Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Private Service Connect インターフェースを構成する

Datastream は Private Service Connect インターフェースを使用して、トラフィックを完全に内に維持する方法でデータをレプリケートします Google Cloud。

Private Service Connect インターフェースは、プロデューサー Virtual Private Cloud（VPC）ネットワークがコンシューマーの VPC ネットワーク内のネットワークアタッチメントとの接続を開始し、ネットワークアタッチメントから接続を受け取ることができるようにするためのリソースです。プロデューサーネットワークとコンシューマーネットワークは、異なるプロジェクトや組織に属していてもかまいません。

**図 1.**Private Service Connect インターフェースを使用すると、サービスプロデューサーはサービスユーザーへの接続を開始できます。

主な用語の定義については、次のセクションをご覧ください。

Private Service Connect の詳細については、 Virtual Private Cloud のドキュメントをご覧ください。

主な用語

このセクションでは、Private Service Connect に適用される主な用語とコンセプトの概要について説明します。

プロデューサー: コンシューマーネットワークへの接続を開始するエンティティ。通常は、VPC ネットワーク内のサービスまたは VM です。プロデューサーはサービスを提供します。Datastream のコンテキストでは、データを取得して宛先にレプリケートします。
コンシューマー: プロデューサーからの接続を受け取るエンティティ。通常は、VPC ネットワーク内の VM です。コンシューマーが接続を受け入れると、 Google Cloud はネットワークアタッチメントで指定されたコンシューマー VPC ネットワーク内のサブネットの IP アドレスを Private Service Connect インターフェースに割り振ります。Private Service Connect インターフェースの VM には、プロデューサーの VPC ネットワークに接続する 2 つ目のネットワークインターフェースがあります。
ネットワークアタッチメント: プロデューサー VPC ネットワークが Private Service Connect インターフェースを介してコンシューマー VPC ネットワークへの接続を開始できるようにするためのリージョンリソース。コンシューマー VPC ネットワークでは、ネットワークアタッチメントは、プロデューサーネットワーク内の Private Service Connect インターフェースからの接続の指定エントリポイントとして機能します。Private Service Connect インターフェースがネットワークアタッチメントに確立されると、プロデューサー VM にはネットワークアタッチメントのサブネットから IP が割り当てられます。Private Service Connect インターフェースの仮想マシンインスタンスには、プロデューサーサブネットに接続する通常のネットワークインターフェースが 1 つ以上あります。詳細については、ネットワークアタッチメントについてをご覧ください。
プロデューサープロジェクト: Datastream を実行する仮想マシン（VM）がホストされる Google 所有のプロジェクト。お客様の VPC 内のリソースにアクセスするために、Datastream VM は、Private Service Connect ネットワークインターフェースがサブネットから割り振る IP アドレスを使用します。

Private Service Connect の前提条件

Private Service Connect インターフェースを使用してプライベート接続の構成を作成する前に、次の手順を実施して Datastream がプロジェクトへの接続を確立できるようにする必要があります。

Datastream のプライベートネットワークに接続できる VPC ネットワークがある。VPC ネットワークの作成の詳細については、 VPC ネットワークの作成と管理をご覧ください。
VPC プロジェクトにネットワークアタッチメントを作成する。
Google Cloud とオンプレミスファイアウォールで、ネットワークアタッチメントの IP アドレス範囲から、データのストリーミング元となるソースデータベースへのトラフィックが許可されていることを確認する。ファイアウォールルールを作成する方法については、 VPC ファイアウォールルールを使用するをご覧ください。

料金

Private Service Connect を介したデータの上り（内向き）と下り（外向き）には料金が発生します。詳細については、Private Service Connect の料金をご覧ください。

必要なロールと権限

ネットワークアタッチメントの作成に必要な権限を取得するには、プロジェクトに対する次の Identity and Access Management（IAM）ロールを付与するよう管理者に依頼してください。

ネットワークアタッチメントの作成、表示、削除: Compute Network 管理者 (roles/compute.networkAdmin)

ネットワークアタッチメントまたはその基盤となるサブネットワークが Datastream とは異なるプロジェクトにある場合（共有 VPC ホストプロジェクトを使用している場合など）、次のロールを service-DATASTREAM-PROJECT-NUMBER@gcp-sa-datastream.iam.gserviceaccount.com サービスアカウントに付与する必要があります。

