Accesso privato ai servizi

Questa pagina fornisce una panoramica dell'accesso ai servizi privati.

Google e terze parti (insieme noti come produttori di servizi) possono offrire servizi ospitati in una rete VPC. L'accesso ai servizi privati ti consente di raggiungere gli indirizzi IP interni di questi servizi Google e di terze parti utilizzando connessioni private. Questa opzione è utile se vuoi che le istanze VM nella tua rete VPC utilizzino indirizzi IP interni anziché indirizzi IP esterni. Per informazioni dettagliate sull'utilizzo dell'accesso privato ai servizi, consulta Configurare l'accesso privato ai servizi.

L'accesso privato ai servizi richiede prima l'allocazione di un intervallo di indirizzi IPv4 interno e quindi la creazione di una connessione privata. Un intervallo allocato è un blocco CIDR riservato che non può essere utilizzato nella tua rete VPC locale. È riservato solo ai producer di servizi e impedisce l'accavallamento tra la tua rete VPC e la rete VPC del producer di servizi.

La connessione privata collega la tua rete VPC alla rete VPC del producer di servizi. Questa connessione consente alle istanze VM nella rete VPC di utilizzare indirizzi IPv4 interni per raggiungere le risorse del servizio. Le istanze possono avere indirizzi IP esterni, ma questi non sono richiesti e non vengono utilizzati dall'accesso ai servizi privati.

Se un producer di servizi offre più servizi, è necessaria una sola connessione privata. Quando crei una connessione privata, utilizzi l'API Service Networking. Tuttavia, Google Cloud implementa questa connessione come una connessione di peering della rete VPC tra la tua rete VPC e la rete VPC del producer di servizi. La rete VPC la mostra come connessione di peering e per eliminare la connessione privata devi eliminare la connessione di peering.

L'utilizzo di intervalli di indirizzi IPv6 con l'accesso ai servizi privati non è supportato.

Puoi utilizzare l'accesso privato ai servizi solo con i servizi che lo supportano. Rivolgiti al produttore del servizio prima di creare una connessione privata.

Rete di producer di servizi

Sul lato del producer di servizi della connessione privata è presente una rete VPC in cui viene eseguito il provisioning delle risorse di servizio. La rete del producer di servizi viene creata esclusivamente per te e contiene solo le tue risorse.

Una risorsa nella rete producer di servizi è simile alle altre risorse della rete VPC. Ad esempio, è raggiungibile tramite indirizzi IP interni da altre risorse nella tua rete VPC. Puoi anche creare regole firewall nella tua rete VPC per controllare l'accesso alla rete del producer di servizi.

Per informazioni dettagliate sul lato del producer di servizi, consulta Attivare l'accesso ai servizi privati nella documentazione di Service Infrastructure. Questa documentazione è solo per tua informazione e non è necessaria per attivare o utilizzare l'accesso ai servizi privati.

Accesso privato ai servizi e connettività on-premise

Negli scenari di reti ibride, una rete on-premise è connessa a una rete VPC tramite una connessione Cloud VPN o Cloud Interconnect. Per impostazione predefinita, gli host on-premise non possono raggiungere la rete del producer di servizi utilizzando l'accesso ai servizi privati.

Nella rete VPC potresti avere route statiche o dinamiche personalizzate per indirizzare correttamente il traffico alla tua rete on-premise. Tuttavia, la rete del producer di servizi non contiene gli stessi percorsi. Quando crei una connessione privata, la rete VPC e la rete del producer di servizi scambiano solo le route di subnet.

La rete del producer di servizi contiene una route predefinita (0.0.0.0/0) che porta a internet. Se esporti una route predefinita nella rete del producer di servizi, viene ignorata perché la route predefinita della rete del producer di servizi ha la precedenza. Definisci ed esporta una route personalizzata con una destinazione più specifica. Per ulteriori informazioni, consulta Ordine di smistamento.

