プライベート サービス アクセス

Google とサードパーティ(サービス プロデューサーとも呼ばれます)は、VPC ネットワークでホストされている内部 IP アドレスでサービスを提供できます。プライベート サービス アクセスを使用すると、これらの内部 IP アドレスにアクセスできます。これは、VPC ネットワーク内の VM インスタンスに、外部 IP アドレスではなく内部 IP アドレスを使用させる場合に便利です。プライベート サービス アクセスの使用方法の詳細については、プライベート サービス アクセスの構成をご覧ください。

プライベート サービス アクセスには、まず内部 IP アドレス範囲を割り振ってプライベート接続を作成する必要があります。割り当て範囲は、ローカル VPC ネットワークでは使用できない予約済みの CIDR ブロックです。これはサービス プロデューサー用に確保されていて、VPC ネットワークとサービス プロデューサーの VPC ネットワークの重複を防ぎます。プライベート接続を作成するときは、割り当てを指定する必要があります。

プライベート接続は、VPC ネットワークをサービス プロデューサーの VPC ネットワークにリンクします。この接続により、VPC ネットワーク内の VM インスタンスは内部 IP アドレスを使用して、内部 IP アドレスを持つサービス リソースにアクセスできます。インスタンスに外部 IP アドレスを指定することもできますが、外部 IP アドレスは必須ではなく、プライベート サービス アクセスには使用されません。

1 つのサービス プロデューサーで複数のサービスを提供する場合でも、必要なプライベート接続は 1 つのみです。プライベート接続を作成するときは、Service Networking API を使用します。ただし、Google Cloud はこの接続を VPC ネットワークとサービス プロデューサーの VPC ネットワーク間の VPC ネットワーク ピアリング接続として実装します。たとえば、VPC ネットワークではこの接続はピアリング接続として表示され、プライベート接続を削除するには、ピアリング接続を削除する必要があります。

プライベート サービス アクセスは、それをサポートするサービスでのみ使用できます。プライベート接続を作成する前に、サービス プロデューサーに確認してください。

サービス プロデューサー ネットワーク

プライベート接続のサービス プロデューサー側には VPC ネットワークがあり、そこではサービス リソースがプロビジョニングされています。サービス プロデューサーのネットワークはそれぞれのお客様専用に作成され、そこにはお客様のリソースのみが含まれます。

サービス プロデューサー ネットワーク内のリソースは、VPC ネットワーク内の他のリソースと似ています。たとえば、このリソースは VPC ネットワーク内の他のリソースから内部 IP アドレスを介して到達可能です。VPC ネットワークにファイアウォール ルールを作成して、サービス プロデューサーのネットワークへのアクセスを制御することもできます。

サービス プロデューサー側の詳細については、Service Infrastructure のドキュメントのプライベート サービス アクセスの有効化をご覧ください。このドキュメントは参考情報であり、プライベート サービス アクセスを有効化または使用するために必須ではありません。

プライベート サービス アクセスとオンプレミス接続

ハイブリッド ネットワーキングのシナリオでは、Cloud VPN または Cloud Interconnect 接続を経由して、オンプレミス ネットワークを VPC ネットワークに接続します。デフォルトでは、オンプレミス ホストはプライベート サービス アクセスを使用してサービス プロデューサーのネットワークに到達することはできません。

VPC ネットワークでは、トラフィックをオンプレミス ネットワークに正しく転送するためのカスタム静的ルートまたは動的ルートがあります。ただし、サービス プロデューサーのネットワークにはこれらと同じルートが含まれていません。プライベート接続を作成すると、VPC ネットワークとサービス プロデューサー ネットワークはサブネット ルートのみを交換します。

サービス プロバイダのネットワークがルートをインポートし、オンプレミス ネットワークにトラフィックを正しく転送できるように、VPC ネットワークのカスタムルートをエクスポートする必要があります。

カスタムルートをエクスポートするには、プライベート接続を作成してから、基になる VPC ピアリング構成を変更してカスタムルートをエクスポートする必要があります。プライベート接続の作成については、プライベート サービス アクセスの構成をご覧ください。カスタムルートのエクスポートについては、ピアリング接続の更新をご覧ください。

サポート対象のサービス

プライベート サービス アクセスをサポートする Google サービスは次のとおりです。

次の例では、お客様の VPC ネットワークが Google サービスの 10.240.0.0/16 アドレス範囲を割り当て、割り当て範囲を使用するプライベート接続を確立しました。各 Google サービスは、Cloud SQL インスタンスなどの新しいリソースを所定のリージョンにプロビジョニングするために、割り当てられたブロックからサブネットを作成します。

プライベート サービス アクセス(クリックして拡大)
  • プライベート接続には 10.240.0.0/16 割り当て範囲が割り当てられます。Google サービスは、新しいリソースがプロビジョニングされるサブネットをこの割り当てから作成できます。
  • プライベート接続の Google サービス側では、Google がお客様のプロジェクトを作成します。このプロジェクトは分離されていて他のお客様と共有されることはなく、費用はお客様がプロビジョニングしたリソースに対してのみ発生します。
  • 各 Google サービスは、リソースをプロビジョニングするためのサブネットを作成します。サブネットの IP アドレス範囲は通常、/24 CIDR ブロックです。これはサービスによって選択されるもので、割り当てられた IP アドレス範囲から取得されます。サービス プロデューサーのサブネットは変更できません。サービスは、そのサービスで以前に作成された既存のリージョン サブネットに新しいリソースをプロビジョニングします。サブネットがいっぱいの場合、サービスは同じリージョンに新しいサブネットを作成します。
  • お客様のネットワーク内の VM インスタンスは、サービスがサポートしていれば、あらゆるリージョンのサービス リソースにアクセスできます。サービスによっては、リージョン間通信をサポートしていないものもあります。たとえば、VM インスタンスは、同じリージョンにある Cloud SQL インスタンスとのみ通信できます。詳細については、関連するサービスのドキュメントをご覧ください。
  • VM インスタンスが異なるリージョンのリソースと通信する場合、リージョン間トラフィックの下り(外向き)料金が引き続き適用されます。
  • Cloud SQL インスタンスには、IP アドレス 10.240.0.2 が割り当てられます。お客様の VPC ネットワークでは、宛先が 10.240.0.2 のリクエストは、プライベート接続を経由してサービス プロデューサーのネットワークへとルーティングされます。サービス ネットワークに到達すると、サービス ネットワークにはリクエストを正しいリソースに送るルートが含まれます。
  • VPC ネットワーク間のトラフィックは、公共のインターネットを経由せず、Google のネットワーク内を内部的に転送されます。

次のステップ