Opciones de acceso privado a los servicios

Google Cloud ofrece varias opciones de acceso privado. Cada opción permite que las instancias de máquina virtual (VM) que tienen direcciones IP internas accedan a ciertas API y servicios. Selecciona una opción que te permita acceder a las API y los servicios que necesitas.

En esta tabla, se resume cada opción. Puedes configurar una o todas estas opciones. Funcionan de forma independiente unas de otras.

Opción	Clientes	Conexión	Servicios compatibles	Uso
Acceso privado a Google
	Instancias de VM de Google Cloud sin direcciones IP externas.	Conéctate a las direcciones IP externas estándar o a los dominios y las VIP de acceso privado a Google para las API y los servicios de Google a través de la puerta de enlace de Internet predeterminada de la red de nube privada virtual (VPC).	Es compatible con la mayoría de los servicios y las API de Google. También admite el acceso a aplicaciones de App Engine.	Usa esta opción para conectarte a las API y los servicios de Google sin tener que proporcionar direcciones IP externas a los recursos de Google Cloud.
Acceso privado a Google para los hosts locales
	Hosts locales con o sin direcciones IP externas.	Conéctate a las API y a los servicios de Google desde la red local a través de un túnel de Cloud VPN o Cloud Interconnect mediante una de las VIP y los dominios específicos de acceso privado a Google.	Los servicios de Google a los que puedes acceder dependen del dominio específico de acceso privado a Google que uses.	Usa esta opción para conectarte a los servicios y las API de Google a través de una red de VPC. Con este método, no es necesario que los hosts locales tengan direcciones IP externas.
Acceso privado a servicios
	Instancias de VM de Google Cloud con o sin direcciones IP externas.	Conéctate a una red de VPC de Google o administrada por terceros a través de una conexión de intercambio de tráfico entre redes de VPC.	Es compatible con algunos servicios de Google o de terceros.	Usa esta opción para conectarte a servicios específicos de Google y de terceros sin tener que asignar direcciones IP externas a los recursos de Google Cloud y de Google o de terceros.
Acceso a VPC sin servidores
	Instancias de VM de Google Cloud con o sin direcciones IP externas.	Conéctate directamente desde los servicios de Google sin servidores a través de una conexión de VPC interna.	Cloud Run (completamente administrado), entorno estándar de App Engine y Cloud Functions	Usa esta opción para conectarte desde un entorno sin servidores en Google Cloud directamente a los recursos en una red de VPC mediante direcciones IP internas.

Acceso privado a Google

Las instancias de VM que solo tienen direcciones IP internas (no direcciones IP externas) pueden usar el acceso privado a Google. Pueden acceder a las direcciones IP externas de los servicios y las API de Google. La dirección IP de origen del paquete puede ser la dirección IP interna principal de la interfaz de red o una dirección de un rango de alias de IP que se asignó a la interfaz. Si inhabilitas el acceso privado a Google, las instancias de VM ya no podrán acceder a las API ni a los servicios de Google; solo podrán enviar tráfico dentro de la red de VPC.

El acceso privado a Google no tiene efecto en las instancias que tienen direcciones IP externas. Las instancias que tengan estas direcciones pueden acceder a Internet, según los requisitos de acceso a Internet. No necesitan una configuración especial para enviar solicitudes a las direcciones IP externas de los servicios y las API de Google.

El acceso privado a Google se habilita en cada subred individual; es una configuración para subredes en una red de VPC. Si quieres habilitar una subred para el acceso privado a Google y ver los requisitos, consulta Cómo configurar el acceso privado a Google.

Servicios compatibles

El acceso privado a Google permite el acceso a las API de Cloud y para desarrolladores y a la mayoría de los servicios de Google Cloud, excepto los siguientes servicios:

Memcache de App Engine
Filestore
Memorystore

En su lugar, el acceso privado a servicios puede ser compatible con uno o más de ellos.

Ejemplo

La red de VPC del siguiente ejemplo cumple con el requisito de enrutamiento para el acceso privado a Google porque tiene rutas a las direcciones IP externas para las API y los servicios de Google cuyos siguientes saltos son la puerta de enlace de Internet predeterminada. El acceso privado a Google está habilitado para subnet-a, pero no para subnet-b.

