Opções de acesso privado para serviços

O Google fornece várias opções diferentes de acesso privado. Cada uma permite que as instâncias de VM com endereços IP internos (RFC 1918, em inglês) se comuniquem a APIs e serviços específicos. Escolha uma opção que seja compatível com as APIs e os serviços que você precisa acessar.

A tabela a seguir resume cada opção, e você pode configurar apenas uma ou todas elas. Observe que cada uma funciona de forma independente.

Opção Instâncias Conexão Serviços compatíveis Uso
Acesso privado do Google
As instâncias de VM do GCP requerem apenas endereços IP internos e não podem ter endereços IP externos. Conecte-se aos endereços IP públicos de serviços e APIs do Google por meio do gateway de Internet padrão da rede VPC. Compatível com a maioria dos serviços e das APIs do Google Use essa opção para se conectar a serviços e APIs do Google sem fornecer endereços IP externos aos recursos do GCP.
Acesso privado do Google para hosts locais
Os hosts locais requerem um endereço IP interno e podem ter endereços IP externos. Conecte-se aos endereços IP públicos de serviços e APIs do Google por meio de uma interconexão ou um túnel VPN usando um intervalo de endereços IP restritos. Serviços do Google compatíveis com o intervalo de endereços IP restritos do Google Use essa opção para se conectar a serviços e APIs do Google por meio de uma rede VPC. Este método não exige que os hosts locais tenham endereços IP externos.
Acesso privado a serviços
As instâncias de VM do GCP requerem um endereço IP interno e podem ter endereços IP externos. Conecte-se a uma rede VPC gerenciada por terceiros ou pelo Google por meio de uma conexão com o Peering de redes VPC. Compatível com alguns serviços do Google ou de terceiros Use essa opção para se conectar a serviços específicos do Google e de terceiros sem fornecer endereços IP externos aos recursos do GCP, do Google ou de terceiros.
Acesso VPC sem servidor
As instâncias de VM do GCP requerem um endereço IP interno e podem ter endereços IP externos. Conecte-se diretamente dos serviços do Google sem servidor por meio de uma conexão com a VPC interna. Cloud Functions e ambiente padrão do App Engine Use esta opção para se conectar pelo Cloud Functions ou pelo ambiente padrão do App Engine diretamente aos recursos em uma rede VPC usando endereços IP internos.

Acesso privado do Google

As instâncias de VM que só têm endereços IP internos, ou seja, não têm endereços IP externos, podem usar o Acesso privado do Google. Elas podem alcançar os endereços IP externos das APIs e dos serviços do Google. Se você desativar o acesso privado, as instâncias de VM não poderão mais acessar as APIs e o serviço do Google e só poderão enviar tráfego dentro da rede VPC.

O Acesso privado do Google não afeta as instâncias com endereços IP externos. Instâncias com esse tipo de endereço podem acessar a Internet, de acordo com os requisitos de acesso à Internet, e não precisam de nenhuma configuração especial para fazer solicitações aos endereços IP externos das APIs e dos serviços do Google.

O Acesso privado do Google é ativado por sub-rede e é uma configuração para sub-redes em uma rede VPC. Para ativar o Acesso privado do Google em uma sub-rede e ver os requisitos, consulte Como configurar o Acesso privado do Google.

Serviços compatíveis

O Acesso privado do Google permite acesso às APIs do Cloud e de desenvolvedor, bem como à maioria dos serviços do GCP, exceto:

  • Memcache do Google App Engine
  • Cloud Filestore
  • Cloud Memorystore
  • Cloud SQL

Em vez disso, o acesso de serviços privados pode ser compatível com um ou mais deles.

Exemplo

A rede VPC usada no exemplo a seguir atende ao requisito de roteamento do Acesso privado do Google porque tem rotas para os endereços IP públicos de serviços e APIs do Google em que os próximos saltos são o gateway de Internet padrão. O Acesso privado do Google está ativado para subnet-a, mas não para subnet-b.

Implementação do Acesso privado do Google (clique para ampliar)

A lista a seguir fornece detalhes sobre o diagrama acima:

  • As regras de firewall na rede VPC permitem a saída para 0.0.0.0/0 ou pelo menos para os IPs de servidor referentes a serviços e APIs do Google.
  • VM A1 pode acessar serviços e APIs do Google, inclusive o Cloud Storage, porque a interface de rede está localizada em subnet-a, que tem o Acesso privado do Google ativado. Esse tipo de acesso se aplica à instância porque ela tem apenas um endereço IP particular.
  • VM B1 não pode acessar serviços e APIs do Google porque tem apenas um endereço IP interno e o Acesso privado do Google está desativado para subnet-b.
  • VM A2 e a VM B2 podem acessar serviços e APIs do Google, inclusive o Cloud Storage, porque cada uma delas tem endereços IP externos. O Acesso privado do Google não determina se essas instâncias podem ou não acessar serviços e APIs do Google porque ambas têm endereços IP externos.

Acesso privado do Google para hosts locais

Os hosts locais podem acessar os serviços e as APIs do Google por meio de uma conexão com o Cloud VPN ou o Cloud Interconnect do seu data center para o GCP. Os hosts locais não precisam de endereços IP externos porque usam endereços IP RFC 1918 (em inglês) internos.

