サービスのプライベート アクセス オプション
このドキュメントでは、Google とサードパーティの API およびサービスへのプライベート接続のさまざまなオプションの概要について説明します。デフォルトでは、外部 IP アドレスを持たない仮想マシン(VM)は、Google API やサービスなど、VPC ネットワーク外のどのリソースにもアクセスできません。Google Cloud には、VM の内部 IP アドレスを介してサービスにプライベート接続を提供するオプションがいくつか用意されています。すべての Google Cloud API とサービスは、次のプライベート アクセス オプションの少なくとも 1 つをサポートしています。
- Private Service Connect
- プライベート Google アクセス
- プライベート サービス アクセス
- VPC ネットワーク ピアリング
これらのオプションは相互に独立して動作するため、これらのオプションを 1 つまたは複数構成できます。
Google Cloud サービスのタイプ
Google Cloud には次の 2 つのタイプのサービスがあります。
Google の本番環境インフラストラクチャで実行される Google API とサービス。サービスの例としては、次のようなものがあります。
- Gmail、Google ドキュメント、Google マップなどのウェブ アプリケーション。
*.googleapis.comAPI サービス エンドポイントを持つものを含む Google API。*.appspot.com、*.run.app、*.cloudfunctions.netの URL から提供されるサーバーレス リソース。*.gstatic.comURL から提供されるファイル。
Google の本番環境インフラストラクチャのサービスは、Private Service Connect、プライベート Google アクセス、またはその両方を介してプライベート接続を提供することがあります。
VPC ネットワーク内の Compute Engine VM で実行される VPC でホストされているサービス。VPC でホストされているサービスは、Google またはサードパーティのサービス プロデューサーによって管理できます。サービスの例としては、次のようなものがあります。
- Cloud SQL
- Filestore
- Memorystore for Redis
VPC でホストされているサービスは、Private Service Connect、プライベート サービス アクセス、VPC ネットワーク ピアリング、またはこれらのオプションの組み合わせを介してプライベート接続を提供ることがあります。
また、サーバーレス サービスがある場合は、サービスから VPC ネットワークに接続できます。
Google API に接続する
次の表に、Google の本番環境インフラストラクチャでホストされている Google API とサービスに接続するためのプライベート アクセス オプションを示します。
| オプション | クライアント | 接続 | サポート対象のサービス |
|---|---|---|---|
| Google API の Private Service Connect エンドポイント | |||
| Google Cloud リソースまたはオンプレミス システム(外部 IP アドレスの有無は問わない)。 | VPC ネットワーク内のエンドポイントに接続します。エンドポイントは、リクエストを Google API とサービスに転送します。 | すべての Google Cloud API と他のほとんどの Google API およびサービスをサポートします1。 | |
| Google API 用の Private Service Connect バックエンド | |||
| Google Cloud リソースまたはオンプレミス システム(外部 IP アドレスの有無は問わない)。 | VPC ネットワーク内のロードバランサに接続し、リクエストを Google API とサービスに転送します。 | 選択したロケーションおよびグローバル Google API とサービスをサポートします。 | |
| プライベート Google アクセス | |||
| 外部 IP アドレスのないGoogle Cloud リソース。 | VPC ネットワークのデフォルト インターネット ゲートウェイ経由で、Google API とサービスの標準外部 IP アドレスまたはプライベート Google アクセスのドメインと VIP に接続します。 | ほとんどの Google API とサービスをサポートします1。 | |
| オンプレミス ホスト用のプライベート Google アクセス | |||
| オンプレミス ホスト(外部 IP アドレスの有無に関係なく)。 | プライベート Google アクセス固有のドメインと VIP のいずれかを使用して、Cloud VPN トンネルまたは VLAN アタッチメント経由でオンプレミス ネットワークから Google API とサービスに接続します。 | アクセス可能な Google サービスは、使用しているプライベート Google アクセス固有のドメインによって異なります。 | |
VPC ネットワーク内のサービスに接続する
次の表に、VPC でホストされているサービスに接続するためのプライベート アクセス オプションを示します。
| オプション | クライアント | 接続 | サポート対象のサービス | 用途 |
|---|---|---|---|---|
| サービスへの接続 | ||||
| 公開サービス用の Private Service Connect エンドポイント | ||||
| 外部 IP アドレスの有無に関係なく、Google Cloud VM インスタンス。 | エンドポイントを介して別の VPC ネットワーク内のサービスに接続します。 | サービス プロデューサー用の Private Service Connect を使用して公開されたサービスをサポートします。 | このオプションを使用すると、 Google Cloud リソースに外部 IP アドレスを割り当てずに、別の VPC ネットワーク内のサポート対象サービスに接続します。 | |
| 公開サービス用の Private Service Connect バックエンド | ||||
| 外部 IP アドレスの有無に関係なく、Google Cloud VM インスタンス。 | ロードバランサ経由で別の VPC ネットワーク内のサービスに接続します。 | サービス プロデューサー用の Private Service Connect を使用して公開されたサービスをサポートします。 | このオプションを使用すると、コンシューマー管理のロードバランサを介して別の VPC ネットワーク内のサポート対象サービスに接続できます。 Google Cloud リソースに外部 IP アドレスを割り当てる必要はありません。 | |
| サービス接続ポリシー | ||||
| 外部 IP アドレスの有無に関係なく、Google Cloud VM インスタンス。 | エンドポイントを介して別の VPC ネットワーク内のサービスに接続します。 | 特定の Google サービスとサードパーティのサービスをサポートします。サービスがサービス接続ポリシーに対応しているかどうかについては、サービス プロバイダにお問い合わせください。 | このオプションを使用して、マネージド サービス インスタンスをデプロイし、サービスの管理 API または UI を介して接続を構成します。サービス インスタンスは、エンドポイントを介して VPC ネットワークに接続されたプロデューサー VPC ネットワークにデプロイされます。 Google Cloud リソースに外部 IP アドレスを割り当てる必要はありません。 | |
| プライベート サービス アクセス | ||||
| 外部 IP アドレスの有無に関係なく、Google Cloud VM インスタンス。 | VPC ネットワーク ピアリング接続を介して、Google またはサードパーティが管理する VPC ネットワークに接続します。 | Google サービス2 をサポートします。また、Service Networking API を使用して使用可能なサードパーティ サービスをサポートします。 | このオプションを使用すると、外部 IP アドレスを Google Cloud 、Google、サードパーティ リソースのいずれにも割り当てることなく、特定の Google サービスとサードパーティ サービスに接続できます。 | |
サーバーレス Google サービスから VPC ネットワークに接続する
ダイレクト VPC 下り(外向き)を使用すると、Cloud Run、App Engine スタンダード環境、Cloud Run functions 環境から VPC ネットワーク内のリソースの内部 IPv4 アドレスにパケットを送信できます。ダイレクト VPC 下り(外向き)を使用できない場合は、代わりにサーバーレス VPC アクセス コネクタを構成できます。どちらのオプションでも、選択した VPC ネットワークに接続している他のネットワークへのパケット送信がサポートされています。