Private Service Connect

Private Service Connect を使用すると、異なるグループ、チーム、プロジェクト、組織に属する VPC ネットワーク全体でサービスをプライベートに利用できます。VPC ネットワークの内部で定義した IP アドレスを使用して、サービスを公開し、使用できます。

Private Service Connect を使用して Google API にアクセスする

デフォルトでは、Cloud Storage などの Google サービスを使用するアプリケーションは、そのサービスのデフォルトの DNS 名(storage.googleapis.com など)に接続されます。デフォルトの DNS 名の IP アドレスはルーティング可能ですが、Google Cloud リソースから送信されたトラフィックは Google のネットワーク内に残ります。

Private Service Connect を使用すると、VPC ネットワーク内のグローバル内部 IP アドレスを使用してプライベート エンドポイントを作成できます。これらの内部 IP アドレスには、storage-vialink1.p.googleapis.combigtable-adsteam.p.googleapis.com など、意味のある名前で DNS 名を割り当てることができます。これらの名前と IP アドレスは VPC ネットワークの内部用で、Cloud VPN トンネルまたは Cloud Interconnect アタッチメント(VLAN)経由で接続しているオンプレミス ネットワークでも使用できます。エンドポイントに配信されるトラフィックを制御し、トラフィックを Google Cloud 内にとどめることができます。

このオプションを選択すると、API バンドルに含まれているすべての Google API とサービスにアクセスできます。アクセスを特定の API とサービスだけに制限する必要がある場合は、Private Service Connect とコンシューマ HTTP(S) サービス コントロールを使用して、サポートされているリージョン サービス エンドポイントで使用可能な API とサービスを選択できます。

Google API にアクセスするための Private Service Connect 構成の詳細については、ユースケースをご覧ください。

図 1.Private Service Connect を使用すると、VPC ネットワーク専用の Private Service Connect エンドポイントを使用して Google API にトラフィックを送信できます。

Private Service Connect を使用してコンシューマ HTTP(S) サービス コントロールで Google API にアクセスする

内部 HTTP(S) ロードバランサを使用して、コンシューマ HTTP(S) サービス コントロールで Private Service Connect エンドポイントを作成できます。内部 HTTP(S) ロードバランサには、次の機能が用意されています。

図 2: Private Service Connect では、Private Service Connect エンドポイントを使用して、サポートされているリージョンの Google API にトラフィックを送信できます。ロードバランサを使用すると、コンシューマ HTTP(S) サービス コントロールが追加されます(クリックして拡大)。

Private Service Connect でサービスを公開して使用する

Private Service Connect を使用すると、サービス プロデューサーはサービス コンシューマに非公開でサービスを提供できます。Private Service Connect には、次の利点があります。

  • 1 つのサービス プロデューサー VPC ネットワークで複数のサービス コンシューマをサポートできます。

  • 各コンシューマは、コンシューマが定義した内部 IP アドレスに接続します。Private Service Connect は、ネットワーク アドレス変換(NAT)を行い、リクエストをサービス プロデューサーに転送します。

図 3: Private Service Connect はエンドポイントとサービス アタッチメントを使用し、サービス コンシューマがコンシューマの VPC ネットワークからサービス プロデューサーの VPC ネットワーク内のサービスにトラフィックを送信できるようにします(クリックして拡大)。

サービス コンシューマに関する主なコンセプト

Private Service Connect エンドポイントを使用すると、VPC ネットワーク外のサービスを利用できます。サービス コンシューマは、ターゲット サービスに接続する Private Service Connect エンドポイントを作成します。

エンドポイントとターゲット

ターゲット サービスには、Private Service Connect エンドポイントを使用して接続します。エンドポイントには VPC ネットワーク内の内部 IP アドレスが 1 つ割り振られています。エンドポイントは転送ルールのリソースに基づいています。

エンドポイントに送信されたトラフィックは、VPC ネットワーク外のターゲットに転送されます。

エンドポイントのタイプ サポートされているターゲット アクセス可能

Google API にアクセスするための Private Service Connect エンドポイント

グローバル内部 IP アドレス

API バンドル:
  • すべての APIall-apis): ほとんどの Google API
    private.googleapis.com と同じ)。
  • VPC-SCvpc-sc): VPC Service Controls がサポートする API
    restricted.googleapis.com と同じ)。
  • エンドポイントと同じ VPC ネットワーク内の VM(すべてのリージョン)
  • エンドポイントを含む VPC ネットワークに接続しているオンプレミス システム

コンシューマ HTTP(S) サービス コントロールで Google API にアクセスするための Private Service Connect エンドポイント

内部 HTTPS ロードバランサのリージョン内部 IP アドレス

リージョン サービス エンドポイント

このエンドポイントは、シンプルな URL マップと単一のバックエンド サービスを備えた内部 HTTP(S) ロードバランサです。ターゲットを構成するには、リージョン サービス エンドポイントを参照する Private Service Connect ネットワーク エンドポイント グループにロードバランサのバックエンド サービスを接続します。

