Accès aux services privés

Cette page présente l'accès aux services privés.

Google et des tiers (appelés collectivement des producteurs de services) peuvent proposer des services hébergés sur un réseau VPC. L'accès aux services privés vous permet d'atteindre les adresses IP internes de ces services Google et tiers à l'aide de connexions privées. Cela est utile si vous souhaitez que les instances de machine virtuelle de votre réseau VPC utilisent des adresses IP internes au lieu d'adresses IP externes. Pour plus d'informations sur l'utilisation de l'accès aux services privés, consultez la page Configurer l'accès aux services privés.

L'accès aux services privés nécessite l'allocation d'une plage d'adresses IP internes, puis la création d'une connexion privée. Une plage allouée est un bloc CIDR réservé qui ne peut pas être utilisé sur votre réseau VPC local. Elle est réservée aux producteurs de services, et elle empêche les chevauchements entre votre réseau VPC et celui du producteur de services.

La connexion privée relie votre réseau VPC au réseau VPC du producteur de services. Cette connexion permet aux instances de VM de votre réseau VPC d'utiliser des adresses IP internes pour accéder aux ressources de service. Vos instances peuvent avoir des adresses IP externes, mais les adresses IP externes ne sont pas obligatoires pour l'accès aux services privés et ne sont pas utilisées dans ce cadre.

Si un producteur de services propose plusieurs services, vous n'avez besoin que d'une seule connexion privée. Lorsque vous créez une connexion privée, vous utilisez l'API Service Networking pour la créer. Cependant, Google Cloud met en œuvre cette connexion en tant que connexion d'appairage de réseaux VPC entre votre réseau VPC et celui du producteur de services. Votre réseau VPC l'affiche sous la forme d'une connexion d'appairage. Pour supprimer la connexion privée, vous devez supprimer la connexion d'appairage.

L'utilisation de plages d'adresses IPv6 avec accès aux services privés n'est pas disponible.

Vous ne pouvez utiliser l'accès aux services privés qu'avec les services compatibles. Vérifiez auprès du producteur de services la possibilité de créer une connexion privée.

Réseau de producteurs de services

Du côté du producteur de services de la connexion privée, il y a un réseau VPC où vos ressources de service sont provisionnées. Le réseau du producteur de services est créé exclusivement pour vous et ne contient que vos ressources.

Une ressource sur le réseau du producteur de services est semblable aux autres ressources de votre réseau VPC. Par exemple, elle est accessible via des adresses IP internes par d'autres ressources de votre réseau VPC. Vous pouvez également créer des règles de pare-feu dans votre réseau VPC afin de contrôler l'accès au réseau du producteur de services.

Pour en savoir plus sur les accès côté producteur de services, consultez la section Activer l'accès aux services privés dans la documentation de Service Infrastructure. Cette documentation est fournie à titre de référence seulement, et n'est pas nécessaire pour activer ou utiliser l'accès aux services privés.

Accès aux services privés et connectivité sur site

Dans les scénarios de mise en réseau hybride, un réseau sur site est connecté à un réseau VPC via une connexion Cloud VPN ou Cloud Interconnect. Par défaut, les hôtes sur site ne peuvent pas atteindre le réseau du producteur de services en utilisant l'accès aux services privés.

Dans le réseau VPC, vous pouvez disposer de routes statiques ou dynamiques personnalisées pour diriger correctement le trafic vers votre réseau sur site. Cependant, le réseau du producteur de services ne contient pas ces mêmes routes. Lorsque vous créez une connexion privée, le réseau VPC et le réseau du producteur de services n'échangent que des routes de sous-réseau.

Le réseau du producteur de services contient une route par défaut (0.0.0.0/0) qui passe par Internet. Si vous exportez une route par défaut vers le réseau du producteur de services, celle-ci est ignorée car la route par défaut du réseau de producteur de services est prioritaire. Définissez et exportez plutôt une route personnalisée avec une destination plus spécifique. Pour plus d'informations, reportez-vous à la section Ordre de routage.

Vous devez exporter les routes personnalisées du réseau VPC afin que le réseau du producteur de services puisse les importer et acheminer correctement le trafic vers votre réseau sur site. Mettez à jour la configuration d'appairage VPC associée à la connexion privée pour exporter les routes personnalisées.

Transitivité des services avec Network Connectivity Center

Pour certains services disponibles via l'accès aux services privés, vous pouvez utiliser Network Connectivity Center pour rendre le service accessible aux autres spokes d'un hub en créant un spoke VPC de producteur. Pour en savoir plus, y compris sur les services compatibles, consultez la section Spokes VPC de producteur.

Remarques

Avant de configurer l'accès aux services privés, tenez compte des considérations liées au choix d'un réseau VPC et d'une plage d'adresses IP.

Services compatibles

Les services Google suivants sont compatibles avec l'accès aux services privés :

Exemple

Dans l'exemple suivant, le réseau VPC du client a alloué la plage d'adresses 10.240.0.0/16 aux services Google et a établi une connexion privée utilisant cette plage. Chaque service Google crée un sous-réseau à partir du bloc alloué pour fournir de nouvelles ressources dans une région donnée, telles que des instances Cloud SQL.

Accès aux services privés.
Accès aux services privés (cliquez pour agrandir)
  • La connexion privée se voit attribuer la plage 10.240.0.0/16. À partir de cette allocation, les services Google peuvent créer des sous-réseaux où de nouvelles ressources sont provisionnées.
  • Du côté des services Google de la connexion privée, Google crée un projet pour le client. Le projet est isolé, ce qui signifie qu'il n'est partagé avec aucun autre client, et le client est facturé à hauteur des seules ressources qu'il fournit. Google crée également un réseau VPC dans ce projet isolé et le connecte au réseau client à l'aide de l'appairage de réseaux VPC.
  • Chaque service Google crée un sous-réseau dans lequel le client peut provisionner des ressources. La plage d'adresses IP du sous-réseau est un bloc CIDR provenant de la plage d'adresses IP allouée. Le bloc CIDR est choisi par le service et possède généralement une plage d'adresses IP comprise entre /29 et /24. Vous ne pouvez pas modifier le sous-réseau du producteur de services. Un service provisionne de nouvelles ressources dans les sous-réseaux régionaux existants précédemment créés par ce service. Si un sous-réseau est saturé, le service crée un nouveau sous-réseau dans la même région.
  • Une fois le sous-réseau créé, le réseau client importe les routes depuis le réseau du service.
  • Les instances de VM du réseau du client peuvent accéder aux ressources de service de n'importe quelle région si le service est compatible. Cependant, certains services peuvent ne pas être compatibles avec la communication interrégionale. Consultez la documentation du service concerné pour plus d'informations.
  • L'instance Cloud SQL se voit attribuer l'adresse IP 10.240.0.2. Dans le réseau VPC du client, les requêtes dont la destination est 10.240.0.2 sont acheminées vers la connexion privée via le réseau du producteur de services. Lorsque les requêtes ont atteint le réseau de service, celui-ci contient des routes qui les dirigent vers la ressource appropriée.
  • Le trafic entre les réseaux VPC circule en interne au sein du réseau de Google et non via l'Internet public.

Tarifs

Pour connaître les tarifs d'accès aux services privés, consultez la section Accès aux services privés sur la page des tarifs du VPC.

Étapes suivantes