Private Service Connect を使用すると、コンシューマーは Virtual Private Cloud(VPC)ネットワーク内からマネージド サービスにプライベート接続でアクセスできます。同様に、マネージド サービスのプロデューサーはこれらのサービスを個別の VPC ネットワークとプロジェクトでホストし、コンシューマーとのプライベート接続を提供できます。Private Service Connect 接続は、VPC スポーク間で推移的ではありません。Network Connectivity Center ハブを介して Private Service Connect サービスを伝播すると、これらのサービスは、ルートテーブルを介して同じハブ内の他のスポーク VPC から到達可能になります。
Network Connectivity Center は、リージョン エンドポイントの伝播もサポートしています。リージョン エンドポイントの詳細については、Private Service Connect エンドポイントを介したリージョン エンドポイントへのアクセスについてをご覧ください。
Network Connectivity Center の Private Service Connect 接続の伝播機能は、次のユースケースで役立ちます。
共通サービス VPC ネットワークを使用して、複数の Private Service Connect コンシューマー エンドポイントを作成できます。1 つの共通サービス VPC ネットワークを Network Connectivity Center ハブに追加すると、VPC ネットワーク内のすべての Private Service Connect コンシューマー エンドポイントが、Network Connectivity Center ハブを介して他の VPC スポークに推移的にアクセスできるようになります。この接続により、各 VPC ネットワーク内の Private Service Connect エンドポイントを個別に管理する必要がなくなります。
ハイブリッド スポークで到達可能なオンプレミス ネットワークから、VPC スポーク ネットワーク内のマネージド サービスにアクセスできます。
接続の伝播が有効になっているハブに VPC スポークを接続すると、Network Connectivity Center は、同じハブに接続されているエンドポイントについて、そのスポークに伝播接続を作成します。ただし、エンドポイントのサブネットがエクスポートの対象から除外されている場合は除きます。VPC ネットワークが VPC スポークとして Network Connectivity Center ハブに追加されると、新しい Private Service Connect エンドポイントも伝播されます。ただし、エンドポイントのサブネットがエクスポートから除外されている場合を除きます。
Private Service Connect の伝播接続を有効にしてハブを設定するには、ハブ管理者が Private Service Connect の伝播を使用してハブを作成するか、--export-psc フラグを使用して伝播設定を更新する必要があります。さらに、ハブ管理者は VPC ネットワークをスポークとしてハブに追加する必要があります。スポーク オーナーは、--exclude-export-ranges フラグと --include-export-ranges フラグを使用して、特定の Private Service Connect 割り当てサブネットを Network Connectivity Center のルーティングから除外できます。これにより、指定したサブネットに他の VPC ネットワークから到達できなくなるため、ローカル VPC ネットワークに対してプライベートな状態を維持できます。
Private Service Connect の伝播接続については、伝播接続についてをご覧ください。
--exclude-export-ranges フラグと --include-export-ranges フラグの詳細については、エクスポート フィルタを使用した VPC 接続をご覧ください。
Private Service Connect の伝播接続用のハブの設定については、ハブを構成するをご覧ください。
接続の伝播の上限
伝播接続の上限については、伝播接続の上限をご覧ください。
考慮事項
Private Service Connect の伝播接続を有効にする前に、次の点に注意してください。
Private Service Connect の伝播接続は、VPC スポークでのみ機能します。
ハイブリッド スポークに接続されたオンプレミス ネットワークで Private Service Connect の伝播接続を使用できるようにする必要がある場合:
Network Connectivity Center ハブには、すべてのハイブリッド スポークを含むルーティング VPC ネットワークが 1 つだけ必要です。
ハブの 1 つのルーティング VPC ネットワークも VPC スポークである必要があります。
ハブに 2 つ以上のルーティング VPC ネットワークがある場合は、どのルーティング VPC ネットワークも VPC スポークにすることはできません。そのため、2 つ以上のルーティング VPC ネットワークを持つハブでは、Private Service Connect の伝播接続をオンプレミス ネットワークで使用できません。
ハイブリッド スポークで Private Service Connect の伝播が機能するようにするには、ルーティング VPC ネットワークを VPC スポークとしても追加する必要があります。
Private Service Connect 接続の伝播が遅延し、イベント ドリブン通知が非同期になることがあります。つまり、配信通知が伝播接続のしばらく後に行われることがあります。
スポークの作成後に、スポークに対する
