Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sull'accesso alle API di Google tramite endpoint

Questo documento fornisce una panoramica di Private Service Connect e endpoint utilizzati per accedere alle API di Google.

Per impostazione predefinita, se hai un'applicazione che utilizza un servizio Google, come Cloud Storage, l'applicazione si connette al nome DNS predefinito come storage.googleapis.com. I nomi DNS predefiniti per i servizi Google in indirizzi IP instradabili pubblicamente. Tuttavia, il traffico inviato da Le risorse Google Cloud verso questi indirizzi IP rimangono all'interno della rete Google.

Con Private Service Connect, puoi creare endpoint privati utilizzando indirizzi IP interni globali all'interno della tua rete VPC. Tu puoi assegnare nomi DNS a questi indirizzi IP interni con nomi significativi, storage-vialink1.p.googleapis.com e bigtable-adsteam.p.googleapis.com. Questi nomi e indirizzi IP sono interni alla tua rete VPC a qualsiasi rete on-premise connessa tramite Cloud VPN tunnel o collegamenti VLAN. Puoi controllare quale traffico viene indirizzato ed è in grado di dimostrare che il traffico rimane all'interno di Google Cloud.

Questa opzione ti consente di accedere a tutte le API e a tutti i servizi Google che sono incluse nei pacchetti API.

**Figura 1.** Private Service Connect ti consente di inviare il traffico alle API di Google utilizzando privato per la tua rete VPC (fai clic per ingrandire).

Funzionalità e compatibilità

Questa tabella riassume le funzionalità supportate dagli endpoint utilizzati per accedere alle API di Google.

Configurazione	Dettagli
Configurazione consumer (endpoint)
Raggiungibilità globale	Utilizza un indirizzo IP globale interno
Interconnessione del traffico
Traffico Cloud VPN
Configurazione DNS automatica
Versione IP	IPv4

Servizi supportati	API di Google globali supportate

Accesso on-premise

Endpoint Private Service Connect utilizzati per accedere È possibile accedere alle API di Google da host on-premise connessi supportati. Per ulteriori informazioni, vedi Accedi all'endpoint da host on-premise.

Private Service Connect e Service Directory

Gli endpoint sono registrati con Service Directory. Service Directory è una piattaforma per archiviare, gestire e pubblicare i servizi di machine learning. Quando crei un endpoint accedi alle API e ai servizi Google, selezioni un Service Directory regione e uno spazio dei nomi Service Directory.

Regione Service Directory

Service Directory è un servizio a livello di regione la regione selezionata definisce la posizione del piano di controllo di Service Directory. Là non presenta differenze funzionali tra regioni, ma potresti avere una preferenza per per motivi amministrativi.

Quando crei il primo endpoint API di Google in una rete VPC, la regione selezionata utilizzata come regione predefinita per tutti gli endpoint successivi creati in quel in ogni rete. Se non è ancora impostata una regione per una rete e non specifichi un regione, la regione è impostata su us-central1. Tutti gli endpoint in una rete devono utilizza la stessa regione di Service Directory.

Spazio dei nomi Service Directory

Quando crei il primo endpoint le API di Google in una rete VPC, lo spazio dei nomi selezionato utilizzato come spazio dei nomi predefinito per tutti gli endpoint successivi creati in quel in ogni rete. Se lo spazio dei nomi non è già impostato per una rete e non se specifichi uno spazio dei nomi, ne viene usato uno generato dal sistema. Tutti gli endpoint in un la rete deve utilizzare lo stesso spazio dei nomi di Service Directory. La dello spazio dei nomi che scegli deve essere utilizzato solo endpoint utilizzati per accedere a Google su quelle di livello inferiore. Puoi utilizzare lo stesso spazio dei nomi per endpoint in più reti.

Quando crei un endpoint, Le configurazioni DNS vengono create:

Un DNS privato di Service Directory viene creata la zona p.googleapis.com
Record DNS vengono creati in p.googleapis.com le API e i servizi Google di uso comune disponibili utilizzando Private Service Connect con nomi DNS predefiniti che terminano con googleapis.com.

Consulta creazione di record DNS per istruzioni su come creare record DNS per API e servizi che non dispongono di un record DNS p.googleapis.com.

I servizi disponibili variano a seconda che tu selezioni all-apis o vpc-sc Pacchetto API.

Viene creata una zona DNS di Service Directory per ogni una rete VPC che contiene endpoint.

I nomi DNS di un endpoint vengono accessibile in tutte le regioni nella tua rete VPC.

API supportate

Quando crei un endpoint per accedere API e servizi Google, sei tu a scegliere il bundle di API di cui hai bisogno a: Tutte le API (all-apis) oppure VPC-SC (vpc-sc):

Il bundle all-apis fornisce accesso alla maggior parte delle API e dei servizi Google, inclusi tutti gli endpoint di servizio *.googleapis.com.
Il bundle vpc-sc consente di accedere a API e i servizi che supportano i Controlli di servizio VPC.

