Private Service Connect インターフェースについて

このページでは、Private Service Connect インターフェースの概要について説明します。

Private Service Connect インターフェースは、プロデューサーの Virtual Private Cloud(VPC)ネットワークがコンシューマーの VPC ネットワーク内のさまざまな宛先への接続を開始できるようにするためのリソースです。プロデューサー ネットワークとコンシューマー ネットワークは、異なるプロジェクトや組織に属していてもかまいません。

Private Service Connect インターフェースを作成する場合、2 つ以上のネットワーク インターフェースを持つ仮想マシン(VM)インスタンスを作成します。最初のインターフェースはプロデューサー VPC ネットワーク内のサブネットに接続します。2 番目のインターフェースは、コンシューマー ネットワークのネットワーク アタッチメントへの接続をリクエストする Private Service Connect インターフェースです。接続が受け入れられると、ネットワーク アタッチメントで指定されたコンシューマー サブネットから内部 IP アドレスが Private Service Connect インターフェースに割り当てられます。

この Private Service Connect インターフェース接続を使用すると、プロデューサー組織とコンシューマー組織は、VPC ネットワークを構成します。これにより、2 つのネットワークが接続され、内部 IP アドレスを使用して通信できるようになります。たとえば、プロデューサー組織は、プロデューサー VPC ネットワークを更新して、コンシューマー サブネットのルートを追加できます。

図 1. プロデューサーの VPC ネットワーク内の Vm-1 に 2 つのネットワーク インターフェースがあります。1 つの標準ネットワーク インターフェースはプロデューサー ネットワーク内のサブネットに接続します。もう 1 つのネットワーク インターフェースは、コンシューマー ネットワーク内のネットワーク アタッチメントに接続されている Private Service Connect インターフェースです(クリックして拡大)。

Private Service Connect インターフェースとネットワーク アタッチメント間の接続は、Private Service Connect のエンドポイントサービス アタッチメント間の接続に似ていますが、重要な違いが 2 つあります。

  • Private Service Connect インターフェースを使用すると、プロデューサー VPC ネットワークからコンシューマー VPC ネットワークへの接続(マネージド サービスの下り、外向き)を開始できます。エンドポイントは逆方向に機能し、コンシューマー VPC ネットワークがプロデューサー VPC ネットワークへの接続(マネージド サービスの上り、内向き)を開始できるようにします。
  • Private Service Connect インターフェースの接続は推移的です。つまり、プロデューサー ネットワーク内のワークロードは、コンシューマー VPC ネットワークに接続されている他のワークロードへの接続を開始できます。Private Service Connect エンドポイントは、プロデューサー VPC ネットワークへの接続のみを開始できます。

図 2. Private Service Connect エンドポイントは、サービス コンシューマーからサービス プロデューサーへの接続を開始できるようにします。また、Private Service Connect インターフェースはサービス プロデューサーからサービス コンシューマーへの接続を開始できるようにします(クリックして拡大)。

他のネットワークのワークロードへの接続

Private Service Connect インターフェース接続は推移的であるため、コンシューマー VPC ネットワーク構成で許可されている場合、プロデューサー VPC ネットワーク内のリソースは、コンシューマー ネットワークに接続されたワークロードと通信できます。これには次のものが含まれます。

図 3. Private Service Connect インターフェース接続を介してコンシューマー VPC ネットワークに接続しているプロデューサー VPC ネットワークは、コンシューマー VPC に接続されているワークロードと通信できます(クリックして拡大)。

サンプル ユースケース

Private Service Connect インターフェースのユースケースの一例としては、コンシューマー データにアクセスするために、コンシューマーの VPC ネットワークへの接続を開始する必要があるマネージド サービスがあります。このサービスは、オンプレミス、VPN または Cloud Interconnect 接続、あるいはサードパーティ サービスを介してコンシューマーのオンプレミス ネットワークで利用可能なデータやサービスにアクセスする必要があります。Private Service Connect インターフェースの接続は、これらの要件をすべて満たすことができます。

別のユースケースとして、API ゲートウェイを提供するマネージド サービスがあります。このサービスは、さまざまな API に対する呼び出しを受信すると、Private Service Connect インターフェースを使用してコンシューマーの VPC ネットワークへの接続を開始します。ゲートウェイ サービスは、リクエストを処理するバックエンド ターゲットに API リクエストを送信します。

