Usar Cloud Build en una red privada

En esta página, se explica cómo establecer opciones de configuración de uso general de red privada para usar con grupos privados. Para obtener una descripción general de los grupos privados, consulta Descripción general de los grupos privados.

Define la configuración de red predeterminada

Cuando creas un grupo privado, de forma predeterminada, de forma predeterminada configuras para usar la red de nube privada virtual en la que residen los grupos privados. Usa la red de VPC predeterminada si sucede lo siguiente:

Si deseas obtener instrucciones para conectarte a la red predeterminada, consulta Crea un grupo privado.

Define un rango de IP internas estáticas

En algunos casos, es posible que debas tener un rango de IP estática definido para tu grupo privado, como cuando llamas a un servicio que incluye en la lista de entidades permitidas las llamadas de un rango de IP definido. Con los grupos privados, cuando configuras una conexión privada entre tu red de VPC y la red de VPC del grupo privado, puedes crear rangos de direcciones IP asignados con un rango de CIDR definido de IP que Se ejecutarán los grupos privados. También puedes especificar un rango CIDR más pequeño dentro de un rango de direcciones IP asignadas que usará un grupo privado.

Ejecuta en una red de VPC

Para usar Cloud Build con recursos en una red privada detrás de un firewall, como en una red de VPC, puedes crear una conexión privada entre el grupo privado y tu red de VPC administrada. Esto permite que el grupo privado acceda a los recursos de tu red privada, como los repositorios de origen, los repositorios de artefactos, las bases de datos, las instancias de secretos y los entornos de ejecución.

Ejecuta en una red de VPC compartida

Si usas una red de VPC compartida, el proyecto en el que creas el grupo privado debe conectarse al proyecto host que contiene la red de VPC compartida. Si deseas obtener instrucciones para vincular un proyecto, consulta Aprovisiona una red de VPC compartida.

Conéctate a recursos en otra red de VPC con intercambio de tráfico o en una red de VPC compartida

Las organizaciones suelen adoptar una VPC compartida (proyecto host) para centralizar las herramientas de redes y la administración de identidades y accesos en todos los proyectos. Esto permite que las direcciones IP internas se usen para los servicios administrados por Google, como los clústeres de GKE privados y Cloud SQL privados. Estos servicios administrados por Google también intercambian tráfico en una red de VPC compartida de propiedad del cliente. El problema con esta configuración es que los grupos privados no pueden comunicarse con los servicios administrados por Google debido a la falta de intercambios de tráfico transitivos. El intercambio de tráfico transitivo solo es un problema cuando varias redes se conectan entre sí a través del intercambio de tráfico de VPC. Si se cambia una de las conexiones para que use una VPN (o interconexión) en lugar de intercambio de tráfico de VPC, las redes pueden establecer la conectividad. Para obtener instrucciones sobre esta configuración de red, consulta Accede a clústeres privados de Google Kubernetes Engine con grupos privados de Cloud Build.

Ejecuta en una región específica

Puedes crear un grupo privado en una de las regiones compatibles. Puedes almacenar cualquier imagen y artefacto de contenedor compilado en repositorios de Artifact Registry y buckets de Cloud Storage en regiones específicas.

Implementa en clústeres de GKE privados

Los clústeres de GKE privados pueden tener un extremo público o privado para el plano de control.

Para implementar en un clúster de GKE privado con un extremo público, puedes crear el grupo privado en la red predeterminada con acceso a la Internet pública y definir un rango de IP interna estático para tu grupo a fin de permitir el acceso al clúster.

Para implementar en clústeres de GKE privados con un extremo privado, puedes seguir los pasos descritos en Accede a clústeres privados de Google Kubernetes Engine con grupos privados de Cloud Build. Como alternativa, una vez que intercambias tráfico en tu VPC, puedes ejecutar un proxy de red en el clúster como se describe en Crea clústeres de GKE privados con proxies de red.

Usa los Controles del servicio de VPC

Controles del servicio de VPC es una función de Google Cloud que te permite configurar un perímetro seguro para protegerte contra el robo de datos. Si deseas obtener instrucciones para usar los Controles del servicio de VPC con grupos privados a fin de agregar seguridad adicional a tus compilaciones, consulta Usa los Controles del servicio de VPC.

Quita IP públicas en grupos privados

Puedes quitar IP públicas en grupos privados si configuras el campo egressOption en el archivo de configuración de grupos privados como NO_PUBLIC_EGRESS. Sin embargo, ten en cuenta que quitar las IP públicas restringirá el acceso de tu grupo privado a los recursos en la Internet pública.

Restringe la salida a la Internet pública

Existen algunas formas de restringir la salida de grupos privados a la Internet pública:

Aplica de manera forzosa el uso de grupos privados

Cloud Build proporciona una restricción de la política de la organización constraints/cloudbuild.allowedWorkerPools que puedes aplicar de manera forzosa para que las compilaciones de la organización no usen el grupo predeterminado y solo usen el grupo privado. Si deseas obtener instrucciones para usar esta función, consulta Configura restricciones de las políticas de la organización.

Usa zonas privadas de Cloud DNS

Puedes compartir una zona privada de Cloud DNS para usarla con grupos privados. Para obtener instrucciones, consulta Comparte una zona privada.

Ejecuta detrás de una NAT

Aunque puedes controlar el rango de IP de tu grupo privado en tu VPC, las direcciones IP externas (si están habilitadas) no se pueden controlar. Si necesitas acceder a un recurso desde una IP reservada, crea una VM de proxy y enruta el tráfico a través de ella mediante los pasos de Accede a un recurso externo desde una dirección IP de origen estática con Cloud Build.

¿Qué sigue?