Nota: questi bundle forniscono l'accesso alle stesse API disponibili tramite il Vip di accesso privato Google: all-apis e vpc-sc equivale a private.googleapis.com restricted.googleapis.com.

I bundle API supportano solo i protocolli basati su HTTP su TCP (HTTP, HTTPS e HTTP/2). Tutti gli altri tra cui MQTT e ICMP, non sono supportati.

Bundle API Servizi supportati Esempio di utilizzo

Bundle API	Servizi supportati	Esempio di utilizzo
`all-apis`	Abilita l'accesso API alla maggior parte delle API e dei servizi Google indipendentemente da se sono supportate dai Controlli di servizio VPC. Include l'accesso API a Google Maps, Google Ads, Google Cloud e la maggior parte delle altre API di Google, tra cui gli elenchi riportati di seguito. Non supporta Google Workspace per il web applicazioni come Gmail e Documenti Google. Non supporta nessuna siti web interattivi. Nomi di dominio corrispondenti: `accounts.google.com` (solo i percorsi necessari per l'autenticazione OAuth) `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io` o `.gcr.io` `.googleapis.com` `.gstatic.com` `.kernels.googleusercontent.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` o `.pkg.dev` `pki.goog` o `.pki.goog` `*.run.app` `source.developers.google.com` `storage.cloud.google.com`	Scegli `all-apis` in queste circostanze: Non utilizzi Controlli di servizio VPC. Usi i Controlli di servizio VPC, ma devi anche accedere alle API di Google e servizi non supportati dai Controlli di servizio VPC. ¹
`vpc-sc`	Abilita l'accesso API a API di Google e supportati dai Controlli di servizio VPC. Blocca l'accesso alle API e ai servizi Google che non supportano Controlli di servizio VPC. Non supporta le API Google Workspace o le applicazioni web di Google Workspace, come come Gmail e Documenti Google.	Scegli `vpc-sc` quando solo richiedono l'accesso alle API e ai servizi Google che sono supportati Controlli di servizio VPC. Il cofanetto `vpc-sc` non consente accesso alle API e ai servizi Google che non supportano i Controlli di servizio VPC. ¹

all-apis

Abilita l'accesso API alla maggior parte delle API e dei servizi Google indipendentemente da se sono supportate dai Controlli di servizio VPC. Include l'accesso API a Google Maps, Google Ads, Google Cloud e la maggior parte delle altre API di Google, tra cui gli elenchi riportati di seguito. Non supporta Google Workspace per il web applicazioni come Gmail e Documenti Google. Non supporta nessuna siti web interattivi.

Nomi di dominio corrispondenti:

accounts.google.com (solo i percorsi necessari per l'autenticazione OAuth)
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io o *.gcr.io
*.googleapis.com
*.gstatic.com
*.kernels.googleusercontent.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev o *.pkg.dev
pki.goog o *.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

Scegli all-apis in queste circostanze:

Non utilizzi Controlli di servizio VPC.
Usi i Controlli di servizio VPC, ma devi anche accedere alle API di Google e servizi non supportati dai Controlli di servizio VPC. ¹

vpc-sc

Abilita l'accesso API a API di Google e supportati dai Controlli di servizio VPC.

Blocca l'accesso alle API e ai servizi Google che non supportano Controlli di servizio VPC. Non supporta le API Google Workspace o le applicazioni web di Google Workspace, come come Gmail e Documenti Google.

Scegli vpc-sc quando solo richiedono l'accesso alle API e ai servizi Google che sono supportati Controlli di servizio VPC. Il cofanetto vpc-sc non consente accesso alle API e ai servizi Google che non supportano i Controlli di servizio VPC. ¹

¹ Se devi limitare gli utenti solo alle API e ai servizi Google che supportano i Controlli di servizio VPC, vpc-sc, in quanto fornisce ulteriore mitigazione del rischio per i dati l'esfiltrazione dei dati. L'uso di vpc-sc nega l'accesso a API e servizi Google non supportati dai Controlli di servizio VPC. Consulta Impostazione di impostazioni private connettività nella documentazione Controlli di servizio VPC per ulteriori dettagli.

Requisiti per gli indirizzi IP

Quando configuri Private Service Connect su una rete VPC, devi fornire un indirizzo IP da utilizzare per endpoint.

L'indirizzo viene conteggiato ai fini della quota del progetto per gli indirizzi IP interni globali.