Private Service Connect インターフェースと Private Service Connect エンドポイントは補完的であり、同じ VPC ネットワーク内で組み合わせて使用できます。

図 4 は、分析を提供するマネージド サービスのネットワーク構成を示しています。分析サービスは、Private Service Connect インターフェースを使用してコンシューマーの VPC ネットワークへの接続を開始します。コンシューマー ネットワーク内の Private Service Connect エンドポイントは、分析サービスから別の VPC ネットワーク内のデータベース サービスへの接続を開始できるようにします。分析サービスからデータベース サービスへのトラフィックはコンシューマー ネットワークを通過するため、コンシューマーは 2 つのサービス間のトラフィックを監視し、セキュリティを確保できます。

図 4. この構成例では、Private Service Connect インターフェースと Private Service Connect エンドポイントは補完的です。インターフェースは、分析サービスからコンシューマーの VPC ネットワークへの接続を開始できるようにします。エンドポイントは、分析サービスがコンシューマーの VPC ネットワークからデータベース サービスへの接続を開始できるようにします(クリックして拡大)。

仕様

  • Private Service Connect インターフェースは、ネットワーク アタッチメントに接続する特別なタイプのネットワーク インターフェースです。Private Service Connect インターフェースにはネットワーク インターフェースの仕様も適用されます。
  • Private Service Connect インターフェース用の VM を作成する場合は、少なくとも 2 つのネットワーク インターフェースを作成します。最初のネットワーク インターフェースは、常に nic0 という名前のデフォルトのネットワーク インターフェースです。このインターフェースはプロデューサー サブネットに接続します。2 番目のインターフェースは、コンシューマ サブネットへの接続をリクエストする Private Service Connect インターフェースです。1 台の VM に最大 7 個の Private Service Connect インターフェースを含めることができます。
  • コンシューマ プロジェクトが Private Service Connect インターフェースからの接続を受け入れると、Google Cloud はネットワーク アタッチメントのサブネットの IP アドレスを使用してインターフェースを構成します。
    • 内部 IPv4 アドレスは、サブネットのプライマリ IP アドレス範囲から割り当てられます。
    • ネットワーク アタッチメントのサブネットがデュアルスタックであり、Private Service Connect インターフェースがデュアルスタックの場合、サブネットの IPv6 範囲から内部 IPv6 アドレスが割り当てられます。
  • Private Service Connect インターフェースは、エイリアス IP 範囲をサポートしています。エイリアス IP 範囲は、ネットワーク アタッチメントのサブネットのプライマリ IPv4 アドレス範囲から取得する必要があります。
  • Google Cloud は、Private Service Connect インターフェースに割り振られる IP アドレスが、VM の他のネットワーク インターフェースに接続されているサブネットのアドレス範囲と重複しないようにします。使用可能なアドレスが十分でない場合、VM の作成は失敗します。
  • Private Service Connect インターフェースは、ネットワーク インターフェースと同じ方法で通信します。
  • ネットワーク アタッチメントと Private Service Connect インターフェース間の接続は、双方向で推移的です。プロデューサー VPC ネットワーク内のワークロードは、コンシューマー VPC ネットワークに接続されているワークロードへの接続を開始できます。

制限事項

  • Private Service Connect インターフェースの接続は、次の方法でのみ終了できます。

    • プロデューサーがインターフェースの VM を削除する。
    • コンシューマーが Private Service Connect インターフェースに接続されているプロジェクトを削除する。このアクションにより、インターフェースの VM が停止します。
    • コンシューマーが、Private Service Connect インターフェースに接続されているプロジェクトで Compute Engine API を無効にする。このアクションにより、インターフェースの VM が停止します。
  • Private Service Connect インターフェースは外部 IP アドレスをサポートしていません。

  • Private Service Connect インターフェースを内部転送ルールのネクストホップにすることはできません。

  • Private Service Connect インターフェースを Google Kubernetes Engine(GKE)ノードまたは Pod に直接関連付けることはできません。ただし、GKE では、プロキシ VM に構成された Private Service Connect インターフェースを介したサービスの下り(外向き)は可能です。

料金

Private Service Connect インターフェースの料金については、VPC の料金ページをご覧ください。

次のステップ