Acceso privado a servicios
En esta página, se proporciona una descripción general del acceso privado a servicios.
Google y los terceros (que en conjunto se conocen como productores de servicios) pueden ofrecer servicios que se alojan en una red de VPC. El acceso privado a los servicios te permite acceder a las direcciones IP internas de estos servicios de Google y de terceros a través de conexiones privadas. Esto es útil si deseas que las instancias de VM en la red de VPC usen direcciones IP internas en lugar de externas. Para obtener detalles sobre cómo usar el acceso privado a los servicios, consulta Configura el acceso privado a los servicios.
El acceso privado a servicios requiere que primero asignes un rango de direcciones IPv4 internas y, luego, crees una conexión privada. Un rango asignado es un bloque CIDR reservado que no se puede usar en la red de VPC local. Se reserva solo para los productores de servicios y evita que se superpongan tu red de VPC y la de ellos.
La conexión privada vincula tu red de VPC con la red de VPC del productor de servicios. Esta conexión permite que las instancias de VM de la red de VPC usen direcciones IPv4 internas para acceder a los recursos de servicio. Las instancias pueden tener direcciones IP externas, pero el acceso privado a los servicios no las requiere ni las usa.
Si un productor de servicios ofrece varios servicios, solo necesitas una conexión privada. Cuando creas una conexión privada, debes usar la API de Herramientas de redes de servicios para hacerlo. Sin embargo, Google Cloud implementa esta conexión como una conexión de intercambio de tráfico entre redes de VPC entre tu red de VPC y la del productor de servicios. Por ejemplo, la red de VPC la muestra como una conexión de intercambio de tráfico y, para borrar la conexión privada, debes borrar la conexión de intercambio de tráfico.
No se admite el uso de rangos de direcciones IPv6 con acceso privado a servicios.
Puedes usar el acceso privado a los servicios solo con los servicios compatibles. Consulta con el productor de servicios antes de crear una conexión privada.
Red de productores de servicios
En el lado del productor de servicios de la conexión privada, hay una red de VPC, en la que se aprovisionan los recursos de servicio. La red del productor de servicios se crea de forma exclusiva para ti y contiene solo tus recursos.
Un recurso en la red del productor de servicios es similar a otro recurso en tu red de VPC. Por ejemplo, otros recursos de tu red de VPC pueden acceder a ellos a través de direcciones IP internas. También puedes crear reglas de firewall en la red de VPC para controlar el acceso a la red del productor de servicios.
Para obtener detalles sobre el lado del productor de servicios, consulta Habilita el acceso privado a servicios en la documentación de Service Infrastructure. Esta documentación es solo para tu información y no es necesaria para habilitar o usar el acceso privado a los servicios.
Acceso privado a servicios y conectividad local
En situaciones de redes híbridas, una red local se conecta a una red de VPC a través de una conexión de Cloud VPN o Cloud Interconnect. De forma predeterminada, los hosts locales no pueden acceder a la red del productor de servicios a través de el acceso privado a servicios.
En la red de VPC, es posible que tengas rutas estáticas o dinámicas personalizadas para dirigir el tráfico a la red local de manera correcta. Sin embargo, la red del productor de servicios no contiene esas mismas rutas. Cuando creas una conexión privada, la red de VPC y la red del productor de servicios solo intercambian rutas de subredes.
Nota: La red del productor de servicios contiene una ruta predeterminada (0.0.0.0/0
) que se conecta a Internet. Si exportas una ruta predeterminada a la red del productor de servicios, esta se ignora porque la ruta predeterminada de la red del productor de servicios tiene prioridad. En su lugar, debes definir y exportar una ruta personalizada con un destino más específico. Para obtener más información, consulta Orden de enrutamiento.
Debes exportar las rutas personalizadas de la red de VPC para que la red del proveedor de servicios pueda importarlas y enrutar el tráfico a la red local de forma correcta. Actualiza la configuración de intercambio de tráfico de VPC asociada a la conexión privada para exportar rutas personalizadas.
Transitividad de servicios con Network Connectivity Center
Para algunos servicios que están disponibles a través del acceso privado a servicios, puedes usar Network Connectivity Center para que otros radios de un concentrador puedan acceder al servicio. Para ello, crea un radio de VPC de productor. Para obtener más información, incluidos los servicios compatibles, consulta Radios de VPC de productores.
Consideraciones
Antes de configurar el acceso privado a servicios, consideraciones para elegir una red de VPC y un rango de direcciones IP.
Servicios compatibles
Estos servicios de Google son compatibles con el acceso privado a servicios:
- AI Platform Training
- AlloyDB para PostgreSQL
- Apigee
- Copia de seguridad y DR
- Cloud Build
- Sistema de detección de intrusiones de Cloud
- Cloud SQL (no admite el intercambio de tráfico de DNS)
- Cloud TPU
- Converja Enterprise Cloud con IBM Power para Google Cloud
- Filestore
- Google Cloud VMware Engine
- Looker (Google Cloud Core)
- Memorystore para Memcached
- Memorystore para Redis
- Vertex AI
Ejemplo
En el siguiente ejemplo, la red de VPC del cliente asignó el rango de direcciones 10.240.0.0/16
para los servicios de Google y estableció una conexión privada que usa el rango asignado. Cada servicio de Google crea una subred del bloque asignado para aprovisionar recursos nuevos en una región determinada, como las instancias de Cloud SQL.
- Se asigna el rango
10.240.0.0/16
a la conexión privada. A partir de esta asignación, los servicios de Google pueden crear subredes en las que se aprovisionan recursos nuevos. - Del lado de los servicios de Google de la conexión privada, Google crea un proyecto para el cliente. El proyecto está aislado, lo que significa que no se comparte con ningún otro cliente y al cliente solo se le facturan los recursos con los que se aprovisionó. Google también crea una red de VPC en este proyecto aislado y la conecta a la red del cliente a través de el intercambio de tráfico entre redes de VPC.
- Cada servicio de Google crea una subred en la que aprovisionar recursos. El rango de direcciones IP de la subred es un bloque CIDR que proviene del rango de direcciones IP asignadas. El servicio elige el bloque CIDR y, por lo general, tiene un rango de direcciones IP de
/29
a/24
. No puedes modificar la subred del productor de servicios. Un servicio aprovisiona recursos nuevos en subredes regionales existentes que ese servicio creó antes. Si una subred está llena, el servicio crea una subred nueva en la misma región. - Después de crear la subred, la red del cliente importa rutas desde la red de servicio.
- Las instancias de VM en la red del cliente pueden acceder a los recursos de servicio en cualquier región si el servicio lo admite. Es posible que algunos servicios no admitan la comunicación entre regiones. Para obtener más información, consulta la documentación del servicio correspondiente.
- A la instancia de Cloud SQL se le asigna la dirección IP
10.240.0.2
. En la red de VPC del cliente, las solicitudes con un destino de10.240.0.2
se enrutan a la conexión privada a la red del productor del servicio. Después de que se accede a la red de servicio, esta contiene rutas que dirigen la solicitud al recurso correcto. - El tráfico entre redes de VPC fluye de forma interna dentro de la red de Google, no a través de la Internet pública.
Precios
Para los precios de acceso a servicios privados, consulta Acceso privado a servicios en la página de precios de VPC.
¿Qué sigue?
- Para asignar rangos de direcciones IP, crear conexiones privadas o compartir zonas DNS privadas, consulta Configura el acceso privado a los servicios.