バックエンド経由でロケーション Google API にアクセスする

このガイドでは、Private Service Connect バックエンドを使用して内部アプリケーション ロードバランサを構成し、ロケーション Google API にアクセスする方法について説明します。

バックエンドの詳細については、バックエンドについてをご覧ください。

Private Service Connect に使用される内部アプリケーション ロードバランサには、共有 VPC ネットワーク接続済みのネットワークからアクセスできます。

ロール

このガイドで説明するタスクの実行に必要な権限は、Compute ロードバランサ管理者のロールroles/compute.loadBalancerAdmin)に含まれています。

サポート対象のサービス

サポートされているロケーション サービス エンドポイントのリストをご覧ください。

始める前に

  • プロジェクトで Compute Engine API有効にします。

  • ロード バランシング転送ルールを Service Directory に登録するには、プロジェクトで Service Directory API有効にします。Service Directory を構成するには、Google Cloud CLI または API を使用して転送ルールを作成する必要があります。

  • プロキシ専用サブネットを作成します(まだ存在しない場合)。内部アプリケーション ロードバランサを作成する VPC ネットワークとリージョンには、プロキシ専用のサブネットが 1 つ必要です。このサブネットは、そのネットワークとリージョン内のすべての内部アプリケーション ロードバランサで使用されます。

  • ドメインの秘密鍵とセルフマネージド証明書を作成します(まだ取得していない場合)。セルフマネージド SSL 証明書の使用手順 1 をご覧ください。ロードバランサを構成するときにターゲット HTTPS プロキシを作成する場合は、秘密鍵と証明書が必要です。

ネットワーク エンドポイント グループの作成

ロードバランサで使用可能にするサービスごとに、Private Service Connect ネットワーク エンドポイント グループ(NEG)を作成します。

コンソール

  1. Google Cloud コンソールで、[ネットワーク エンドポイント グループ] ページに移動します。

    [ネットワーク エンドポイント グループ] に移動

  2. [ネットワーク エンドポイント グループを作成] をクリックします。

  3. ネットワーク エンドポイント グループの名前を入力します。

  4. [ネットワーク エンドポイント グループの種類] で [ネットワーク エンドポイント グループ(Private Service Connect)] を選択します。

  5. ネットワーク エンドポイント グループのリージョンを選択します。

  6. ネットワーク エンドポイント グループのターゲット サービスを選択します。

  7. [作成] をクリックします。

gcloud

gcloud compute network-endpoint-groups create NEG_NAME \
  --network-endpoint-type=private-service-connect \
  --psc-target-service=TARGET_SERVICE \
  --region=REGION

次のように置き換えます。

ロードバランサの構成

すべてのロードバランサ コンポーネントを Private Service Connect ネットワーク エンドポイント グループと同じリージョンに作成する必要があります。

コンソール

構成を開始する

  1. Google Cloud コンソールで、[ロード バランシング] ページに移動します。

    [ロード バランシング] に移動

  2. [ロードバランサを作成] をクリックします。
  3. [ロードバランサの種類] で [アプリケーション ロードバランサ(HTTP / HTTPS)] を選択し、[次へ] をクリックします。
  4. [インターネット接続または内部] で [内部] を選択し、[次へ] をクリックします。
  5. [クロスリージョンまたはシングル リージョンのデプロイ] で [リージョン ワークロードに最適] を選択し、[次へ] をクリックします。
  6. [構成] をクリックします。

基本構成

  1. ロードバランサの名前を入力します。
  2. ロードバランサのリージョンを選択します。

  3. ロードバランサのネットワークを選択します。

    NEG とロードバランサを作成するリージョンにプロキシ専用サブネットを含める必要があります。サブネットがない場合は、[サブネットを予約] をクリックして作成できます。

  4. ウィンドウを開いたままにして続行します。

バックエンドの構成

Private Service Connect ネットワーク エンドポイント グループは、ロードバランサのバックエンドの一種です。構成するバックエンドごとにバックエンド サービスを作成します。

  1. [バックエンドの構成] をクリックします。

  2. 構成する Private Service Connect ネットワーク エンドポイント グループごとに、バックエンド サービスを作成します。

    1. [バックエンド サービスの作成または選択] メニューから [バックエンド サービスを作成] を選択します。
    2. バックエンド サービスの [名前] を入力します。
    3. [バックエンド タイプ] を Private Service Connect ネットワーク エンドポイント グループに設定します。

