ピアリング ベースのサービスを Private Service Connect に移行する
多くのマネージド サービス プロデューサーは、VPC ネットワーク ピアリングを使用して、別の Virtual Private Cloud(VPC)ネットワーク内のサービス コンシューマーに接続を提供します。別の解決策として、Private Service Connect を使用する方法があります。
このドキュメントでは、サービス プロデューサーがピアリング ベースのサービスを Private Service Connect に移行し、サービスへのアクセスに使用される IPv4 アドレスを保持する方法の概要について説明します。この移行プロセスでは、特定のサブネットに接続されているすべてのリソースを同時に移行する必要があります。
各サービス プロデューサーは、Private Service Connect への移行を行うかどうか、いつ行うかを決定します。サービス プロデューサーが VPC ネットワーク ピアリングから Private Service Connect に移行しているかどうかを確認するには、サービスのドキュメントを確認するか、サービス プロデューサーにお問い合わせください。
ピアリング ベースのサービスを移行する
このピアリング ベースのサービス例では、クライアント vm1 はプロデューサー VPC ネットワーク内のサービスのロードバランサ 10.10.10.10 にトラフィックを送信します。ネットワークは VPC ネットワーク ピアリングを介して接続されているため、コンシューマー ネットワークにはプロデューサー サブネットのピアリング サブネット ルートがあります。
図 1.ピアリング ベースのサービスでは、コンシューマー VPC ネットワークとプロデューサー VPC ネットワークは、VPC ネットワーク ピアリングを介して相互にアクセスできます(クリックして拡大)。
移行中に、次のタスクが完了します。
- プロデューサーは、新しい VPC ネットワークの新しいサブネット
producer-subnet-2にサービスをデプロイし、Private Service Connect を介してサービスを公開します。 - プロデューサーは、プロデューサー サブネットの CIDR 範囲
10.10.10.0/24を予約する内部範囲を作成します。 - プロデューサーは、元のサブネット
producer-subnet-1とその中のすべてのリソースを削除します。 - コンシューマー VPC ネットワークに移行サブネット
consumer-subnet-2が作成され、プロデューサー サブネットと同じ CIDR 範囲で構成されます。 - Private Service Connect エンドポイントが移行サブネットに作成され、以前にプロデューサー ロードバランサの転送ルールで使用されていた同じ IP アドレスで構成されます。
移行が完了すると、クライアント vm1 は引き続き 10.10.10.10 でサービスにアクセスできますが、この IP アドレスはコンシューマー VPC ネットワーク内の Private Service Connect エンドポイントに関連付けられています。
図 2.移行後、コンシューマー VPC ネットワーク内のクライアントは Private Service Connect エンドポイントにリクエストを送信します。Private Service Connect エンドポイントはトラフィックをプロデューサー VPC ネットワークに転送します(クリックして拡大)。
移行のタスク
移行には、プロデューサーとコンシューマーの両方の VPC ネットワークで実行されるタスクが含まれます。プロデューサーはコンシューマーと連携して移行を実行できます。また、Google マネージド サービスの場合、サービス プロデューサーはサービス エージェントを介してコンシューマー タスクを自動化できます。
| タスク | プロデューサー | コンシューマー |
|---|---|---|
| Private Service Connect サービスをデプロイする | ||
| プロデューサー プロジェクトの新しい VPC ネットワークの新しいサブネットにサービスをデプロイし、Private Service Connect を使用して公開する | プロデューサーが実行 | |
| ピアリング ベースのサービスをシャットダウンする | ||
| プロデューサー プロジェクトに内部範囲を作成して、プロデューサー サブネットの CIDR 範囲を予約する | プロデューサーが実行 | コンシューマーが移行先に使用するサブネット名を指定する |
| プロデューサー サブネット内のすべてのリソースを削除してから、サブネットを削除する | プロデューサーが実行 | コンシューマーがサービスにアクセスできなくなる |
| コンシューマー ネットワークに Private Service Connect エンドポイントを作成する | ||
| コンシューマー ネットワークに移行サブネットを作成する | コンシューマーがサブネット名を選択しなかった場合、プロデューサーがサブネット名をコンシューマーに提供する | コンシューマーが実行(またはサービス エージェントを介してプロデューサーが実行) |
| コンシューマー ネットワークに Private Service Connect エンドポイントを作成する | プロデューサーがサービス アタッチメント URI をコンシューマーに提供する | コンシューマーが実行(またはサービス エージェントを介してプロデューサーが実行) コンシューマーがサービスにアクセスできるようになる |
| Private Service Connect エンドポイントを介したアクセスを検証する | コンシューマーが実行 | |
| 移行を完了する | ||
| 内部範囲を削除する | プロデューサーが実行 | |
