Private Service Connect バックエンドについて
Google API と公開サービスにアクセスするには、Private Service Connect エンドポイント(転送ルールに基づく)または Private Service Connect バックエンド(ロードバランサに基づく)を作成します。このガイドでは、Private Service Connect バックエンドについて説明します。
Private Service Connect バックエンドは、Private Service Connect ネットワーク エンドポイント グループ(NEG)バックエンドで構成されたロードバランサを使用します。この構成は、以前はコンシューマ HTTP(S) サービス コントロールを使用する Private Service Connect エンドポイントと呼ばれていました。
コンシューマ マネージド ロードバランサを介して API やサービスにアクセスすると、いくつかのメリットがあります。ロードバランサは、セキュリティ ポリシーまたはルーティング ポリシーが適用される、一元化されたポリシー適用ポイントとして機能します。公開サービスでは提供されない可能性のある指標とロギングを一元管理できるため、コンシューマが独自のルーティングとフェイルオーバーを制御できるようになります。
図 1 は、Private Service Connect NEG が公開サービスに接続されているロードバランサを示しています。クライアント トラフィックがロードバランサに送信されて処理され、別の VPC ネットワークで実行されている公開サービスにマッピングされた Private Service Connect バックエンドにルーティングされます。
図 1.グローバル外部アプリケーション ロードバランサを使用すると、インターネットにアクセスできるサービス ユーザーは、サービス プロデューサーの VPC ネットワーク内のサービスにトラフィックを送信できます(クリックして拡大)。
デプロイの概要
Private Service Connect バックエンド経由で API とサービスにアクセスする方法は次のとおりです。
接続する API またはサービスを特定します。
Google API の場合: ロケーション サービス エンドポイントを選択します。
公開サービスの場合: サービス プロデューサーにサービス アタッチメント URI を確認します。
公開サービスにトラフィックを送信するロードバランサをデプロイします。インターネット クライアントや内部クライアントがあるかどうか、リージョン分離が必要かどうかなどの要件に合わせてロードバランサを選択します。既存のロードバランサを再利用することもできます。
Private Service Connect NEG をデプロイし、ロードバランサのバックエンド サービスに追加します。公開サービスを参照する Private Service Connect NEG を作成します。この NEG をロードバランサのバックエンド サービスに追加して、ロードバランサがトラフィックを送信できるようにします。
サポートされているロードバランサとターゲット
バックエンドを使用して、公開サービスまたはサポートされている Google API にアクセスできます。
Private Service Connect バックエンドを追加するロードバランサの詳細については、ロード バランシングのドキュメントをご覧ください。
- グローバル外部アプリケーション ロードバランサとリージョン外部アプリケーション ロードバランサについては、外部アプリケーション ロードバランサの概要をご覧ください。
- 内部アプリケーション ロードバランサとクロスリージョン内部アプリケーション ロードバランサについては、内部アプリケーション ロードバランサの概要をご覧ください。
- リージョン内部プロキシ ネットワーク ロードバランサの詳細については、リージョン内部プロキシ ネットワーク ロードバランサの概要をご覧ください。
- リージョン外部プロキシ ネットワーク ロードバランサの詳細については、リージョン外部プロキシ ネットワーク ロードバランサの概要をご覧ください。
- グローバル外部プロキシ ネットワーク ロードバランサの詳細については、外部プロキシ ネットワーク ロードバランサの概要をご覧ください。
公開サービスのターゲット
公開サービス用の Private Service Connect バックエンドには、コンシューマー ロードバランサとプロデューサー ロードバランサという 2 つのロードバランサが必要です。次の表に、コンシューマー ロードバランサとプロデューサー ロードバランサの互換性を示します。また、コンシューマー ロードバランサと互換性のあるバックエンド サービス プロトコルについても説明します。各行はコンシューマー ロードバランサのタイプを表し、各列はプロデューサー ロードバランサのタイプを表します。
次の表で、 は機能がサポートされていることを示し、 は機能がサポートされていないことを示します。
| コンシューマー ロードバランサとサポートされているコンシューマー バックエンド サービス プロトコル | プロデューサー ロードバランサ | ||
|---|---|---|---|
| 内部パススルー ネットワーク ロードバランサ | リージョン内部アプリケーション ロードバランサ | リージョン内部プロキシ ネットワーク ロードバランサ | |
|
グローバル外部アプリケーション ロードバランサ(複数のリージョンをサポート) プロトコル: HTTPS、HTTP2 注: 従来のアプリケーション ロードバランサはサポートされていません。 |
|||
|
プロトコル: HTTP、HTTPS、HTTP2 |
|||
|
プロトコル: HTTP、HTTPS、HTTP2 |
|||
|
クロスリージョン内部アプリケーション ロードバランサ(プレビュー) プロトコル: HTTPS、HTTP2 |
|||
|
プロトコル: TCP |
|||
|
プロトコル: TCP |
|||
|
プロトコル: TCP |
|||
|
グローバル外部プロキシ ネットワーク ロードバランサ(プレビュー) プロトコル: TCP / SSL 注: 従来のプロキシ ネットワーク ロードバランサはサポートされていません。 |
|||
次の表に、Private Service Connect バックエンドでサポートされているプロデューサー ロードバランサの構成を示します。