    4. プロトコルに [HTTPS] を選択します。

      このロードバランサの構成で、名前付きポートの設定は使用されません。名前付きポートの設定はデフォルトのままにします。

    5. [バックエンド] セクションで、[新しいバックエンド] メニューをクリックし、Private Service Connect ネットワーク エンドポイント グループを選択します。

      新しい Private Service Connect ネットワーク エンドポイント グループを作成する必要がある場合は、[Private Service Connect ネットワーク エンドポイント グループを作成] をクリックします。

ルーティング ルール

受信 HTTPS リクエストを特定のバックエンド サービスまたはバックエンド バケットにルーティングするためのルールのセットは、URL マップと呼ばれます。URL マップの詳細については、URL マップの概要をご覧ください。

ロードバランサにバックエンド サービスを 1 つだけ構成する場合は、デフォルトのルーティング ルールで十分です。フロントエンドの構成に進んでください。

  1. バックエンド サービスが複数ある場合は、[ルーティング ルール] をクリックします。
  2. [単純なホストとパスのルール] を選択します。
  3. バックエンドごとに、次の操作を行います。
    1. ホストとパスのルールを追加します
    2. [ホスト] に、このサービスにリクエストを送信するために使用するホストの名前を入力します(例: cloudkms.example.com)。
    3. [パス] に、パスを入力します(例: /*)。
    4. [バックエンド] で、バックエンド サービスを選択します。

フロントエンドの構成

  1. [フロントエンドの構成] をクリックします。
  2. [フロントエンド IP とポートの追加] をクリックします。
  3. ロードバランサの名前を入力します。
  4. [プロトコル] フィールドで、[HTTPS(HTTP/2 を含む)] を選択します。
  5. ロードバランサのサブネットワークを選択します。
  6. HTTPS トラフィックを許可するように、ポート443 に設定されていることを確認します。

  7. [IP アドレス] で、メニューから IP アドレスを選択します。

    新しい IP アドレスを予約する場合は、[IP アドレスを作成] をクリックします。

  8. [証明書] プルダウン リストをクリックします。

    1. 使用するセルフマネージド SSL 証明書リソースがすでにある場合は、メニューから選択します。
    2. そうでない場合は、[新しい証明書を作成] を選択します。
    3. 証明書リソースの名前を入力します。
    4. 該当するフィールドで、PEM 形式のファイルをアップロードします。
      • 証明書
      • 秘密鍵
    5. [作成] をクリックします。

  9. [完了] をクリックします。

確認と完了

  1. [確認と完了] をクリックして構成を確認します。
  2. [作成] をクリックします。

gcloud

  1. 作成したネットワーク エンドポイント グループごとにバックエンド サービスを作成します。

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
 --load-balancing-scheme=INTERNAL_MANAGED \
 --protocol=HTTPS \
 --region=REGION

    次のように置き換えます。

    • BACKEND_SERVICE_NAME: バックエンド サービスの名前。
    • REGION: バックエンド サービスを作成するリージョン。

  2. 作成したバックエンド サービスごとに、対応する NEG をバックエンド サービスに追加します。

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
 --network-endpoint-group=NEG_NAME \
 --region=REGION

    次のように置き換えます。

    • BACKEND_SERVICE_NAME: バックエンド サービスの名前。
    • NEG_NAME: ネットワーク エンドポイント グループの名前。
    • REGION: バックエンドのリージョン。

  3. ロードバランサの URL マップを作成します。

    URL マップでは、デフォルトのバックエンド サービスを参照する必要があります。1 つのバックエンド サービスを使用してロードバランサを構成している場合は、そのバックエンド サービスをデフォルトとして設定します。次のステップで作成するホストルールとパスマッチャーで参照される複数のバックエンド サービスを使用するようにロードバランサを構成するには、バックエンド サービスの 1 つを URL マップのデフォルトに設定します。

    gcloud compute url-maps create URL_MAP_NAME \
 --default-service=DEFAULT_BACKEND_SERVICE_NAME \
 --region=REGION

    次のように置き換えます。

    • URL_MAP_NAME: URL マップの名前。

    • DEFAULT_BACKEND_SERVICE_NAME: ロードバランサのデフォルトの名前。このデフォルトは、指定されたホスト名に一致するホストルールがない場合に使用されます。

    • REGION: URL マップを作成するリージョン。

  4. URL マップにバックエンド サービスを追加します。

    URL マップで 2 つ以上のバックエンド サービスを参照する必要がある場合は、次の手順を行います。URL マップが 1 つのバックエンド サービスのみを参照している場合は、この手順をスキップします。

