目的
- 基本組織ポリシーで外部IP付与が禁止されている環境下で、外部IP付与が許可されているプロジェクトをホストプロジェクトとする共有VPCを利用して、インターネットからGoogle Cloud への通信を許可する制御を実現する。
前提
- 共有VPCのホストプロジェクト側でCloud load balancerをデプロイし、外部通信について責務を負う
- サービスプロジェクト側のインスタンスグループに接続する
手順
-
サービスプロジェクトでインスタンステンプレートを作成する
リージョンは共有VPCのサブネットが存在するリージョンを選択。
ネットワーク欄にて、デフォルトのネットワークインターフェースを削除し共有ネットワークを選択。
-
サービスプロジェクトでインスタンスグループを作成する
今回は検証用のため、自動スケーリングの最大数は3とする。ほかはデフォルト設定
-
サービスプロジェクト側でバックエンドを構成する
- ホストプロジェクトでCloud loadbalancerを作成する
今回は、グローバルでなく、東京リージョンを使用するのみでよいため、リージョンの外部アプリケーションロードバランサの作成をする。
フロントエンドの構成は下記のように作成する
バックエンドの構成はサービスプロジェクト側で作成したインスタンスグループ名とプロジェクトIDを指定する