Implementación del acceso privado a Google (haz clic para ampliar)

En la siguiente lista, se proporcionan detalles sobre el diagrama anterior:

Las reglas de firewall en la red de VPC se configuraron a fin de permitir la salida a 0.0.0.0/0 (o al menos a las IP del servidor para las API y los servicios de Google).
VM A1 puede acceder a las API y a los servicios de Google, incluido Cloud Storage, porque su interfaz de red se encuentra en subnet-a, que tiene habilitado el acceso privado a Google. El acceso privado a Google se aplica a la instancia porque solo tiene una dirección IP interna.
VM B1 no puede acceder a las API ni a los servicios de Google porque solo tiene una dirección IP interna, y el acceso privado a Google está inhabilitado para subnet-b.
VM A2 y VM B2 pueden acceder a las API y a los servicios de Google, incluido Cloud Storage, ya que ambas tienen direcciones IP externas. El acceso privado a Google no influye sobre si estas instancias pueden acceder a las API y a los servicios de Google porque ambas tienen direcciones IP externas.

Acceso privado a Google para los hosts locales

Los hosts locales pueden acceder a las API y a los servicios de Google mediante Cloud VPN o Cloud Interconnect desde la red local a Google Cloud. Los hosts locales pueden enviar tráfico desde los siguientes tipos de direcciones IP de origen:

Una dirección IP privada, como una dirección RFC 1918
Una dirección IP pública de uso privado, excepto una dirección IP pública de Google (el acceso privado a Google para hosts locales no admite que se vuelvan a usar las direcciones IP públicas de Google como fuentes en tu red local)

Si quieres habilitar el acceso privado a Google para los hosts locales, debes configurar un DNS, las reglas de firewall y las rutas en las redes de VPC y locales. No es necesario habilitar el acceso privado a Google para ninguna subred en la red de VPC como se haría con las instancias de VM de Google Cloud.

Los hosts locales deben conectarse a las API y a los servicios de Google mediante las direcciones IP virtuales (VIP) para los dominios restricted.googleapis.com o private.googleapis.com. Para obtener más información, consulta la sección VIP y dominios específicos del acceso privado a Google.

Google publica registros A DNS que resuelven los dominios en un rango de VIP. Aunque los rangos tienen direcciones IP externas, Google no publica rutas para ellos. Por lo tanto, debes agregar un anuncio de ruta personalizado en un Cloud Router y tener una ruta estática personalizada apropiada en la red de VPC para el destino de la VIP.

La ruta debe tener un destino que coincida con uno de los rangos de VIP y un siguiente salto que sea la puerta de enlace de Internet predeterminada. El tráfico que se envía al rango de VIP permanece dentro de la red de Google, en lugar de atravesar la Internet pública, porque Google no publica rutas hacia ellos de forma externa.

Para obtener información sobre la configuración, consulta Configura el acceso privado a Google para hosts locales.

VIP y dominios específicos del acceso privado a Google

En la siguiente tabla, se describen los nombres de dominios y su rango de VIP. Debes usar una de estas VIP en el Acceso privado a Google para hosts locales.

Rangos de direcciones IP y de dominio Servicios compatibles Ejemplo de uso

Dominios predeterminados

Todos los nombres de dominio para las API y los servicios de Google, excepto private.googleapis.com y restricted.googleapis.com.

Varios rangos de direcciones IP: puedes determinar un conjunto de rangos de IP que contenga las direcciones posibles que usan los dominios predeterminados si haces referencia a las direcciones IP para dominios predeterminados. Habilita el acceso a la mayoría de los servicios y las API de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye el acceso a la API de Google Maps, Google Ads, Google Cloud Platform y la mayoría de las API de Google cuyos nombres terminen en googleapis.com. No es compatible con las aplicaciones web de Google Workspace. Los dominios predeterminados se usan cuando no configuras los registros DNS para private.googleapis.com y restricted.googleapis.com.

