Private Service Connect の概要

このページでは、Private Service Connect に関連するコンセプトについて説明します。Private Service Connect は次の目的に使用できます。

  • 異なるグループ、チーム、プロジェクト、組織に属する複数の Virtual Private Cloud(VPC)ネットワークから、1 つの AlloyDB for PostgreSQL インスタンスに接続する。
  • プライマリ インスタンス(またはそのいずれかのリードレプリカ)に接続するか、セカンダリ インスタンスに接続する。

Private Service Connect を使用すると、VPC ネットワークとGoogle Cloud サービス(AlloyDB など)との間に安全なプライベート接続を作成できます。

Private Service Connect ではコンシューマとプロデューサーのコンセプトが使用され、VPC ネットワークはプロデューサである Google Cloudが公開する AlloyDB サービスのコンシューマとなります。インバウンド接続については、AlloyDB インスタンスからサービス アタッチメント URL(インスタンスへの接続に使用する一意の識別子)が公開されます。AlloyDB サービスへのアクセスを許可されたプロジェクト内のネットワークでは、サービスに安全に接続するためのエンドポイントが作成されます。

アウトバウンド接続については、コンシューマ ネットワークで Private Service Connect のネットワーク アタッチメントが作成されて管理されます。AlloyDB インスタンスはこれらのネットワーク アタッチメントを使用して、移行や外部データラッパー(FDW)などのアウトバウンド オペレーション用の接続を管理します。

AlloyDB で Private Service Connect を使用する方法の詳細については、Private Service Connect を使用してインスタンスに接続するをご覧ください。

サービス アタッチメント

Private Service Connect 対応クラスタ内で AlloyDB インスタンスを作成すると、そのインスタンスに固有のサービス アタッチメントが作成されます。作成されたプライマリ インスタンス、読み取りプール インスタンス、セカンダリ インスタンスごとに、一意のサービス アタッチメント URL が生成されます。このサービス アタッチメント URL を使用して、プロジェクトやネットワーク用の Private Service Connect エンドポイントが作成されます。

ネットワーク アタッチメント

AlloyDB インスタンスからコンシューマ プロジェクトへのアウトバウンド接続を有効にするには、その VPC とプロジェクト内でネットワーク アタッチメントを作成する必要があります。リージョン リソースであるこのネットワーク アタッチメントは、接続ポイントとして機能します。作成するネットワーク アタッチメントは、ACCEPT_AUTOMATIC(接続を自動的に受け入れる)または ACCEPT_MANUAL(接続を手動で受け入れる)に設定できます。ネットワーク アタッチメントの作成の詳細については、ネットワーク アタッチメントの作成と管理をご覧ください。

Private Service Connect エンドポイント

Private Service Connect エンドポイントは、内部 IP アドレスに関連付けられた転送ルールです。このエンドポイントを作成する際は、AlloyDB インスタンスに関連付けられたサービス アタッチメントを指定します。これにより、VPC ネットワークはエンドポイントを介してインスタンスにアクセスできるようになります。

DNS 名と DNS レコード

複数のエンドポイントが 1 つのサービス アタッチメントに接続できるため、エンドポイントが属するネットワークに関係なく同じサービス アタッチメントに接続できるよう、DNS 名を使用することをおすすめします。その DNS 名を使用して、対応する VPC ネットワークのプライベート DNS ゾーンで DNS レコードを作成します。

許可される Private Service Connect プロジェクト

AlloyDB インスタンスの作成時には、VPC ネットワーク内のどのプロジェクトが AlloyDB クラスタ内の AlloyDB インスタンスにアクセスできるかを定義できます。

許可されるプロジェクトごとに、固有の Private Service Connect エンドポイントを作成します。明示的に許可されていないプロジェクトでもインスタンス用のエンドポイントを作成できますが、エンドポイントは PENDING 状態のままになります。

次のステップ