サービスのプライベート アクセス オプション

Virtual Private Cloud(VPC)ネットワーク内の仮想マシン(VM)インスタンスは、外部 IP アドレスなしで Google とサードパーティの API やサービスにアクセスできます。すべての Google Cloud APIs とサービスは、プライベート アクセスをサポートしています。

VPC ネットワーク内のサービスと Google の本番環境インフラストラクチャ内のサービスではアクセス方法が異なります。前者はピアリングまたは Private Service Connect を使用します。後者は、限定公開の Google アクセスまたは Private Service Connect を使用します。

以降のセクションでは、各カテゴリのプライベート アクセスのオプションについて説明します。

これらのオプションを 1 つまたはすべて構成できます。各オプションの動作はお互いに独立しています。

Google API に接続する

次の表に、Google の本番環境ネットワークのサービスに接続するオプションを示します。

オプション クライアント 接続 サポート対象のサービス
Google API の Private Service Connect エンドポイント
Google Cloud リソースまたはオンプレミス システム(外部 IP アドレスの有無は問わない)。 VPC ネットワーク内のエンドポイントに接続します。エンドポイントは、リクエストを Google API とサービスに転送します。 すべての Google Cloud APIs、他のほとんどの Google API とサービスをサポートします1
Google API 用の Private Service Connect バックエンド
Google Cloud リソースまたはオンプレミス システム(外部 IP アドレスの有無は問わない)。 VPC ネットワーク内のロードバランサに接続し、リクエストを Google API とサービスに転送します。 選択したロケーションおよびグローバル Google API とサービスをサポートします。
限定公開の Google アクセス
外部 IP アドレスのない Google Cloud リソース。 VPC ネットワークのデフォルト インターネット ゲートウェイ経由で、Google API とサービスの標準外部 IP アドレスまたは限定公開の Google アクセスのドメインと VIP に接続します。 ほとんどの Google API とサービスをサポートします1
オンプレミス ホスト用の限定公開の Google アクセス
オンプレミス ホスト(外部 IP アドレスの有無に関係なく)。 限定公開の Google アクセス固有のドメインと VIP のいずれかを使用して、Cloud VPN トンネルまたは VLAN アタッチメント経由でオンプレミス ネットワークから Google API とサービスに接続します。 アクセス可能な Google サービスは、使用している限定公開の Google アクセス固有のドメインによって異なります。

VPC ネットワーク内のサービスに接続する

次の表に、VPC ネットワーク内のサービスに接続するためのオプションを示します。

オプション クライアント 接続 サポート対象のサービス 用途
サービスへの接続
公開サービス用の Private Service Connect エンドポイント
Google Cloud VM インスタンス(外部 IP アドレスの有無に関係なく)。 エンドポイントを介して別の VPC ネットワーク内のサービスに接続します。 サービス プロデューサー用の Private Service Connect を使用して公開されたサービスをサポートします。 このオプションを使用すると、Google Cloud リソースに外部 IP アドレスを割り当てずに、別の VPC ネットワーク内のサポート対象サービスに接続します。
公開サービス用の Private Service Connect バックエンド
Google Cloud VM インスタンス(外部 IP アドレスの有無に関係なく)。 ロードバランサ経由で別の VPC ネットワーク内のサービスに接続します。 サービス プロデューサー用の Private Service Connect を使用して公開されたサービスをサポートします。 このオプションを使用すると、コンシューマー管理のロードバランサを介して別の VPC ネットワーク内のサポート対象サービスに接続できます。Google Cloud リソースに外部 IP アドレスを割り当てる必要はありません。
サービス接続ポリシー
Google Cloud VM インスタンス(外部 IP アドレスの有無に関係なく)。 エンドポイントを介して別の VPC ネットワーク内のサービスに接続します。 特定の Google サービスとサードパーティのサービスをサポートします。サービスがサービス接続ポリシーに対応しているかどうかについては、サービス プロバイダにお問い合わせください。 このオプションを使用して、マネージド サービス インスタンスをデプロイし、サービスの管理 API または UI を介して接続を構成します。サービス インスタンスは、エンドポイントを介して VPC ネットワークに接続されたプロデューサー VPC ネットワークにデプロイされます。Google Cloud リソースに外部 IP アドレスを割り当てる必要はありません。
プライベート サービス アクセス
Google Cloud VM インスタンス(外部 IP アドレスの有無に関係なく)。 VPC ネットワーク ピアリング接続を介して、Google またはサードパーティが管理する VPC ネットワークに接続します。 Google サービス2 をサポートします。また、Service Networking API を使用して使用可能なサードパーティ サービスをサポートします。 このオプションを使用すると、Google Cloud、Google またはサードパーティのリソースに外部 IP アドレスを割り振らず、特定の Google サービスやサードパーティ サービスに接続します。

サーバーレス Google サービスから VPC ネットワークに接続する

サーバーレス VPC アクセス コネクタを使用すると、Cloud Run、App Engine スタンダード環境、Cloud Run functions 環境から VPC ネットワーク内のリソースの内部 IPv4 アドレスにパケットを送信できます。サーバーレス VPC アクセスでは、選択した VPC ネットワークに接続している他のネットワークへのパケット送信もサポートされています。