| 構成 | プロデューサー ロードバランサ | ||
|---|---|---|---|
| 内部パススルー ネットワーク ロードバランサ | リージョン内部アプリケーション ロードバランサ | リージョン内部プロキシ ネットワーク ロードバランサ | |
| サポートされるプロデューサー バックエンド |
|
|
|
| 転送ルール プロトコル |
|
|
|
| 転送ルールのポート | 転送ルールは 1 つのポートを参照する必要があります。 | 転送ルールは 1 つのポートを参照する必要があります。 | 転送ルールは 1 つのポートを参照する必要があります。 |
| PROXY プロトコル | |||
グローバル外部アプリケーション ロードバランサを使用するバックエンド構成の例については、バックエンド経由で公開サービスにアクセスするをご覧ください。
ロケーション Google API ターゲット
次の表では、Private Service Connect バックエンドを使用してリージョン Google API にアクセスできるロードバランサについて説明します。
内部アプリケーション ロードバランサを使用する構成例については、バックエンド経由で Google API にアクセスするをご覧ください。
| 構成 | 詳細 |
|---|---|
| コンシューマの構成(Private Service Connect バックエンド) | |
| サポートされているコンシューマー ロードバランサ |
|
| プロデューサー | |
| サポート対象のサービス | サポートされているロケーション Google API |
グローバル Google API ターゲット
次の表に、Private Service Connect バックエンドを使用してグローバル Google API にアクセスできるロードバランサを示します。
| 構成 | 詳細 |
|---|---|
| コンシューマの構成(Private Service Connect バックエンド) | |
| サポートされているコンシューマー ロードバランサ |
グローバル外部アプリケーション ロードバランサ 注: 従来のアプリケーション ロードバランサはサポートされていません。 |
| プロデューサー | |
| サポート対象のサービス |
|
接続ステータス
Private Service Connect エンドポイント、バックエンド、サービス アタッチメントには、接続の状態を示す接続ステータスがあります。 接続の両側を形成するコンシューマー リソースとプロデューサー リソースは常に同じステータスになります。 接続ステータスは、エンドポイントの詳細を表示する、バックエンドの説明を取得する、または公開サービスの詳細を表示することで確認できます。
次の表に、ステータスの説明を示します。
| 接続ステータス | 説明 |
|---|---|
| 承認 | Private Service Connect 接続が確立されています。2 つの VPC ネットワークが接続し、接続が正常に機能しています。 |
| 保留中 | Private Service Connect 接続が確立されていないため、ネットワーク トラフィックが 2 つのネットワーク間を移動できません。接続がこのステータスになる理由は次のとおりです。 これらの理由でブロックされた接続は、根本的な問題が解決されるまで無期限に保留状態のままになります。 |
| 拒否 | Private Service Connect 接続が確立されていません。ネットワーク トラフィックを 2 つのネットワーク間で移動することはできません。接続がこのステータスになる理由は次のとおりです。
|
| 要確認 | 接続のプロデューサー側に問題があります。一部のトラフィックは 2 つのネットワーク間を流れますが、一部の接続は機能しない可能性があります。たとえば、プロデューサーの NAT サブネットが使い果たされ、新しい接続に IP アドレスを割り振ることができない場合があります。 |
| 終了 | サービス アタッチメントが削除され、Private Service Connect 接続が閉じています。ネットワーク トラフィックを 2 つのネットワーク間で移動することはできません。 閉じた接続は終端状態です。接続を復元するには、サービス アタッチメントだけでなく、エンドポイントまたはバックエンドも再作成する必要があります。 |
仕様
すべての Private Service Connect バックエンドの仕様は次のとおりです。
- Private Service Connect NEG をバックエンドとして使用できるのは、サポートされているロードバランサのみです。
- Private Service Connect NEG を、同じバックエンド サービス内の他の NEG タイプと混在させることはできません。ただし、自己ホスト型アプリケーションとマネージド サービスは、別々のバックエンド サービスの一部である限り、同じロードバランサのバックエンドにすることができます。
- Private Service Connect NEG を使用するバックエンド サービスは、ヘルスチェックをサポートしていません。Private Service Connect に使用されるバックエンド サービスでは、ヘルスチェック リソースが構成されていません。
- Private Service Connect NEG がサービス アタッチメントを参照する場合、サービス アタッチメントは NEG およびロードバランサとは異なる VPC ネットワークに存在する必要があります。
グローバル バックエンド サービスで使用される Private Service Connect バックエンドには、追加の仕様があります。
- 複数の Private Service Connect NEG は、異なるリージョンから送信されていれば、同じバックエンド サービスに含めることができます。同じリージョンから同じバックエンド サービスに複数の Private Service Connect NEG を追加することはできません。
- Private Service Connect NEG には外れ値検出が自動的に構成されます。外れ値検出を使用すると、ロードバランサは公開サービスのレスポンスの失敗を検出し、残りの正常なリージョンにフェイルオーバーできます。独自の外れ値検出構成をバックエンド サービスに適用すると、デフォルトの外れ値検出ポリシーをオーバーライドできます。
料金
料金については、VPC の料金ページの次のセクションをご覧ください。