メインコンテンツまでスキップ

Google API とサービスへのプライベートアクセスのためのネットワーク設定

セキュリティ上の理由からプライベートサブネットに CelerData クラスターをデプロイする場合、クラスターはデフォルトでパブリックインターネット経由でアクセスしたり、リソースにアクセスしたりすることができません。Google API とサービスへのアクセスが必要です。しかし、CelerData Cloud は以下のために Google API とサービスへのアクセスが必要です。

  • クラスターをデプロイする際に VPC からインストールパッケージをダウンロードする。
  • Elastic クラスターのデータを保存する。
  • Google Cloud Storage にクエリプロファイルをアップロードする。

Google API とサービスへのプライベートアクセスを有効にするには、以下の手順で Cloud DNS ゾーンを設定し、ルートを作成し、ファイアウォールルールを設定する必要があります。

Cloud DNS ゾーンの作成

Google API 用のプライベート DNS ゾーンを設定するには、以下の手順に従ってください。

プライベート Cloud DNS ゾーンを作成する手順は次のとおりです。

  1. Google Cloud コンソール にサインインします。
  2. 左側のナビゲーションメニューを展開し、Network Services > Cloud DNS を選択します。
  3. CREATE ZONE をクリックします。
  4. Create a DNS zone ページで、次の手順に従います。
    • Zone typePrivate を選択します。
    • Zone name を入力します。例: google-private-access
    • DNS namegoogleapis.com を入力します。
    • Network セクションで ADD NETWORKS をクリックします。New networks ボックスで Project を選択し、クラスターのデプロイメント用の VPC Network を選択し、DONE をクリックします。
  5. CREATE をクリックします。

DNS ゾーンを作成した後、プライベート Cloud DNS ゾーンに A レコードと CNAME レコードを追加します。

  1. ゾーンの詳細ページから ADD STANDARD をクリックして A レコードを作成します。
    • DNS nameprivate を入力します。
    • Resource record typeA を選択します。
    • IPv4 Address に次の 4 つの IP アドレスを入力します: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11
    • CREATE をクリックします。
  2. ADD STANDARD を再度クリックして CNAME レコードを作成します。
    • DNS name* を入力します。
    • Resource record typeCNAME を選択します。
    • Canonical nameprivate.googleapis.com を入力します。
    • CREATE をクリックします。

image

詳細については、Configure DNS for googleapis.com を参照してください。

ルートの作成

Google API とサービスへのトラフィックを許可するために、次の手順に従ってルーティングルールを設定します。

  1. Google Cloud コンソール にサインインします。
  2. 左側のナビゲーションメニューを展開し、VPC Network > Routes を選択します。
  3. Routes ページの ROUTE MANAGEMENT タブで CREATE ROUTE をクリックします。 image
  4. Create a route ページで、次の手順に従います。
    • Name にルートの名前を入力します。
    • Network でクラスターのデプロイメント用の VPC を選択します。
    • Destination IPv4 range199.36.153.8/30 を入力します。
    • Next hopDefault internet gateway を選択します。
  5. CREATE をクリックします。
  6. 上記の手順を繰り返して、Destination IPv4 range34.126.0.0/18 に設定した 2 番目のルートを作成します。

ファイアウォールルールの追加

Google API へのトラフィックを許可するために、送信ファイアウォールルールを追加する必要があります。

  1. Google Cloud コンソール にサインインします。
  2. 左側のナビゲーションメニューを展開し、VPC Network > Firewall を選択します。
  3. Create firewall rule をクリックします。 image
  4. Create a firewall rule ページで、次の手順に従います。
    • Name にルールの名前を入力します。例: fr-egress-google-private
    • Network でクラスターのデプロイメント用の VPC を選択します。
    • Direction of trafficEgress を選択します。
    • TargetsAll instances in the network を選択します。
    • Destination IPv4 ranges199.36.153.8/3034.126.0.0/18 を入力します。
    • Protocol and portsSpecified protocols and ports を選択し、TCP を選択して 443 を入力します。
  5. Create をクリックします。

詳細については、Configure Private Google Access を参照してください。

まとめ

これらの手順を完了すると、CelerData クラスターは次のことが可能になります。

  • デプロイメント中にインストールパッケージをダウンロードする。
  • Google Cloud Storage からデータを保存および取得する。
  • クエリプロファイルを安全にアップロードする。

この設定により、クラスターをパブリックインターネットにさらすことなく、Google API とサービスへのプライベートアクセスが確保されます。