    1. バックエンド サービスごとにパスマッチャーを追加します。バックエンド サービスごとに 1 つのパスマッチャーを作成する必要があります。
    gcloud compute url-maps add-path-matcher URL_MAP_NAME \
 --path-matcher-name=PATH_MATCHER \
 --default-service=BACKEND_SERVICE_NAME \
 --region=REGION

    次のように置き換えます。

    • URL_MAP_NAME: URL マップの名前。
    • PATH_MATCHER: パスマッチャーの名前。
    • BACKEND_SERVICE_NAME: バックエンド サービスの名前。
    • REGION: URL マップのリージョン。

    1. ホスト名ごとに、ホストルールを追加します。

      各ホストルールが参照できるパスマッチャーは 1 つだけです。また、2 つ以上のホストルールが同じパスマッチャーを参照できます。

      gcloud compute url-maps add-host-rule URL_MAP_NAME \
--hosts=HOST \
--path-matcher-name=PATH_MATCHER \
--region=REGION

      次のように置き換えます。

      • URL_MAP_NAME: URL マップの名前。
      • HOST: このサービスのリクエストを送信するホスト名。例: cloudkms.example.com
      • PATH_MATCHER: パスマッチャーの名前。
      • REGION: URL マップのリージョン。

  5. ターゲット HTTPS プロキシを作成します。

    gcloud compute ssl-certificates create コマンドを使用してリージョン SSL 証明書リソースを作成します。内部アプリケーション ロードバランサでは Google マネージド証明書がサポートされません。

    gcloud compute ssl-certificates create CERTIFICATE \
 --certificate=LB_CERT \
 --private-key=LB_PRIVATE_KEY \
 --region=REGION

    次のように置き換えます。

    • CERTIFICATE: 証明書の名前。

    • LB_CERT: セルフ マネージド証明書の PEM 形式の証明書ファイルのパス。

    • LB_PRIVATE_KEY: セルフ マネージド証明書の PEM 形式の秘密鍵ファイルのパス。

    • REGION: 証明書のリージョン。

    リージョン SSL 証明書リソースを使用して、gcloud compute target-https-proxies create コマンドでターゲット HTTPS プロキシを作成します。

    gcloud compute target-https-proxies create PROXY_NAME \
   --url-map=URL_MAP_NAME \
   --region=REGION \
   --ssl-certificates=CERTIFICATE

    次のように置き換えます。

    • PROXY_NAME: ターゲット HTTPS プロキシの名前。
    • URL_MAP_NAME: URL マップの名前。
    • REGION: 証明書リソースのリージョン。
    • CERTIFICATE: 証明書リソースの名前。

  6. 転送ルールにリージョン内部 IPv4 アドレスを予約します。

    gcloud compute addresses create ADDRESS_NAME \
 --ip-version=IPV4 \
 --region=REGION \
 --subnet=SUBNETWORK

    次のように置き換えます。

    • ADDRESS_NAME: IP アドレス リソースの名前。
    • REGION: IP アドレスを作成するリージョン。
    • SUBNET: IP アドレスを作成するサブネット。

    予約済み IP アドレスを表示するには、次のコマンドを実行します。ロードバランサを作成したら、IP アドレスを使用して構成を確認できます。

    gcloud compute addresses describe ADDRESS_NAME \
 --format="get(address)" --region=REGION

  7. 転送ルールを作成します。

    gcloud compute forwarding-rules create コマンドを使用して転送ルールを作成します。

    gcloud compute forwarding-rules create FWD_RULE \
 --load-balancing-scheme=INTERNAL_MANAGED \
 --network=NETWORK \
 --address=ADDRESS_NAME \
 --ports=443 \
 --region=REGION \
 --target-https-proxy=PROXY_NAME \
 --target-https-proxy-region=PROXY_REGION \
 [--service-directory-registration=SD_SERVICE_NAME]

    次のように置き換えます。

    • FWD_RULE: 転送ルールの名前。

    • NETWORK: 転送ルールを作成するリージョン。

    • ADDRESS_NAME: 予約済みの IP アドレス。

    • REGION: 転送ルールのリージョン。

    • PROXY_NAME: ターゲット HTTPS プロキシの名前。

    • PROXY_REGION: ターゲット HTTPS プロキシのリージョン。

    • SD_SERVICE_NAME: ロードバランサを登録する Service Directory サービスの URI。形式は projects/PROJECT/locations/REGION/namespaces/NAMESPACE_NAME/services/SERVICE_NAME です。--service-directory-registration の指定は任意です。