Rangos de direcciones IP y de dominio	Servicios compatibles	Ejemplo de uso
Dominios predeterminados Todos los nombres de dominio para las API y los servicios de Google, excepto `private.googleapis.com` y `restricted.googleapis.com`. Varios rangos de direcciones IP: puedes determinar un conjunto de rangos de IP que contenga las direcciones posibles que usan los dominios predeterminados si haces referencia a las direcciones IP para dominios predeterminados.	Habilita el acceso a la mayoría de los servicios y las API de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye el acceso a la API de Google Maps, Google Ads, Google Cloud Platform y la mayoría de las API de Google cuyos nombres terminen en `googleapis.com`. No es compatible con las aplicaciones web de Google Workspace.	Los dominios predeterminados se usan cuando no configuras los registros DNS para `private.googleapis.com` y `restricted.googleapis.com`.
`private.googleapis.com` `199.36.153.8/30`	Habilita el acceso a la mayoría de los servicios y las API de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Maps, Google Ads, Google Cloud Platform y la mayoría de las otras API de Google, incluidas las listas que aparecen a continuación. No es compatible con las aplicaciones web de Google Workspace. Nombres de dominio que terminan con lo siguiente: `googleapis.com` `googleadapis.com` `ltsapis.goog` `gcr.io` `gstatic.com` `appspot.com` `cloudfunctions.net` `pki.goog` `cloudproxy.app` `run.app` `datafusion.googleusercontent.com` `datafusion.cloud.google.com` Nombres de dominio o host que coinciden: `packages.cloud.google.com` `gcr.io` `appengine.google.com` `pki.goog`	Usa `private.googleapis.com` para acceder a las API y a los servicios de Google mediante un conjunto de direcciones IP que solo se pueden enrutar desde Google Cloud. Elige `private.googleapis.com` en estas circunstancias: Si no usas los Controles del servicio de VPC. Si usas los Controles del servicio de VPC, pero también debes acceder a las API y a los servicios de Google que no son compatibles con los Controles del servicio de VPC.
`restricted.googleapis.com` `199.36.153.4/30`	Habilita el acceso a la API a los servicios y las API de Google que son compatibles con los Controles del servicio de VPC. Bloquea el acceso a los servicios y a las API de Google que no son compatibles con los Controles del servicio de VPC. No es compatible con las aplicaciones web ni las API de Google Workspace.	Usa `restricted.googleapis.com` para acceder a las API y a los servicios de Google mediante un conjunto de direcciones IP que solo se pueden enrutar desde Google Cloud. Elige `restricted.googleapis.com` cuando solo necesites acceso a las API y a los servicios de Google que son compatibles con los Controles del servicio de VPC. `restricted.googleapis.com` no permite el acceso a las API ni a los servicios de Google que no son compatibles con los Controles del servicio de VPC.

private.googleapis.com

199.36.153.8/30

Habilita el acceso a la mayoría de los servicios y las API de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Maps, Google Ads, Google Cloud Platform y la mayoría de las otras API de Google, incluidas las listas que aparecen a continuación. No es compatible con las aplicaciones web de Google Workspace.

Nombres de dominio que terminan con lo siguiente:

googleapis.com
googleadapis.com
ltsapis.goog
gcr.io
gstatic.com
appspot.com
cloudfunctions.net
pki.goog
cloudproxy.app
run.app
datafusion.googleusercontent.com
datafusion.cloud.google.com

Nombres de dominio o host que coinciden:

packages.cloud.google.com
gcr.io
appengine.google.com
pki.goog

Usa private.googleapis.com para acceder a las API y a los servicios de Google mediante un conjunto de direcciones IP que solo se pueden enrutar desde Google Cloud. Elige private.googleapis.com en estas circunstancias:

Si no usas los Controles del servicio de VPC.
Si usas los Controles del servicio de VPC, pero también debes acceder a las API y a los servicios de Google que no son compatibles con los Controles del servicio de VPC.

restricted.googleapis.com

199.36.153.4/30 Habilita el acceso a la API a los servicios y las API de Google que son compatibles con los Controles del servicio de VPC.

