リージョン API エンドポイントとマルチリージョン API エンドポイントの概要

Google Cloud では、次のシナリオでリージョン エンドポイントまたはマルチリージョン エンドポイントを使用することをおすすめします。

• 転送中のデータが特定のリージョンまたは管轄区域内に留まる必要がある。
• コンプライアンスまたは監査のために、リージョンでのデータ処理の証拠が必要である。
• サービスにアクセスするために、リージョンで分離された障害ドメインが必要である。 Google Cloud

リージョン エンドポイントとマルチリージョン エンドポイントは、ロケーション固有のサービスを使用する必要があるお客様にとって最も有益です。これらのエンドポイントを使用すると、転送中のデータが特定のロケーションに保持されます。このデータの局所性は、プライベート接続を介してアクセスされるか、公共のインターネットを介してアクセスされるかに関係なく維持されます。

リージョン エンドポイントとマルチリージョン エンドポイントは、プライベート Google アクセスとは異なります。プライベート Google アクセスを使用すると、プライベート サブネット内の VM はインターネットを経由せずに Google API にアクセスできます。リージョン エンドポイントは、リクエスト パス全体とサービス フロントエンドがリージョン化されるため、より厳格なリージョン分離とデータ所在地を提供します。

リージョン エンドポイント

リージョン API エンドポイントは、単一 Google Cloud リージョンをスコープとする API エンドポイントを介して Google Cloud サービスへのアクセスを提供します。リージョン エンドポイントに送信されたトラフィックは、指定されたリージョン内で処理され、TLS 終端されます。

ほとんどの Google Cloud サービスでは、リージョン エンドポイントを使用して、指定されたリージョン内の リージョン リソースを操作できます。通常、グローバル リソース、マルチリージョン リソース、リージョン外のリージョン リソースに対するオペレーションは、リージョン エンドポイントからサポートされません。

マルチリージョン エンドポイント

マルチリージョン API エンドポイントは、 Google Cloud サービスへのアクセスを、米国、インド、カナダなどの同じ国内のリージョン セット、または欧州連合などの管轄区域をスコープとする API エンドポイントを介して提供します。 Google Cloud マルチリージョン エンドポイントに送信されたトラフィックは、指定された管轄区域内で完全に処理され、TLS 終端されます。

ほとんどの Google Cloud サービスでは、マルチリージョン エンドポイントを使用して、指定されたマルチリージョン内のマルチリージョン リソースを操作できます 。通常、グローバル リソース、リージョン リソース、他の管轄区域のマルチリージョン リソースに対するオペレーションはサポートされていません。

リージョン エンドポイントとマルチリージョン エンドポイントのメリット

リージョン エンドポイントとマルチリージョン エンドポイントを使用すると、次のメリットがあります。

• データ所在地: 転送中の データを選択したリージョン内に保持することで、厳格なデータ所在地の要件を満たすことができます。TLS セッションは常に指定されたリージョン内で終端されます。
• リージョン分離: リージョン間の依存関係が軽減されるため、他のリージョンの障害による 問題が軽減されます。
• コンプライアンス: 特定の地理的境界内でデータを処理して保存することを義務付ける規制またはポリシーの要件を遵守できます。

リージョン エンドポイントとマルチリージョン エンドポイントの制限事項

• リージョン エンドポイントとマルチリージョン エンドポイントには、プライベート Google アクセスを介してアクセスできません。プライベート アクセスでリージョン エンドポイントに接続するには、Private Service Connect を使用してプライベート エンドポイントを作成します。詳細については、 プライベート エンドポイント経由でリージョンの Google API にアクセスするをご覧ください。

• 多くのサービスでは、リージョン エンドポイントからのリージョン間オペレーションはサポートされていません。 リージョン間オペレーションを実行するには、グローバル エンドポイントを使用します。リージョン間オペレーションが 1 つの管轄区域内にとどまる場合は、マルチリージョン エンドポイントを使用します。

• サービスによっては、リージョン エンドポイントまたはマルチリージョン エンドポイントをサポートしていないものもあります。 Google Cloud サポートされているサービスの完全なリストについては、 リージョン サービス エンドポイントをご覧ください。

• リージョン エンドポイントとマルチリージョン エンドポイントは、グローバル エンドポイントよりもレイテンシが長くなる可能性があります。パフォーマンスは、ロケーションと使用しているリージョンによって異なります。

リージョン エンドポイントとマルチリージョン エンドポイントを実装する

リージョン ロードバランサを使用して、VPC からリージョン エンドポイントまたはマルチリージョン エンドポイントにプライベートにアクセスできます。たとえば、 VPC Service Controls の境界を定義して、特定のプロジェクトのクラウド リソースを インターネットや不正なネットワークから分離できます。特定の境界に対して、VPC Service Controls を適用するサービスを決定し、プロジェクトを境界内に配置します。詳細については、このドキュメントの VPC Service Controls を使用するをご覧ください。

