GCP：限定公開アクセスとは何なのか試してみる

限定公開アクセス の機能概要

GCPのリソースへアクセスする際、

VPC内部のリソース（GCEとか）がインターネット回線でなく、

Googleの内部ネットワークを通じてアクセスできる機能のことです。

（下記図の吹き出し部分のイメージです）

 

AWSの人に向けて言うと、AWSのVPCエンドポイント的なことです。

https://cloud.google.com/compute/docs/configure-private-google-access?hl=ja

 

 

 

アクセスパターン

上記の図でSubnet2のGCEの各種条件を変えて、

それぞれのアクセスの可/不可を試してみました。 

No	条件1	条件2	条件3	外部アクセス （yahoo.co.jp等）	GCP API へのアクセス	GCP APIへの private access
1	internetルート (to 0.0.0.0/0)有	GCEへ外部IP付与有	限定公開アクセス有効	可	可	可能とのこと （googleの人へ確認）
2	internetルート (to 0.0.0.0/0)有	GCEへ外部IP付与有	限定公開アクセス無効	可	可	不可
3	internetルート (to 0.0.0.0/0)有	GCEへ外部IP付与無	限定公開アクセス有効	不可	可	可
4	internetルート (to 0.0.0.0/0)有	GCEへ外部IP付与無	限定公開アクセス無効	不可	不可	不可
5	internetルート (to 0.0.0.0/0)無	GCEへ外部IP付与有	限定公開アクセス有効	不可	不可	不可
6	internetルート (to 0.0.0.0/0)無	GCEへ外部IP付与有	限定公開アクセス無効	不可	不可	不可
7	internetルート (to 0.0.0.0/0)無	GCEへ外部IP付与無	限定公開アクセス有効	不可	不可	不可
8	internetルート (to 0.0.0.0/0)無	GCEへ外部IP付与無	限定公開アクセス無効	不可	不可	不可

 

注意点はインターネットアウトのルーティングがない状態では限定公開アクセスが通用しないことです。

https://cloud.google.com/vpc/docs/configure-private-google-access?hl=ja

限定公開の Google アクセスを使用すると、内部（プライベート）IP アドレスしか持たない（外部 IP アドレスを持たない）VM インスタンスが、Google API とサービスのパブリック IP アドレスにアクセスできます。限定公開の Google アクセスは、サブネット レベルで有効にします。そうすると、サブネット内でプライベート IP アドレスしか持たないインスタンスが、デフォルト ルート（0.0.0.0/0）を通じて Google API とサービスにトラフィックを送信できるようになります。このとき、デフォルト インターネット ゲートウェイへのネクストホップを使用します

 

結論

上記の結果から 、ONにすると、GCPへのアクセスをセキュアかつ早く実現してくれるため基本ONにしておくのが良さそうです。