サービスのプライベート アクセス オプション

Google では、いくつかのプライベート アクセス オプションを提供しています。これらのオプションにより、内部(RFC 1918)IP アドレスを持つ VM インスタンスが特定の API やサービスにアクセスできるようになります。アクセスする必要がある API やサービスをサポートするオプションを選択してください。

次の表に、各オプションの概要を示します。これらのオプションを 1 つまたはすべて構成できます。各オプションの動作はお互いに独立しています。

オプション インスタンス 接続 サポート対象のサービス 用途
限定公開の Google アクセス
GCP VM インスタンスは内部 IP アドレスを必要とし、外部 IP アドレスを持つことはできません。 VPC ネットワークのデフォルトのインターネット ゲートウェイ経由で Google API とサービスのパブリック IP アドレスに接続します。 ほとんどの Google API とサービスをサポート このオプションを使用すると、GCP リソースに外部 IP アドレスを設定しなくても、Google API とサービスに接続できます。
オンプレミス ホスト用の限定公開の Google アクセス
オンプレミス ホストには内部 IP アドレスが必要です。ホストが外部 IP アドレスを持つことは可能です。 制限付き IP アドレス範囲を使用し、VPN トンネルまたは相互接続を介して、Google API とサービスのパブリック IP アドレスに接続します。 制限付き Google IP アドレス範囲をサポートする Google サービス このオプションを使用すると、VPC ネットワーク経由で Google API とサービスに接続します。この方法では、オンプレミス ホストで外部 IP アドレスを使用する必要はありません。
プライベート サービス アクセス
GCP VM インスタンスには内部 IP アドレスが必要です。インスタンスが外部 IP アドレスを持つことは可能です。 VPC ネットワーク ピアリング接続を介して、Google またはサードパーティが管理する VPC ネットワークに接続します。 Google またはサードパーティの一部のサービスをサポート このオプションを使用すると、外部 IP アドレスを GCP、Google、またはサードパーティのリソースに割り当てなくても、特定の Google サービスとサードパーティ サービスに接続できます。

限定公開の Google アクセス

内部 IP アドレスしか持たない VM インスタンス(外部 IP アドレスなし)は、限定公開の Google アクセスを使用して、Google API とサービスの外部 IP アドレスにアクセスできます。限定公開の Google アクセスを無効にすると、それらの VM インスタンスは Google API とサービスにアクセスできなくなり、VPC ネットワーク内でのみトラフィックを送信できます。

限定公開の Google アクセスは外部 IP アドレスを持つインスタンスには影響しません。外部 IP アドレスを持つインスタンスは、インターネット アクセス要件に従ってインターネットにアクセスできます。Google API とサービスの外部 IP アドレスにリクエストを送信するための特別な構成は必要ありません。

サブネットごとに限定公開の Google アクセスを有効にします。これは VPC ネットワークのサブネットの設定です。限定公開の Google アクセスのサブネットを有効にして要件を表示するには、限定公開の Google アクセスの構成をご覧ください。

サポート対象のサービス

限定公開の Google アクセスでは、Cloud と Developer の API、およびほとんどの GCP サービスにアクセスできますが、以下のサービスは例外です。

  • App Engine Memcache
  • Cloud Filestore
  • Cloud Memorystore
  • Cloud SQL

プライベート サービス アクセスでは、これらの中のいくつかがサポートされる場合があります。

次の例の VPC ネットワークは、Google API とサービス用のパブリック IP アドレスへのルートを持ち、そのネクストホップがデフォルト インターネット ゲートウェイであるため、限定公開の Google アクセスのルーティング要件を満たしています。限定公開の Google アクセスは subnet-a では有効ですが、subnet-b では有効でありません。

限定公開の Google アクセスの実装(クリックで拡大)

