Private Service Connect インターフェースについて

このページでは、Private Service Connect インターフェースの概要について説明します。

Private Service Connect インターフェースは、プロデューサーの Virtual Private Cloud(VPC)ネットワークがコンシューマーの VPC ネットワーク内のさまざまな宛先への接続を開始できるようにするためのリソースです。プロデューサー ネットワークとコンシューマー ネットワークは、異なるプロジェクトや組織に属していてもかまいません。

Private Service Connect インターフェース接続を作成するには、2 つ以上のネットワーク インターフェースを持つ仮想マシン(VM)インスタンスが必要です。最初のインターフェースはプロデューサー VPC ネットワーク内のサブネットに接続します。他のインターフェースは、異なるコンシューマー VPC ネットワークのネットワーク アタッチメントへの接続をリクエストする Private Service Connect インターフェースにできます。接続が受け入れられると、ネットワーク アタッチメントで指定されたコンシューマー サブネットから内部 IP アドレスが Google Cloud によって Private Service Connect インターフェースに割り当てられます。

この Private Service Connect インターフェース接続を使用すると、プロデューサー組織とコンシューマー組織は、VPC ネットワークを構成します。これにより、2 つのネットワークが接続され、内部 IP アドレスを使用して通信できるようになります。たとえば、プロデューサー組織は、プロデューサー VPC ネットワークを更新して、コンシューマー サブネットのルートを追加できます。

図 1: プロデューサーの VPC ネットワーク内の vm-1 に 2 つのネットワーク インターフェースがあります。1 つの仮想ネットワーク インターフェース(vNIC)は、プロデューサー ネットワーク内のサブネットに接続します。もう 1 つのインターフェースは、コンシューマー ネットワーク内のネットワーク アタッチメントに接続する仮想 Private Service Connect インターフェースです(クリックして拡大)。

Private Service Connect インターフェースとネットワーク アタッチメント間の接続は、Private Service Connect のエンドポイントサービス アタッチメント間の接続に似ていますが、重要な違いが 2 つあります。

  • Private Service Connect インターフェースを使用すると、プロデューサー VPC ネットワークからコンシューマー VPC ネットワークへの接続(マネージド サービスの下り、外向き)を開始できます。エンドポイントは逆方向に機能し、コンシューマー VPC ネットワークがプロデューサー VPC ネットワークへの接続(マネージド サービスの上り、内向き)を開始できるようにします。
  • Private Service Connect インターフェースの接続は推移的です。つまり、プロデューサー ネットワーク内のワークロードは、コンシューマー VPC ネットワークに接続されている他のワークロードへの接続を開始できます。Private Service Connect エンドポイントは、プロデューサー VPC ネットワークへの接続のみを開始できます。

図 2. Private Service Connect エンドポイントは、サービス コンシューマーからサービス プロデューサーへの接続を開始できるようにします。また、Private Service Connect インターフェースはサービス プロデューサーからサービス コンシューマーへの接続を開始できるようにします(クリックして拡大)。

他のネットワークのワークロードへの接続

Private Service Connect インターフェース接続は推移的であるため、コンシューマー VPC ネットワーク構成で許可されている場合、プロデューサー VPC ネットワーク内のリソースは、コンシューマー ネットワークに接続されたワークロードと通信できます。これには次のものが含まれます。

図 3. Private Service Connect インターフェース接続を介してコンシューマー VPC ネットワークに接続しているプロデューサー VPC ネットワークは、コンシューマー VPC に接続されているワークロードと通信できます(クリックして拡大)。

サンプル ユースケース

Private Service Connect インターフェースのユースケースの一例としては、コンシューマー データにアクセスするために、コンシューマーの VPC ネットワークへの接続を開始する必要があるマネージド サービスがあります。このサービスは、オンプレミス、VPN または Cloud Interconnect 接続、あるいはサードパーティ サービスを介してコンシューマーのオンプレミス ネットワークで利用可能なデータやサービスにアクセスする必要があります。Private Service Connect インターフェースの接続は、これらの要件をすべて満たすことができます。

