リージョン API エンドポイントとマルチリージョン API エンドポイントの概要

Google Cloud では、次のシナリオでリージョン エンドポイントまたはマルチリージョン エンドポイントを使用することをおすすめします。

  • 転送中のデータは、特定のリージョンまたは法域内に留まる必要があります。
  • コンプライアンスまたは監査のために、地域データの処理に関する証拠が必要である。
  • Google Cloudサービスにアクセスするには、リージョンで分離された障害ドメインが必要です。

リージョン エンドポイントとマルチリージョン エンドポイントは、ロケーション固有のサービスを使用する必要があるお客様にとって最も有益です。これらのエンドポイントは、転送中のデータが特定のロケーションに保持されるようにします。このデータ局所性は、データがプライベート接続を介してアクセスされるか、パブリック インターネットを介してアクセスされるかに関係なく維持されます。

リージョン エンドポイントとマルチリージョン エンドポイントは、限定公開の Google アクセスとは異なります。限定公開の Google アクセスを使用すると、プライベート サブネット内の VM はインターネットを介さずに Google API にアクセスできます。リージョン エンドポイントは、リクエスト パス全体とサービス フロントエンドがリージョン化されているため、より厳格なリージョン分離とデータ所在地を提供します。

リージョン エンドポイント

リージョン API エンドポイントは、単一の Google Cloud リージョンにスコープ設定された API エンドポイントを介して Google Cloud サービスへのアクセスを提供します。リージョン エンドポイントに送信されたトラフィックは、指定されたリージョン内で処理され、TLS 終端されます。

ほとんどの Google Cloud サービスでは、リージョン エンドポイントを使用して、指定されたリージョン内のリージョン リソースを操作できます。通常、リージョン エンドポイントからグローバル リソース、マルチリージョン リソース、リージョン外のリージョン リソースに対するオペレーションはサポートされていません。

マルチリージョン エンドポイント

マルチリージョン API エンドポイントは、米国、インド、カナダなどの同じ国内の Google Cloud リージョンまたは欧州連合などの地域の適用法令のセットにスコープ設定された API エンドポイントを介して Google Cloud サービスへのアクセスを提供します。マルチリージョン エンドポイントに送信されたトラフィックは、指定された地域の適用法令内で完全に処理され、TLS 終端されます。

ほとんどの Google Cloud サービスでは、マルチリージョン エンドポイントを使用して、指定されたマルチリージョン内のマルチリージョン リソースを操作できます。通常、他の地域の適用法令のグローバル リソース、リージョン リソース、マルチリージョン リソースに対するオペレーションは対象外です。

リージョン エンドポイントとマルチリージョン エンドポイントのメリット

リージョン エンドポイントとマルチリージョン エンドポイントを使用すると、次のメリットがあります。

  • データ所在地: 転送中のデータを選択したリージョン内に保持することで、厳格なデータ所在地の要件を満たすことができます。TLS セッションは常に指定されたリージョン内で終了します。
  • リージョン分離: リージョン間の依存関係が軽減され、他のリージョンの障害による問題が軽減されます。
  • コンプライアンス: データを特定の地理的境界内で処理して保存することを義務付ける規制またはポリシーの要件を遵守するのに役立ちます。

リージョン エンドポイントとマルチリージョン エンドポイントの制限事項

  • リージョン エンドポイントとマルチリージョン エンドポイントには、プライベート Google アクセスを介してアクセスできません。限定公開アクセスを介してリージョン エンドポイントに接続するには、Private Service Connect を使用して限定公開エンドポイントを作成します。詳細については、限定公開エンドポイントを介してリージョン Google API にアクセスするをご覧ください。

  • 多くのサービスは、リージョン エンドポイントからのリージョン間オペレーションをサポートしていません。クロスリージョン オペレーションを実行するには、グローバル エンドポイントを使用します。クロスリージョン オペレーションが 1 つの法域内にとどまる場合は、マルチリージョン エンドポイントを使用します。

  • 一部の Google Cloud サービスでは、リージョン エンドポイントまたはマルチリージョン エンドポイントをサポートしていません。サポートされているサービスの完全なリストについては、リージョン サービス エンドポイントをご覧ください。

  • リージョン エンドポイントとマルチリージョン エンドポイントは、グローバル エンドポイントよりもレイテンシが高くなる可能性があります。パフォーマンスは、ユーザーの所在地と使用しているリージョンによって異なります。

リージョン エンドポイントとマルチリージョン エンドポイントを実装する

リージョン ロードバランサを介して、VPC からリージョン エンドポイントまたはマルチリージョン エンドポイントに非公開でアクセスできます。たとえば、特定のプロジェクトのクラウド リソースをインターネットや不正なネットワークから分離するように VPC Service Controls 境界を定義できます。特定の境界に対して、VPC Service Controls を適用するサービスを決定し、プロジェクトを境界内に配置します。詳細については、このドキュメントの VPC Service Controls を使用するをご覧ください。

