このページでは、プライベート IP アドレスを使用して AlloyDB for PostgreSQL インスタンスに接続する方法の概要について説明します。
プライベート IP アドレスを使用すると、保護されたネットワーク内にデータ トラフィックを留めて、傍受のリスクを最小限に抑えることができます。リソースの内部 IP アドレスはネットワーク内にあり、インターネットからアクセスできないため、AlloyDB インスタンスへのアクセス範囲と潜在的な攻撃対象領域の両方を効果的に制限できます。
プライベート IP による接続
プライベート IP を使用して AlloyDB インスタンスにアクセスするには、プライベート サービス アクセスまたは Private Service Connect を選択します。各接続方法にはそれぞれ異なる利点とトレードオフがあるため、このドキュメントの情報を使用して、特定の要件に最適なアプローチを選択してください。
プライベート サービス アクセス
プライベート サービス アクセスは、お客様の VPC ネットワークと、基盤となる AlloyDB for PostgreSQL インスタンスが存在する Google Cloud VPC ネットワークとの間の Virtual Private Cloud(VPC)ピアリング接続として実装されます。プライベート接続を使用すると、VPC ネットワーク内の VM インスタンスとアクセスするサービスで、内部 IP アドレスを使用して排他的に通信できるようになります。VM インスタンスは、インターネット アクセスまたは外部 IP アドレスがなくても、プライベート サービス アクセスを介してサービスにアクセスできます。
プライベート サービス アクセスを利用する AlloyDB クラスタを Terraform で自動的に設定するには、Terraform を使用して AlloyDB をデプロイするをご覧ください。
接続にプライベート サービス アクセスを使用する方法の詳細については、プライベート サービス アクセスの概要をご覧ください。
Private Service Connect
Private Service Connect を使用すると、VPC ネットワークと Google Cloud サービス(AlloyDB for PostgreSQL など)との間にプライベートで安全な接続を作成できます。異なるグループ、チーム、プロジェクト、組織に属する複数の VPC ネットワークから AlloyDB インスタンスに接続できます。AlloyDB クラスタを作成するときに、Private Service Connect のサポートを有効にできます。クラスタ内に AlloyDB インスタンスを作成するときに、VPC ネットワーク内のどのプロジェクトがインスタンスにアクセスできるかを指定します。
Private Service Connect の詳しい使用方法については、Private Service Connect の概要と動画「Private Service Connect とは」をご覧ください。
使用する方法を選択する
接続方法としてプライベート サービス アクセスと Private Service Connect のどちらを使用するかを決める前に、次の比較を検討してください。
| プライベート サービス アクセス | Private Service Connect |
|---|---|
| コンシューマー VPC から CIDR 範囲(最小 /24)を予約する必要があります。IP 範囲は、使用されているかどうかに関係なく予約されるため、範囲内のすべての IP アドレスがロックされます。 | VPC ネットワークごとにエンドポイントで転送ルールを作成するには、単一の IP アドレスが必要です。 |
| RFC 1918 IP 範囲に制限されます。 | エンドポイントには、RFC 1918 範囲と RFC 1918 以外の範囲の両方を使用できます。 |
| 同じ VPC ネットワーク内のプロジェクトに接続します。 | 複数の VPC またはプロジェクトをまたいで接続します。 |
| 小規模な単一 VPC シナリオを選択します。 | 大規模なマルチ VPC 設定を選択します。 |
| プロジェクトに含まれる既存の VPC ピアリングを使用するため、費用は最小限に抑えられます。 | 初期設定、各エンドポイントの 1 時間あたりの使用量、1 GiB あたりのデータ転送に関連する費用が原因で、プライベート サービス アクセスよりも費用が高くなります。 |
| 直接接続のため、Private Service Connect と比べると安全性が低くなります。 | コンシューマー VPC とプロデューサー VPC が分離されているため、セキュリティが強化されます。 |
| 接続は双方向で、インバウンド接続とアウトバウンド接続が可能です。 | 接続は単方向で、インバウンド接続のみを許可します。 |
次のステップ
- プライベート サービス アクセスの概要
- Private Service Connect の概要
- プライベート サービス アクセスを使用してプロデューサー サービスへのアクセスを許可する。Cloud Skills Boost の動画で詳しい方法をご覧ください。