公開アクセス

リージョン エンドポイントとマルチリージョン エンドポイントには、インターネット経由で公開アクセスできます。 インターネットからリージョン エンドポイントにアクセスすると、トラフィックは を介して Google Cloud スタンダード ティア ネットワーキングにルーティングされます。TLS 終端を含む接続は、宛先リージョン内で処理されます。

詳細については、 パブリック エンドポイント経由でリージョンの Google API にアクセスするをご覧ください。

プライベート アクセス

リージョン エンドポイントとマルチリージョン エンドポイントへのプライベート アクセスには、 Private Service Connect を使用します。 Private Service Connect は、 お客様の Virtual Private Cloud（VPC）にプライベート IP アドレスを作成します。プライベート IP アドレスは、リージョン サービスにルーティングされます。グローバル API は、private.googleapis.com などの特別な範囲を使用して標準のプライベート Google アクセスを使用することがよくありますが、リージョン エンドポイントとマルチリージョン エンドポイントでは、明示的なプライベート エンドポイント構成が必要です。

詳細については、 プライベート エンドポイント経由でリージョンの Google API にアクセスするをご覧ください。

ルーティングとファイアウォールを構成する

ルーティングとファイアウォールを正しく構成するには、次のガイドラインに従ってください。

オンプレミス ルーティング

Cloud Interconnect または Cloud VPN を介してオンプレミス環境からリージョン エンドポイントに接続する場合は、リージョン エンドポイントのプライベート IP アドレス範囲をアドバタイズする必要があります。この構成により、オンプレミス ネットワークから サービスへの適切なルーティングが確保されます。 Google Cloud

• Cloud Router: カスタム ルート アドバタイズを使用して、ハイブリッド接続を介してすべてのプライベート IP アドレス範囲を通知します。
• オンプレミス ファイアウォール: リージョン エンドポイントの パブリックまたはプライベートの仮想 IP アドレス範囲への アウトバウンド トラフィックを許可するようにオンプレミス ファイアウォールを構成します。詳細については、 VPC ファイアウォール ルールを使用するをご覧ください。

VPC ファイアウォール ルール

リージョン エンドポイントのプライベート IP アドレスへのトラフィックを許可するように、下り（外向き）ファイアウォール ポリシーを構成します。デフォルト ルートを削除する場合は、リージョン エンドポイントの仮想 IP アドレス（VIP）範囲に適切なルートが設定されていることを確認します。

• パブリック VIP アクセスの場合、ネクストホップがデフォルトのインターネット ゲートウェイに設定されたリージョン エンドポイントの VIP 範囲のルートが存在することを確認します。

• Private Service Connect の場合は、IP アドレスまたは標準の内部ルーティングを使用します。

詳細については、 特定の VPC ネットワークからの下り（外向き）トラフィックを許可する階層型ファイアウォール ポリシーを構成するをご覧ください。

VPC Service Controls を使用する

リージョン エンドポイントは、VPC Service Controls の境界と互換性があります。VPC Service Controls の詳細については、 サービス境界の詳細と構成をご覧ください。

VPC Service Controls は、セキュリティ境界を作成することで、 Google Cloud サービスからのデータ漏洩を防ぎます。限定公開の Google アクセスを介してリージョン エンドポイントにアクセスすることはできないため、VPC 境界内のエンドポイントにアクセスするには、Private Service Connect を使用してプライベート エンドポイントを構成する必要があります。

• 境界の適用: VPC Service Controls の [制限付きサービス] リストにサービス（ storage.googleapis.com など）を追加すると、VPC Service Controls ルールが、リージョン エンドポイントを介したアクセスなど、そのサービスのすべてのアクセス方法に適用されます。

• サービス制御チェック: パブリックまたはプライベートのリージョン エンドポイントへの API リクエストには、Service Control API によるポリシー チェックが適用されます。Service Control API は、VPC Service Controls の境界構成に対してリクエストを評価し、送信元ネットワーク、送信元プロジェクト、ターゲット リソース プロジェクトを確認します。

• 境界内: サービスが境界のアクセス可能なサービスの一部である場合、VPC Service Controls の境界内のリソース（VM など）は、リージョン エンドポイントを介してサービスにアクセスできます。ネットワーク エンドポイントは VPC 境界内にある必要があります。そのため、Private Service Connect を使用してプライベート リージョン エンドポイントを作成する必要があります。詳細については、 プライベート エンドポイント経由でリージョンの Google API にアクセスするをご覧ください。

• 境界外: アクセスレベルまたは上り（内向き）ルールと下り（外向き）ルールで明示的にアクセスが許可されていない限り、VPC Service Controls は、境界外から任意のエンドポイント タイプを使用して境界内で保護されているリソースにアクセスしようとする試みをブロックします。

たとえば、VPC Service Controls の境界を定義して Cloud Storage リソースにポリシーを適用し、secure_project を境界内に配置します。 secure_project の VM のみが secure_project の Cloud Storage リソースにアクセスできます。また、VM は境界外の Cloud Storage リソースにアクセスできません。