ネットワーキングリソースへの読み取り専用アクセス: Compute Network 閲覧者 (roles/compute.networkViewer)

ネットワークアタッチメントまたはそのサブネットワークがあるプロジェクトにロールを付与し、DATASTREAM-PROJECT-NUMBER を Datastream がデプロイされているプロジェクトの番号に置き換えます。

ロールの付与の詳細については、アクセスの管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

Datastream のアクセス制御オプションの詳細については、 IAM によるアクセス制御をご覧ください。

Private Service Connect を構成する

Datastream が Private Service Connect インターフェースを使用してネットワークへのアウトバウンド接続を確立できるようにするには:

プロジェクトにネットワークアタッチメントを作成します。
プライベート接続構成を作成します。

ネットワークアタッチメントを作成する

Datastream で Private Service Connect を構成するには、まずネットワークアタッチメントを作成する必要があります。

コンソール

コンソールで、[**ネットワークアタッチメント**] ページに移動します。 Google Cloud

[ネットワークアタッチメント] に移動
[ネットワークアタッチメントの作成] をクリックします。
[名前] フィールドに、ネットワークアタッチメントの名前を入力します。
[ネットワーク] リストで VPC または共有 VPC ネットワークを選択します。
[**リージョン**] リストで Google Cloud リージョンを選択します。このリージョンは、Datastream プライベートネットワークにピアリングされた VPC ネットワークのサブネットに使用されるリージョンと同じにする必要があります。詳細については、Private Service Connect の前提条件をご覧ください。
[サブネットワーク] リストでサブネットワークの範囲を選択します。
[接続の設定] で、 [選択したプロジェクトの接続を受け入れる] を選択します。

Datastream プライベート接続リソースを作成すると、プロデューサープロジェクトが [承認済みプロジェクト] リストに自動的に追加されます。

注意: [すべてのプロジェクトの接続を自動的に受け入れる] オプションは、すべてのサービスがサブネットから IP アドレスを取得できるため、安全性が低くなります。このオプションの使用はおすすめしません。
[承認済みプロジェクト] や [不承認となったプロジェクト] は追加しないでください。
[ネットワークアタッチメントの作成] をクリックします。

gcloud

1 つ以上のサブネットワークを作成します。例:
```
gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION
```
ネットワークアタッチメントは、後続のステップでこれらのサブネットワークを使用します。
Datastream プロジェクトと同じリージョンに、connection-preference プロパティが ACCEPT_MANUAL に設定されたネットワークアタッチメントリソースを作成します。
```
gcloud compute network-attachments create NAME
--region=REGION
--connection-preference=ACCEPT_MANUAL
--subnets=SUBNET
```
次のように置き換えます。
- NAME: ネットワークアタッチメントの名前。
- REGION: リージョンの名前。 Google Cloud このリージョンは、Datastream プライベートネットワークと同じにする必要があります。
- SUBNET: サブネットの名前。
このコマンドの出力は、次の形式のネットワークアタッチメント URL です。

projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID。

この URL は、Datastream が接続に必要となるため、メモしておきます。を使用して Private Service Connect インターフェースのプライベート接続構成を作成する方法については、プライベート接続構成を管理するをご覧ください。 Google Cloud

**注意:** connection-preference を ACCEPT_AUTOMATIC として指定すると、すべてのサービスがサブネットから IP アドレスを取得できるため、安全性が低下します。このオプションの使用はおすすめしません。

プライベート接続構成の作成

プロジェクトにネットワークアタッチメントを作成したら、Private Service Connect インターフェースを使用してプライベート接続構成を設定する必要があります。 Google Cloud 構成を作成するときに、Private Service Connect インターフェースをホストするプロジェクトを許可リストに登録します。次に、Private Service Connect リソースの一部として、ネットワークアタッチメント URL を Datastream に提供します。

詳細については、プライベート接続構成の作成をご覧ください。

次のステップ

プライベート接続構成を表示する方法を確認する。
プライベート接続構成を削除する方法を確認する。