このページは Cloud Translation API によって翻訳されました。

オンプレミスまたは他のクラウドプロバイダのプライベート接続

このページでは、オンプレミスデータセンターまたは他のクラウドプロバイダでホストされている MySQL、Postgres、SQL Server などのバックエンドサービスへの Integration Connectors からのプライベート接続を設定する方法について説明します。

次の図は、Integration Connectors からオンプレミスネットワークでホストされているバックエンドサービスへのプライベートネットワーク接続の設定を示しています。

このページでは、次のコンセプトを理解していることを前提としています。

考慮事項

PSC サービスアタッチメントを作成する場合は、次の重要な点に留意してください。

サービスプロデューサーは、Integration Connectors がサービスを使用する際に使用できる PSC サービスアタッチメントを構成する必要があります。サービスアタッチメントの準備ができたら、エンドポイントアタッチメントを使用してサービスアタッチメントを使用するように接続を構成できます。
PSC サービスアタッチメントとロードバランサは、同じ VPC 内の異なるサブネット内に存在する必要があります。具体的には、サービスアタッチメントが NAT サブネット内に存在する必要があります。
バックエンド VM 上で動作するソフトウェアは、ロードバランシングによって各転送ルールの IP アドレスに送信されるトラフィックとヘルスチェックプローブの両方に応答する必要があります（ソフトウェアはネットワークインターフェースに割り当てられている特定の IP アドレスではなく 0.0.0.0:<port> をリッスンする必要があります）詳細については、ヘルスチェックをご覧ください。
ファイアウォールルールを構成して、トラフィックフローを促進します。
上り（内向き）ルール
- PSC サービスアタッチメントのサブネットからのトラフィックは、ILB のサブネットに到達する必要があります。
- ILB のサブネット内で、ILB がバックエンドシステムにトラフィックを送信できる必要があります。
- ヘルスチェックプローブはバックエンドシステムにアクセスできる必要があります。Google Cloud ヘルスチェックプローブには固定の IP 範囲（35.191.0.0/16, 130.211.0.0/22）があります。そのため、これらの IP はバックエンドサーバーにトラフィックを送信できます。
下り（外向き）ルール

特定の拒否ルールが構成されていない限り、Google Cloud プロジェクトで下り（外向き）トラフィックはデフォルトで有効になっています。
PSC サービスアタッチメントやロードバランサなど、すべての Google Cloud コンポーネントは同じリージョンに存在する必要があります。
バックエンドシステムは公開ネットワークに公開しないでください。セキュリティ上の懸念事項になる可能性があります。ただし、次のシナリオでは、バックエンドシステムがトラフィックを受け入れるようにしてください。

プロキシベース/HTTP(S) ロードバランサ（L4 プロキシ ILB、L7 ILB）: すべての新しいリクエストがロードバランサから送信されます。したがって、バックエンドは VPC ネットワークのプロキシサブネットからのリクエストを受け入れる必要があります。詳細については、Envoy ベースのロードバランサのプロキシ専用サブネットをご覧ください。

プライベート接続を構成する

プライベート接続を構成する手順は次のとおりです。

PSC サービスアタッチメントを作成します。
PSC サービスアタッチメントを使用するエンドポイントアタッチメントを作成します。
エンドポイントアタッチメントを使用するように接続を構成します。

PSC サービスアタッチメントを作成する

Integration Connectors からプライベート接続を確立するには、PSC サービスアタッチメントを使用してサービスを Integration Connectors に公開する必要があります。サービスアタッチメントは常にロードバランサをターゲットにします。したがって、サービスがロードバランサの背後にない場合は、ロードバランサを構成する必要があります。

PSC サービスアタッチメントを作成するには、次の操作を行います。

ヘルスチェックプローブを作成し、ロードバランサを作成します。リージョン内部プロキシネットワークロードバランサの設定の詳細については、ハイブリッド接続でリージョン内部プロキシネットワークロードバランサを設定するをご覧ください。
サービスのロードバランサと同じリージョンにサービスアタッチメントを作成します。サービスアタッチメントの作成については、サービスを公開するをご覧ください。

エンドポイントアタッチメントを作成する

IP アドレスとしてのエンドポイントアタッチメント

エンドポイントアタッチメントを IP アドレスとして作成する手順については、エンドポイントアタッチメントを IP アドレスとして作成するをご覧ください。

エンドポイントアタッチメントをホスト名として使用

TLS 対応のバックエンドなど、特定のケースでは、宛先で TLS 検証を行うために、プライベート IP ではなくホスト名を使用する必要があります。ホスト宛先の IP アドレスの代わりに限定公開 DNS を使用する場合は、エンドポイントアタッチメントを IP アドレスとして作成するだけでなく、マネージドゾーンも構成する必要があります。エンドポイントアタッチメントをホスト名として作成する方法については、エンドポイントアタッチメントをホスト名として作成するをご覧ください。

後で、エンドポイントアタッチメントを使用するように接続を構成するときに、このエンドポイントアタッチメントを選択できます。

エンドポイントアタッチメントを使用するように接続を構成する

エンドポイントアタッチメントを作成したので、接続でエンドポイントアタッチメントを使用します。新しい接続を作成するか、既存の接続を更新する場合は、[宛先] セクションで [宛先の種類] として [エンドポイントアタッチメント] を選択し、[エンドポイントアタッチメント] リストから作成したエンドポイントアタッチメントを選択します。

マネージドゾーンを作成した場合は、[宛先の種類] として [ホストアドレス] を選択し、マネージドゾーンの作成時に作成した A レコードを使用します。

トラブルシューティングのヒント

プライベート接続に問題がある場合は、このセクションに記載されているガイドラインに沿って、一般的な問題を回避してください。

エンドポイントアタッチメントが正しく設定され、PSC 接続が確立されていることを確認するには、接続ステータスを確認します。詳細については、エンドポイントアタッチメント接続を確認するをご覧ください。
ファイアウォールルールが次のように構成されていることを確認します。
- PSC サービスアタッチメントのサブネットからのトラフィックがバックエンドサービスに到達できるようにする必要があります。
- ロードバランサは、バックエンドシステムにトラフィックを送信できる必要があります。ハイブリッド NEG は、プロキシロードバランサでのみサポートされます。プロキシロードバランサからのリクエストは、リージョンのプロキシ専用サブネットから発信されます。したがって、プロキシ専用サブネット範囲からのリクエストがバックエンドに到達できるように、ファイアウォールルールを構成する必要があります。
- ヘルスチェックプローブはバックエンドシステムにアクセスできる必要があります。Google Cloud ヘルスチェックプローブには固定の IP 範囲（35.191.0.0/16、130.211.0.0/22）があります。そのため、これらの IP アドレスがバックエンドサーバーにトラフィックを送信できるようにする必要があります。
Google Cloud 接続テストを使用すると、ネットワーク構成のギャップを特定できます。詳細については、接続テストを作成して実行するをご覧ください。
Google Cloud リージョンのプロキシ専用サブネットからのトラフィックが許可されるように、オンプレミス環境または他のクラウド環境でファイアウォールルールが更新されていることを確認します。

オンプレミスまたは他のクラウド プロバイダのプライベート接続