このページは Cloud Translation API によって翻訳されました。

プライベートサービスアクセス

このページでは、プライベートサービスアクセスの概要について説明します。

Google とサードパーティ（総称的にサービスプロデューサーとも呼ばれます）は、VPC ネットワークでホストされている VM で実行されるサービスである VPC ホスト型サービスを提供できます。プライベートサービスアクセスを使用すると、VPC ネットワークとサービスプロデューサーの VPC ネットワークの間にプライベート接続を作成することで、これらのサービスにアクセスできます。プライベート接続は、ネットワークとサービスプロデューサーのネットワークとの VPC ネットワークピアリング接続を確立します。

プライベートサービスアクセスのトラフィックは、公共のインターネットを経由せず、Google のネットワーク内を内部的に転送されます。VPC ネットワーク内のインスタンスは、内部 IPv4 アドレスを使用してサービスにアクセスできます。インスタンスに外部 IP アドレスを指定することもできますが、外部 IP アドレスは必須ではなく、プライベートサービスアクセスには使用されません。

サポート対象のサービス

プライベートサービスアクセスをサポートする Google VPC でホストされているサービスは次のとおりです。

AI Platform Training
AlloyDB for PostgreSQL
Apigee
Backup and DR サービス
Cloud Build
Cloud Intrusion Detection System
Cloud SQL（DNS ピアリングはサポートされていません）
Cloud TPU
Converge Enterprise Cloud with IBM Power for Google Cloud
Filestore
Google Cloud Managed Lustre
Google Cloud VMware Engine
Looker（Google Cloud コア）
Memorystore for Memcached
Memorystore for Redis
Vertex AI

プライベートサービスアクセスと VPC ネットワークピアリング

プライベート接続では、サービスプロデューサーネットワークとユーザーのネットワークが VPC ネットワークピアリングを介して接続されます。2 つのネットワーク間のルーティングが正しく機能するには、2 つのネットワークで異なる IP アドレス範囲を使用する必要があります。重複を避けるため、プライベート接続で使用する割り当て範囲を 1 つ以上ネットワークに作成します。

VPC ネットワークに範囲を割り振ると、その範囲はサブネットやカスタム静的ルートの宛先などの他のリソースには使用できません。

割り当てられた範囲の選択については、割り当てられた範囲の IP アドレス範囲を選択するをご覧ください。

プライベートサービスアクセスのワークフロー

プライベートサービスアクセスを使用すると、リソースは VPC ネットワークとサービスプロデューサーのネットワークの両方にデプロイされます。プロセスの概要は次のとおりです。

サービスユーザーは、限定公開サービスアクセスを使用してサービスインスタンスをデプロイします。詳細は、デプロイするサービスによって異なる場合があります。次の手順は、ユーザーが実行することも、サービスインスタンスのデプロイの一部としてサービスプロデューサーによって自動化することもできます。
1. VPC ネットワークに IP アドレス範囲を割り振ります。この割り振り範囲は、サービスプロデューサー専用に予約されています。
2. 作成した割り振り範囲を指定して、サービスプロデューサーへのプライベート接続を作成します。
3. 作成したプライベート接続を参照して、サービスインスタンス（Cloud SQL インスタンスなど）をプロビジョニングします。
サービスプロデューサーがサービスインスタンスのリソースをプロビジョニングします。
1. サービスプロデューサーがサービスインスタンスのプロジェクトを作成します。プロジェクトは分離されているため、他のお客様と共有されることはなく、サービスコンシューマーは自分がプロビジョニングするリソースのみに対して課金されます。
2. このプロジェクト内で、サービスプロデューサーはユーザー専用の VPC ネットワークを作成します。
3. そのネットワーク内で、サービスプロデューサーがサブネットを作成します。このサブネットの IP アドレス範囲は、指定した割り当て範囲から選択されます。サービスプロデューサーは通常、/29 から /24 の CIDR ブロックを選択します。サービスプロデューサーのサブネット IP アドレス範囲を選択または変更することはできません。
4. サービスインスタンスには、新しいサブネットから IP アドレスが割り当てられます。
プライベート接続がアクティブになります。
1. VPC ネットワークピアリング接続が確立されます。
2. VPC ネットワークは、サービスプロデューサーのネットワークからルートをインポートします。
3. ネットワーク内の VM は、サービスインスタンスの内部 IP アドレスを使用してサービスインスタンスと通信できます。トラフィックは、公共のインターネットを経由せず、Google のネットワーク内を完全に転送されます。

