サービス接続ポリシーを使用してマネージドサービスインスタンスをデプロイする

このページでは、コンシューマサービス管理者がマネージドサービスのインスタンスをデプロイし、サービス接続ポリシーを使用して接続を構成する方法について説明します。

始める前に

デプロイするマネージドサービスがサービス接続ポリシーをサポートしていることを確認します。サービス接続マップを使用してサービスをデプロイできるようにする機能は、制限付きプレビューで利用できます。サービス接続マップをサポートするサービスの詳細については、サポートサービスをご覧ください。
デプロイする VPC ネットワーク、リージョン、マネージドサービスにサービス接続ポリシーが必要です。

必要なロール

VPC ネットワークに対する IAM 権限はサービス接続ポリシーで委任されるため、コンシューマサービス管理者にはこうした権限は必要ありません。ただし、サービス接続ポリシーを使用してデプロイされる特定のマネージドサービスには、IAM 権限が必要になる場合があります。特定のマネージドサービスに必要な IAM 権限については、サービスのドキュメントをご覧ください。

マネージドサービスインスタンスをデプロイして接続を構成する

サービスに対してサービス接続ポリシーが存在する場合、コンシューマサービス管理者はマネージドサービスインスタンスをデプロイし、マネージドサービスの管理 API または UI で直接接続を構成できます。

マネージドサービス接続をデプロイするには、次の操作を行います。この手順は、マネージドサービスによって異なる場合があります。

マネージドサービスの管理 API または UI で、接続タイプとして Private Service Connect を指定します。このサービスでは、Private Service Connect エンドポイントをデプロイする VPC ネットワークを指定できます。

注: この VPC ネットワーク、リージョン、サービスクラスに対して、サービス接続ポリシーが存在している必要があります。それ以外の場合、サービスクラスで記述されるサービスプロデューサーには、ユーザーに代わって接続をデプロイする権限がありません。
すべての認可チェックに合格すると、接続がデプロイされます。Network Connectivity サービスアカウントは、指定された VPC ネットワークに内部 IP アドレスと Private Service Connect エンドポイントを作成します。

エンドポイントのライフサイクルは、マネージドサービスインスタンスのライフサイクルと一致します。接続を再構成するか、サービスインスタンスを廃止しない限り、エンドポイントはアクティブで安定した状態を維持します。
Network Connectivity サービスアカウントがエンドポイントを作成すると、手順 1 で構成したプロジェクトにエンドポイントの転送ルールが表示されます。この転送ルールは、プロデューサーによって接続が受け入れられたことを示しており、エンドポイントに割り当てられた IP アドレスが含まれています。

サービス接続ポリシーを使用して作成された転送ルールの名前は sca-auto- で始まります。以下に、サービス接続ポリシーを使用して作成された転送ルールの例を示します。
```
kind: compute#forwardingRule
name: sca-auto-ab3f45d
IPAddress: 10.33.2.8
allowPscGlobalAccess: true
network: https://www.googleapis.com/compute/v1/projects/consumer-project/global/networks/vpc1
pscConnectionStatus: ACCEPTED
region: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/sca-auto-ab3f45d
serviceDirectoryRegistrations:
-namespace: goog-psc-default
target:
https://www.googleapis.com/compute/v1/projects/producer-project/regions/us-central1/serviceAttachments/producer-sa
```
新しいエンドポイントへの接続方法に関する情報がサービスから提供される場合があります。たとえば、IP アドレスが提供されます。その場合は、提供された IP アドレスを使用してサービスと通信を行います（この通信では Google Cloud 内の内部 IP アドレスが使用されます）。

特定のサービスを構成する方法については、そのサービスのドキュメントをご覧ください。

サービス接続を廃止する

サービス接続を廃止したり、サービス接続ポリシーを使用してデプロイされたマネージドサービスインスタンスを廃止するには、マネージドサービスの管理 API または UI を使用します。マネージドサービスに関連付けられている各サービスインスタンスを削除します。サービスインスタンスが削除されると、Google Cloud は関連する接続とエンドポイントを削除します。