--exclude-export-rangesフィルタを変更することはできません。このため、Private Service Connect エンドポイントをホストする 2 つのサブネットを作成することをおすすめします。1 つは VPC 内ネットワーク専用の Private Service Connect エンドポイント用のサブネット、もう 1 つはハブと共有する Private Service Connect エンドポイント用のサブネットです。VPC ネットワークをスポークとしてハブに追加する場合は、VPC 内ネットワーク専用の VPC ネットワークをホストするサブネットの IP アドレス範囲を--exclude-export-rangesフィルタに追加して、ハブと共有されないようにします。VPC スポークのサブネットが、Network Connectivity Center ハブにアクセスするように Private NAT を使用して構成されている場合、そのサブネットから伝播 Private Service Connect サービスへのトラフィックは破棄されます。
--nat-all-subnet-ip-rangesを使用して Private NAT ゲートウェイが構成されている場合、Network Connectivity Center を介した Private Service Connect の伝播は、このスポーク VPC 内のすべてのサブネットで機能しません。この VPC スポークの重複しないサブネットから伝播を機能させるには、Private NAT ゲートウェイに--nat-custom-subnet-ip-rangesを使用します。NAT を使用して、重複しないサブネットから Network Connectivity Center ハブにトラフィックをルーティングしないでください。Private Service Connect エンドポイントを短期間で作成、削除、再作成すると、伝播ステータスが正確でなくなる可能性があります。ただし、しばらくすると、伝播ステータスは正確になり、伝播接続の実際の状態が反映されます。これには最大で 15 分かかることがあります。
Private Service Connect 接続の伝播は、スポークの作成後または削除後に非同期になります。VPC スポークがハブから削除されると、Private Service Connect の伝播接続の更新に時間がかかることがあります。Private Service Connect の伝播接続の更新が進行中である場合、VPC スポークが新しいハブに追加された後も、VPC ネットワーク内の VM からのトラフィックがバックエンドに流れることがあります。バックエンドへのトラフィック フローを避けるには、スポークを別のハブに追加する前に、ソーススポークかターゲット スポークかを問わず、以前のハブの VPC ネットワークの伝播ステータス エントリがすべて削除されていることを確認します。
Private Service Connect 接続の伝播ステータス
Network Connectivity Center を使用すると、Network Connectivity Center ハブ内の Private Service Connect 接続の伝播ステータスを表示できます。ステータスの概要を表示したり、特定のエラーをドリルダウンしてエラーの詳細を確認したりできます。
次の表に、伝播ステータス コードとその意味を示します。
| コード | メッセージ |
|---|---|
| Ready | Private Service Connect の伝播接続の準備ができました。 |
| Propagating | Private Service Connect 接続の伝播が保留中です。これは一時的な状態です。 |
| Error, producer propagated connection limit exceeded | ターゲット スポークの VPC ネットワークまたはプロジェクトが、プロデューサーによって設定された伝播接続の上限を超えたため、Private Service Connect 接続の伝播に失敗しました。この問題に対処するには、プロデューサーのドキュメントを参照するか、サポートチームにお問い合わせください。 |
| Error, producer NAT IP space exhausted | NAT IP サブネット空間が使い果たされたため、Private Service Connect 接続の伝播に失敗しました。これは PSC 接続の Needs attention ステータスと同等です。詳細については、Private Service Connect のドキュメントの接続ステータスをご覧ください。 |
| Error, producer quota exceeded | プロデューサー VPC ネットワークの PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK 割り当てを超えたため、Private Service Connect 接続の伝播に失敗しました。 |
| Error, consumer quota exceeded | コンシューマー VPC ネットワークの PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK 割り当てを超えたため、Private Service Connect 接続の伝播に失敗しました。 |
Private Service Connect 接続の伝播ステータスを表示する方法については、Private Service Connect 接続の伝播ステータスを表示するをご覧ください。Private Service Connect 接続の伝播に関するトラブルシューティングについては、Private Service Connect 接続の伝播エラーのトラブルシューティングをご覧ください。
次のステップ
- ハブとスポークの作成については、ハブとスポークの操作をご覧ください。
- ソリューションが Network Connectivity Center と統合されているパートナーのリストを確認するには、Network Connectivity Center パートナーをご覧ください。
- 一般的な問題の解決策については、トラブルシューティングをご覧ください。
- API と Google Cloud CLI コマンドの詳細については、API とリファレンスをご覧ください。