Información sobre el acceso a las APIs de Google a través de extremos

En este documento, se proporciona una descripción general de los extremos de Private Service Connect que se usan para acceder a las APIs de Google.

De forma predeterminada, si tienes una aplicación que usa un servicio de Google, como Cloud Storage, tu aplicación se conecta con el nombre de DNS predeterminado para ese servicio, como storage.googleapis.com. Los nombres de DNS predeterminados para los servicios de Google se resuelven en direcciones IP que se pueden enrutar de forma pública. Sin embargo, el tráfico que se envía desde los recursos de Google Cloud hacia esas direcciones IP permanece dentro de la red de Google.

Con Private Service Connect, puedes crear extremos privados con direcciones IP internas globales dentro de tu red de VPC. Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos como storage-vialink1.p.googleapis.com y bigtable-adsteam.p.googleapis.com. Estos nombres y direcciones IP son internas de tu red de VPC y de cualquier red local que esté conectada a esta mediante túneles de Cloud VPN o adjuntos de VLAN. Puedes controlar qué tráfico se dirige a cada extremo y también puedes demostrar que el tráfico permanece dentro de Google Cloud.

Esta opción te brinda acceso a todos los servicios y las API de Google que se incluyen en los paquetes de API.

Figura 1. Private Service Connect te permite enviar tráfico a las APIs de Google mediante un extremo que es privado para tu red de VPC (haz clic para ampliar).

Características y compatibilidad

En esta tabla, se resumen las características que son compatibles con los extremos que se usan para acceder a las APIs de Google.

Configuración Detalles
Configuración del consumidor (extremo)
Accesibilidad global Usa una dirección IP global interna
Tráfico interconectado
Tráfico de Cloud VPN
Configuración de DNS automática
Pila de IP IPv4
Productor
Servicios compatibles APIs globales de Google compatibles

Acceso local

Se puede acceder a los extremos de Private Service Connect que usas para acceder a las API de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Accede al extremo desde hosts locales.

Private Service Connect y Directorio de servicios

Los extremos se registran en el Directorio de servicios. El Directorio de servicios es una plataforma para almacenar, administrar y publicar servicios. Cuando crees un extremo para acceder a los servicios y las API de Google, debes seleccionar una región del Directorio de servicios y un espacio de nombres del Directorio de servicios.

Región del Directorio de servicios

El Directorio de servicios es un servicio regional. La región que selecciones define dónde reside el plano de control del Directorio de servicios. No hay diferencias funcionales entre las regiones, pero es posible que tengas una preferencia por motivos administrativos.

Cuando creas el primer extremo para las APIs de Google en una red de VPC, la región que seleccionas se usa como la región predeterminada para todos los extremos posteriores creados en esa red. Si una región aún no está configurada para una red y no especificas una región, se establece en us-central1. Todos los extremos de una red deben usar la misma región del Directorio de servicios.

Espacio de nombres del Directorio de servicios

Cuando creas el primer extremo para las APIs de Google en una red de VPC, el espacio de nombres que seleccionas se usa como el espacio de nombres predeterminado para todos los extremos posteriores creados en esa red. Si el espacio de nombres aún no está configurado para una red y no especificas un espacio de nombres, se usa un espacio de nombres generado por el sistema. Todos los extremos de una red deben usar el mismo espacio de nombres del Directorio de servicios. El espacio de nombres que elijas debe usarse solo para los extremos que se usan en el acceso a las APIs de Google. Puedes usar el mismo espacio de nombres para los extremos en varias redes.

Cuando creas un extremo, se crean las siguientes configuraciones de DNS:

  • Se crea una zona de DNS privado del Directorio de servicios para p.googleapis.com.

  • Los registros DNS se crean en p.googleapis.com para algunos servicios y APIs de Google de uso común que están disponibles mediante Private Service Connect y tienen nombres de DNS predeterminados que terminan en googleapis.com.

    Consulta crea registros DNS y obtén instrucciones sobre cómo crear registros DNS para APIs y servicios que no tienen un registro DNS en p.googleapis.com.

