Acceso a servicios privados
En esta página se ofrece una descripción general del acceso de servicios privados.
Google y terceros (denominados conjuntamente productores de servicios) pueden ofrecer servicios alojados en una red de VPC. El acceso a servicios privados te permite acceder a esos servicios creando una conexión privada entre tu red de VPC y la red de VPC del productor de servicios. El tráfico de acceso a servicios privados se desplaza internamente por la red de Google, no por la red pública de Internet. Para obtener más información sobre cómo usar el acceso privado a servicios, consulta el artículo Configurar acceso privado a servicios.
Para usar el acceso a servicios privados, primero debes asignar un intervalo de direcciones IPv4 internas y, a continuación, crear una conexión privada. Un intervalo asignado es un bloque CIDR reservado que no se puede usar en tu red de VPC local. Se reserva solo para los productores de servicios y evita que se solapen tu red de VPC y la red de VPC del productor de servicios.
La conexión privada vincula tu red de VPC con la red de VPC del productor de servicios. Esta conexión permite que las instancias de VM de tu red VPC usen direcciones IPv4 internas para acceder a las direcciones IPv4 internas de los recursos de servicio. Tus instancias pueden tener direcciones IP externas, pero no son necesarias ni se usan para el acceso a servicios privados.
Si un productor de servicios ofrece varios servicios, solo necesitas una conexión privada. Cuando creas una conexión privada, usas la API Service Networking para hacerlo. Sin embargo, Google Cloud implementa esta conexión como una conexión de emparejamiento entre redes de VPC entre tu red de VPC y la red de VPC del productor de servicios. Tu red de VPC muestra la conexión privada como una conexión de emparejamiento entre redes de VPC.
No se admite el uso de intervalos de direcciones IPv6 con el acceso a servicios privados.
Solo puedes usar el acceso a servicios privados con servicios que lo admitan. Ponte en contacto con el productor del servicio antes de crear una conexión privada.
Red de productores de servicios
En el lado del productor de servicios de la conexión privada, hay una red de VPC en la que se aprovisionan los recursos de tu servicio. La red del productor de servicios se crea exclusivamente para ti y solo contiene tus recursos.
Un recurso de la red del productor de servicios es similar a otros recursos de tu red de VPC. Por ejemplo, se puede acceder a ella a través de direcciones IP internas desde otros recursos de tu red de VPC. También puedes crear reglas de cortafuegos en tu red de VPC para controlar el acceso a la red del productor del servicio.
Para obtener más información sobre el lado del productor de servicios, consulta Habilitar el acceso a servicios privados en la documentación de Service Infrastructure. Esta documentación se proporciona únicamente con fines informativos y no es necesario que la consultes para habilitar o usar el acceso a servicios privados.
Acceso a servicios privados y conectividad local
En los casos de redes híbridas, una red local se conecta a una red de VPC a través de una conexión Cloud VPN o Cloud Interconnect. De forma predeterminada, los hosts on-premise no pueden acceder a la red del productor de servicios mediante el acceso a servicios privados.
En la red de VPC, puede que tengas rutas estáticas o dinámicas personalizadas para dirigir correctamente el tráfico a tu red local. Sin embargo, la red del productor de servicios no contiene esas mismas rutas. Cuando creas una conexión privada, la red de VPC y la red del productor de servicios solo intercambian rutas de subred.
La red del productor de servicios contiene una ruta predeterminada (0.0.0.0/0) que va a Internet. Si exportas una ruta predeterminada a la red del productor de servicios, se ignorará porque la ruta predeterminada de la red del productor de servicios tiene prioridad. En su lugar, defina y exporte una ruta personalizada con un destino más específico. Para obtener más información, consulta Orden de enrutamiento.
Debes exportar las rutas personalizadas de la red VPC para que la red del proveedor de servicios pueda importarlas y enrutar correctamente el tráfico a tu red local. Actualiza la configuración del emparejamiento entre VPCs asociada a la conexión privada para exportar rutas personalizadas.
Transitividad de servicios con Network Connectivity Center
En el caso de algunos servicios que están disponibles a través del acceso a servicios privados, puedes usar Network Connectivity Center para que el servicio sea accesible para otros radios de un centro de conectividad creando un radio de VPC de productor. Para obtener más información, incluidos los servicios admitidos, consulta Spokes de VPC de productor.
Cuestiones importantes
Antes de configurar el acceso a servicios privados, consulta las consideraciones para elegir una red de VPC y un intervalo de direcciones IP.
Servicios admitidos
Los siguientes servicios de Google admiten el acceso privado a servicios:
- AI Platform Training
- AlloyDB for PostgreSQL
- Apigee
- Backup y DR
- Cloud Build
- Sistema de Detección de Intrusos de Cloud
- Cloud SQL (no admite peerings de DNS)
- TPU de Cloud
- Converge Enterprise Cloud con IBM Power para Google Cloud
- Filestore
- Google Cloud Managed Lustre
- VMware Engine de Google Cloud
- Looker (servicio principal de Google Cloud)
- Memorystore para Memcached
- Memorystore para Redis
- Vertex AI
Ejemplo
En el siguiente ejemplo, la red VPC del cliente ha asignado el intervalo de direcciones 10.240.0.0/16
para los servicios de Google y ha establecido una conexión privada que utiliza el intervalo asignado. Cada servicio de Google crea una subred a partir del bloque asignado para aprovisionar nuevos recursos en una región determinada, como las instancias de Cloud SQL.
- A la conexión privada se le asigna el intervalo
10.240.0.0/16. A partir de esta asignación, los servicios de Google pueden crear subredes en las que se aprovisionan nuevos recursos. - En el lado de los servicios de Google de la conexión privada, Google crea un proyecto para el cliente. El proyecto está aislado, lo que significa que ningún otro cliente lo comparte y que al cliente solo se le factura por los recursos que aprovisiona. Google también crea una red de VPC en este proyecto aislado y la conecta a la red del cliente mediante el emparejamiento entre redes de VPC.
- Cada servicio de Google crea una subred en la que aprovisionar recursos. El intervalo de direcciones IP de la subred es un bloque CIDR que procede del intervalo de direcciones IP asignado. El servicio elige el bloque CIDR, que suele tener un intervalo de direcciones IP de
/29a/24. No puedes modificar la subred del productor de servicios. Un servicio aprovisiona nuevos recursos en subredes regionales que ya ha creado. Si una subred está llena, el servicio crea una nueva subred en la misma región. - Una vez creada la subred, la red del cliente importa rutas de la red de servicio.
- Las instancias de VM de la red del cliente pueden acceder a los recursos de servicio de cualquier región si el servicio lo admite. Es posible que algunos servicios no admitan la comunicación entre regiones. Para obtener más información, consulta la documentación del servicio correspondiente.
- A la instancia de Cloud SQL se le asigna la dirección IP
10.240.0.2. En la red de VPC del cliente, las solicitudes con el destino10.240.0.2se enrutan a la conexión privada a la red del productor de servicios. Una vez que la solicitud llega a la red de servicios, esta contiene rutas que dirigen la solicitud al recurso correcto. - El tráfico entre redes de VPC se desplaza internamente por la red de Google, no por la red pública de Internet.
Precios
Para consultar los precios del acceso privado a los servicios, consulta la sección Acceso privado a los servicios de la página de precios de VPC.
Siguientes pasos
- Para asignar intervalos de direcciones IP, crear conexiones privadas o compartir zonas DNS privadas, consulta Configurar el acceso a servicios privados.