別のユースケースとして、API ゲートウェイを提供するマネージド サービスがあります。このサービスは、さまざまな API に対する呼び出しを受信すると、Private Service Connect インターフェースを使用してコンシューマーの VPC ネットワークへの接続を開始します。ゲートウェイ サービスは、リクエストを処理するバックエンド ターゲットに API リクエストを送信します。

Private Service Connect インターフェースと Private Service Connect エンドポイントは補完的であり、同じ VPC ネットワーク内で組み合わせて使用できます。

図 4 は、分析を提供するマネージド サービスのネットワーク構成を示しています。分析サービスは、Private Service Connect インターフェースを使用してコンシューマーの VPC ネットワークへの接続を開始します。コンシューマー ネットワーク内の Private Service Connect エンドポイントは、分析サービスから別の VPC ネットワーク内のデータベース サービスへの接続を開始できるようにします。分析サービスからデータベース サービスへのトラフィックはコンシューマー ネットワークを通過するため、コンシューマーは 2 つのサービス間のトラフィックを監視し、セキュリティを確保できます。

図 4. この構成例では、Private Service Connect インターフェースと Private Service Connect エンドポイントは補完的です。インターフェースは、分析サービスからコンシューマーの VPC ネットワークへの接続を開始できるようにします。エンドポイントは、分析サービスがコンシューマーの VPC ネットワークからデータベース サービスへの接続を開始できるようにします(クリックして拡大)。

Private Service Connect インターフェースのタイプ

Private Service Connect インターフェースには次の 2 種類があります。

次の表に示すのは、仮想 Private Service Connect インターフェースと動的 Private Service Connect インターフェースの主な違いです。

タイプ VM あたりの Private Service Connect インターフェースの最大数 インターフェース管理 サポートされているゲスト OS
仮想 Private Service Connect インターフェース 最大 9(vCPU の数によって異なります VM の作成時に追加され、VM の削除時に削除 Linux、Windows
動的 Private Service Connect インターフェース 最大 15(vCPU の数によって異なります いつでも追加可能で、VM とは独立して削除可能 Linux のみ

インターフェース構成が VM のライフサイクル全体で変更されないことが予想される場合は、仮想 Private Service Connect インターフェースの使用を検討してください。

次の条件に該当する場合は、動的 Private Service Connect インターフェースの使用を検討してください。

  • コンシューマー VPC ネットワークへの接続を動的に管理する必要がある。
  • VM ごとに必要な Private Service Connect インターフェースの数が多い。
  • Private Service Connect インターフェースの変更中にダウンタイムを回避する必要があります。

仕様

Private Service Connect インターフェースは、ネットワーク アタッチメントを接続する特別なタイプのネットワーク インターフェース。

Private Service Connect インターフェースにはネットワーク インターフェースの仕様も適用されます。

次の仕様は、両方のタイプの Private Service Connect インターフェースに適用されます。

  • Private Service Connect インターフェースを使用する VM には、少なくとも 2 つのネットワーク インターフェースが必要です。最初のネットワーク インターフェースは、常に nic0 という名前のデフォルトのネットワーク インターフェースです。このインターフェースはプロデューサー サブネットに接続します。2 番目のインターフェースは、コンシューマー サブネットへの接続をリクエストする Private Service Connect インターフェースです。
  • コンシューマー プロジェクトが Private Service Connect インターフェースから接続を受け入れると、 Google Cloudはネットワーク アタッチメントのサブネットの IP アドレスを使用してインターフェースを構成します。
    • 内部 IPv4 アドレスは、サブネットのプライマリ IP アドレス範囲から割り当てられます。
    • ネットワーク アタッチメントのサブネットがデュアルスタックであり、Private Service Connect インターフェースがデュアルスタックの場合、サブネットの IPv6 範囲から内部 IPv6 アドレスが割り当てられます。
    • ネットワーク アタッチメントに IPv6 のみのサブネットを使用することはできません。
  • ネットワーク アタッチメントに Private Service Connect インターフェースに割り振る IP アドレスが不足している場合、インターフェースの作成は失敗し、次のエラーが返されます。
    • VM の作成時に障害が発生した場合、VM は作成されません。
    • 既存の VM に動的 Private Service Connect インターフェースを追加するときに障害が発生した場合、インターフェースは追加されません。
  • インターフェースを介してトラフィックをルーティングするには、Private Service Connect インターフェースの VM のゲスト OS を手動で構成する必要があります。
  • Private Service Connect インターフェースは、エイリアス IP 範囲をサポートしています。エイリアス IP 範囲は、ネットワーク アタッチメントのサブネットのプライマリ IPv4 アドレス範囲から取得する必要があります。
  • Google Cloud は、Private Service Connect インターフェースに割り振られる IP アドレスが、VM の他のネットワーク インターフェースに接続されているサブネットのアドレス範囲と重複しないことを検証します。使用可能なアドレスが十分でない場合、VM の作成は失敗します。
  • Private Service Connect インターフェースは、ネットワーク インターフェースと同じ方法で通信します。
  • ネットワーク アタッチメントと Private Service Connect インターフェース間の接続は、双方向で推移的です。プロデューサー VPC ネットワーク内のワークロードは、コンシューマー VPC ネットワークに接続されているワークロードへの接続を開始できます。
  • 動的 Private Service Connect インターフェースと仮想 Private Service Connect インターフェースは、同じ VM 上に共存できます。
  • Private Service Connect インターフェースは、VPC Service Controls をサポートしています。この組み合わせでは、追加のルーティング構成が必要です。

