Accesso privato ai servizi

Questa pagina fornisce una panoramica dell'accesso privato ai servizi.

Google e terze parti (noti insieme come produttori di servizi) possono offrire ospitati in una rete VPC. L'accesso ai servizi privati ti consente di raggiungere gli indirizzi IP interni di questi servizi Google e di terze parti utilizzando connessioni private. Ciò è utile se vuoi che le istanze VM nella tua rete VPC utilizzino indirizzi IP interni anziché indirizzi IP esterni. Per maggiori dettagli sull'utilizzo dell'accesso privato ai servizi, vedi Configurare l'accesso privato ai servizi.

L'accesso privato ai servizi richiede prima l'allocazione di un intervallo di indirizzi IPv4 interno e quindi la creazione di una connessione privata. Un intervallo allocato è un Blocco CIDR che non può essere utilizzato nella rete VPC locale. È impostata da parte solo per i producer di servizi e impedisce la sovrapposizione rete VPC e VPC del producer di servizi in ogni rete.

La connessione privata collega la tua rete VPC alla rete VPC del producer di servizi. Questa connessione consente alle istanze VM rete VPC per utilizzare gli indirizzi IPv4 interni per raggiungere di risorse di servizio. Le istanze possono avere indirizzi IP esterni, ma gli indirizzi IP esterni non sono necessari e non sono usato dall'accesso privato ai servizi.

Se un producer di servizi offre più servizi, è sufficiente un solo connessione. Quando crei una connessione privata, utilizzi l'API Service Networking. Tuttavia, Google Cloud implementa questa connessione come connessione peering di rete VPC tra il VPC e la rete VPC del producer di servizi. Il tuo la rete VPC la mostra come connessione in peering e, per eliminare devi eliminare la connessione in peering.

L'utilizzo di intervalli di indirizzi IPv6 con accesso privato ai servizi non è supportato.

Puoi usare l'accesso privato ai servizi solo con i servizi che supportarlo. Rivolgiti al produttore del servizio prima di creare una connessione privata.

Rete di producer di servizi

Sul lato del producer di servizi della connessione privata c'è un VPC dove viene eseguito il provisioning delle risorse di servizio. L'interfaccia del producer di servizi viene creata esclusivamente per te e contiene solo le tue risorse.

Una risorsa nella rete del producer di servizi è simile ad altre risorse nella rete VPC. Ad esempio, è raggiungibile tramite IP interno da altre risorse nella tua rete VPC. Puoi anche Creare regole firewall nella tua rete VPC per controllare l'accesso dalla rete del producer di servizi.

Per maggiori dettagli sul lato producer di servizi, vedi Abilitare i servizi privati l'accesso nel documentazione di Service Infrastructure. Questa documentazione è a scopo informativo e non è necessario per abilitare o utilizzare l'accesso privato ai servizi.

Accesso privato ai servizi e connettività on-premise

Negli scenari di networking ibrido, una rete on-premise è connessa tramite una rete VPC Cloud VPN o Cloud Interconnect. Per impostazione predefinita, gli host on-premise non possono raggiungere la rete del producer di servizi utilizzando l'accesso ai servizi privati.

Nella rete VPC potresti avere route statiche o dinamiche personalizzate per indirizzare correttamente il traffico alla tua rete on-premise. Tuttavia, la rete del producer di servizi non contiene le stesse route. Quando crei una connessione privata, la rete VPC e la rete del producer di servizi scambiano solo le route di subnet.

La rete del produttore di servizi contiene una route predefinita (0.0.0.0/0) che porta a internet. Se esporti una route predefinita nell'interfaccia viene ignorata perché la route predefinita della rete del producer di servizi ha la precedenza. Definisci ed esporta una route personalizzata con una destinazione più specifica. Per ulteriori informazioni, consulta la sezione Routing .

Devi esportare le route personalizzate della rete VPC in modo che provider di servizi internet può importarli e instradare correttamente il traffico verso il tuo on-premise. Aggiorna la configurazione del peering VPC associata alla connessione privata per esportare le route personalizzate.

Considerazioni

Prima di configurare l'accesso privato ai servizi, comprendi le considerazioni per scegliere una rete VPC e un intervallo di indirizzi IP.

Servizi supportati

I seguenti servizi Google supportano l'accesso privato ai servizi:

• AI Platform Training
• AlloyDB per PostgreSQL
• Apigee
• Backup e RE
• Cloud Build
• Sistema di rilevamento delle intrusioni nel cloud
• Cloud SQL (non supporta DNS) peering)
• Cloud TPU
• Converge Enterprise Cloud con IBM Power per Google Cloud
• Filestore
• Google Cloud VMware Engine
• Looker (Google Cloud core)
• Memorystore per Memcached
• Memorystore for Redis
• NetApp Cloud Volumes Service
• Vertex AI

Esempio

Nell'esempio seguente, la rete VPC del cliente ha allocato 10.240.0.0/16 di indirizzi per i servizi Google e stabilito una connessione privata che utilizza l'intervallo allocato. Ogni servizio Google crea una subnet dal blocco allocato per eseguire il provisioning di nuove risorse in una determinata regione, ad esempio le istanze Cloud SQL.

• Alla connessione privata viene assegnato l'intervallo allocato 10.240.0.0/16. Da questa allocazione, i servizi Google possono creare subnet in cui vengono di cui è stato eseguito il provisioning.
• Dal lato dei servizi Google alla connessione privata, Google crea una progetto per il cliente. Il progetto è isolato, il che significa che nessun altro cliente lo condivide e al cliente vengono fatturate solo le risorse che provisiona. Google crea anche una rete VPC in questo del progetto e lo connette alla rete del cliente peering di rete VPC.
• Ogni servizio Google crea una subnet in cui eseguire il provisioning delle risorse. La di indirizzi IP della subnet è un blocco CIDR che proviene dal di indirizzi IP esterni. Il blocco CIDR viene scelto dal servizio e in genere include Intervallo di indirizzi IP da /29 a /24. Non puoi modificare il servizio della subnet del producer. Un servizio esegue il provisioning di nuove risorse nelle sottoreti regionali esistenti create in precedenza dal servizio. Se una subnet è piena, crea una nuova subnet nella stessa regione.
• Dopo aver creato la subnet, la rete del cliente importa le route dalla dalla tua rete di servizi.
• Le istanze VM nella rete del cliente possono accedere alle risorse di servizio in se il servizio la supporta. Alcuni servizi potrebbero non supportare la comunicazione tra regioni. Per ulteriori informazioni, consulta la documentazione del servizio pertinente.
• All'istanza Cloud SQL viene assegnato l'indirizzo IP 10.240.0.2. Nel alla rete VPC del cliente, le richieste con destinazione 10.240.0.2 indirizzato alla connessione privata alla rete del producer di servizi. Dopo il giorno raggiungendo la rete di servizi, quest'ultima contiene route che la richiesta alla risorsa corretta.
• Il traffico tra le reti VPC viaggia all'interno tramite la rete internet pubblica.

Prezzi

Per i prezzi dell'accesso privato ai servizi, vedi Accesso privato ai servizi sul VPC dei prezzi.

Passaggi successivi

• Per allocare intervalli di indirizzi IP, creare connessioni private o condividere zone DNS private, consulta Configurare l'accesso ai servizi privati.