VPC Service Controls のメリット

VPC Service Controls を使用すると、次のメリットがあります。

• リージョン分離とデータ所在地のメリットに加えて、VPC Service Controls のデータの引き出し保護を利用できます。

• VPC Service Controls を使用すると、単一リージョンをスコープとするアクセスも、VPC Service Controls の境界のセキュリティ境界に則って管理されます。

VPC Service Controls を構成する

VPC Service Controls の境界内では、VPC 境界内から Private Service Connect を使用して プライベート リージョン エンドポイント にアクセスする必要があります。詳細については、 プライベート エンドポイント経由でリージョンの Google API にアクセスするをご覧ください。

• 標準のパブリック リージョン エンドポイント アクセスは、境界外から発信されたように見えるため、ブロックされる可能性があります。

• アクセスするサービス（compute.googleapis.com や bigquery.googleapis.com など）が、境界によって制限されているサービスのリストに含まれていることを確認します。

組織のポリシーを使用して追加の適用を行う

組織のポリシーを使用すると、組織のクラウド リソースをさらに制御できます。次の 2 つのポリシーは、リージョン エンドポイントと連携してデータ所在地を適用し、リージョン分離を強化します。

• エンドポイントの使用を制限する（constraints/gcp.restrictEndpointUsage）
• リソース ロケーションの制約（constraints/gcp.resourceLocations）

リージョン エンドポイントの使用を強制する

リージョン エンドポイントの使用を強制するには、エンドポイントの使用を制限する 組織のポリシーの制約を使用して、グローバル エンドポイントへのアクセスを拒否します。詳細については、Assured Workloads ドキュメントのエンドポイントの使用の制限をご覧ください。

リージョン エンドポイントを使用すると、転送中のデータがリージョン内に留まります。また、エンドポイントの使用を制限する制約を使用すると、保存データの保存に使用されるリソースは、許可したリージョンにのみ作成されます。両方のポリシーを使用すると、保存データと転送中のデータに対してより包括的なデータ所在地保護が提供されます。

エンドポイントの使用を制限する制約は拒否リストを使用して設定されます。明示的に拒否されていないサポート対象のサービスの API エンドポイントへのリクエストは許可されます。リージョン エンドポイントを構成した後も、エンドポイントの使用を制限する組織のポリシーの制約を使用しない限り、グローバル エンドポイントにアクセスできます。

エンドポイントの使用を制限する制約は、ユーザーが新しい Google Cloud リソースを作成して保存できる物理的なロケーションを制御し、保存データのデータ所在地を適用します。このポリシーは、サポート対象サービスに対する新しいリソースの作成にのみ適用されます。既存のリソースは影響を受けません。

ロケーションの制約を適用する

リソース ロケーションの制約ポリシー（constraints/gcp.resourceLocations）は、新しい Google Cloud リソースを作成して保存できる物理的なロケーションを制御し、保存データのデータ所在地に対応します。詳細については、Resource Manager ドキュメントの 組織のポリシーを設定する をご覧ください。

リソース ロケーションの制約ポリシーを使用する場合は、 許可または拒否する Google Cloud ロケーションのリストを定義します。ロケーションには、リージョン、ゾーン、マルチリージョンを使用できます。このポリシーは、サポート対象サービスに対する新しいリソースの作成にのみ適用されます。既存のリソースは影響を受けません。

リージョン エンドポイントでこのポリシーを使用すると、転送中のデータがリージョン内に留まり、ロケーションの制約ポリシーを使用すると、許可したリージョンにデータを保存するリソースが確保されるため、メリットがあります。

組み合わせた適用

エンドポイントの使用を制限するポリシーを使用してグローバル エンドポイントを拒否し、リソース ロケーションの制約ポリシーを使用してリソースを作成できるロケーションを制限することで、保存データと転送中のデータを適用します。

• 保存データ: リソースは、許可されたリージョンにのみ作成および保存されます。
• 転送中のデータ: これらのリソースとの API インタラクションは、対応するリージョン エンドポイントを使用する場合、指定されたリージョン内で 完全に処理されます。

料金

プライベート リージョン エンドポイントの場合、料金は Private Service Connect の使用量に基づきます。請求料金には、エンドポイントとデータ処理が含まれます。

パブリック リージョン エンドポイントの場合、上り（内向き）トラフィックは課金されません。下り（外向き） トラフィックは、 スタンダード ティア ネットワークの料金に基づいて課金されます。

リファレンス ドキュメント

• Google Cloud CLI を使用してリージョン エンドポイントを管理します。
• regionalEndpoints REST ドキュメントをご覧ください。

次のステップ

• プライベート リージョン エンドポイントにアクセスする。
• パブリック リージョン エンドポイントにアクセスする。
• バックエンド経由でリージョンの Google API にアクセスする。
• サポートされているリージョンのサービス エンドポイントを確認する Google Cloud 。