次のリストで、上記の図の詳細について説明します。

  • VPC ネットワークのファイアウォール ルールでは、0.0.0.0/0(または少なくとも Google API とサービスのサーバー IP)への下りトラフィックが許可されています。
  • VM A1 は Google API とサービス(Cloud Storage を含む)にアクセスできます。これは、この VM 用のネットワーク インターフェースが subnet-a にあり、このサブネットで限定公開の Google アクセスが有効になっているためです。このインスタンスは内部 IP アドレスしか持っていないため、限定公開の Google アクセスが適用されます。
  • VM B1 は、Google API とサービスにアクセスできません。この VM は内部 IP アドレスしか持っていませんが、subnet-b では限定公開の Google アクセスが無効になっているためです。
  • VM A2VM B2 はそれぞれ外部 IP アドレスを持っているため、どちらも Cloud Storage を含む Google API とサービスにアクセスできます。限定公開の Google アクセスは、これらのインスタンスが Google API とサービスにアクセスできるかどうかに影響を与えません。これは、どちらも外部 IP アドレスを持っているためです。

オンプレミス ホスト用の限定公開の Google アクセス

オンプレミス ホストは、お客様のデータセンターから GCP への Cloud VPN 接続または Cloud Interconnect 接続を介して、Google API とサービスにアクセスできます。オンプレミス ホストには外部 IP アドレスは必要ありません。その代わりに、RFC 1918 の内部 IP アドレスを使用します。

オンプレミス ホスト用の限定公開の Google アクセスを有効にするには、オンプレミス ネットワークと VPC ネットワークで、DNS、ファイアウォール ルール、ルートを構成する必要があります。VPC ネットワーク内のサブネットに対して限定公開の Google アクセスを有効にする必要はありません。この作業は、GCP VM インスタンス用の限定公開の Google アクセスで行います。ただし、VPC ネットワーク内では、199.36.153.4/30 宛てのトラフィックを、デフォルト インターネット ゲートウェイにルーティングする必要があります。ネクストホップは「デフォルト インターネット ゲートウェイ」と呼ばれていますが、199.36.153.4/30 に送信されたトラフィックは、公共のインターネット上を行き来することなく、Google のネットワーク内に留まります。Google では 199.36.153.4/30 へのルートを外部に公開していないためです。

オンプレミス ホストの場合、Google API とサービスへのリクエストは、restricted.googleapis.com に送信する必要があります。これは、Google が一般公開する DNS A レコードによって提供される制限付き VIP(仮想 IP アドレス範囲)です。その範囲は 199.36.153.4/30 ですが、Google はこれらのルートを公開しません。したがって、Cloud Router 上でカスタムルートを追加し、宛先 199.36.153.4/30 を対象として VPC で適切なルートを指定する必要があります。

オンプレミス ホストからこの制限付き範囲にアクセスするには、VPN トンネルまたは相互接続を介してリクエストを送信する必要があります。この制限付き範囲を動的にアナウンスするには、Cloud Router を使用します。詳細については、オンプレミス ホスト用の限定公開の Google アクセスの構成をご覧ください。

サポート対象のサービス

オンプレミス ホスト用の限定公開の Google アクセスでサポートされるサービスは、通常の限定公開の Google アクセスでサポートされるサービスのサブセットになります。制限付き VIP をサポートする以下の Google API とサービスのみがサポートされます。

  • BigQuery
  • Cloud Bigtable
  • Cloud Dataflow
  • Cloud Dataproc
  • Cloud Data Loss Prevention
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud KMS
  • Cloud Pub/Sub
  • Cloud Spanner
  • Cloud Storage
  • Container Registry
  • Stackdriver logging
  • Stackdriver Error Reporting

次の例では、Cloud VPN トンネルを介して、オンプレミス ネットワークが VPC ネットワークに接続されています。オンプレミス ホストから Google API へのトラフィックは、トンネルを通って VPC ネットワークに到達します。VPC ネットワークに到達した後、トラフィックは、ネクストホップとしてデフォルト インターネット ゲートウェイを使用するルート経由で送信されます。このネクストホップにより、トラフィックは VPC ネットワークを離れて Google API およびサービス用の制限付き IP 範囲(199.36.153.4/30)に配信されます。

