En Google, se ofrecen varias opciones diferentes de acceso privado. Cada una permite que las instancias de VM con direcciones IP internas (RFC 1918) alcancen ciertos servicios y API. Selecciona una opción que te permita acceder a las API y los servicios que necesitas.
En esta tabla, se resume cada opción. Puedes configurar una o todas estas opciones. Funcionan de forma independiente unas de otras.
| Opción | Instancias | Conexión | Servicios compatibles | Uso | |
|---|---|---|---|---|---|
| Acceso privado a Google | |||||
| Las instancias de VM en GCP solo requieren direcciones IP internas y no pueden tener direcciones IP externas. | Conéctate a las direcciones IP públicas de los servicios y las API de Google a través de la puerta de enlace de Internet predeterminada de la red de VPC. | Es compatible con la mayoría de los servicios y las API de Google | Utiliza esta opción para conectarte a los servicios y las API de Google sin darles direcciones IP externas a tus recursos de GCP. | ||
| Acceso privado a Google para los hosts locales | |||||
| Se requiere una dirección IP interna para los hosts locales. Los hosts pueden tener direcciones IP externas. | Conéctate a las direcciones IP públicas de los servicios y las API de Google a través de un túnel VPN o realiza una interconexión mediante un rango de direcciones IP restringido. | Los servicios de Google que son compatibles con el rango de direcciones IP restringido de Google | Utiliza esta opción para conectarte a los servicios y las API de Google a través de una red de VPC. Con este método, no se requiere que tus hosts locales tengan direcciones IP externas. | ||
| Acceso privado a servicios | |||||
| Las instancias de VM en GCP requieren una dirección IP interna. Las instancias pueden tener direcciones IP externas. | Conéctate a una red de VPC de Google o administrada por terceros a través de una conexión de intercambio de tráfico de redes de VPC. | Es compatible con algunos servicios de Google o de terceros | Utiliza esta opción para conectarte a servicios específicos de Google y de terceros sin asignar direcciones IP externas a tu GCP y a los recursos de Google o de terceros. | ||
Acceso privado a Google
Las instancias de VM que solo tienen direcciones IP internas (no direcciones IP externas) pueden utilizar el acceso privado a Google. Pueden acceder a las direcciones IP externas de los servicios y las API de Google. Si inhabilitas el acceso privado a Google, las instancias de VM ya no pueden acceder a los servicios y las API de Google, solo pueden enviar tráfico dentro de la red de VPC.
El acceso privado a Google no tiene efecto en las instancias que tienen direcciones IP externas. Las instancias que tengan estas direcciones pueden acceder a Internet, según los requisitos de acceso a Internet. No necesitan una configuración especial para enviar solicitudes a las direcciones IP externas de los servicios y las API de Google.
Habilitas el acceso privado a Google en un arreglo de subred por subred, que es una configuración para subredes en la red de VPC. Si quieres habilitar una subred para el acceso privado a Google y ver los requisitos, consulta Cómo configurar el acceso privado a Google.
Servicios compatibles
El acceso privado a Google permite acceder a las API para desarrolladores y de Cloud y a la mayoría de los servicios de GCP, excepto a estos:
- Memcache de App Engine
- Cloud Filestore
- Cloud Memorystore
- Cloud SQL
En su lugar, el acceso privado a servicios puede ser compatible con uno o más de ellos.
Ejemplo
A continuación, el proyecto de ejemplo tiene una sola red de VPC con dos subredes. El acceso privado a Google está habilitado para subnet-a, pero no para subnet-b.
- La red de VPC cumple con el requisito de enrutamiento para el acceso privado a Google porque tiene una ruta cuyo siguiente salto es la puerta de enlace de Internet predeterminada. Si bien el siguiente salto se llama "puerta de enlace de Internet predeterminada", las VM que solo tengan direcciones IP internas no cumplen con los requisitos de acceso a Internet. Las solicitudes para los servicios y las API de Google desde las VM que solo tengan direcciones IP internas no se envían a través de la Internet pública. El tráfico no sale de la red de Google.