Bloquea el acceso a los servicios y a las API de Google que no son compatibles con los Controles del servicio de VPC. No es compatible con las aplicaciones web ni las API de Google Workspace. Usa restricted.googleapis.com para acceder a las API y a los servicios de Google mediante un conjunto de direcciones IP que solo se pueden enrutar desde Google Cloud. Elige restricted.googleapis.com cuando solo necesites acceso a las API y a los servicios de Google que son compatibles con los Controles del servicio de VPC. restricted.googleapis.com no permite el acceso a las API ni a los servicios de Google que no son compatibles con los Controles del servicio de VPC.

Nota: Si necesitas restringir los usuarios solo a las API y a los servicios de Google que admiten los Controles del servicio de VPC, usa restricted.googleapis.com. Aunque los Controles del servicio de VPC se aplican a los servicios compatibles y configurados, sin importar el dominio que uses, restricted.googleapis.com ofrece una mitigación adicional de riesgos para el robo de datos. restricted.googleapis.com rechaza el acceso a los servicios y a las API de Google que no son compatibles con los Controles del servicio de VPC. Consulta Configura una conectividad privada en la documentación de los Controles del servicio de VPC para obtener más información.

Servicios compatibles

Los servicios disponibles para los hosts locales se limitan a los admitidos por el nombre de dominio y la VIP que se usan a fin de acceder a ellos. Para obtener más información, consulta VIP y dominios específicos del acceso privado a Google.

Ejemplo

En este ejemplo, la red local está conectada a una red de VPC a través de un túnel de Cloud VPN. El tráfico de los hosts locales a las API de Google fluye a través del túnel a la red de VPC. Una vez que el tráfico llega a la red de VPC, se envía a través de una ruta que usa la puerta de enlace de Internet predeterminada como su siguiente salto. Este siguiente salto permite que el tráfico salga de la red de VPC y se entregue en restricted.googleapis.com (199.36.153.4/30).

Caso práctico de acceso privado a Google en la nube híbrida (haz clic para ampliar)

La configuración de DNS local asigna solicitudes *.googleapis.com a restricted.googleapis.com, que se resuelve en 199.36.153.4/30.
Cloud Router se configuró para anunciar el rango de direcciones IP 199.36.153.4/30 a través del túnel de Cloud VPN mediante un anuncio de ruta personalizado. El tráfico que se dirige a las API de Google se enruta a través del túnel a la red de VPC.
Se agregaron rutas estáticas personalizadas a la red de VPC que dirige el tráfico con el destino 199.36.153.4/30 a la puerta de enlace de Internet predeterminada (como el siguiente salto). Luego, Google enruta el tráfico al servicio o a la API adecuados.
Si creaste una zona privada administrada por Cloud DNS para *.googleapis.com que se asigna a 199.36.153.4/30, y autorizaste esa zona a fin de que la use la red de VPC, las solicitudes a cualquier dominio googleapis.com se enviarán a las direcciones IP que usa restricted.googleapis.com. Con esta configuración, solo se puede acceder a las API compatibles, lo que puede generar que no se pueda acceder a otros servicios. Cloud DNS no admite anulaciones parciales. Si necesitas anulaciones parciales, usa BIND.

Acceso privado a servicios

Google y los terceros (que juntos se conocen como productores de servicios) pueden ofrecer servicios con direcciones IP internas que se alojan en una red de VPC. El acceso privado a los servicios te permite acceder a esas direcciones IP internas. Esto es útil si deseas que las instancias de VM en la red de VPC usen direcciones IP internas en lugar de externas. Para obtener detalles sobre cómo usar el acceso privado a los servicios, consulta Configura el acceso privado a los servicios.

El acceso privado a servicios requiere que primero asignes un rango de direcciones IP internas y, luego, crees una conexión privada. Un rango asignado es un bloque CIDR reservado que no se puede usar en la red de VPC local. Se reserva solo para los productores de servicios y evita que se superpongan tu red de VPC y la de ellos. Cuando creas una conexión privada, debes especificar una asignación.