仮想 Private Service Connect インターフェースの仕様

次の仕様は、仮想 Private Service Connect インターフェースに固有のものです。

  • 仮想 Private Service Connect インターフェースは、VM の作成時にのみ作成できます。また、関連付けられた VM を削除することでのみ削除できます。
  • VM の vCPU の数に応じて、1 台の VM に最大 7 個の仮想 Private Service Connect インターフェースを作成できます。

動的 Private Service Connect インターフェースの仕様

次の仕様は、動的 Private Service Connect インターフェースに固有のものです。

  • 動的 NIC のプロパティ制限事項は、動的 Private Service Connect インターフェースにも適用されます。
  • 動的 Private Service Connect インターフェースは、VM を再起動することなくいつでも追加または削除できます。
  • 1 台の VM には、VM の vCPU の数に応じて最大 15 個の動的 Private Service Connect インターフェースを設定できます。
  • ネットワーク インターフェースの最大伝送単位(MTU)は、接続先の VPC ネットワークの MTU に設定されます。動的 Private Service Connect インターフェースの MTU は、親ネットワーク インターフェースの MTU 以下である必要があります。そうでない場合、インターフェースの作成はエラーで失敗します。

制限事項

  • Private Service Connect インターフェースの接続は、次の方法でのみ終了できます。

    • プロデューサーがインターフェースの VM を削除する。
    • プロデューサーが動的 Private Service Connect インターフェースを削除する。
    • コンシューマーが Private Service Connect インターフェースに接続されているプロジェクトを削除する。このアクションにより、インターフェースの VM が停止します。
    • コンシューマーが、Private Service Connect インターフェースに接続されているプロジェクトで Compute Engine API を無効にする。このアクションにより、インターフェースの VM が停止します。

  • VM に複数の Private Service Connect インターフェースがある場合、各インターフェースは一意のネットワーク アタッチメントに接続する必要があります。また、各ネットワーク アタッチメントは異なるコンシューマー VPC ネットワークに存在する必要があります。

  • 外部(公開されている)IP アドレスを Private Service Connect インターフェースに割り当てることはできません。

  • Windows ゲスト OS を使用する VM では、動的 Private Service Connect インターフェースはサポートされていません。この構成は API によって阻止されませんが、Windows ゲスト OS ドライバが Dynamic NIC をサポートしていないため、パケットは流れません。

  • Private Service Connect インターフェースを内部転送ルールのネクストホップにすることはできません。

  • Private Service Connect インターフェースを Google Kubernetes Engine(GKE)ノードまたは Pod に直接関連付けることはできません。ただし、GKE では、プロキシ VM に構成された Private Service Connect インターフェースを介したサービスの下り(外向き)は可能です。

  • Private Service Connect インターフェースを持つ VM は、Compute Engine VM をターゲットとするバックエンド サービスの一部にできません。これは、VM がバックエンド サービスと同じプロジェクトに存在する必要があるためです。

料金

Private Service Connect インターフェースの料金については、VPC の料金ページをご覧ください。

次のステップ