L'indirizzo IP deve soddisfare le seguenti specifiche:

Deve essere un singolo indirizzo IP e non un intervallo di indirizzi.
Deve essere un indirizzo IPv4 valido. Può essere un indirizzo RFC 1918 o un indirizzo non RFC 1918. Gli indirizzi IPv6 non sono supportati per Private Service Connect.
Non può rientrare nell'intervallo delle subnet configurate nel VPC in ogni rete.
Non può essere compreso in un intervallo di indirizzi IP principali o secondari di qualsiasi nella rete VPC o in una rete connessa tramite peering di rete VPC.
Non può sovrapporsi a una route statica personalizzata /32 nella località locale rete VPC. Ad esempio, se la rete VPC ha un route statica personalizzata per 10.10.10.10/32, non puoi prenotare l'indirizzo 10.10.10.10 per Private Service Connect.
Non può sovrapporsi a una route statica personalizzata di peering /32 se che hai configurato la rete in peering per esportare route e hai configurato la tua rete VPC per importare route personalizzate.
Non può essere compreso in nessuno degli intervalli IP in modalità automatica (in 10.128.0.0/9) se la rete VPC locale è in modalità automatica o se è connessa in peering con una modalità automatica. in ogni rete.
Non può essere all'interno di un tag allocato IP nel rete VPC locale. Tuttavia, può trovarsi all'interno di un modello Intervallo IP in una rete VPC in peering.
Se un endpoint si sovrappone a un la cui destinazione è la stessa /32, il percorso endpoint ha la priorità.
Se un indirizzo IP endpoint si trova che rientrano nell'intervallo di destinazione di un route, dinamica personalizzata route o di peering personalizzato route, che ha una subnet mask più breve di /32, l'endpoint ha una priorità più elevata.

Casi d'uso

Puoi creare più endpoint nel sulla stessa rete VPC. Non esiste alcun limite alla larghezza di banda totale inviata un particolare endpoint. Poiché gli endpoint utilizzano indirizzi IP interni globali, possono essere utilizzati da qualsiasi risorsa una rete VPC o una rete on-premise connessa Tunnel Cloud VPN o collegamenti di Cloud Interconnect.

Con più endpoint, puoi specificare diversi percorsi di rete utilizzando il router Cloud e le regole firewall.

Puoi creare regole firewall per impedire ad alcune VM di accedere alle API di Google attraverso un endpoint, consentendo ad altri alle VM accessibili.
Puoi avere una regola firewall su un'istanza VM che non consente tutto il traffico verso internet; traffico inviato a Private Service Connect raggiunge ancora Google.
Se hai host on-premise connessi a un VPC tramite da un tunnel Cloud VPN o da un collegamento VLAN, puoi inviare alcune richieste attraverso il tunnel o la VLAN mentre invii altre richieste sul pubblico internet. Questa configurazione consente di bypassare il tunnel o la VLAN per i servizi come i libri di Google Libri, che non sono supportati dall'accesso privato Google.

Per creare questa configurazione, crea un servizio Private Service Connect endpoint, pubblicizza l'IP endpoint indirizzi IP utilizzando la route personalizzata del router Cloud pubblicità, e abilitare un inoltro in entrata di Cloud DNS . L'applicazione può inviare alcune richieste tramite il tunnel Cloud VPN o il collegamento VLAN utilizzando il nome l'endpoint e può inviare altre richieste internet usando il nome DNS predefinito.
Se connetti la tua rete on-premise alla rete VPC utilizzando più collegamenti VLAN, puoi inviare del traffico da on-premise una VLAN e le altre sopra le altre, come mostrato nella figura 2. In questo modo puoi utilizzare una rete ad ampia area anziché quella di Google e controllare lo spostamento dei dati verso per soddisfare i requisiti geografici.

Per creare questa configurazione, crea due endpoint. Crea una route personalizzata pubblicità per il primo endpoint della sessione BGP del router Cloud gestisce la prima VLAN e ne crea uno diverso annuncio di route per il secondo endpoint sulla sessione BGP del Router Cloud che gestisce la seconda VLAN. Host on-premise configurato in modo da utilizzare il nome dell'endpoint per inviare il traffico sul collegamento VLAN corrispondente.
Puoi anche utilizzare più collegamenti VLAN una topologia attiva/attiva. Se pubblicizzi lo stesso l'indirizzo IP dell'endpoint utilizzando una route personalizzata annunci per le sessioni BGP sui router Cloud che gestiscono Le VLAN, ossia i pacchetti inviati dai sistemi on-premise agli endpoint, vengono instradati su le VLAN tramite ECMP.

Figura 2. Configurando Private Service Connect, router Cloud e host on-premise, puoi controllare quali Il collegamento VLAN viene utilizzato per inviare traffico alle API di Google.

Prezzi

I prezzi di Private Service Connect sono descritti in Pagina dei prezzi di VPC.

Quote

Il numero di Private Service Connect che è possibile creare per accedere alle API di Google è controllato Quota PSC Google APIs Forwarding Rules per VPC Network. Per ulteriori informazioni, consulta la sezione sulle quote.

Vincoli dei criteri dell'organizzazione

Un amministratore dei criteri dell'organizzazione può utilizzare il vincolo constraints/compute.disablePrivateServiceConnectCreationForConsumers per definire l'insieme dei tipi di endpoint che gli utenti non possono creare regole di forwarding.

Per informazioni sulla creazione di un criterio dell'organizzazione che utilizza questo vincolo, consulta Impedire ai consumer di eseguire il deployment degli endpoint in base al tipo di connessione.

Passaggi successivi

Configura Private Service Connect per accedere alle API e ai servizi Google