La conexión privada vincula tu red de VPC con la red de VPC del productor de servicios. Esta conexión permite que las instancias de VM de la red de VPC usen direcciones IP internas para acceder a los recursos de servicio que tienen direcciones IP internas. Las instancias pueden tener direcciones IP externas, pero el acceso a los servicios privados no las requiere ni las usa.

Si un productor de servicios ofrece varios servicios, solo necesitas una conexión privada. Cuando creas una conexión privada, debes usar la API de Herramientas de redes de servicios para hacerlo. Sin embargo, Google Cloud implementa esta conexión como una conexión de intercambio de tráfico entre redes de VPC entre tu red de VPC y la del productor de servicios. Por ejemplo, la red de VPC la muestra como una conexión de intercambio de tráfico y, para borrar la conexión privada, debes borrar la conexión de intercambio de tráfico.

Puedes usar el acceso privado a los servicios solo con los servicios compatibles. Consulta con el productor de servicios antes de crear una conexión privada.

Red de productores de servicios

En el lado del productor de servicios de la conexión privada, hay una red de VPC, en la que se aprovisionan los recursos de servicio. La red del productor de servicios se crea exclusivamente para ti y contiene solo tus recursos.

Un recurso en la red del productor de servicios es similar a otro recurso en tu red de VPC. Por ejemplo, otros recursos de tu red de VPC pueden acceder a ellos mediante direcciones IP internas. También puedes crear reglas de firewall en la red de VPC para controlar el acceso a la red del productor de servicios.

Para obtener detalles sobre el lado del productor de servicios, consulta Habilita el acceso privado a los servicios en la documentación de la infraestructura del servicio. Esta documentación es solo para tu información y no es necesaria a fin de habilitar o usar el acceso privado a los servicios.

Acceso privado a servicios y conectividad local

En situaciones de redes híbridas, una red local se conecta a una red de VPC mediante una conexión de Cloud VPN o Cloud Interconnect. De forma predeterminada, los hosts locales no pueden acceder a la red del productor de servicios mediante el acceso privado a servicios.

En la red de VPC, es posible que tengas rutas estáticas o dinámicas personalizadas para dirigir el tráfico a la red local de manera correcta. Sin embargo, la red del productor de servicios no contiene esas mismas rutas. Cuando creas una conexión privada, la red de VPC y la red del productor de servicios solo intercambian rutas de subredes.

Debes exportar las rutas personalizadas de la red de VPC para que la red del proveedor de servicios pueda importarlas y direccionar el tráfico a la red local de forma correcta.

Para exportar rutas personalizadas, debes crear una conexión privada y, luego, modificar la configuración de intercambio de tráfico entre redes de VPC subyacente. Para obtener información sobre cómo crear una conexión privada, consulta Configura el acceso privado a los servicios. Para obtener información sobre cómo exportar rutas personalizadas, consulta Actualiza una conexión de intercambio de tráfico.

Servicios compatibles

Estos servicios de Google son compatibles con el acceso privado a servicios:

Ejemplo

En el siguiente ejemplo, la red de VPC del cliente asignó el rango de direcciones 10.240.0.0/16 para los servicios de Google y estableció una conexión privada que usa el rango asignado. Cada servicio de Google crea una subred del bloque asignado para aprovisionar recursos nuevos en una región determinada, como las instancias de Cloud SQL.

Acceso privado a los servicios (haz clic para ampliar)

