Acesso privado a serviços
Nesta página, você encontra uma visão geral do acesso a serviços privados.
O Google e terceiros, conhecidos conjuntamente como produtores de serviços, podem oferecer serviços hospedados em uma rede VPC. O acesso a serviços privados permite que você acesse os endereços IP internos desses serviços do Google e de terceiros usando conexões particulares. Isso é útil quando você quer que as instâncias de VM na sua rede VPC utilizem endereços IP internos em vez de endereços IP externos. Para detalhes sobre como usar o acesso a serviços privados, consulte Configurar o Acesso a serviços privados.
O Acesso privado a serviços exige que você primeiro aloque um intervalo de endereços IP internos e crie uma conexão particular. Um intervalo alocado é um bloco CIDR reservado que não pode ser usado na sua rede VPC local. Ele é reservado apenas para fornecedores de serviços e evita sobreposições entre sua rede VPC e a rede VPC do fornecedor de serviços.
A conexão particular vincula sua rede VPC à rede VPC do produtor de serviços. Essa conexão permite que instâncias de VM na sua rede VPC utilizem endereços IP internos para acessar os recursos de serviço. As instâncias podem ter endereços IP externos, mas isso não é um requisito nem são usados pelo Acesso privado a serviços.
Se um produtor de serviços oferecer vários serviços, você precisará apenas de uma conexão particular. Você usa a API Service Networking quando cria uma conexão particular. No entanto, o Google Cloud implementa essa conexão como uma conexão de Peering de redes VPC entre sua rede VPC e a rede VPC do fornecedor de serviços. Sua rede VPC a mostra como uma conexão de peering e, para excluir a conexão particular, é preciso excluir a conexão de peering.
Não é possível usar intervalos de endereços IPv6 com acesso a serviços particulares.
Use o Acesso privado a serviços apenas com serviços compatíveis. Confira com o produtor de serviços antes de criar uma conexão particular.
Rede do produtor de serviços
No lado do produtor de serviços, a conexão particular é uma rede VPC em que os recursos de serviço são provisionados. A rede do produtor de serviços é criada exclusivamente para você e contém apenas os seus recursos.
Um recurso na rede do produtor de serviços é semelhante a outros recursos na sua rede VPC. Por exemplo, pode ser acessado com endereços IP internos por outros recursos na sua rede VPC. É possível também criar regras de firewall em sua rede VPC para controlar o acesso à rede do fornecedor de serviços.
Para detalhes sobre o lado do produtor de serviços, consulte Ativar o acesso a serviços privados na documentação do Service Infrastructure. Essa documentação é apenas informativa e não é necessária para ativar ou usar o Acesso privado a serviços.
Acesso privado a serviços e conectividade no local
Em cenários de rede híbrida, uma rede local é conectada a uma rede VPC por meio de uma conexão com o Cloud VPN ou o Cloud Interconnect. Por padrão, os hosts locais não podem acessar a rede do produtor de serviços usando o acesso privado a serviços.
Na rede VPC, é possível ter rotas personalizadas dinâmicas ou estáticas para direcionar corretamente o tráfego para a rede local. No entanto, a rede do produtor de serviços não contém essas mesmas rotas. Quando você cria uma conexão particular, a rede VPC e a rede do produtor de serviços apenas trocam rotas de sub-rede.
A rede do produtor do serviço contém uma rota padrão (0.0.0.0/0
) que é transferida para a Internet. Se você exportar uma rota padrão para a rede do produtor de serviços, ela será ignorada porque é preterida pela rota padrão da rede do produtor de serviços. Em vez disso, defina e exporte uma rota personalizada com um destino mais específico. Para mais informações, consulte Ordem de roteamento.
Exporte as rotas personalizadas da rede VPC para que a rede do produtor de serviços possa importá-las e rotear o tráfego corretamente para sua rede local. Atualize a configuração de peering de VPC associada à conexão particular para exportar rotas personalizadas.
Considerações
Antes de configurar o acesso a serviços privados, entenda as considerações para escolher uma rede VPC e um intervalo de endereços IP.
Serviços compatíveis
Os seguintes serviços do Google são compatíveis com o Acesso privado a serviços:
- Treinamento da AI Platform
- AlloyDB para PostgreSQL
- Apigee
- Backup e DR
- Cloud Build
- Sistema de detecção de intrusões do Cloud
- Cloud SQL (não é compatível com peering de DNS)
- Cloud TPU
- Converge Enterprise Cloud com o IBM Power para Google Cloud
- Filestore
- Google Cloud VMware Engine
- Looker (Google Cloud Core)
- Memorystore para Memcached
- Memorystore para Redis
- NetApp Cloud Volumes Service
- Vertex AI
Exemplo
No exemplo a seguir, a rede VPC do cliente alocou o intervalo de endereços 10.240.0.0/16
para serviços do Google e estabeleceu uma conexão particular que usa o intervalo alocado. Cada serviço do Google cria uma sub-rede a partir do bloco alocado para provisionar novos recursos em uma determinada região, como instâncias do Cloud SQL.
- A conexão particular é atribuída ao intervalo alocado
10.240.0.0/16
. A partir dessa alocação, os serviços do Google podem criar sub-redes em que novos recursos serão provisionados. - No lado de serviços do Google da conexão particular, o Google cria um projeto para o cliente. O projeto é isolado, o que significa que ele não é compartilhado com nenhum outro cliente e o cliente é cobrado apenas pelos recursos fornecidos. O Google também cria uma rede VPC nesse projeto isolado e a conecta à rede do cliente usando o peering de rede VPC.
- Cada serviço do Google cria uma sub-rede para provisionar recursos. O intervalo de endereços IP da sub-rede é um bloco CIDR proveniente do intervalo de endereços IP alocado. O bloco CIDR é escolhido pelo serviço e normalmente tem um
intervalo de endereços IP
/29
para/24
. Não é possível modificar a sub-rede do produtor de serviços. Um serviço provisiona novos recursos nas sub-redes regionais atuais que foram criadas anteriormente por esse serviço. Se uma sub-rede estiver cheia, o serviço vai criar uma nova sub-rede na mesma região. - Depois que a sub-rede é criada, a rede do cliente importa rotas da rede de serviço.
- As instâncias de VM na rede do cliente podem acessar recursos de serviço em qualquer região quando o serviço é compatível. Alguns serviços podem não aceitar a comunicação entre regiões. Para mais informações, consulte a documentação do serviço relevante.
- A instância do Cloud SQL recebe o endereço IP
10.240.0.2
. Na rede VPC do cliente, as solicitações com o destino10.240.0.2
são roteadas para a conexão particular pela rede do produtor de serviços. Quando elas alcançam a rede do serviço, essa rede encaminha a solicitação para o recurso correto. - O tráfego entre redes VPC é transmitido internamente na rede do Google, e não pela Internet pública.
Preços
Para preços de acesso a serviços particulares, consulte Acesso a serviços particulares na página de preços da VPC.
A seguir
- Para alocar intervalos de endereços IP, criar conexões privadas ou compartilhar zonas DNS particulares, consulte Configurar o acesso a serviços particulares.