En esta página, se explica cómo establecer opciones de configuración de uso general de red privada para usar con grupos privados. Para obtener una descripción general de los grupos privados, consulta Descripción general de los grupos privados.
Define la configuración de red predeterminada
Cuando creas un grupo privado, de forma predeterminada, de forma predeterminada configuras para usar la red de nube privada virtual en la que residen los grupos privados. Usa la red de VPC predeterminada si sucede lo siguiente:
- Deseas que las compilaciones accedan a la Internet pública.
- Quieres tipos y tamaños de máquinas configurables, rangos de IP internas estáticas o una de las otras funciones de los grupos privados.
- No buscas compilaciones para acceder a los recursos dentro de tu red de VPC privada.
Si deseas obtener instrucciones para conectarte a la red predeterminada, consulta Crea un grupo privado.
Define un rango de IP internas estáticas
En algunos casos, es posible que debas tener un rango de IP estática definido para tu grupo privado, como cuando llamas a un servicio que incluye en la lista de entidades permitidas las llamadas de un rango de IP definido. Con los grupos privados, cuando configuras una conexión privada entre tu red de VPC y la red de VPC del grupo privado, puedes crear rangos de direcciones IP asignados con un rango de CIDR definido de IP que Se ejecutarán los grupos privados. También puedes especificar un rango CIDR más pequeño dentro de un rango de direcciones IP asignadas que usará un grupo privado.
Ejecuta en una red de VPC
Para usar Cloud Build con recursos en una red privada detrás de un firewall, como en una red de VPC, puedes crear una conexión privada entre el grupo privado y tu red de VPC administrada. Esto permite que el grupo privado acceda a los recursos de tu red privada, como los repositorios de origen, los repositorios de artefactos, las bases de datos, las instancias de secretos y los entornos de ejecución.
Ejecuta en una red de VPC compartida
Si usas una red de VPC compartida, el proyecto en el que creas el grupo privado debe conectarse al proyecto host que contiene la red de VPC compartida. Si deseas obtener instrucciones para vincular un proyecto, consulta Aprovisiona una red de VPC compartida.
Conéctate a recursos en otra red de VPC con intercambio de tráfico o en una red de VPC compartida
Las organizaciones suelen adoptar una VPC compartida (proyecto host) para centralizar las herramientas de redes y la administración de identidades y accesos en todos los proyectos. Esto permite que las direcciones IP internas se usen para los servicios administrados por Google, como los clústeres de GKE privados y Cloud SQL privados. Estos servicios administrados por Google también intercambian tráfico en una red de VPC compartida de propiedad del cliente. El problema con esta configuración es que los grupos privados no pueden comunicarse con los servicios administrados por Google debido a la falta de intercambios de tráfico transitivos. El intercambio de tráfico transitivo solo es un problema cuando varias redes se conectan entre sí a través del intercambio de tráfico de VPC. Si se cambia una de las conexiones para que use una VPN (o interconexión) en lugar de intercambio de tráfico de VPC, las redes pueden establecer la conectividad. Para obtener instrucciones sobre esta configuración de red, consulta Accede a clústeres privados de Google Kubernetes Engine con grupos privados de Cloud Build.
Ejecuta en una región específica
Puedes crear un grupo privado en una de las regiones compatibles. Puedes almacenar cualquier imagen y artefacto de contenedor compilado en repositorios de Artifact Registry y buckets de Cloud Storage en regiones específicas.
Implementa en clústeres de GKE privados
Los clústeres de GKE privados pueden tener un extremo público o privado para el plano de control.
Para implementar en un clúster de GKE privado con un extremo público, puedes crear el grupo privado en la red predeterminada con acceso a la Internet pública y definir un rango de IP interna estático para tu grupo a fin de permitir el acceso al clúster.
Para implementar en clústeres de GKE privados con un extremo privado, puedes seguir los pasos descritos en Accede a clústeres privados de Google Kubernetes Engine con grupos privados de Cloud Build. Como alternativa, una vez que intercambias tráfico en tu VPC, puedes ejecutar un proxy de red en el clúster como se describe en Crea clústeres de GKE privados con proxies de red.
Usa los Controles del servicio de VPC
Controles del servicio de VPC es una función de Google Cloud que te permite configurar un perímetro seguro para protegerte contra el robo de datos. Si deseas obtener instrucciones para usar los Controles del servicio de VPC con grupos privados a fin de agregar seguridad adicional a tus compilaciones, consulta Usa los Controles del servicio de VPC.
Quita IP públicas en grupos privados
Puedes quitar IP públicas en grupos privados si configuras el campo egressOption
en el archivo de configuración de grupos privados como NO_PUBLIC_EGRESS
.
Sin embargo, ten en cuenta que quitar las IP públicas restringirá el acceso de tu grupo privado a los recursos en la Internet pública.
Restringe la salida a la Internet pública
Existen algunas formas de restringir la salida de grupos privados a la Internet pública:
Quita las IP públicas de los grupos privados configurando el campo
egressOption
en el archivo de configuración del grupo privado comoNO_PUBLIC_EGRESS
. Esta acción quitará todo el acceso del grupo privado a la Internet pública.Crea un grupo privado dentro de un perímetro de Controles del servicio de VPC. Esto te permite configurar un perímetro seguro para protegerte contra el robo de datos.
Personaliza las reglas de firewall en tu red de VPC para restringir la salida.
Aplica de manera forzosa el uso de grupos privados
Cloud Build proporciona una restricción de la política de la organización constraints/cloudbuild.allowedWorkerPools
que puedes aplicar de manera forzosa para que las compilaciones de la organización no usen el grupo predeterminado y solo usen el grupo privado. Si deseas obtener instrucciones para usar esta función, consulta Configura restricciones de las políticas de la organización.
Usa zonas privadas de Cloud DNS
Puedes compartir una zona privada de Cloud DNS para usarla con grupos privados. Para obtener instrucciones, consulta Comparte una zona privada.
Ejecuta detrás de una NAT
Aunque puedes controlar el rango de IP de tu grupo privado en tu VPC, las direcciones IP externas (si están habilitadas) no se pueden controlar. Si necesitas acceder a un recurso desde una IP reservada, crea una VM de proxy y enruta el tráfico a través de ella mediante los pasos de Accede a un recurso externo desde una dirección IP de origen estática con Cloud Build.
¿Qué sigue?
- Obtén más información para configurar tu entorno para crear grupos privados.
- Obtén más información para crear y administrar grupos privados.