  • エンドポイントと同じ VPC ネットワークとリージョン内の VM
  • Cloud VPN トンネルまたは Cloud Interconnect アタッチメント(VLAN)がエンドポイントと同じリージョンにある場合は、エンドポイントが存在する VPC ネットワークに接続しているオンプレミス システム

別の VPC ネットワーク内の公開サービスにアクセスする Private Service Connect エンドポイント

リージョン内部 IP アドレス

別の VPC ネットワーク内の公開サービス。このサービスは組織やサードパーティによって管理されます。

このタイプのエンドポイントのターゲットはサービス アタッチメントです。

  • エンドポイントと同じ VPC ネットワークとリージョン内の VM

サービス プロデューサーの主なコンセプト

コンシューマがサービスを利用できるようにするには、ユーザーの IP アドレスのネットワーク アドレス変換(NAT)に使用する専用のサブネットを 1 つ以上作成します。次に、これらのサブネットを参照するサービス アタッチメントを作成します。

Private Service Connect のサブネット

サービスを公開するために、サービス プロデューサーは Private Service Connect で 1 つ以上のサブネットを作成します。

コンシューマ VPC ネットワークからリクエストが送信されると、送信元 NAT(SNAT)により、コンシューマの送信元 IP アドレスが Private Service Connect のサブネットの 1 つから選択された IP アドレスに変換されます。

コンシューマの接続 IP アドレス情報を保持する場合は、コンシューマの接続情報の表示をご覧ください。

これらのサブネットは、VM インスタンスや転送ルールなどのリソースに使用できません。サブネットは、受信コンシューマ接続の SNAT に IP アドレスを提供する目的でのみ使用されます。

Private Service Connect サブネットには、63 個のコンシューマ VM ごとに少なくとも 1 つの IP アドレスが必要です。これにより、ネットワーク アドレス変換用のソースタプルが各コンシューマ VM に 1,024 個割り当てられます。

Private Service Connect サブネットの最小サイズは /24 です。

Private Service Connect サブネットの SNAT 構成には、次の内容が含まれます。

  • SNAT が実行されると、Private Service Connect サブネットの IP アドレスを使用して送信元アドレスと送信元ポートのタプルが、コンシューマ VPC ネットワークの各クライアント VM に 1,024 個割り当てられます。

  • UDP マッピングの無通信タイムアウトは 30 秒です。この値を構成することはできません。

  • TCP 確立済み接続の無通信タイムアウトは 20 分です。この値を構成することはできません。

  • TCP 一時的な接続の無通信タイムアウトは 30 秒です。この値を構成することはできません。

  • 5 タプル(Private Service Connect サブネットの送信元 IP アドレスと送信元ポート、宛先プロトコル、IP アドレス、宛先ポート)が再利用されるまでに 2 分ほどかかることがあります。

サービス アタッチメント

サービス プロデューサーは、サービス アタッチメントを介してサービスを公開します。

  • サービスを公開するために、サービス プロデューサーでは、サービスのロードバランサ転送ルールを参照するサービス アタッチメントを作成します。

  • サービス コンシューマでは、サービスにアクセスするためにサービス アタッチメントを参照するエンドポイントを作成します。

このサービス アタッチメントの URI の形式は projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME のようになります。

接続の設定

サービスの作成時に、サービスの利用方法を選択します。次の 2 つのオプションから選択できます。

  • すべてのプロジェクトの接続を自動的に受け入れる - すべてのサービス コンシューマは、エンドポイントを構成して、自動的にサービスに接続できます。

  • 選択したプロジェクトの接続を受け入れる - サービス コンシューマがサービスに接続するようにエンドポイントを構成し、サービス プロデューサーが接続リクエストを承認または拒否します。

オンプレミス アクセス

  • Google API へのアクセスに使用される Private Service Connect エンドポイントには、サポートされているオンプレミス ホストからアクセスできます。詳細については、オンプレミス ホストからの Private Service Connect の使用をご覧ください。

  • HTTP(S) サービス コントロールを使用する Private Service Connect エンドポイントには、サポートされているオンプレミス ホストからアクセスできます。詳細については、オンプレミス ホストからの Private Service Connect の使用をご覧ください。

  • プレビュー期間中、別の VPC ネットワーク内のサービスにアクセスするために使用される Private Service Connect エンドポイントで、オンプレミス ホストからのアクセスはサポートされません。

料金

Private Service Connect の料金については、VPC の料金ページをご覧ください。

割り当て

Private Service Connect エンドポイントとサービス アタッチメントに割り当てがあります。詳細については、割り当てをご覧ください。

次のステップ