メインコンテンツまでスキップ

Google API とサービスへのプライベートアクセスのためのネットワーク設定

セキュリティ上の理由からプライベートサブネットに CelerData クラスターをデプロイする場合、クラスターはデフォルトでパブリックインターネットを介して Google API やサービスにアクセスすることができません。しかし、CelerData Cloud は Google API とサービスへのアクセスを必要とします。以下の目的のためです:

  • クラスターをデプロイする際に、VPC からインストールパッケージをダウンロードする。
  • Elastic クラスターのデータを保存する。
  • クエリプロファイルを Google Cloud Storage にアップロードする。

Google API とサービスへのプライベートアクセスを有効にするには、以下の手順に従って Cloud DNS ゾーンを設定し、ルートを作成し、ファイアウォールルールを設定する必要があります。

注記

クラスターに Shared VPC を有効にしたい場合は、Set up Shared VPC に記載されている手順に従って Shared VPC を設定する必要があります。デプロイメントに使用する VPC ネットワーク、サブネット、ファイアウォールルール、ルート、および Public Cloud NAT(または予約済みの内部静的 IPv4 アドレス)は、Shared VPC のホストプロジェクトに属している必要があります。

Cloud DNS ゾーンを作成する

Google API のプライベート DNS ゾーンを設定するには、以下の手順に従ってください:

プライベート Cloud DNS ゾーンを作成する手順:

  1. Google Cloud コンソール にサインインします。
  2. 左側のナビゲーションメニューを展開し、Network Services > Cloud DNS を選択します。
  3. CREATE ZONE をクリックします。
  4. Create a DNS zone ページで、以下の手順に従います:
    • Zone typePrivate を選択します。
    • Zone namegoogle-private-access などの名前を入力します。
    • DNS namegoogleapis.com を入力します。
    • Network セクションで ADD NETWORKS をクリックします。New networks ボックスで Project を選択し、クラスター展開用の VPC Network を選択して DONE をクリックします。
  5. CREATE をクリックします。

DNS ゾーンを作成した後、プライベート Cloud DNS ゾーンに A レコードと CNAME レコードを追加します:

  1. ゾーンの詳細ページから ADD STANDARD をクリックして A レコードを作成します:
    • DNS nameprivate を入力します。
    • Resource record typeA を選択します。
    • IPv4 Address に次の 4 つの IP アドレスを入力します:199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11
    • CREATE をクリックします。
  2. ADD STANDARD を再度クリックして CNAME レコードを作成します:
    • DNS name* を入力します。
    • Resource record typeCNAME を選択します。
    • Canonical nameprivate.googleapis.com を入力します。
    • CREATE をクリックします。

image

詳細については、Configure DNS for googleapis.com を参照してください。

ルートを作成する

Google API とサービスへのトラフィックを許可するために、以下の手順に従ってルーティングルールを設定します:

  1. Google Cloud コンソール にサインインします。
  2. 左側のナビゲーションメニューを展開し、VPC Network > Routes を選択します。
  3. Routes ページの ROUTE MANAGEMENT タブで CREATE ROUTE をクリックします。 image
  4. Create a route ページで、以下の手順に従います:
    • Name にルートの名前を入力します。
    • Network でクラスター展開用の VPC を選択します。
    • Destination IPv4 range199.36.153.8/30 を入力します。
    • Next hopDefault internet gateway を選択します。
  5. CREATE をクリックします。
  6. 上記の手順を繰り返し、Destination IPv4 range34.126.0.0/18 に設定した 2 番目のルートを作成します。

ファイアウォールルールを追加する

Google API へのトラフィックを許可するために、出力ファイアウォールルールを追加する必要があります:

  1. Google Cloud コンソール にサインインします。
  2. 左側のナビゲーションメニューを展開し、VPC Network > Firewall を選択します。
  3. Create firewall rule をクリックします。 image
  4. Create a firewall rule ページで、以下の手順に従います:
    • Name にルールの名前を入力します。例:fr-egress-google-private
    • Network でクラスター展開用の VPC を選択します。
    • Direction of trafficEgress を選択します。
    • TargetsAll instances in the network を選択します。
    • Destination IPv4 ranges199.36.153.8/3034.126.0.0/18 を入力します。
    • Protocol and portsSpecified protocols and ports を選択し、TCP を選択して 443 を入力します。
  5. Create をクリックします。

詳細については、Configure Private Google Access を参照してください。

まとめ

これらの手順を完了すると、CelerData クラスターは次のことが可能になります:

  • デプロイメント中にインストールパッケージをダウンロードする。
  • Google Cloud Storage からデータを保存および取得する。
  • クエリプロファイルを安全にアップロードする。

この設定により、クラスターをパブリックインターネットにさらすことなく、Google API とサービスへのプライベートアクセスが確保されます。