DNS レコードを構成する

転送ルールの IP アドレスを参照するように、URL マップに追加したホストの DNS レコードを構成します。Cloud DNS を使用して DNS を管理している場合は、DNS レコードの追加をご覧ください。それ以外の場合は、DNS サーバーで DNS レコードを構成します。

たとえば、次のようにバックエンドを構成したとします。

  • ターゲット サービス asia-east1-cloudkms.googleapis.com を使用する Private Service Connect NEG。

  • この Private Service Connect NEG をバックエンドとして使用する内部アプリケーション ロードバランサ。

  • cloudkms.example.com のホストルールを定義する URL マップ。

この構成を正しく機能させるには、cloudkms.example.com が転送ルールの IP アドレスを参照する DNS レコードを作成します。

cloudkms.example.com に送信されたリクエストはロードバランサに送信され、ロードバランサから asia-east1-cloudkms.googleapis.com に転送されます。

構成を確認する

  1. VM インスタンスを作成します。

    gcloud compute instances create VM_NAME \
   --network=NETWORK \
   --image-project=debian-cloud --image-family=debian-9 \
   --zone=ZONE

    次のように置き換えます。

    • VM_NAME: 仮想マシンの名前。

    • NETWORK: VM のネットワーク。

    • ZONE: VM のゾーン。

  2. VM に接続します。

    gcloud compute ssh VM_NAME --zone=ZONE

  3. curl を使用して、構成を確認します。このコマンドでは Host ヘッダーを設定し、ユーザー定義の IP アドレスを指定して DNS の解決をバイパスします。プロトコルでデフォルトのポートを使用している場合は、ポートを省略できます(HTTPS にポート 443 を使用する場合など)。

    必要に応じて、-k フラグを使用して、証明書の検証をスキップできます。自己署名証明書を使用してターゲット HTTPS プロキシを構成した場合、または証明書に署名した認証局の証明書が VM に存在しない場合は、検証のスキップが必要になることがあります。

    curl [-k] -s 'https://HOST:443/RESOURCE_URI' \
   -H 'Host: HOST' \
   --connect-to HOST:443:FWD_RULE_IP_ADDRESS:443

    次のように置き換えます。

    • HOST: URL マップで構成されているホスト名。

    • RESOURCE_URI: 検証に使用するリソースの URI の残り。たとえば、ロードバランサがリクエストを Cloud Key Management Service のロケーション エンドポイントに転送している場合は、v1/projects/<var>PROJECT_ID</var>/locations を使用できます。

    • FWD_RULE_IP_ADDRESS: 予約済み IP アドレス リソース ADDRESS_NAME に割り振られた IP アドレス。転送ルール構成で使用されます。

オンプレミス ホストからバックエンドにアクセスする

オンプレミス ネットワークが VPC ネットワークに接続されている場合、Private Service Connect バックエンドにトラフィックを送信できます。

  • オンプレミス ネットワークは、内部アプリケーション ロードバランサと同じリージョンで Cloud VPN トンネルまたは VLAN アタッチメントを使用して、内部アプリケーション ロードバランサが含まれる VPC ネットワークに接続する必要があります。

  • オンプレミス ネットワークには、内部アプリケーション ロードバランサへの適切なルートが必要です。Cloud VPN トンネルまたは VLAN アタッチメントの BGP セッションを管理する各 Cloud Router が、内部アプリケーション ロードバランサ転送ルールで使用されるサブネットのプライマリ IP アドレス範囲をアドバタイズするように構成されていることを確認します。Cloud Router は、デフォルトでサブネット ルートをアドバタイズします。

  • 内部アプリケーション ロードバランサの URL マップのホスト名が内部アプリケーション ロードバランサの転送ルールの IP アドレスに解決されるように、オンプレミス システムを構成する必要があります。オンプレミスのネームサーバーに DNS レコードを作成するか、Cloud DNS を使用します。

    Cloud DNS が管理する限定公開マネージド ゾーンを使用して DNS レコードを作成した場合は、次の手順を行います。

    • オンプレミス ネットワークが接続する VPC ネットワークにインバウンド サーバー ポリシーを作成します。

    • オンプレミス ネットワークが接続する VPC ネットワークで、Cloud VPN トンネルと VLAN アタッチメントが配置されているリージョンのインバウンド フォワーダー エントリポイントを特定します。

    • URL マップに含まれるホスト名に対する DNS リクエストを Cloud DNS インバウンド フォワーダーのエントリ ポイントに転送するように、オンプレミス DNS ネームサーバーを構成します。

図 1. Private Service Connect、Cloud Router、オンプレミス ホストを構成することで、リージョンのバックエンドを使用して Google API やサービスに接続できます。