初期デプロイを作成した後、次の操作を行うことができます。

リソースの追加プロビジョニング: 同じサービスに追加のリソースをプロビジョニングする場合、サービスプロデューサーは、空き容量があれば既存のサブネットにリソースを配置します。サブネットがいっぱいの場合、割り当てられた範囲からそのリージョンに新しいサブネットが作成されます。
リソースの削除: サービスプロデューサーのネットワーク内のサブネットは、そのサブネット内のすべてのサービスリソースを削除した場合にのみ削除されます。リソースの削除については、関連するサービスプロデューサーのドキュメントをご覧ください。

例

次の図は、プライベート接続を使用してサービスインスタンスにアクセスする様子を示しています。

サービスコンシューマーネットワーク内のリソースは、プライベートサービスアクセスを介して Cloud SQL インスタンスにアクセスできます。 — プライベートサービスアクセス（クリックして拡大）

この例では、サービスコンシューマー VPC ネットワークが Google サービスの 10.240.0.0/16 アドレス範囲を割り振り、その範囲を使用するプライベート接続を確立しました。

プライベート接続には、10.240.0.0/16 割り当て範囲が割り当てられます。
Google は、サービスコンシューマーのリソース用にプロジェクトと VPC ネットワークを作成します。VPC ネットワークは、VPC ネットワークピアリングを使用して接続されます。
サービスプロデューサーは、IP アドレス範囲 10.240.0.0/24 を使用するサブネットを作成します。
Cloud SQL インスタンスには、IP アドレス 10.240.0.2 が割り当てられます。
サブネットが作成されると、サービスコンシューマーネットワークはサービスネットワークからルートをインポートします。
サービスコンシューマー VPC ネットワークでは、宛先が 10.240.0.2 のリクエストは、プライベート接続を経由してサービスプロデューサーのネットワークへとルーティングされます。
サービスユーザーは、europe-west1 で別の Google サービスのサービスインスタンスをデプロイします。Google はサービスプロデューサーであるため、同じプロジェクトとネットワークを使用できます。ただし、インスタンスは別のリージョンにあるため、新しいサブネットが必要です。Google は、IP アドレス範囲 10.240.10.0/24 を使用する新しいサブネットを作成し、サービスインスタンスに IP アドレス 10.240.10.2 を割り当てます。

サービスインスタンスの到達可能性

特定のマネージドサービスインスタンスへのプライベート接続を作成できるのは、1 つのサービスコンシューマー VPC ネットワークのみです。ただし、その VPC ネットワークの外部にあるリソースでプライベート接続を利用できるようにする方法があります。

他の VPC ネットワークからサービスインスタンスを利用できるようにするには、次のオプションを検討してください。
- Network Connectivity Center を介してアクセスする。
- 共有 VPC を介したアクセス。
オンプレミスネットワークなどの接続されたネットワークからサービスインスタンスを使用できるようにするには、ハイブリッド接続を介してアクセスするをご覧ください。

これらのオプションのいずれもユースケースに適合しない場合は、サービスプロデューサーが、より適切なサービスへの接続方法（Private Service Connect など）を提供している可能性があります。詳細については、サービスのドキュメントをご覧ください。

