Private Service Connect バックエンドについて

Google API と公開サービスにアクセスするには、Private Service Connect エンドポイント(転送ルールに基づく)または Private Service Connect バックエンド(ロードバランサに基づく)を作成します。このガイドでは、Private Service Connect バックエンドについて説明します。

Private Service Connect バックエンドは、Private Service Connect ネットワーク エンドポイント グループ(NEG)バックエンドで構成されたロードバランサを使用します。この構成は、以前はコンシューマ HTTP(S) サービス コントロールを使用する Private Service Connect エンドポイントと呼ばれていました。

コンシューマ マネージド ロードバランサを介して API やサービスにアクセスすると、いくつかのメリットがあります。ロードバランサは、セキュリティ ポリシーまたはルーティング ポリシーが適用される、一元化されたポリシー適用ポイントとして機能します。公開サービスでは提供されない可能性のある指標とロギングを一元管理できるため、コンシューマが独自のルーティングとフェイルオーバーを制御できるようになります。

図 1 は、Private Service Connect NEG が公開サービスに接続されているロードバランサを示しています。クライアント トラフィックがロードバランサに送信されて処理され、別の VPC ネットワークで実行されている公開サービスにマッピングされた Private Service Connect バックエンドにルーティングされます。

図 1.グローバル外部アプリケーション ロードバランサを使用すると、インターネットにアクセスできるサービス ユーザーは、サービス プロデューサーの VPC ネットワーク内のサービスにトラフィックを送信できます(クリックして拡大)。

デプロイの概要

Private Service Connect バックエンド経由で API とサービスにアクセスする方法は次のとおりです。

  1. 接続する API またはサービスを特定します。

    Google API の場合: リージョン サービス エンドポイントを選択します。

    公開サービスの場合: サービス プロデューサーにサービス アタッチメント URI を確認します。

  2. 公開サービスにトラフィックを送信するロードバランサをデプロイします。インターネット クライアントや内部クライアントがあるかどうか、リージョン分離が必要かどうかなどの要件に合わせてロードバランサを選択します。既存のロードバランサを再利用することもできます。

  3. Private Service Connect NEG をデプロイし、ロードバランサのバックエンド サービスに追加します。公開サービスを参照する Private Service Connect NEG を作成します。この NEG をロードバランサのバックエンド サービスに追加して、ロードバランサがトラフィックを送信できるようにします。

サポートされているロードバランサとターゲット

バックエンドを使用して、公開サービスまたはサポートされている Google API にアクセスできます。

Private Service Connect バックエンドを追加するロードバランサの詳細については、ロード バランシングのドキュメントをご覧ください。

公開サービスのターゲット

公開サービス用の Private Service Connect バックエンドには、コンシューマー ロードバランサとプロデューサー ロードバランサという 2 つのロードバランサが必要です。

コンシューマーの構成

次の表に、公開サービス用の Private Service Connect バックエンドでサポートされているコンシューマー ロードバランサを示します。各コンシューマー ロードバランサで使用できるバックエンド サービス プロトコルも示します。コンシューマー ロードバランサは、サポートされているプロデューサー ロードバランサでホストされている公開サービスにアクセスできます。

コンシューマー ロードバランサ プロトコル IP バージョン

グローバル外部アプリケーション ロードバランサ複数のリージョンをサポート)

注: 従来のアプリケーション ロードバランサはサポートされていません。

  • HTTP
  • HTTPS
  • HTTP2
IPv4

リージョン外部アプリケーション ロードバランサ

  • HTTP
  • HTTPS
  • HTTP2
IPv4

リージョン内部アプリケーション ロードバランサ

  • HTTP
  • HTTPS
  • HTTP2
IPv4

クロスリージョン内部アプリケーション ロードバランサ

  • HTTP
  • HTTPS
  • HTTP2
IPv4

リージョン内部プロキシ ネットワーク ロードバランサ

  • TCP
IPv4

クロスリージョン内部プロキシ ネットワーク ロードバランサ

  • TCP
IPv4

リージョン外部プロキシ ネットワーク ロードバランサ

  • TCP
IPv4

グローバル外部プロキシ ネットワーク ロードバランサ

このロードバランサを Private Service Connect NEG に関連付けるには、Google Cloud CLI を使用するか、API リクエストを送信します。

注: 従来のプロキシ ネットワーク ロードバランサはサポートされていません。

  • TCP / SSL
IPv4

プロデューサーの構成

次の表に、公開サービス用の Private Service Connect バックエンドでサポートされるプロデューサー ロードバランサの構成を示します。

構成 プロデューサー ロードバランサ
内部パススルー ネットワーク ロードバランサ リージョン内部アプリケーション ロードバランサ リージョン内部プロキシ ネットワーク ロードバランサ
サポートされるプロデューサー バックエンド
  • GCE_VM_IP NEG
  • インスタンス グループ
  • GCE_VM_IP_PORT NEG
  • ハイブリッド NEG
  • サーバーレス NEG
  • Private Service Connect NEG
  • インスタンス グループ
  • GCE_VM_IP_PORT NEG
  • ハイブリッド NEG
  • サーバーレス NEG
  • Private Service Connect NEG
  • インスタンス グループ
転送ルール プロトコル
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
転送ルールのポート 単一ポートを使用することをおすすめします。プロデューサー ポートの構成をご覧ください。 単一のポートをサポート 単一のポートをサポート
PROXY プロトコル
IP バージョン IPv4 IPv4 IPv4