Devi esportare le route personalizzate della rete VPC in modo che la rete del fornitore di servizi possa importarle e instradare correttamente il traffico verso la tua rete on-premise. Aggiorna la configurazione del peering VPC associata alla connessione privata per esportare le route personalizzate.

Transitività dei servizi con Network Connectivity Center

Per alcuni servizi disponibili tramite l'accesso ai servizi privati, puoi utilizzare Network Connectivity Center per rendere il servizio raggiungibile da altri spoke su un hub creando uno spoke VPC del producer. Per ulteriori informazioni, inclusi i servizi supportati, consulta Spoke VPC del producer.

Considerazioni

Prima di configurare l'accesso privato ai servizi, tieni presente le considerazioni per la scelta di una rete VPC e di un intervallo di indirizzi IP.

Servizi supportati

I seguenti servizi Google supportano l'accesso privato ai servizi:

• AI Platform Training
• AlloyDB per PostgreSQL
• Apigee
• Backup e RE
• Cloud Build
• Cloud Intrusion Detection System
• Cloud SQL (non supporta il peering DNS)
• Cloud TPU
• Converge Enterprise Cloud con IBM Power per Google Cloud
• Filestore
• Google Cloud VMware Engine
• Looker (Google Cloud core)
• Memorystore for Memcached
• Memorystore for Redis
• Vertex AI

Esempio

Nel seguente esempio, la rete VPC del cliente ha allocato l'intervallo di indirizzi 10.240.0.0/16 per i servizi Google e ha stabilito una connessione privata che utilizza l'intervallo allocato. Ogni servizio Google crea una subnet dal blocco allocato per eseguire il provisioning di nuove risorse in una determinata regione, ad esempio le istanze Cloud SQL.

• Alla connessione privata viene assegnato l'intervallo 10.240.0.0/16 allocato. Da questa allocazione, i servizi Google possono creare sottoreti in cui viene eseguito il provisioning delle nuove risorse.
• Sul lato dei servizi Google della connessione privata, Google crea un progetto per il cliente. Il progetto è isolato, il che significa che nessun altro cliente lo condivide e al cliente vengono fatturate solo le risorse che provisiona. Google crea anche una rete VPC in questo progetto isolato e la connette alla rete del cliente utilizzando il peering di rete VPC.
• Ogni servizio Google crea una subnet in cui eseguire il provisioning delle risorse. L'intervallo di indirizzi IP della subnet è un blocco CIDR che proviene dall'intervallo di indirizzi IP allocato. Il blocco CIDR viene scelto dal servizio e in genere ha un /29 a /24 intervallo di indirizzi IP. Non puoi modificare la subnet del produttore di servizi. Un servizio esegue il provisioning di nuove risorse nelle sottoreti regionali esistenti create in precedenza dal servizio. Se una subnet è piena, il servizio crea una nuova subnet nella stessa regione.
• Dopo aver creato la subnet, la rete del cliente importa le route dalla rete di servizio.
• Le istanze VM nella rete del cliente possono accedere alle risorse di servizio in qualsiasi regione se il servizio lo supporta. Alcuni servizi potrebbero non supportare la comunicazione tra regioni. Per ulteriori informazioni, consulta la documentazione del servizio pertinente.
• All'istanza Cloud SQL viene assegnato l'indirizzo IP 10.240.0.2. Nella rete VPC del cliente, le richieste con destinazione 10.240.0.2 vengono inoltrate alla connessione privata sulla rete del producer di servizi. Dopo aver raggiunto la rete di servizi, questa contiene route che indirizzano la richiesta alla risorsa corretta.
• Il traffico tra le reti VPC viene trasferito internamente all'interno della rete di Google, non tramite la rete internet pubblica.

Prezzi

Per i prezzi dell'accesso privato ai servizi, consulta Accesso privato ai servizi nella pagina dei prezzi di VPC.

Passaggi successivi

• Per allocare intervalli di indirizzi IP, creare connessioni private o condividere zone DNS private, consulta Configurare l'accesso ai servizi privati.