Configurar el acceso a redes privadas

Para configurar el acceso privado a la red para que el tráfico se ejecute en una red de Google Cloud, debes configurar el proyecto propietario de la red VPC, del proyecto del directorio de servicios y del proyecto de servicio de Google Cloud que utilizando. Estos tres proyectos pueden ser iguales o independientes.

  • Proyecto de red es el proyecto de la red VPC.
  • Proyecto de directorio de servicios es el proyecto del servicio de directorio de servicios. Puede ser un proyecto de servicio en la red de la VPC compartida del proyecto de red.
  • El proyecto de servicio de Google Cloud es el proyecto con la configuración que invoca el acceso de red privada. Por ejemplo, una configuración de servicio de Google Cloud.

Antes de empezar

En este procedimiento se da por hecho que has completado los pasos siguientes.

Configurar el proyecto de red

Sigue estos pasos para configurar el proyecto de red.

  1. Crea o utiliza una red VPC. Se admiten redes VPC de modo automático y personalizado. Las redes antiguas no se admiten.
  2. Si el destino de destino es una máquina virtual de Compute Engine o un backend de balanceo de carga interno, debes permitir la entrada a través del cortafuegos de VPC para el acceso a redes privadas. Los destinos deben permitir la entrada TCP de 35.199.192.0/19 en el puerto adecuado (puerto 443 o 80).

  3. Concede acceso a la red del directorio de servicios de gestión de identidades y accesos (IAM) al proyecto de servicio de Google Cloud. Ten en cuenta que el proyecto de Google Cloud debe estar en el perímetro de los Controles de Servicio de VPC del servicio de Google Cloud y del proyecto de directorio de servicios de servicedirectory.googleapis.com.

    Para obtener más información sobre los Controles de Servicio de VPC, consulta la información general sobre los Controles de Servicio de VPC.

Configurar el proyecto de servicios del directorio de servicios

Sigue estos pasos para configurar el proyecto de servicios del directorio de servicios.

  1. Crea una máquina virtual o un balanceador de carga interno en la red VPC.
  2. Crea un servicio de directorio de servicios que dirija a la máquina virtual o al balanceador de carga interno que hayas creado en la red VPC.
  3. Otorga acceso a la red del directorio de servicios de gestión de identidades y accesos a la cuenta de servicio de Google Cloud. Para obtener más información sobre los roles y permisos, consulta la sección sobre permisos y funciones del directorio de servicios.

Crear un punto de conexión con acceso a una red privada

Para crear un punto de conexión con acceso a una red privada configurada, sigue estos pasos:

Consola

  1. Ve a la página de espacios de nombres del Directorio de servicios en la consola de Google Cloud.
    Ir a la página de espacios de nombres del directorio de servicios
  2. Haz clic en un espacio de nombres.
  3. Haz clic en un servicio.
  4. Haz clic en y, a continuación, en Añadir punto de conexión.
  5. Introduce el Nombre del punto de conexión.
  6. Introduce una dirección IP IPv4, como 192.0.2.0/24.
  7. Introduce un número de Puerto, como 443 o 80.
  8. Para habilitar el acceso de red privada, haz clic en Elegir una opción de la lista y elige una de las redes disponibles en Red VPC asociada.
  9. Si quieres proporcionar un ID de proyecto concreto y el nombre de red, elige Especificar por proyecto y nombre de red.
  10. Haz clic en Crear.

gcloud

Ejecuta el comando gcloud beta service-directory endpoints create con el ID del proyecto y la ruta de red especificadas.

gcloud beta service-directory endpoints create ENDPOINT_NAME
    --project=PROJECT_ID \
    --location=REGION \
    --namespace=NAMESPACE_NAME \
    --service=SERVICE_ID \
    --address=IP_ADDRESS \
    --port=PORT_NUMBER \
    --network=NETWORK_PATH

Haz los cambios siguientes:

  • ENDPOINT_NAME: el nombre del punto de conexión que vas a crear en el servicio; por ejemplo, my-endpoint.
  • PROJECT_ID: el ID del proyecto
  • REGION: la región de Google Cloud que contiene el espacio de nombres.
  • NAMESPACE_NAME: el nombre que le has proporcionado al espacio de nombres, como my-namespace
  • SERVICE_ID: el ID del servicio
  • IP_ADDRESS: la dirección IP del punto de conexión, como 192.0.2.0/24
  • PORT_NUMBER: los puertos en los que se ejecutan los puntos de conexión, normalmente 443 o 80
  • NETWORK_PATH: la URL de la red, como projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME

Configurar el proyecto de servicio de Google Cloud

  1. Habilita la API de servicios de Google Cloud.
  2. Configura el servicio de Google Cloud mediante el servicio de directorio de servicios que has creado en el proyecto de red.
  3. Si utilizas los Controles de Servicio de VPC, asegúrate de que el perímetro de los Controles de Servicio de VPC permita que el Directorio de servicios acceda al proyecto de red y al proyecto del directorio de servicios.

Usos

En esta sección se incluyen casos prácticos de ejemplo para configurar el acceso privado a la red.

Llamar a un punto de conexión HTTP cuando una red VPC, una máquina virtual y un directorio de servicio están en el mismo proyecto

Puedes configurar un producto de Google Cloud para llamar a un punto de conexión HTTP de tu máquina virtual. Este tráfico no debe transferirse a través de la Internet pública.

En esta configuración, tienes un proyecto con una red de VPC, una VM, un servicio de directorio de servicios y el servicio de Google Cloud en el mismo proyecto.