Los servicios disponibles varían según si seleccionas el paquete de API all-apis o vpc-sc.

Se crea una zona del DNS del Directorio de servicios para cada red de VPC que contiene un extremo.

Se puede acceder a los nombres de DNS de un extremo en todas las regiones de tu red de VPC.

API admitidas

Cuando creas un extremo para acceder a las APIs y los servicios de Google, debes elegir a qué paquete de APIs necesitas acceder: Todas las APIs (all-apis) o VPC-SC (vpc-sc):

Los paquetes de API solo admiten protocolos basados en HTTP mediante TCP (HTTP, HTTPS y HTTP/2) No se admiten todos los demás protocolos, incluidos ICMP y MQTT.

Paquete de API Servicios compatibles Ejemplo de uso
all-apis

Habilita el acceso a la mayoría de los servicios y las APIs de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Google Maps, Google Ads, Google Cloud y la mayoría de las demás API de Google, incluidas las listas que aparecen a continuación. Es compatible con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google. No es compatible con ningún sitio web interactivo.

Nombres de dominio que coinciden:

  • accounts.google.com (solo las rutas de acceso necesarias para la autenticación OAuth)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io o *.gcr.io
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev o *.pkg.dev
  • pki.goog o *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Elige all-apis en estas circunstancias:

  • Si no usas los Controles del servicio de VPC.
  • Debes usar los Controles del servicio de VPC, pero también debes acceder a los servicios y las API de Google que no son compatibles con estos controles. 1
vpc-sc

Habilita el acceso a la API a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC.

Bloquea el acceso a los servicios y a las APIs de Google que son incompatibles con los Controles del servicio de VPC. Es incompatible con las API de Google Workspace y con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google.

Elige vpc-sc cuando solo necesites acceso a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC. El paquete de vpc-sc no permite el acceso a los servicios ni las APIs de Google que no son compatibles con los Controles del servicio de VPC.1
1 Si necesitas restringir los usuarios solo a los servicios y las API de Google que admiten los Controles del servicio de VPC, usa vpc-sc. Aunque los Controles del servicio de VPC se aplican a los servicios compatibles y configurados, sin importar el paquete que uses, vpc-sc ofrece una mitigación adicional de riesgos para el robo de datos. Usar vpc-sc rechaza el acceso a los servicios y a las API de Google que no son compatibles con los Controles del servicio de VPC. Consulta Configura una conectividad privada en la documentación de los Controles del servicio de VPC para obtener más información.

Requisitos de dirección IP

Cuando configuras Private Service Connect en una red de VPC, proporcionas una dirección IP para usar en el extremo.

La dirección se considera dentro de la cuota del proyecto para direcciones IP internas globales.

La dirección IP debe cumplir con las siguientes especificaciones:

  • Debe ser una sola dirección IP y no un rango de direcciones.

  • Debe ser una dirección IPv4 válida. Puede ser una dirección RFC 1918 o una dirección que no sea RFC 1918. Las direcciones IPv6 no son compatibles con Private Service Connect.

  • No puede estar dentro del rango de subredes configuradas en la red de VPC.

  • No puede estar dentro de un rango de direcciones IP principal o secundario de ninguna subred en la red de VPC ni en una red conectada a la red de VPC con el intercambio de tráfico entre redes de VPC.

  • No puede superponerse con una ruta estática personalizada /32 en la red de VPC local. Por ejemplo, si la red de VPC tiene una ruta estática personalizada para 10.10.10.10/32, no puedes reservar la dirección 10.10.10.10 para Private Service Connect.

  • No se puede superponer con una ruta estática personalizada de intercambio de tráfico /32 si configuraste la red con intercambio de tráfico para exportar rutas personalizadas y si configuraste tu red de VPC para importar rutas personalizadas.

  • No puede estar en ninguno de los rangos de IP de modo automático (en 10.128.0.0/9) si la red de VPC local es una red de modo automático o si intercambia tráfico con una red de modo automático.

  • No puede estar dentro de un rango de IP asignado en la red de VPC local. Sin embargo, puede estar dentro de un rango de IP asignado en una red de VPC con intercambio de tráfico.