- Las reglas de firewall en la red de VPC permiten la salida a
0.0.0.0/0(o, al menos, a las direcciones IP del servidor para los servicios y las API de Google). - El acceso privado a Google está habilitado para
subnet-a, pero no parasubnet-b. VM A1puede acceder a los servicios y las API de Google, incluso Cloud Storage, porque la interfaz de su red está ensubnet-a, que tiene el acceso privado a Google habilitado. El acceso privado a Google se aplica a la instancia porque solo tiene una dirección IP privada.VM B1no puede acceder a los servicios y las API de Google porque solo tiene una dirección IP privada y el acceso privado a Google está inhabilitado parasubnet-b.VM A2yVM B2pueden acceder ambas a los servicios y las API de Google, incluso Cloud Storage, porque cada una tiene direcciones IP públicas. El acceso privado a Google no determina si estas instancias pueden acceder a los servicios y las API de Google o no porque ambas tienen direcciones IP públicas.
Acceso privado a Google para los hosts locales
Los hosts locales pueden acceder a los servicios y las API de Google mediante una conexión de Cloud VPN o Cloud Interconnect de tu centro de datos a GCP. Los hosts locales no necesitan direcciones IP externas; en su lugar, utilizan direcciones IP RFC 1918 internas.
Si quieres habilitar el acceso privado a Google para los hosts locales, debes configurar un DNS, reglas de firewall y rutas de manera local y en tus redes de VPC. No necesitas habilitar el acceso privado a Google para subredes en tu red de VPC, como harías con las instancias de VM en GCP. Sin embargo, en tu red de VPC, debes tener una ruta con al menos un destino de 199.36.153.4/30 y como siguiente salto la puerta de enlace de Internet predeterminada. Aunque el siguiente salto se llama "puerta de enlace de Internet predeterminada", el tráfico que se envía a 199.36.153.4/30 se queda en la red de Google en lugar de desviarse a la Internet pública porque Google no publica rutas a 199.36.153.4/30 de forma externa.
Para los hosts locales, las solicitudes a los servicios y las API de Google se deben enviar a restricted.googleapis.com. Este es un VIP (rango de direcciones IP virtual) restringido proporcionado por un registro A del DNS que Google hace público. A pesar de que su rango es 199.36.153.4/30, Google no publica esas rutas. Por lo tanto, debes agregar una ruta personalizada en un Cloud Router y tener una ruta adecuada en tu VPC para el destino 199.36.153.4/30.
Para que los hosts locales alcancen el rango restringido, las solicitudes deben enviarse a través de una interconexión o un túnel VPN. Utiliza Cloud Router para anunciar de manera dinámica el rango restringido. Si deseas obtener más información, consulta Cómo configurar el acceso privado a Google para los hosts locales.
Servicios compatibles
El acceso privado a Google para los hosts locales es compatible con un subconjunto de servicios en comparación con el acceso privado a Google. Solo son compatibles los servicios y las API de Google que admitan el VIP restringido:
- BigQuery
- Cloud Bigtable
- Cloud Dataflow
- Cloud Dataproc
- Cloud Data Loss Prevention
- Cloud Deployment Manager
- Cloud DNS
- Cloud KMS
- Cloud Pub/Sub
- Cloud Spanner
- API de Cloud Storage JSON
- Container Registry
- Stackdriver Logging
- Stackdriver Error Reporting
Ejemplo
En este ejemplo, la red local está conectada a una red de VPC a través de un túnel de Cloud VPN. El tráfico de los hosts locales a las API de Google viaja a través del túnel hacia la red de VPC. Una vez que el tráfico llega a la red de VPC, se envía a través de una ruta que utiliza la puerta de enlace de Internet predeterminada como su siguiente salto. Este siguiente salto le permite al tráfico dejar la red de VPC y dirigirse al rango de IP restringido para los servicios y las API de Google, 199.36.153.4/30.