Permitir la salida de la configuración del servicio de Google de un proyecto a una máquina virtual de un proyecto de red que reside en la red VPC de un proyecto de servicio de Google Cloud
Permitir que la configuración de los servicios de Google de un proyecto se dirija a una VM de un proyecto de red que reside en la red VPC de un proyecto de servicio de Google Cloud (haz clic para ampliar la imagen)

Para configurar tu producto de Google Cloud con el acceso de red privado, sigue estos pasos.

Configurar la red y la red de destino

  1. Crea un proyecto, como my-project.
  2. Crea una red de VPC, como VPC-1 (proyectos/número-proyecto/ubicaciones/global/redes/mi-red).
  3. Conceder acceso de proxy a la entrada de VPC-1 o a la subred o máquina virtual.
  4. Permitir la entrada de 35.199.192.0/19.
  5. Crear VM-1 en la región us-central1 de VPC-1.
  6. Configúrala para ejecutar el servicio en el puerto P.
  7. Si prefieres usar HTTPS, asegúrate de haber instalado un certificado de seguridad de capa de transporte (PKI) pública.
  8. Crea un servicio de directorio de servicios SD-1 en REGION-1.
  9. Crear un punto de conexión enSD-1 con la dirección IP interna deVM-1=10.10.10.10 .P=443 ynetwork=projects/project-number/global/networks/my-network . Para obtener instrucciones detalladas, consultaSe ha configurado un punto de conexión con acceso a una red privada en tu teléfono Android.
  10. Otorga a la cuenta de servicio de Google Cloud los siguientes roles de IAM:

    • servicedirectory.viewer
    • servicedirectory.pscAuthorizedService
  11. Si quieres, puedes configurar VM-2 y añadir Endpoint-2.

Configurar un producto de Google Cloud

  1. Configura la configuración de producto de Google Cloud CONFIG-1; por ejemplo, "Cloud Scheduler, llámame cada minuto".
  2. Configura una solicitud HTTP.
  3. Especifica que la solicitud debe pasar a través de una red privada (por ejemplo, a través de SD-1).
  4. (Opcional) Configura los ajustes del servicio de autoridad de certificación.

Ahora, el producto de Google Cloud puede invocar la solicitud HTTP mediante SD-1.

Llamar a un punto de conexión HTTP cuando una red VPC, una máquina virtual y un directorio de servicio se encuentran en distintos proyectos

En esta configuración de ejemplo, quieres configurar un servicio de Google Cloud, como Eventos, Tasks o Pub/Sub, para llamar a un punto de conexión HTTP de tu máquina virtual. En este ejemplo, el proyecto del directorio de servicios, el de red y los de servicio de Google Cloud son diferentes. Este tráfico no tiene que pasar a través de la Internet pública. De forma opcional, esta invocación de API debe respetar el perímetro de los Controles de Servicio de VPC.

En este caso, la configuración del proyecto de servicio de Google Cloud permite transferir datos a una máquina virtual de proyectos de servicio de Google Cloud, que reside en la red VPC del proyecto de red.

El proyecto de servicio de Google Cloud puede ser diferente al proyecto del productor. Se utilizan perímetros de los Controles de Servicio de VPC de ambos proyectos.

Enviar tráfico mediante un acceso privado a la red con los perímetros de Controles de servicio de VPC aplicados
Enviar tráfico mediante acceso privado a la red con los perímetros de los Controles de Servicio de VPC aplicados (haz clic para agrandar)

Crear un proyecto de red

Debes tener los siguientes permisos de gestión de identidades y accesos:

  • servicedirectory.services.resolve en el servicio de mensajes
  • servicedirectory.networks.access para la red

Ten en cuenta lo siguiente:

  • El proyecto de directorio de servicios y el proyecto de red no deben estar conectados, pero deben formar parte de los mismos Controles de Servicio de VPC.
  • El cortafuegos y la gestión de identidades y accesos están inhabilitados de forma predeterminada en la red y en el servicio.

Para crear el proyecto de red, sigue estos pasos.

  1. Crea una red de VPC, como VPC-1 (proyectos/número-proyecto/ubicaciones/global/redes/mi-red).
  2. Habilita el cortafuegos de la red VPC.

  3. Si usas Controles de Servicio de VPC, el perímetro de Controles de servicio de VPC permite que el directorio de servicios se conecte al proyecto de servicio de Google Cloud y al proyecto del directorio de servicios.

Configurar el proyecto de Directory de servicio

  1. Crea una máquina virtual o un balanceador de carga interno en la red VPC.
  2. Crea un servicio de directorio de servicios que dirija a la máquina virtual o a un balanceador de carga interno de la red VPC.
  3. Otorga acceso de service read al directorio de servicios de gestión de identidades y accesos al servicio de mensajería de proyectos de servicio de Google Cloud.
  4. Si usas los Controles de Servicio de VPC, el perímetro de Controles de servicio de VPC permite que el directorio de servicios se conecte al proyecto de servicio de Google Cloud y al proyecto del directorio de servicios.

Configurar el proyecto de servicio de Google Cloud

  1. Habilita la API para el servicio de mensajes que estás utilizando.
  2. Configura el servicio de mensajes PUSH con el servicio del directorio de servicios del proyecto de directorio de servicios.
  3. Si usas los Controles de Servicio de VPC, el perímetro de Controles de servicio de VPC permite que el directorio de servicios se conecte al proyecto de red y al proyecto del directorio de servicios.

Siguientes pasos