  • Si un extremo se superpone con una ruta dinámica personalizada cuyo destino es el mismo /32, el extremo tendrá prioridad.

  • Si una dirección IP de extremo se encuentra dentro del rango de destino de una ruta estática personalizada, una ruta dinámica personalizada o una ruta personalizada de intercambio de tráfico y esa ruta tiene una máscara de subred más corta que /32, el extremo tiene mayor prioridad.

Casos de uso

Puedes crear varios extremos en la misma red de VPC. No hay límite para el ancho de banda total enviado a un extremo en particular. Dado que los extremos usan direcciones IP internas globales, pueden ser usados por cualquier recurso en tu red de VPC, o por una red local conectada mediante túneles de Cloud VPN o adjuntos de Cloud Interconnect.

Con varios extremos, puedes especificar diferentes rutas de acceso a la red con Cloud Router y las reglas de firewall.

  • Puedes crear reglas de firewall para evitar que algunas VM accedan a las API de Google a través de un extremo, a la vez que permite que otras VMs tengan acceso.

  • Puedes tener una regla de firewall en una instancia de VM que prohíba todo el tráfico a Internet. El tráfico que se envíe a los extremos de Private Service Connect seguirá llegando a Google.

  • Si tienes hosts locales conectados a una VPC con un túnel de Cloud VPN o un adjunto de VLAN, puedes enviar algunas solicitudes a través del túnel o VLAN mientras envías otras solicitudes a través de la Internet pública. Esta configuración te permite omitir el túnel o la VLAN para servicios como Google Libros que no son compatibles con el Acceso privado a Google.

    Para crear esta configuración, crea un extremo, anuncia las direcciones IP del extremo de Private Service Connect con los anuncios de ruta personalizados de Cloud Router y habilita una Política de reenvío entrante de Cloud DNS. La aplicación puede enviar algunas solicitudes a través del túnel de Cloud VPN o el adjunto de VLAN mediante el nombre del extremo, y puede enviar otras solicitudes a través de Internet con el nombre de DNS predeterminado.

  • Si conectas tu red local a tu red de VPC con varios adjuntos de VLAN, puedes enviar parte del tráfico local a través de una VLAN y el resto a través de otros medios, como se muestra en la figura 2. Esto te permite usar tus propias redes en áreas extensas, en lugar de las de Google, y controlar el movimiento de datos para cumplir con los requisitos geográficos.

    Para crear esta configuración, debes crear dos extremos. Crea un anuncio de ruta personalizado para el primer extremo de la sesión de BGP del Cloud Router que administra la primera VLAN y crea un anuncio de ruta personalizado diferente para el segundo extremo de la sesión del Cloud Router que administra la segunda VLAN. Los hosts locales que están configurados para usar el nombre del extremo envían tráfico en el adjunto de VLAN correspondiente.

  • También puedes usar varios adjuntos de VLAN en una topología activa/activa. Si anuncias la misma dirección IP del extremo mediante anuncios de ruta personalizados para las sesiones de BGP en los routers de Cloud que administran las VLAN, los paquetes enviados desde sistemas locales a los extremos se enrutan en todas las VLAN que usan ECMP.

    Figura 2. Si configuras Private Service Connect, Cloud Router y los hosts locales, puedes controlar qué adjunto de VLAN se usa para enviar tráfico a las APIs de Google.

Precios

Los precios de Private Service Connect se describen en la página de precios de VPC.

Cuotas

La cantidad de extremos de Private Service Connect que puedes crear para acceder a las APIs de Google se controla mediante la cuota PSC Google APIs Forwarding Rules per VPC Network. Para obtener más información, consulta Cuotas.

Restricciones de las políticas de la organización

Un administrador de políticas de la organización puede usar la restricción constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir el conjunto de tipos de extremos para los usuarios no puede crear reglas de reenvío.

Para obtener información sobre cómo crear una política de la organización que use esta restricción, consulta Bloquea a los consumidores para que no implementen extremos por tipo de conexión.

¿Qué sigue?