プライベート IP 接続を構成する

各接続方法にはそれぞれ異なる利点とトレードオフがあります。シナリオに最適なアプローチを選択してください。AlloyDB for PostgreSQL のプライベート サービス アクセスと Private Service Connect の詳細については、AlloyDB for PostgreSQL ドキュメントのプライベート IP の概要をご覧ください。

VPC ピアリングを使用して接続を構成する

VPC のチェーンはサポートされていません。ソースが別の Google Cloud プロジェクトにある場合は、共有 VPC の概要で、複数のプロジェクトのリソースを VPC ピアリング用の共通 VPC ネットワークに接続する方法を確認してください。

ソース データベース サーバーのファイアウォールは、AlloyDB の宛先インスタンスが使用する VPC ネットワークのプライベート サービス接続に割り振られた内部 IP 範囲全体を許可するように構成する必要があります。

Console で内部 IP 範囲を確認するには:

1. Google Cloud コンソールの VPC ネットワーク ページに移動します。

2. 使用する VPC ネットワークを選択します。

3. [プライベート サービス接続] タブを選択します。

VPC ピアリングでは、プライベート サービス アクセスを使用します。これは、VPC ピアリングを使用するプロジェクトごとに 1 回構成する必要があります。private services access を確立したら、移行ジョブをテストして接続を確認します。

Database Migration Service のプライベート サービス アクセスを構成する

Database Migration Service インスタンスのいずれかにプライベート IP を使用している場合は、Database Migration Service インスタンスに接続している、または接続する必要のあるすべての Google Cloud プロジェクトに対して、プライベート サービス アクセスを一度のみ構成する必要があります。

プライベート サービス アクセスを確立するには、compute.networkAdmin の IAM ロールが必要です。ネットワークでプライベート サービス アクセスを確立した後は、compute.networkAdmin IAM ロールがなくても、プライベート IP を使用するようにインスタンスを構成できます。

プライベート サービス アクセスでは、まず内部 IP アドレス範囲を割り振ってから、プライベート接続を作成し、カスタムルートをエクスポートする必要があります。

割り当て範囲は、ローカル VPC ネットワークでは使用できない予約済みの CIDR ブロックです。プライベート接続を作成するときに、割り当てを指定します。プライベート接続は、VPC ネットワークを基盤となる（「サービス プロデューサー」）VPC ネットワークにリンクします。

プライベート接続を作成すると、VPC ネットワークとサービス プロデューサー ネットワークはサブネット ルートのみを交換します。サービス プロバイダのネットワークがルートをインポートし、オンプレミス ネットワークにトラフィックを正しく転送できるように、VPC ネットワークのカスタムルートをエクスポートする必要があります。

ピアリングを構成すると、別の VPC ネットワークに接続する意思が示されます。ピアリングされるそれぞれのネットワークが相手側とのピアリングを構成するまでは、両者は接続されません。相手側のネットワークでこちら側のネットワークとピアリングするための構成が行われると、双方のネットワークでピアリング状態が ACTIVE に変わり、接続が確立されます。相手側のネットワークで同じピアリング構成が行われていない場合、ピアリング状態は INACTIVE のままになります。これは、2 つのネットワークが接続されていないことを示します。

接続された 2 つのネットワークは常にサブネット ルートを交換します。ピアリングされたネットワークが静的と動的のカスタムルートをエクスポートするように構成されていれば、そのネットワークから必要に応じて両方のカスタムルートをインポートできます。

プライベート サービス アクセスの構成プロセスは、2 つの部分で構成されています。

• IP アドレス範囲を割り振る。この範囲には、すべてのインスタンスが含まれます。
• VPC ネットワークからサービス プロデューサー ネットワークへのプライベート接続を作成する。

IP アドレス範囲を割り振る

gcloud compute addresses create google-managed-services-my-vpc-network \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=16 \
    --network=my-vpc-network \
    --project=my-project

プライベート接続の作成

カスタムルートのエクスポート

既存の VPC ネットワーク ピアリング接続を更新して、ピア VPC ネットワークとの間でのカスタムルートのエクスポートまたはインポートに関する設定を変更します。

カスタムルートをインポートできるのは、ピア ネットワークがカスタムルートをエクスポートしている場合のみです。ピア ネットワークでは、カスタムルートをインポートする場合にのみカスタムルートを受け取ります。

gcloud compute networks peerings update [PEERING-NAME] \
    --network=[MY-LOCAL-NETWORK] \
    [--[no-]import-custom-routes] \
    [--[no-]export-custom-routes]

roles/servicenetworking.serviceAgent ロールの付与

  gcloud beta services identity create \
    --service=servicenetworking.googleapis.com \
    --project=project-id

  gcloud projects add-iam-policy-binding project-id \
    --member="service-account-prefix@service-networking.iam.gserviceaccount.com" \
    --role="roles/servicenetworking.serviceAgent"

Private Service Connect インターフェースを使用して接続を構成する

同種移行の場合、AlloyDB for PostgreSQL は Private Service Connect インターフェースを使用して、プライベート ネットワーク経由で接続を確立できます。この接続方法は、既存のインスタンスに移行する場合にのみ使用できます。

Private Service Connect インターフェースを使用するには、次の操作を行います。

1. Private Service Connect が有効になっている AlloyDB for PostgreSQL クラスタと、そのクラスタ内のプライマリ インスタンスを作成します。AlloyDB for PostgreSQL のドキュメントの Private Service Connect を有効にするをご覧ください。

2. インスタンスのアウトバウンド接続用に Private Service Connect を構成します。AlloyDB for PostgreSQL のドキュメントのアウトバウンド接続を構成するをご覧ください。

   ネットワーク アタッチメントを作成する VPC ネットワークが、ソース データベースのプライベート IP アドレスに到達できるネットワークであることを確認します。

3. 後で移行ジョブを作成するときに、接続方法として PSC インターフェースを選択します。