| コンシューマーの移行サブネットを更新して通常のサブネットに変換する | コンシューマーが実行(またはサービス エージェントを介してプロデューサーが実行) | |
| 他のサービスで不要な場合は、プロデューサー ネットワークとコンシューマー ネットワークのピアリング接続を削除する | プロデューサーが実行 | コンシューマーが実行(またはサービス エージェントを介してプロデューサーが実行) |
考慮事項
ピアリング ベースのサービスを Private Service Connect に移行するサービス プロデューサーは、次の点を考慮してください。
- サービスの Private Service Connect 実装は、ピアリング ベースのサービスと同じ機能を提供する必要があります。
- 移行プロセスでは、サービスにアクセスする IPv4 アドレスの保持がサポートされています。IPv6 アドレスの保持はサポートされていません。ただし、移行されたサービスには IPv6 Private Service Connect エンドポイントからアクセスできます。
- 移行中に、サービス インスタンスを含むサブネット内のすべてのリソースが削除可能である必要があります。複数のサービス インスタンスが同じサブネットを使用している場合は、すべてのインスタンスを同時に移行する必要があります。
コンシューマーの Private Service Connect エンドポイントと、プロデューサーのサービス アタッチメントおよび転送ルールはすべて同じリージョンに存在する必要があります。
任意のリージョンからエンドポイントにアクセスできるようにするには、エンドポイントでグローバル アクセスを有効にします。
サービスが状態を保存する場合は、状態を新しいサービス インスタンスに移行する方法が必要です。
プロデューサー VPC ネットワーク内のすべてのサービス インスタンスが移行されるまで、ピアリング接続を削除することはできません。
移行中にサービスでダウンタイムが発生します。
Private Service Connect に移行すると、プロデューサーとコンシューマーの両方の料金に影響があります。移行する前に、この変更についてコンシューマーに通知してください。
Private Service Connect は、クライアントの送信元 IP アドレスを NAT サブネットの IP アドレスに変換します。サービスでクライアントの IP アドレス情報が必要な場合は、PROXY プロトコルを使用してクライアントの IP アドレスを取得し、バックエンド VM とアプリケーションの間でパケットを適切に処理する必要があります。
移行の内部範囲
内部範囲は、プロデューサー サブネットで使用される CIDR 範囲を予約するために使用されます。これにより、プロデューサー サブネットが削除されたときに、CIDR 範囲が別の目的に使用されるのを防ぐことができます。
ピア移行の内部範囲を作成するときは、使用状況を FOR_MIGRATION に設定し、ソース サブネットとターゲット サブネットを指定します。移行元サブネットはプロデューサー サブネットで、移行先サブネットはコンシューマー ネットワークに後で作成される新しいピア移行サブネットです。
内部範囲を作成すると、ターゲット サブネット名と CIDR 範囲の両方に一致するサブネットが作成されなくなります。ただし、別の CIDR 範囲を使用する場合は、同じ名前の別のサブネットをコンシューマー ネットワークに作成できます。その場合、一致する名前のコンシューマー サブネットが削除されるか、内部範囲が削除されるまで、移行は続行できません。
ピア移行サブネット
移行用にコンシューマー ネットワークに作成されたサブネットの目的は PEER_MIGRATION に設定されています。ピア移行サブネットには、IP アドレスと Private Service Connect エンドポイントのみを含めることができます。
移行が完了して検証されると、サブネットの目的が PRIVATE に設定され、サブネットが通常のサブネットに更新されます。これにより、他のリソースをサブネットに作成できるようになります。通常のサブネットをピア移行サブネットに戻すことはできません。
compute.subnetworks.usePeerMigration 権限を持つプリンシパルのみが次の処理を行うことができます。
- ピア移行サブネットで IP アドレス リソースを作成および削除する。
- ピア移行サブネットで Private Service Connect エンドポイント(転送ルール)を作成および削除する。
compute.subnetworks.usePeerMigration 権限は、次のロールに含まれています。
- コンピューティング ピア サブネット移行管理者(
roles/compute.peerSubnetMigrationAdmin) - Compute ネットワーク管理者(
roles/compute.networkAdmin)
Compute ピアサブネット移行管理者のロールを持つプリンシパルは、ピア移行サブネットで IP アドレスと Private Service Connect エンドポイントを作成および削除できますが、移行サブネットの作成、更新、削除はできません。
Compute ネットワーク管理者ロールを持つプリンシパルは、移行に必要なすべてのタスク(上記のタスクと次のタスクを含む)を実行できます。
- 目的が
PEER_MIGRATIONに設定されたサブネットを作成します。 - サブネットを更新します(CIDR 範囲を拡大する、プライベート Google アクセスを有効にするなど)。
- サブネットの目的を
PRIVATEに更新します。 - サブネットを削除します。
料金
料金については、以下をご覧ください。
サービス プロデューサー: サービスの公開料金。
サービス コンシューマー: エンドポイントを介して公開サービスにアクセスするための料金。