Se asigna el rango 10.240.0.0/16 a la conexión privada. A partir de esta asignación, los servicios de Google pueden crear subredes en las que se aprovisionan recursos nuevos.
Del lado de los servicios de Google de la conexión privada, Google crea un proyecto para el cliente. El proyecto está aislado, lo que significa que no se comparte con ningún otro cliente y al cliente solo se le facturan los recursos con los que se aprovisionó.
Cada servicio de Google crea una subred en la que se aprovisionan recursos. Por lo general, el rango de direcciones IP de la subred es un bloque CIDR /24 que elige el servicio y proviene del rango de direcciones IP asignadas. No puedes modificar la subred del productor de servicios. Un servicio aprovisiona recursos nuevos en subredes regionales existentes que ese servicio creó antes. Si una subred está llena, el servicio crea una subred nueva en la misma región.
Las instancias de VM en la red del cliente pueden acceder a los recursos de servicio en cualquier región si el servicio lo admite. Es posible que algunos servicios no admitan la comunicación entre regiones. Por ejemplo, las instancias de VM solo se pueden comunicar con las instancias de Cloud SQL que estén en la misma región. Para obtener más información, consulta la documentación del servicio correspondiente.
Se aplican costos de salida para el tráfico entre regiones, en el que una instancia de VM se comunica con recursos en una región diferente.
A la instancia de Cloud SQL se le asigna la dirección IP 10.240.0.2. En la red de VPC del cliente, las solicitudes con un destino de 10.240.0.2 se enrutan a la conexión privada a la red del productor del servicio. Después de que se accede a la red de servicio, esta contiene rutas que dirigen la solicitud al recurso correcto.
El tráfico entre redes de VPC fluye de forma interna dentro de la red de Google, no a través de la Internet pública.

Acceso a VPC sin servidores

El acceso a VPC sin servidores te permite conectarte desde un entorno sin servidores en Google Cloud directamente a la red de VPC. Esta conexión hace posible que el entorno sin servidores acceda a los recursos en la red de VPC a través de direcciones IP internas.

Con el acceso a VPC sin servidores, debes crear un conector en el proyecto de Google Cloud y vincularlo a una red de VPC. Luego, configura los servicios sin servidores (como los servicios de Cloud Run, las apps de App Engine o Cloud Functions) a fin de usar el conector para el tráfico de red interno.

El acceso a VPC sin servidores permite que solo el entorno sin servidores inicie las solicitudes. Las solicitudes iniciadas por una VM deben usar la dirección externa del servicio sin servidores. Consulta Acceso privado a Google para obtener más información.

El acceso a VPC sin servidores no es compatible con las redes heredadas. Para obtener más información, consulta la sección sobre cómo configurar el acceso a VPC sin servidores.

Servicios compatibles

Los siguientes servicios de Google son compatibles con los conectores del acceso a VPC sin servidores:

Cloud Run (completamente administrado)
Entorno estándar de App Engine
- Todos los entornos de ejecución, excepto PHP 5
Cloud Functions

Ejemplo

En el siguiente ejemplo, App Engine, Cloud Functions y Cloud Run usan un conector de acceso a VPC sin servidores para enviar solicitudes a recursos internos en la red de VPC.

El conector de acceso a VPC sin servidores se encuentra en el mismo proyecto y la misma región que los servicios sin servidores.
El conector está vinculado a la red de VPC que contiene los recursos de destino. El conector puede acceder a los recursos en otras redes de VPC y proyectos de Google Cloud si usas el intercambio de tráfico entre redes de VPC.
Al conector se le asigna el rango de IP 10.8.0.0/28. Las solicitudes enviadas desde el conector al destino tienen una dirección IP de origen en este rango.
App Engine, Cloud Functions y Cloud Run acceden a los recursos de destino mediante el envío de solicitudes a las direcciones IP internas, 10.0.0.4 y 10.1.0.2. Los recursos de destino pueden estar en cualquier región. Los costos de salida se aplican al tráfico enviado desde el conector hasta un recurso en una región diferente.
Las solicitudes enviadas de los entornos sin servidores a las direcciones IP internas viajan de forma interna a través del conector de acceso a VPC sin servidores al recurso de destino. Las solicitudes que se envían a direcciones IP externas viajan a través de Internet.

Próximos pasos

Si deseas configurar el acceso privado a Google, consulta Configura el acceso privado a Google.
Si deseas configurar el acceso privado a Google para los hosts locales, consulta Configura el acceso privado a Google para los hosts locales.
Si deseas configurar el acceso privado a servicios, consulta Configura el acceso privado a servicios.
Para configurar el acceso a VPC sin servidores, consulta Configura el acceso a VPC sin servidores.