サービスのプライベート アクセス オプション
Virtual Private Cloud(VPC)ネットワーク内の仮想マシン(VM)インスタンスは、外部 IP アドレスなしで Google とサードパーティの API やサービスにアクセスできます。すべての Trusted Cloud API とサービスがプライベート アクセスをサポートしています。
VPC ネットワーク内のサービスと Google の本番環境インフラストラクチャ内のサービスではアクセス方法が異なります。前者はピアリングまたは Private Service Connect を使用します。後者は、プライベート Google アクセスまたは Private Service Connect を使用します。
以降のセクションでは、各カテゴリのプライベート アクセスのオプションについて説明します。
これらのオプションを 1 つまたはすべて構成できます。各オプションの動作はお互いに独立しています。
Google API に接続する
次の表に、Google の本番環境ネットワークのサービスに接続するオプションを示します。
| オプション | クライアント | 接続 | サポート対象のサービス |
|---|---|---|---|
| Google API の Private Service Connect エンドポイント | |||
| Trusted Cloud リソースまたはオンプレミス システム(外部 IP アドレスの有無は問わない)。 | VPC ネットワーク内のエンドポイントに接続します。エンドポイントは、リクエストを Google API とサービスに転送します。 | すべての Trusted Cloud API と他のほとんどの Google API およびサービスをサポートします1。 | |
| Google API 用の Private Service Connect バックエンド | |||
| Trusted Cloud リソースまたはオンプレミス システム(外部 IP アドレスの有無は問わない)。 | VPC ネットワーク内のロードバランサに接続し、リクエストを Google API とサービスに転送します。 | 選択したロケーションおよびグローバル Google API とサービスをサポートします。 | |
| プライベート Google アクセス | |||
| 外部 IP アドレスのないTrusted Cloud リソース。 | VPC ネットワークのデフォルト インターネット ゲートウェイ経由で、Google API とサービスの標準外部 IP アドレスまたはプライベート Google アクセスのドメインと VIP に接続します。 | ほとんどの Google API とサービスをサポートします1。 | |
| オンプレミス ホスト用のプライベート Google アクセス | |||
| オンプレミス ホスト(外部 IP アドレスの有無に関係なく)。 | プライベート Google アクセス固有のドメインと VIP のいずれかを使用して、Cloud VPN トンネルまたは VLAN アタッチメント経由でオンプレミス ネットワークから Google API とサービスに接続します。 | アクセス可能な Google サービスは、使用しているプライベート Google アクセス固有のドメインによって異なります。 | |
VPC ネットワーク内のサービスに接続する
次の表に、VPC ネットワーク内のサービスに接続するためのオプションを示します。
| オプション | クライアント | 接続 | サポート対象のサービス | 用途 |
|---|---|---|---|---|
| サービスへの接続 | ||||
| 公開サービス用の Private Service Connect エンドポイント | ||||
| 外部 IP アドレスの有無に関係なく、Trusted Cloud VM インスタンス。 | エンドポイントを介して別の VPC ネットワーク内のサービスに接続します。 | サービス プロデューサー用の Private Service Connect を使用して公開されたサービスをサポートします。 | このオプションを使用すると、 Trusted Cloud リソースに外部 IP アドレスを割り当てずに、別の VPC ネットワーク内のサポート対象サービスに接続します。 | |
| 公開サービス用の Private Service Connect バックエンド | ||||
| 外部 IP アドレスの有無に関係なく、Trusted Cloud VM インスタンス。 | ロードバランサ経由で別の VPC ネットワーク内のサービスに接続します。 | サービス プロデューサー用の Private Service Connect を使用して公開されたサービスをサポートします。 | このオプションを使用すると、コンシューマー管理のロードバランサを介して別の VPC ネットワーク内のサポート対象サービスに接続できます。 Trusted Cloud リソースに外部 IP アドレスを割り当てる必要はありません。 | |
| サービス接続ポリシー | ||||
| 外部 IP アドレスの有無に関係なく、Trusted Cloud VM インスタンス。 | エンドポイントを介して別の VPC ネットワーク内のサービスに接続します。 | 特定の Google サービスとサードパーティのサービスをサポートします。サービスがサービス接続ポリシーに対応しているかどうかについては、サービス プロバイダにお問い合わせください。 | このオプションを使用して、マネージド サービス インスタンスをデプロイし、サービスの管理 API または UI を介して接続を構成します。サービス インスタンスは、エンドポイントを介して VPC ネットワークに接続されたプロデューサー VPC ネットワークにデプロイされます。 Trusted Cloud リソースに外部 IP アドレスを割り当てる必要はありません。 | |
| プライベート サービス アクセス | ||||
| 外部 IP アドレスの有無に関係なく、Trusted Cloud VM インスタンス。 | VPC ネットワーク ピアリング接続を介して、Google またはサードパーティが管理する VPC ネットワークに接続します。 | Google サービス2 をサポートします。また、Service Networking API を使用して使用可能なサードパーティ サービスをサポートします。 | このオプションを使用すると、外部 IP アドレスを Trusted Cloud 、Google、サードパーティ リソースのいずれにも割り当てることなく、特定の Google サービスとサードパーティ サービスに接続できます。 | |
サーバーレス Google サービスから VPC ネットワークに接続する
ダイレクト VPC 下り(外向き)を使用すると、Cloud Run、App Engine スタンダード環境、Cloud Run functions 環境から VPC ネットワーク内のリソースの内部 IPv4 アドレスにパケットを送信できます。ダイレクト VPC 下り(外向き)を使用できない場合は、代わりにサーバーレス VPC アクセス コネクタを構成できます。どちらのオプションでも、選択した VPC ネットワークに接続している他のネットワークへのパケット送信がサポートされています。