- La configuración de DNS local asigna las solicitudes de
*.googleapis.comarestricted.googleapis.com, que da como resultado199.36.153.4/30. - Cloud Router anuncia el rango de direcciones IP
199.36.153.4/30a través del túnel VPN. El tráfico que viaja a las API de Google se enruta a través del túnel a la red de VPC. - La red de VPC incluye una ruta que dirige el tráfico con el destino
199.36.153.4/30a la puerta de enlace de Internet predeterminada (como siguiente salto). Luego, Google enruta el tráfico al servicio o la API adecuados. - Si utilizas Cloud DNS para configurar una zona DNS privada en tu red, todas las solicitudes de las API de Google se asignan al rango restringido. Con esta configuración, solo se puede acceder a las API compatibles, lo que puede generar que no se tenga acceso a otros servicios. Cloud DNS no admite anulaciones parciales. Si las necesitas, utiliza BIND.
Acceso privado a servicios
Google y los terceros (que juntos se conocen como productores de servicios) pueden ofrecer servicios con direcciones IP internas que se alojan en una red de VPC. Tú te conectas a estos servicios privados a través de una conexión privada. Las instancias de VM utilizan la conexión privada para conectarse a las direcciones IP internas de los servicios. Las instancias deben tener direcciones IP internas para utilizar el acceso privado a servicios. Pueden tener direcciones IP externas, pero en el acceso privado a servicios no se requieren ni se utilizan.
Una conexión privada se implementa como una conexión de intercambio de tráfico de redes de VPC entre tu red de VPC y la del productor de servicios. La red del productor de servicios se crea exclusivamente para ti, no se comparte con otros clientes. Los comportamientos y las restricciones de las conexiones de intercambio de tráfico de redes de VPC también se aplican a las conexiones privadas.
El acceso privado a servicios requiere que primero asignes un rango de direcciones IP internas y luego crees una conexión privada. Un rango asignado no se puede utilizar en tu red de VPC local. Se reserva para los productores de servicios y evita que se superpongan tu red de VPC y la de ellos. Cuando creas una conexión privada, debes especificar una asignación.
Puedes utilizar el acceso privado a servicios solo con los servicios compatibles. Consulta al productor de servicios antes de crear una conexión privada. Para obtener más información sobre cómo asignar un rango y cómo crear una conexión privada, consulta Cómo configurar el acceso privado a servicios.
Servicios compatibles
Estos servicios de Google son compatibles con el acceso privado a servicios:
Ejemplo
En el siguiente ejemplo, la red de VPC del cliente asignó el rango de direcciones 10.240.0.0/16 para los servicios de Google y estableció una conexión privada que utiliza el rango asignado. Cada servicio de Google crea una subred a partir del bloque asignado para aprovisionar nuevos recursos, como las instancias de Cloud SQL.
- Se le asigna el rango
10.240.0.0/16a la conexión privada. A partir de esta asignación, los servicios de Google pueden crear subredes en las que aprovisionar recursos. - Del lado de los servicios de Google de la conexión privada, Google crea un proyecto para el cliente. El proyecto está aislado, lo que significa que no se comparte con ningún otro cliente y al cliente solo se le facturan los recursos con los que se aprovisionó.
- Cada servicio de Google crea una subred en la que aprovisionar recursos. Al rango de direcciones IP de la subred lo elige el servicio, pero debe provenir del rango de direcciones IP asignado.
- Las instancias de VM de una región pueden acceder a los recursos en cualquier otra región. Sin embargo, puede que algunos servicios no sean compatibles con la comunicación entre regiones. Por ejemplo, las instancias de VM solo se pueden comunicar con las instancias de Cloud SQL que estén en la misma región. Para obtener más información, consulta la documentación del servicio relevante.
- Se aplicarán costos de salida para el tráfico interregional, en el que una instancia de VM se comunica con recursos en una región diferente.
- A la instancia de Cloud SQL se le asigna la dirección IP
10.240.0.2. En la red de VPC del cliente, las solicitudes con un destino de10.240.0.2se enrutan a la red de VPC del servicio de Google. Luego de que la solicitud llega a la red del servicio, esta red la enruta al recurso indicado. El tráfico viaja de manera interna en la red de Google, no a través de la Internet pública.
Pasos siguientes
- Si deseas configurar el acceso privado a Google, consulta Cómo configurar el acceso privado a Google.
- Si deseas configurar el acceso privado a Google de los hosts locales, consulta Cómo configurar el acceso privado a Google para los hosts locales.
- Si deseas configurar el acceso privado a servicios, consulta Cómo configurar el acceso privado a servicios.