公開アクセス

リージョン エンドポイントとマルチリージョン エンドポイントには、インターネット経由で公開アクセスできます。インターネットからリージョン エンドポイントにアクセスすると、トラフィックは Google Cloud スタンダード ティア ネットワーキング経由で転送されます。接続(TLS 終端を含む)は、宛先リージョン内で処理されます。

詳細については、パブリック エンドポイントを介してリージョン Google API にアクセスするをご覧ください。

プライベート アクセス

リージョン エンドポイントとマルチリージョン エンドポイントへのプライベート アクセスには、Private Service Connect を使用します。Private Service Connect は、Virtual Private Cloud(VPC)にプライベート IP アドレスを作成します。プライベート IP アドレスはリージョン サービスにルーティングされます。グローバル API は、private.googleapis.com などの特別な範囲を使用して標準のプライベート Google アクセスを使用することが多いですが、リージョン エンドポイントとマルチリージョン エンドポイントには明示的なプライベート エンドポイント構成が必要です。

詳細については、プライベート エンドポイントを介してリージョン Google API にアクセスするをご覧ください。

ルーティングとファイアウォールを構成する

ルーティングとファイアウォールを正しく構成するには、次のガイドラインに沿って操作してください。

オンプレミス ルーティング

Cloud Interconnect または Cloud VPN 経由でオンプレミス環境からリージョン エンドポイントに接続する場合は、リージョン エンドポイントのプライベート IP アドレス範囲をアドバタイズする必要があります。この構成により、オンプレミス ネットワークから Google Cloud サービスへの適切なルーティングが保証されます。

  • Cloud Router: カスタムルート アドバタイズを使用して、ハイブリッド接続を介してすべてのプライベート IP 範囲を通知します。
  • オンプレミス ファイアウォール: リージョン エンドポイントのパブリックまたはプライベート仮想 IP アドレス範囲へのアウトバウンド トラフィックを許可するようにオンプレミス ファイアウォールを構成します。詳細については、VPC ファイアウォール ルールを使用するをご覧ください。

VPC ファイアウォール ルール

リージョン エンドポイントのプライベート IP アドレスへのトラフィックを許可するように、下り(外向き)ファイアウォール ポリシーを構成します。デフォルト ルートを削除する場合は、リージョン エンドポイントの仮想 IP アドレス(VIP)範囲に適切なルートが設定されていることを確認します。

  • パブリック VIP アクセスの場合、ネクストホップがデフォルトのインターネット ゲートウェイに設定されたリージョン エンドポイントの VIP 範囲のルートが存在することを確認します。

  • Private Service Connect の場合は、IP アドレスまたは標準の内部ルーティングを使用します。

詳細については、特定の VPC ネットワークからの下り(外向き)トラフィックを許可する階層型ファイアウォール ポリシーを構成するをご覧ください。

VPC Service Controls を使用する

リージョン エンドポイントは、VPC Service Controls の境界と互換性があります。VPC Service Controls の詳細については、サービス境界の詳細と構成をご覧ください。

VPC Service Controls は、セキュリティ境界を作成することで、 Google Cloudサービスからのデータ流出を防ぎます。プライベート Google アクセスを介してリージョン エンドポイントにアクセスすることはできないため、VPC 境界内のエンドポイントにアクセスするには、Private Service Connect を使用してプライベート エンドポイントを構成する必要があります。

  • 境界の適用: storage.googleapis.com などのサービスを VPC Service Controls 境界の制限付きサービス リストに追加すると、VPC Service Controls ルールが、リージョン エンドポイントを介したアクセスなど、そのサービスのすべてのアクセス方法に適用されます。

  • サービス コントロールのチェック: リージョン エンドポイントへの API リクエスト(パブリックまたはプライベート)は、Service Control API によるポリシー チェックの対象となります。Service Control API は、VPC Service Controls 境界構成に対してリクエストを評価し、送信元ネットワーク、送信元プロジェクト、ターゲット リソース プロジェクトを確認します。

  • 境界内: サービスが境界のアクセス可能なサービスの一部である場合、VPC Service Controls の境界内のリソース(VM など)は、リージョン エンドポイントを介してサービスにアクセスできます。ネットワーク エンドポイントは VPC 境界内にある必要があります。そのため、Private Service Connect を使用してプライベート リージョン エンドポイントを作成する必要があります。詳細については、プライベート エンドポイントを介してリージョン Google API にアクセスするをご覧ください。

