Información sobre el acceso a las APIs de Google a través de extremos
En este documento, se proporciona una descripción general de los extremos de Private Service Connect que se usan para acceder a las APIs de Google.
De forma predeterminada, si tienes una aplicación que usa un servicio de Google, como Cloud Storage, tu aplicación se conecta con el nombre de DNS predeterminado para ese servicio, como storage.googleapis.com
. Los nombres de DNS predeterminados para los servicios de Google
se deciden por direcciones IP enrutables de forma pública. Sin embargo, el tráfico enviado desde
los recursos de Google Cloud para esas direcciones IP permanecen dentro de la red de Google.
Con Private Service Connect, puedes crear extremos privados con direcciones IP internas globales dentro de tu red de VPC. Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos como storage-vialink1.p.googleapis.com
y bigtable-adsteam.p.googleapis.com
.
Estos nombres y direcciones IP son internas de tu red de VPC y de cualquier red local que esté conectada a esta mediante túneles de Cloud VPN o adjuntos de VLAN. Puedes controlar qué tráfico se dirige a cada extremo y también puedes demostrar que el tráfico permanece dentro de Google Cloud.
Esta opción te brinda acceso a todos los servicios y las API de Google que se incluyen en los paquetes de API.
Características y compatibilidad
En esta tabla, se resumen las características que son compatibles con los extremos que se usan para acceder a las APIs de Google.
Configuración | Detalles |
---|---|
Configuración del consumidor (extremo) | |
Accesibilidad global | Usa una dirección IP global interna |
Tráfico interconectado | |
Tráfico de Cloud VPN | |
Configuración de DNS automática | |
Versión de IP | IPv4 |
Productor | |
Servicios compatibles | APIs globales de Google compatibles |
Acceso local
Se puede acceder a los extremos de Private Service Connect que usas para acceder a las API de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Accede al extremo desde hosts locales.
Private Service Connect y Directorio de servicios
Los extremos se registran en el Directorio de servicios. El Directorio de servicios es una plataforma para almacenar, administrar y publicar servicios. Cuando crees un extremo para acceder a los servicios y las API de Google, debes seleccionar una región del Directorio de servicios y un espacio de nombres del Directorio de servicios.
- Región del Directorio de servicios
El Directorio de servicios es un servicio regional. La región que selecciones define dónde reside el plano de control del Directorio de servicios. No hay diferencias funcionales entre las regiones, pero es posible que tengas una preferencia por motivos administrativos.
Cuando creas el primer extremo para las APIs de Google en una red de VPC, la región que seleccionas se usa como la región predeterminada para todos los extremos posteriores creados en esa red. Si una región aún no está configurada para una red y no especificas una región, se establece en
us-central1
. Todos los extremos de una red deben usar la misma región del Directorio de servicios.- Espacio de nombres del Directorio de servicios
Cuando creas el primer extremo para las APIs de Google en una red de VPC, el espacio de nombres que seleccionas se usa como el espacio de nombres predeterminado para todos los extremos posteriores creados en esa red. Si el espacio de nombres aún no está configurado para una red y no especificas un espacio de nombres, se usa un espacio de nombres generado por el sistema. Todos los extremos de una red deben usar el mismo espacio de nombres del Directorio de servicios. El espacio de nombres que elijas debe usarse solo para los extremos que se usan en el acceso a las APIs de Google. Puedes usar el mismo espacio de nombres para los extremos en varias redes.
Cuando creas un extremo, se crean las siguientes configuraciones de DNS:
Se crea una zona de DNS privado del Directorio de servicios para
p.googleapis.com
.Los registros DNS se crean en
p.googleapis.com
para algunos servicios y APIs de Google de uso común que están disponibles mediante Private Service Connect y tienen nombres de DNS predeterminados que terminan engoogleapis.com
.Consulta crea registros DNS y obtén instrucciones sobre cómo crear registros DNS para APIs y servicios que no tienen un registro DNS en
p.googleapis.com
.
Los servicios disponibles varían según si seleccionas el paquete de API all-apis
o vpc-sc
.
Se crea una zona del DNS del Directorio de servicios para cada red de VPC que contiene un extremo.
Se puede acceder a los nombres de DNS de un extremo en todas las regiones de tu red de VPC.
API admitidas
Cuando creas un extremo para acceder a las APIs y los servicios de Google, debes elegir a qué paquete de APIs necesitas acceder: Todas las APIs (all-apis
) o VPC-SC (vpc-sc
):
El paquete
all-apis
proporciona acceso a la mayoría de los servicios y las APIs de Google, incluidos todos los extremos del servicio*.googleapis.com
.El paquete
vpc-sc
proporciona acceso a las APIs y los servicios compatibles con los Controles del servicio de VPC.
Los paquetes de API solo admiten protocolos basados en HTTP mediante TCP (HTTP, HTTPS y HTTP/2) No se admiten todos los demás protocolos, incluidos ICMP y MQTT.
Paquete de API | Servicios compatibles | Ejemplo de uso |
---|---|---|
all-apis |
Habilita el acceso a la mayoría de los servicios y las APIs de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Google Maps, Google Ads, Google Cloud y la mayoría de las demás API de Google, incluidas las listas que aparecen a continuación. Es compatible con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google. No es compatible con ningún sitio web interactivo. Nombres de dominio que coinciden:
|
Elige
|
vpc-sc
| Habilita el acceso a la API a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC. Bloquea el acceso a los servicios y a las APIs de Google que son incompatibles con los Controles del servicio de VPC. Es incompatible con las API de Google Workspace y con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google. |
Elige |
vpc-sc
, ya que proporciona una mitigación de riesgos adicional para el
robo de datos. Usar vpc-sc
rechaza el acceso a los servicios y a las APIs de Google que no son compatibles con los Controles del servicio de VPC. Consulta Configura una conectividad privada en la documentación de los Controles del servicio de VPC para obtener más información.
