オンプレミス ホスト用の限定公開の Google アクセス

オンプレミス ホストは、Cloud VPN または Cloud Interconnect を使用してオンプレミス ネットワークから Google Cloud に接続し、Google API やサービスにアクセスできます。オンプレミス ホストは、次のタイプの送信元 IP アドレスからトラフィックを送信できます。

  • プライベート IP アドレス(RFC 1918 アドレスなど)。
  • Google が所有するパブリック IP アドレスを除く非公開のパブリック IP アドレス(オンプレミス ホスト用の限定公開の Google アクセスの場合、オンプレミス ネットワークの送信元として Google のパブリック IP アドレスを再利用することはできません)。

オンプレミス ホスト用の限定公開の Google アクセスを有効にするには、オンプレミス ネットワークと VPC ネットワークで、DNS、ファイアウォール ルール、ルートを構成する必要があります。VPC ネットワーク内のサブネットに対して限定公開の Google アクセスを有効にする必要はありません。この作業は、Google Cloud VM インスタンス用の限定公開の Google アクセスで行います。

オンプレミス ホストが Google API またはサービスに接続するには、restricted.googleapis.com または private.googleapis.com のいずれかのドメインの仮想 IP アドレス(VIP)を使用する必要があります。詳しくは、限定公開の Google アクセス固有のドメインと VIPをご覧ください。

Google では、ドメインを VIP 範囲に解決する DNS A レコードを公開しています。その範囲が外部 IP アドレスであっても、Google はその範囲のルートは公開していません。したがって、Cloud Router にカスタム ルート アドバタイズを追加し、VIP の宛先用に VPC ネットワークで適切なカスタム静的ルートを設定する必要があります。

ルートには、VIP 範囲の 1 つと一致する宛先を含め、ネクストホップをデフォルト インターネット ゲートウェイにする必要があります。VIP 範囲に送信されるトラフィックは、公開のインターネットではなく Google のネットワーク内にとどまります。これは、Google がルートを外部に公開していないためです。

構成については、オンプレミス ホスト用の限定公開の Google アクセスの構成をご覧ください。

サポート対象のサービス

オンプレミス ホストで使用可能なサービスは、アクセスに使用されるドメイン名と VIP によってサポートされるサービスに限定されます。詳細については、ドメイン オプションをご覧ください。

次の例では、Cloud VPN トンネルを介して、オンプレミス ネットワークが VPC ネットワークに接続されています。オンプレミス ホストから Google API へのトラフィックは、トンネルを通って VPC ネットワークに到達します。VPC ネットワークに到達した後、トラフィックは、ネクストホップとしてデフォルト インターネット ゲートウェイを使用するルート経由で送信されます。このネクストホップにより、トラフィックは VPC ネットワークを離れて restricted.googleapis.com199.36.153.4/30)に配信されます。

ハイブリッド クラウド用の限定公開の Google アクセスのユースケース(クリックして拡大)
  • オンプレミス DNS 構成では、*.googleapis.com リクエストが restricted.googleapis.com にマッピングされ、199.36.153.4/30 に解決されます。
  • Cloud Router は、カスタムルート アドバタイズを使用して Cloud VPN トンネル経由で 199.36.153.4/30 IP アドレス範囲をアドバタイズするように構成されています。Google API に送信されるトラフィックは、このトンネル経由で VPC ネットワークにルーティングされます。
  • VPC ネットワークに追加されているカスタム静的ルートにより、宛先が 199.36.153.4/30 のトラフィックがネクストホップとしてデフォルト インターネット ゲートウェイに転送されます。これにより、Google は適切な API またはサービスにトラフィックをルーティングします。
  • 199.36.153.4/30 にマッピングされる Cloud DNS 管理の限定公開ゾーンを *.googleapis.com に作成し、そのゾーンで VPC ネットワークによる使用を承認している場合、googleapis.com ドメインに対するリクエストは、restricted.googleapis.com によって使用される IP アドレスに送信されます。この構成では、サポートされている API にのみアクセス可能であるため、他のサービスにはアクセスできなくなる可能性があります。Cloud DNS は部分的なオーバーライドをサポートしていません。部分的なオーバーライドが必要な場合は BIND を使用してください。

次のステップ