Network Connectivity Center を介してアクセスする

プライベートサービスアクセスで利用できる一部のサービスでは、Network Connectivity Center を使用してプロデューサー VPC スポークを作成することで、ハブ上の他のスポークからサービスにアクセスできるようになります。サポートされているサービスなど、詳細については、プロデューサー VPC スポークをご覧ください。

共有 VPC を介したアクセス

共有 VPC を使用している場合は、割り振られた IP 範囲とプライベート接続をホストプロジェクトに作成します。通常、ホストプロジェクトのネットワーク管理者がこれらの作業を行う必要があります。ホストプロジェクトの設定後、サービスプロジェクト内の VM インスタンスはプライベート接続を使用できます。

ハイブリッド接続を介したアクセス

ハイブリッドネットワーキングのシナリオでは、Cloud VPN または Cloud Interconnect 接続を経由して、オンプレミスネットワークを VPC ネットワークに接続します。デフォルトでは、オンプレミスホストはプライベートサービスアクセスを使用してサービスプロデューサーのネットワークに到達することはできません。

VPC ネットワークでは、トラフィックをオンプレミスネットワークに正しく転送するためのカスタム静的ルートまたは動的ルートがあります。ただし、サービスプロデューサーのネットワークにはこれらと同じルートが含まれていません。プライベート接続を作成すると、VPC ネットワークとサービスプロデューサーネットワークはサブネットルートのみを交換します。

サービスプロデューサーのネットワークには、インターネットに接続するデフォルトルート（0.0.0.0/0）があります。サービスプロデューサーのネットワークに対するデフォルトルートをエクスポートしても、このルートは無視され、サービスプロデューサーネットワークのデフォルトルートが優先されます。代わりに、より具体的な宛先を指定してカスタムルートを定義し、エクスポートしてください。

詳細については、ハイブリッド接続を構成するをご覧ください。

サービスプロデューサーネットワーク

プライベート接続のサービスプロデューサー側には VPC ネットワークがあり、そこではサービスリソースがプロビジョニングされています。サービスプロデューサーのネットワークは、それぞれのお客様専用に作成され、お客様のリソースのみが含まれます。

サービスプロデューサーネットワーク内のリソースは、VPC ネットワーク内の他のリソースと似ています。たとえば、そのリソースは、VPC ネットワーク内の他のリソースから内部 IP アドレスを介して到達可能です。VPC ネットワークにファイアウォールルールを作成して、サービスプロデューサーのネットワークへのアクセスを制御することもできます。

サービスプロデューサー側の詳細については、Service Infrastructure のドキュメントのプライベートサービスアクセスを有効にするをご覧ください。このドキュメントは参考情報であり、プライベートサービスアクセスを有効化または使用するために必須ではありません。

料金

プライベートサービスアクセスの料金については、VPC の料金ページのプライベートサービスアクセスをご覧ください。

制限事項

プライベートサービスアクセスには次の制限が適用されます。

プライベート接続は VPC ネットワークピアリング接続として実装されているため、ピアリング接続の動作と制約がプライベート接続にも適用されます。たとえば、VPC ネットワークピアリングは推移的ではないため、ピアリングされた VPC ネットワークではプライベート接続を使用できません。

詳細については、VPC ネットワークピアリング、VPC ネットワークピアリングの制限事項、割り当てと上限をご覧ください。
特定のマネージドサービスインスタンスに接続するプライベート接続を作成できるのは、1 つのサービスコンシューマー VPC ネットワークのみです。ただし、その VPC ネットワークの外部にあるリソースでプライベート接続を使用できるようにする方法はあります。詳細については、サービスインスタンスの到達可能性をご覧ください。
割り当てられた範囲に関連付けられている IP アドレス範囲は変更できません。ただし、プライベート接続に関連付けられている割り当て範囲を変更することはできます。
プライベートサービスアクセスでの IPv6 アドレス範囲の使用はサポートされていません。

次のステップ

IP アドレス範囲の割り当て、プライベート接続の作成、プライベート DNS ゾーンの共有については、プライベートサービスアクセスを構成するをご覧ください。