Requisitos de dirección IP
Cuando configuras Private Service Connect en una red de VPC, proporcionas una dirección IP para usar en el extremo.
La dirección se considera dentro de la cuota del proyecto para direcciones IP internas globales.
La dirección IP debe cumplir con las siguientes especificaciones:
Debe ser una sola dirección IP y no un rango de direcciones.
Debe ser una dirección IPv4 válida. Puede ser una dirección RFC 1918 o una dirección que no sea RFC 1918. Las direcciones IPv6 no son compatibles con Private Service Connect.
No puede estar dentro del rango de subredes configuradas en la red de VPC.
No puede estar dentro de un rango de direcciones IP principal o secundario de ninguna subred en la red de VPC ni en una red conectada a la red de VPC con el intercambio de tráfico entre redes de VPC.
No puede superponerse con una ruta estática personalizada
/32
en la red de VPC local. Por ejemplo, si la red de VPC tiene una ruta estática personalizada para10.10.10.10/32
, no puedes reservar la dirección10.10.10.10
para Private Service Connect.No se puede superponer con una ruta estática personalizada de intercambio de tráfico
/32
si configuraste la red con intercambio de tráfico para exportar rutas personalizadas y si configuraste tu red de VPC para importar rutas personalizadas.No puede estar en ninguno de los rangos de IP de modo automático (en
10.128.0.0/9
) si la red de VPC local es una red de modo automático o si intercambia tráfico con una red de modo automático.No puede estar dentro de un rango de IP asignado en la red de VPC local. Sin embargo, puede estar dentro de un rango de IP asignado en una red de VPC con intercambio de tráfico.
Si un extremo se superpone con una ruta dinámica personalizada cuyo destino es el mismo
/32
, el extremo tendrá prioridad.Si una dirección IP de extremo se encuentra dentro del rango de destino de una ruta estática local, una ruta dinámica local o una ruta personalizada de intercambio de tráfico y esa ruta tiene una máscara de subred más corta que
/32
, el extremo tiene mayor prioridad.
Casos de uso
Puedes crear varios extremos en la misma red de VPC. No hay límite para el ancho de banda total enviado a un extremo en particular. Dado que los extremos usan direcciones IP internas globales, pueden ser usados por cualquier recurso en tu red de VPC, o por una red local conectada mediante túneles de Cloud VPN o adjuntos de Cloud Interconnect.
Con varios extremos, puedes especificar diferentes rutas de acceso a la red con Cloud Router y las reglas de firewall.
Puedes crear reglas de firewall para evitar que algunas VM accedan a las API de Google a través de un extremo, a la vez que permite que otras VMs tengan acceso.
Puedes tener una regla de firewall en una instancia de VM que prohíba todo el tráfico a Internet. El tráfico que se envíe a los extremos de Private Service Connect seguirá llegando a Google.
Si tienes hosts locales conectados a una VPC con un túnel de Cloud VPN o un adjunto de VLAN, puedes enviar algunas solicitudes a través del túnel o VLAN mientras envías otras solicitudes a través de la Internet pública. Esta configuración te permite omitir el túnel o la VLAN para servicios como Google Libros que no son compatibles con el Acceso privado a Google.
Para crear esta configuración, crea un extremo, anuncia las direcciones IP del extremo de Private Service Connect con los anuncios de ruta personalizados de Cloud Router y habilita una Política de reenvío entrante de Cloud DNS. La aplicación puede enviar algunas solicitudes a través del túnel de Cloud VPN o el adjunto de VLAN mediante el nombre del extremo, y puede enviar otras solicitudes a través de Internet con el nombre de DNS predeterminado.
Si conectas tu red local a tu red de VPC con varios adjuntos de VLAN, puedes enviar parte del tráfico local a través de una VLAN y el resto a través de otros medios, como se muestra en la figura 2. Esto te permite usar tus propias redes en áreas extensas, en lugar de las de Google, y controlar el movimiento de datos para cumplir con los requisitos geográficos.
Para crear esta configuración, debes crear dos extremos. Crea un anuncio de ruta personalizado para el primer extremo de la sesión de BGP del Cloud Router que administra la primera VLAN y crea un anuncio de ruta personalizado diferente para el segundo extremo de la sesión del Cloud Router que administra la segunda VLAN. Los hosts locales que están configurados para usar el nombre del extremo envían tráfico en el adjunto de VLAN correspondiente.
También puedes usar varios adjuntos de VLAN en una topología activa/activa. Si anuncias la misma dirección IP del extremo mediante anuncios de ruta personalizados para las sesiones de BGP en los routers de Cloud que administran las VLAN, los paquetes enviados desde sistemas locales a los extremos se enrutan en todas las VLAN que usan ECMP.
Precios
Los precios de Private Service Connect se describen en la página de precios de VPC.
Cuotas
La cantidad de extremos de Private Service Connect que puedes crear para acceder a las APIs de Google se controla mediante la cuota PSC Google APIs Forwarding Rules per VPC Network
.
Para obtener más información, consulta Cuotas.
Restricciones de las políticas de la organización
Un administrador de políticas de la organización puede usar la restricción constraints/compute.disablePrivateServiceConnectCreationForConsumers
para definir el conjunto de tipos de extremos para los usuarios no puede crear reglas de reenvío.
Para obtener información sobre la creación de una política de la organización que use esta restricción, consulta Impedir que los consumidores implementen extremos por tipo de conexión.
¿Qué sigue?
- Configurar Private Service Connect para acceder a las API y los servicios de Google