ハイブリッド クラウド用の限定公開の Google アクセスのユースケース(クリックして拡大)
  • オンプレミス DNS 構成では、*.googleapis.com リクエストは restricted.googleapis.com にマッピングされ、199.36.153.4/30 に解決されます。
  • Cloud Router は、VPN トンネルを通じて IP アドレス範囲 199.36.153.4/30 をアドバタイズします。Google API に送信されるトラフィックは、このトンネル経由で VPC ネットワークにルーティングされます。
  • VPC ネットワークには、宛先が 199.36.153.4/30 であるトラフィックを(ネクストホップである)デフォルト インターネット ゲートウェイに振り向けるルートが含まれています。これにより、Google は適切な API またはサービスにトラフィックをルーティングします。
  • Cloud DNS を使用してネットワーク内にプライベート DNS ゾーンを構成している場合、Google API へのすべてのリクエストは制限付き範囲にマッピングされます。この構成では、サポートされている API にのみアクセス可能であるため、他のサービスにはアクセスできなくなる可能性があります。Cloud DNS は部分的なオーバーライドをサポートしていません。部分的なオーバーライドが必要な場合は BIND を使用してください。

プライベート サービス アクセス

Google とサードパーティ(サービス プロデューサーとも呼ばれます)は、VPC ネットワークでホストされている内部 IP アドレスでサービスを提供できます。これらのプライベート サービスにはプライベート接続を介して接続します。VM インスタンスはプライベート接続を使用して、サービスの内部 IP アドレスに接続します。プライベート サービス アクセスを使用するには、インスタンスに内部 IP アドレスが必要です。インスタンスに外部 IP アドレスを指定することもできますが、外部 IP アドレスは必須ではなく、プライベート サービス アクセスには使用されません。

プライベート接続は、VPC ネットワークとサービス プロデューサーの VPC ネットワーク間の VPC ネットワーク ピアリング接続として実装されます。サービス プロデューサーのネットワークは個人用に作成され、他のお客様とは共有されません。VPC ネットワーク ピアリング接続の動作と制約は、プライベート接続にも適用されます。

プライベート サービス アクセスには、まず内部 IP アドレス範囲を割り当ててプライベート接続を作成する必要があります。割り当て範囲は、ローカル VPC ネットワークでは使用できません。これはサービス プロデューサー用に確保されていて、VPC ネットワークとサービス プロデューサーの VPC ネットワークの重複を防ぎます。プライベート接続を作成するときは、割り当てを指定する必要があります。

プライベート サービス アクセスは、それをサポートするサービスでのみ使用できます。プライベート接続を作成する前に、サービス プロデューサーに確認してください。範囲の割り当てとプライベート接続の作成の詳細については、プライベート サービス アクセスの構成をご覧ください。

サポート対象のサービス

プライベート サービス アクセスをサポートする Google サービスは次のとおりです。

次の例では、お客様の VPC ネットワークが Google サービスの 10.240.0.0/16 アドレス範囲を割り当て、割り当て範囲を使用するプライベート接続を確立しました。各 Google サービスは、Cloud SQL インスタンスなどの新しいリソースをプロビジョニングするために、割り当てられたブロックからサブネットを作成します。

プライベート サービス アクセス(クリックして拡大)
  • プライベート接続には 10.240.0.0/16 割り当て範囲が割り当てられます。Google サービスは、この割り当てからリソースをプロビジョニングするためのサブネットを作成できます。
  • プライベート接続の Google サービス側では、Google がお客様のプロジェクトを作成します。このプロジェクトは分離されていて他のお客様と共有されることはなく、費用はお客様がプロビジョニングしたリソースに対してのみ発生します。
  • 各 Google サービスは、リソースをプロビジョニングするためのサブネットを作成します。サブネットの IP アドレス範囲はサービスによって選択されますが、必ず割り当てられた IP アドレス範囲から取得されます。
  • あるリージョンの VM インスタンスは、どのリージョンのリソースにもアクセスできます。ただし、サービスによっては、リージョン間通信をサポートしていないものもあります。たとえば、VM インスタンスは、同じリージョンにある Cloud SQL インスタンスとのみ通信できます。詳細については、関連するサービスのドキュメントをご覧ください。
  • VM インスタンスが異なるリージョンのリソースと通信する場合、リージョン間トラフィックの下りのコストが引き続き適用されます。
  • Cloud SQL インスタンスには、IP アドレス 10.240.0.2 が割り当てられます。お客様の VPC ネットワークでは、宛先が 10.240.0.2 のリクエストは Google サービスの VPC ネットワークにルーティングされます。サービス ネットワークに到着した後、リクエストは正しいリソースにルーティングされます。トラフィックは公共のインターネットを通らず、Google のネットワーク内を通ります。

次のステップ

このページは役立ちましたか?評価をお願いいたします。