン内部プロキシネットワークロードバランサ	内部プロトコル転送（ターゲットインスタンス）
コンシューマーのグローバルアクセス	ロードバランサのグローバルアクセス設定に依存しない	ロードバランサでグローバルアクセスが有効になっている場合のみ	ロードバランサでグローバルアクセスが有効になっている場合のみ	ロードバランサのグローバルアクセス設定に依存しない
相互接続のトラフィック
Cloud VPN のトラフィック
DNS の自動構成
IP スタック	IPv4	IPv4	IPv4	IPv4

この表は、エンドポイントがアクセスする公開サービスでサポートされる構成オプションと機能をまとめたものです。

プロデューサーの構成（公開サービス）	プロデューサーロードバランサ
プロデューサーの構成（公開サービス）	内部パススルーネットワークロードバランサ	リージョン内部アプリケーションロードバランサ	リージョン内部プロキシネットワークロードバランサ	内部プロトコル転送（ターゲットインスタンス）
サポートされるプロデューサーバックエンド	GCE_VM_IP NEG インスタンスグループ	GCE_VM_IP_PORT NEG ハイブリッド NEG サーバーレス NEG Private Service Connect NEG インスタンスグループ	GCE_VM_IP_PORT NEG ハイブリッド NEG サーバーレス NEG Private Service Connect NEG インスタンスグループ	該当なし
PROXY プロトコル	TCP トラフィックのみ			TCP トラフィックのみ
セッションアフィニティモード	なし（5 タプル） CLIENT_IP_PORT_PROTO	該当なし	該当なし	該当なし

サポートされるポート構成は、ロードバランサによって異なります。ロードバランサには、単一のポートをサポートするものと、ポートの範囲をサポートするものと、すべてのポートをサポートするものがあります。詳細については、ポートの仕様をご覧ください。

バックエンドのサポート

公開サービス用の Private Service Connect バックエンドには、コンシューマーロードバランサとプロデューサーロードバランサという 2 つのロードバランサが必要です。次の表に、コンシューマーロードバランサとプロデューサーロードバランサの互換性を示します。また、各コンシューマーロードバランサで使用できるバックエンドサービスプロトコルについても説明します。各行はコンシューマーロードバランサのタイプを表し、各列はプロデューサーロードバランサのタイプを表します。

コンシューマーロードバランサとサポートされているコンシューマーバックエンドサービスプロトコル	プロデューサーロードバランサ
コンシューマーロードバランサとサポートされているコンシューマーバックエンドサービスプロトコル	内部パススルーネットワークロードバランサ	リージョン内部アプリケーションロードバランサ	リージョン内部プロキシネットワークロードバランサ
グローバル外部アプリケーションロードバランサ（複数のリージョンをサポート）プロトコル: HTTPS、HTTP2 注: 従来のアプリケーションロードバランサはサポートされていません。
リージョン外部アプリケーションロードバランサプロトコル: HTTP、HTTPS、HTTP2
リージョン内部アプリケーションロードバランサプロトコル: HTTP、HTTPS、HTTP2
クロスリージョン内部アプリケーションロードバランサ（プレビュー）プロトコル: HTTPS、HTTP2
リージョン内部プロキシネットワークロードバランサプロトコル: TCP
クロスリージョン内部プロキシネットワークロードバランサプロトコル: TCP
リージョン外部プロキシネットワークロードバランサプロトコル: TCP
グローバル外部プロキシネットワークロードバランサ（プレビュー）プロトコル: TCP / SSL 注: 従来のプロキシネットワークロードバランサはサポートされていません。

次の表に、Private Service Connect バックエンドでサポートされているプロデューサーロードバランサの構成を示します。

構成	プロデューサーロードバランサ
構成	内部パススルーネットワークロードバランサ	リージョン内部アプリケーションロードバランサ	リージョン内部プロキシネットワークロードバランサ
サポートされるプロデューサーバックエンド	GCE_VM_IP NEG インスタンスグループ	GCE_VM_IP_PORT NEG ハイブリッド NEG サーバーレス NEG Private Service Connect NEG インスタンスグループ	GCE_VM_IP_PORT NEG ハイブリッド NEG サーバーレス NEG Private Service Connect NEG インスタンスグループ
転送ルールプロトコル	TCP	HTTP HTTPS HTTP/2	TCP
転送ルールのポート	転送ルールは 1 つのポートを参照する必要があります。	転送ルールは 1 つのポートを参照する必要があります。	転送ルールは 1 つのポートを参照する必要があります。
PROXY プロトコル

