私の戦闘力は53万です

awsとgcpについて書きます

GCP:限定公開アクセスとは何なのか試してみる

限定公開アクセス の機能概要

GCPのリソースへアクセスする際、
VPC内部のリソース(GCEとか)がインターネット回線でなく、
Googleの内部ネットワークを通じてアクセスできる機能のことです。
(下記図の吹き出し部分のイメージです)
 
AWSの人に向けて言うと、AWSVPCエンドポイント的なことです。
 
 
 

アクセスパターン

上記の図でSubnet2のGCEの各種条件を変えて、
それぞれのアクセスの可/不可を試してみました。 
No 条件1 条件2 条件3 外部アクセス
(yahoo.co.jp等)
GCP API へのアクセス GCP APIへの
private access
1 internetルート
(to 0.0.0.0/0)有
GCEへ外部IP付与有 限定公開アクセス有効 可能とのこと
googleの人へ確認)
2 internetルート
(to 0.0.0.0/0)有
GCEへ外部IP付与有 限定公開アクセス無効 不可
3 internetルート
(to 0.0.0.0/0)有
GCEへ外部IP付与無 限定公開アクセス有効 不可
4 internetルート
(to 0.0.0.0/0)有
GCEへ外部IP付与無 限定公開アクセス無効 不可 不可 不可
5 internetルート
(to 0.0.0.0/0)無
GCEへ外部IP付与有 限定公開アクセス有効 不可 不可 不可
6 internetルート
(to 0.0.0.0/0)無
GCEへ外部IP付与有 限定公開アクセス無効 不可 不可 不可
7 internetルート
(to 0.0.0.0/0)無
GCEへ外部IP付与無 限定公開アクセス有効 不可 不可 不可
8 internetルート
(to 0.0.0.0/0)無
GCEへ外部IP付与無 限定公開アクセス無効 不可 不可 不可
 
注意点はインターネットアウトのルーティングがない状態では限定公開アクセスが通用しないことです。
限定公開の Google アクセスを使用すると、内部(プライベート)IP アドレスしか持たない(外部 IP アドレスを持たない)VM インスタンスが、Google API とサービスのパブリック IP アドレスにアクセスできます。限定公開の Google アクセスは、サブネット レベルで有効にします。そうすると、サブネット内でプライベート IP アドレスしか持たないインスタンスが、デフォルト ルート(0.0.0.0/0)を通じて Google API とサービスにトラフィックを送信できるようになります。このとき、デフォルト インターネット ゲートウェイへのネクストホップを使用します
 

結論

上記の結果から 、ONにすると、GCPへのアクセスをセキュアかつ早く実現してくれるため基本ONにしておくのが良さそうです。