グローバル外部アプリケーション ロードバランサを使用するバックエンド構成の例については、バックエンド経由で公開サービスにアクセスするをご覧ください。

リージョン Google API ターゲット

次の表では、Private Service Connect バックエンドを使用してリージョン Google API にアクセスできるロードバランサについて説明します。

内部アプリケーション ロードバランサを使用する構成例については、バックエンド経由で Google API にアクセスするをご覧ください。

構成 詳細
コンシューマの構成(Private Service Connect バックエンド)
サポートされているコンシューマー ロードバランサ
  • 内部アプリケーション ロードバランサ

    プロトコル: HTTPS

  • リージョン外部アプリケーション ロードバランサ

    プロトコル: HTTPS

IP バージョン IPv4
プロデューサー
サポート対象のサービス サポートされているリージョンの Google API

グローバル Google API ターゲット

次の表に、Private Service Connect バックエンドを使用してグローバル Google API にアクセスできるロードバランサを示します。

構成 詳細
コンシューマの構成(Private Service Connect バックエンド)
サポートされているコンシューマー ロードバランサ
  • グローバル外部アプリケーション ロードバランサ

    注: 従来のアプリケーション ロードバランサはサポートされていません。

  • クロスリージョン内部アプリケーション ロードバランサ

IP バージョン IPv4
プロデューサー
サポート対象のサービス

接続ステータス

Private Service Connect エンドポイント、バックエンド、サービス アタッチメントには、接続の状態を示す接続ステータスがあります。 接続の両側を形成するコンシューマー リソースとプロデューサー リソースは常に同じステータスになります。 接続ステータスは、エンドポイントの詳細を表示するバックエンドの説明をする、または公開サービスの詳細を表示することで表示できます。

次の表に、ステータスの説明を示します。

接続ステータス 説明
承認 Private Service Connect 接続が確立されています。2 つの VPC ネットワークが接続し、接続が正常に機能しています。
保留中

Private Service Connect 接続が確立されていないため、ネットワーク トラフィックが 2 つのネットワーク間を移動できません。接続がこのステータスになる理由は次のとおりです。

  • サービス アタッチメントは明示的な承認を必要としますが、コンシューマーがコンシューマーの承認リストに含まれていません。
  • 接続数がサービス アタッチメントの接続上限を超えています。
  • エンドポイントに関連付けられている伝播接続の数は、サービス アタッチメントの伝播接続の上限を超えています。

これらの理由でブロックされた接続は、根本的な問題が解決されるまで無期限に保留状態のままになります。

拒否

Private Service Connect 接続が確立されていません。ネットワーク トラフィックを 2 つのネットワーク間で移動することはできません。接続がこのステータスになる理由は次のとおりです。

要確認 接続のプロデューサー側に問題があります。一部のトラフィックは 2 つのネットワーク間を流れますが、一部の接続は機能しない可能性があります。たとえば、プロデューサーの NAT サブネットが使い果たされ、新しい接続に IP アドレスを割り振ることができない場合があります。
終了

サービス アタッチメントが削除され、Private Service Connect 接続が閉じています。ネットワーク トラフィックを 2 つのネットワーク間で移動することはできません。

閉じた接続は終端状態です。接続を復元するには、サービス アタッチメントだけでなく、エンドポイントまたはバックエンドも再作成する必要があります。

仕様

すべての Private Service Connect バックエンドの仕様は次のとおりです。

  • Private Service Connect NEG をバックエンドとして使用できるのは、サポートされているロードバランサのみです。
  • Private Service Connect NEG を、同じバックエンド サービス内の他の NEG タイプと混在させることはできません。ただし、自己ホスト型アプリケーションとマネージド サービスは、別々のバックエンド サービスの一部である限り、同じロードバランサのバックエンドにすることができます。
  • Private Service Connect NEG を使用するバックエンド サービスは、ヘルスチェックをサポートしていません。Private Service Connect に使用されるバックエンド サービスでは、ヘルスチェック リソースが構成されていません。
  • Private Service Connect NEG を使用するバックエンド サービスは、セッション アフィニティをサポートしていません。
  • Private Service Connect NEG がサービス アタッチメントを参照する場合、サービス アタッチメントは NEG およびロードバランサとは異なる VPC ネットワークに存在する必要があります。
  • Private Service Connect NEG は、ポート マッピング サービス用に構成されたサービス アタッチメントを参照できません。

グローバル バックエンド サービスで使用される Private Service Connect バックエンドには、追加の仕様があります。

  • 複数の Private Service Connect NEG は、異なるリージョンから送信されていれば、同じバックエンド サービスに含めることができます。同じリージョンから同じバックエンド サービスに複数の Private Service Connect NEG を追加することはできません。
  • Private Service Connect NEG には外れ値検出が自動的に構成されます。外れ値検出を使用すると、ロードバランサは公開サービスのレスポンスの失敗を検出し、残りの正常なリージョンにフェイルオーバーできます。独自の外れ値検出構成をバックエンド サービスに適用すると、デフォルトの外れ値検出ポリシーをオーバーライドできます。

料金

料金については、VPC の料金ページの次のセクションをご覧ください。

次のステップ