  • 境界外: アクセスレベルまたは上り(内向き)ルールと下り(外向き)ルールでアクセスが明示的に許可されていない限り、境界外から任意のタイプのエンドポイントを使用して境界内で保護されているリソースにアクセスしようとすると、VPC Service Controls によってブロックされます。

たとえば、Cloud Storage リソースにポリシーを適用するために VPC Service Controls の境界を定義し、その境界内に secure_project を配置します。secure_project の VM のみが secure_project の Cloud Storage リソースにアクセスできます。また、VM は境界外の Cloud Storage リソースにアクセスできません。

VPC Service Controls のメリット

VPC Service Controls を使用すると、次のメリットがあります。

  • VPC Service Controls のデータ引き出し保護とともに、リージョン分離とデータ所在地というメリットが得られます。

  • VPC Service Controls では、単一のリージョンにスコープ設定されたアクセスも、VPC Service Controls 境界のセキュリティ境界に則って制御されます。

VPC Service Controls を構成する

VPC Service Controls 境界内では、VPC 境界内から Private Service Connect を使用してプライベート リージョン エンドポイントにアクセスする必要があります。詳細については、プライベート エンドポイントを介してリージョン Google API にアクセスするをご覧ください。

  • 標準のパブリック リージョン エンドポイント アクセスは、境界の外部から発信されたように見えるため、ブロックされる可能性があります。

  • アクセスするサービス(compute.googleapis.combigquery.googleapis.com など)が、境界によって制限されているサービスのリストに含まれていることを確認します。

組織のポリシーを使用して追加の適用を行う

組織のポリシーを使用すると、組織のクラウド リソースをさらに制御できます。次の 2 つのポリシーは、リージョン エンドポイントと連携して、データ所在地を適用し、リージョン分離を改善します。

リージョン エンドポイントの使用を適用する

リージョナル エンドポイントの使用を強制するには、エンドポイント使用制限の組織のポリシーの制約を使用して、グローバル エンドポイントへのアクセスを拒否します。詳細については、エンドポイントの使用を制限するをご覧ください。

リージョン エンドポイントは、転送中のデータがリージョン内に留まるようにします。また、エンドポイント使用の制限制約により、保存データの保存に使用されるリソースは、許可したリージョンでのみ作成されます。両方のポリシーを使用すると、保存データと転送中のデータに対して、より包括的なデータ所在地保護が提供されます。

エンドポイントの使用を制限する制約は拒否リストを使用して設定されます。明示的に拒否されていないサポート対象のサービスの API エンドポイントへのリクエストは許可されます。リージョン エンドポイントを構成した後も、エンドポイントの使用を制限する組織のポリシーの制約を使用しない限り、グローバル エンドポイントにアクセスできます。

エンドポイントの使用を制限する制約は、ユーザーが新しい Google Cloud リソースを作成して保存できる物理的な場所を制御し、保存時のデータ所在地を適用します。このポリシーは、サポートされているサービスに対する新しいリソースの作成にのみ適用されます。既存のリソースには影響しません。

ロケーション制約を適用する

リソース ロケーションの制約ポリシー(constraints/gcp.resourceLocations)は、新しい Google Cloud リソースを作成して保存できる物理的なロケーションを制御し、保存時のデータ所在地に対応します。詳細については、Resource Manager のドキュメントの組織のポリシーを設定するをご覧ください。

リソース ロケーションの制約ポリシーを使用する場合は、許可または拒否する Google Cloud ロケーションのリストを定義します。ロケーションには、リージョン、ゾーン、マルチリージョンを使用できます。このポリシーは、サポートされているサービスに対する新しいリソースの作成にのみ適用されます。既存のリソースには影響しません。

このポリシーをリージョン エンドポイントで使用すると、リージョン エンドポイントによって転送中のデータがリージョン内に保持され、ロケーション制約ポリシーによって許可されたリージョンにデータを保存するリソースが確保されるため、メリットがあります。

組み合わせた適用

グローバル エンドポイントを拒否するエンドポイント使用制限ポリシーと、リソースを作成できる場所を制限するリソース ロケーション制約ポリシーを使用することで、保存データと転送中のデータを適用できます。

  • 保存データ: リソースは、許可されたリージョンでのみ作成および保存されます。
  • 転送中のデータ: 対応するリージョン エンドポイントを使用すると、これらのリソースとの API インタラクションは指定されたリージョン内で完全に処理されます。

料金

プライベート リージョン エンドポイントの場合、料金は Private Service Connect の使用量に基づきます。請求には、エンドポイントとデータ処理が含まれます。

パブリック リージョン エンドポイントの場合、上り(内向き)トラフィックは課金されません。下り(外向き)トラフィックは、スタンダード ティアのネットワーク料金に基づいて課金されます。

リファレンス ドキュメント

次のステップ