共有 VPC

サービスプロジェクト管理者は、共有 VPC ネットワーク内のリソースに接続する共有 VPC サービスプロジェクトでサービスアタッチメントを作成できます。

構成は、通常のサービスアタッチメントの場合とほぼ同じですが、次の点が異なります。

プロデューサーロードバランサの転送ルールは、共有 VPC ネットワークの IP アドレスに関連付けられています。転送ルールのサブネットは、サービスプロジェクトと共有されている必要があります。
サービスアタッチメントは、共有 VPC ネットワークの Private Service Connect サブネットを使用します。このサブネットは、サービスプロジェクトと共有されている必要があります。

ロギング

バックエンド VM を含むサブネットで VPC フローログを有効にできます。このログには、Private Service Connect のサブネット内のバックエンド VM と IP アドレスの間のフローが記録されます。

VPC Service Controls

VPC Service Controls と Private Service Connect には互換性があります。Private Service Connect エンドポイントがデプロイされている VPC ネットワークが VPC Service Controls の境界内にある場合、エンドポイントも同じ境界の一部になります。エンドポイントを介してアクセスされる VPC Service Controls でサポートされているサービスには、その VPC Service Controls の境界のポリシーが適用されます。

エンドポイントを作成すると、コンシューマプロジェクトとプロデューサープロジェクトの間でコントロールプレーンの API 呼び出しが行われ、Private Service Connect 接続を確立します。同じ VPC Service Controls の境界内にないコンシューマプロジェクトとプロデューサープロジェクトの間に Private Service Connect 接続を確立する場合、下り（外向き）ポリシーによる明示的な承認は必要ありません。エンドポイントを介した VPC Service Controls 対応サービスとの通信は、VPC Service Controls の境界で保護されます。

料金

Private Service Connect の料金については、VPC の料金ページをご覧ください。

割り当て

公開サービスにアクセスするために作成できるエンドポイントの数は、PSC Internal LB Forwarding Rules 割り当てによって制御されます。詳細については、割り当てをご覧ください。

オンプレミスアクセス

Private Service Connect サービスは、エンドポイントを使用して利用可能になります。これらのエンドポイントには、サポート対象で接続中のオンプレミスホストからアクセスできます。詳細については、オンプレミスホストからエンドポイントにアクセスするをご覧ください。

制限事項

公開サービスには次の制限があります。

プロデューサーロードバランサは、次の機能をサポートしていません。

共有 IP アドレスを使用する複数の転送ルール（SHARED_LOADBALANCER_VIP）
バックエンドのサブセット化

Packet Mirroring では、Private Service Connect の公開サービストラフィックのパケットはミラーリングできません。
Google Cloud CLI または API を使用して、内部プロトコル転送に使用される転送ルールを指すサービスアタッチメントを作成する必要があります。
次のロードバランサタイプでは、BETA指標の値が提供されません。値が 0 になっているか、値がありません。
- リージョン内部アプリケーションロードバランサ
- リージョン内部プロキシネットワークロードバランサ
問題と回避策については、既知の問題をご覧ください。

コンシューマーロードバランサとサポートされているコンシューマーバックエンドサービスプロトコル	プロデューサーロードバランサ
コンシューマーロードバランサとサポートされているコンシューマーバックエンドサービスプロトコル	内部パススルーネットワークロードバランサ	リージョン内部アプリケーションロードバランサ	リージョン内部プロキシネットワークロードバランサ
グローバル外部アプリケーションロードバランサ（複数のリージョンをサポート）プロトコル: HTTPS、HTTP2 注: 従来のアプリケーションロードバランサはサポートされていません。
リージョン外部アプリケーションロードバランサプロトコル: HTTP、HTTPS、HTTP2
リージョン内部アプリケーションロードバランサプロトコル: HTTP、HTTPS、HTTP2
クロスリージョン内部アプリケーションロードバランサ（プレビュー）プロトコル: HTTPS、HTTP2
リージョン内部プロキシネットワークロードバランサプロトコル: TCP
クロスリージョン内部プロキシネットワークロードバランサプロトコル: TCP
リージョン外部プロキシネットワークロードバランサプロトコル: TCP
グローバル外部プロキシネットワークロードバランサ（プレビュー）プロトコル: TCP / SSL 注: 従来のプロキシネットワークロードバランサはサポートされていません。