Para ativar o Acesso privado do Google para hosts locais, você precisa configurar o DNS, as regras de firewall e as rotas nas suas redes locais e VPC. Não é necessário ativar o acesso privado para nenhuma sub-rede na sua rede VPC, como faria para as instâncias de VM do GCP. No entanto, é preciso ter na rede VPC uma rota com pelo menos um destino 199.36.153.4/30 e um próximo salto como o gateway de Internet padrão. Embora o próximo salto seja chamado de "gateway padrão da Internet", o tráfego enviado para 199.36.153.4/30 fica restrito à rede do Google, em vez de trafegar pela Internet pública, porque o Google não publica rotas para 199.36.153.4/30 externamente.

No caso de hosts locais, as solicitações para os serviços e as APIs do Google precisam ser enviadas para restricted.googleapis.com, que é um intervalo de endereços IP virtuais (VIP, na sigla em inglês) restritos fornecido por um registro A de DNS e publicado pelo Google. Embora o alcance dele seja 199.36.153.4/30, essas rotas não são informadas. Portanto, é necessário adicionar uma rota personalizada a um roteador do Cloud Router e definir na VPC outra rota que seja apropriada para o destino 199.36.153.4/30.

Para que os hosts locais alcancem o intervalo restrito, as solicitações precisam ser enviadas por meio de um túnel ou interconexão de VPN. Use o Cloud Router para anunciar dinamicamente esse intervalo. Se você quiser mais informações, consulte Como configurar o Acesso privado do Google para hosts locais.

Serviços compatíveis

O Acesso privado do Google para hosts locais é compatível com um subconjunto de serviços. Só são aceitos os serviços e as APIs do Google compatíveis com o VIP restrito:

  • BigQuery
  • Cloud Bigtable
  • Cloud Dataflow
  • Cloud Dataproc
  • Cloud Data Loss Prevention
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud KMS
  • Cloud Pub/Sub
  • Cloud Spanner
  • Cloud Storage
  • Container Registry
  • Stackdriver Logging
  • Stackdriver Error Reporting

Exemplo

No exemplo a seguir, a rede local é conectada a uma rede VPC por meio de um túnel do Cloud VPN. O tráfego de hosts locais para as APIs do Google viaja pelo túnel até a rede VPC. Depois que o tráfego atinge essa rede, ele é enviado por meio de uma rota que usa o gateway de Internet padrão como próximo salto. Esse próximo salto permite que o tráfego saia da rede VPC e seja entregue ao intervalo de IP restrito para APIs e serviços do Google, 199.36.153.4/30.

Acesso privado do Google para caso de uso de nuvem híbrida (clique para ampliar)
  • A configuração do DNS local mapeia as solicitações *.googleapis.com para restricted.googleapis.com, que são resolvidas para 199.36.153.4/30.
  • O Cloud Router anuncia o intervalo de endereços IP 199.36.153.4/30 por meio do túnel VPN. O tráfego encaminhado para as APIs do Google é roteado pelo túnel até a rede VPC.
  • A rede VPC inclui uma rota que direciona esse tráfego com o destino 199.36.153.4/30 para o gateway da Internet padrão (como o próximo salto). O Google então o direciona para a API ou o serviço apropriado.
  • Se você usa o Cloud DNS para configurar uma zona DNS particular na sua rede, todas as solicitações às APIs do Google são mapeadas para o intervalo restrito. Somente as APIs compatíveis são acessíveis com essa configuração, o que pode tornar outros serviços inacessíveis. O Cloud DNS não aceita modificações parciais. Se você precisar usá-las, utilize o BIND.

Acesso privado a serviços

O Google e terceiros, conhecidos conjuntamente como fornecedores de serviços, podem oferecer serviços com endereços IP internos hospedados em uma rede VPC. O Acesso privado a serviços permite que você acesse esses endereços IP internos. Isso é útil quando você quer que as instâncias de VM na sua rede VPC utilizem endereços IP internos em vez de endereços IP externos. Para detalhes sobre como usar o Acesso privado a serviços, consulte Como configurar o Acesso privado a serviços.

O Acesso privado a serviços exige que você primeiro aloque um intervalo de endereços IP internos e depois crie uma conexão particular. Um intervalo alocado é um bloco CIDR reservado que não pode ser usado na sua rede VPC local. Ele é reservado apenas para fornecedores de serviços e evita sobreposições entre sua rede VPC e a rede VPC do fornecedor de serviços. Quando você cria uma conexão particular, precisa especificar uma alocação.

A conexão particular vincula sua rede VPC à rede VPC do produtor de serviços. Essa conexão permite que instâncias de VM na sua rede VPC utilizem endereços IP internos para acessar os recursos de serviço que têm endereços IP internos. As instâncias podem ter endereços IP externos, mas isso não é um requisito nem são usados pelo Acesso privado a serviços.

Se um produtor de serviços oferecer vários serviços, você precisará apenas de uma conexão particular. Quando você cria uma conexão particular, usa a API Service Networking para criá-la. No entanto, o GCP implementa essa conexão como uma conexão com o Peering de redes VPC entre sua rede VPC e a rede VPC do fornecedor de serviços. Por exemplo, sua rede VPC a mostra como uma conexão de peering e, para excluir a conexão particular, é preciso excluir a conexão de peering.

Use o Acesso privado a serviços apenas com serviços compatíveis. Confira com o produtor de serviços antes de criar uma conexão particular.

Rede do produtor de serviços

No lado do produtor de serviços, a conexão particular é uma rede VPC em que os recursos de serviço são provisionados. A rede do produtor de serviços é criada exclusivamente para você e contém apenas os seus recursos.

Um recurso na rede do produtor de serviços é semelhante a outro recurso na sua rede VPC. Por exemplo, pode ser acessado com endereços IP internos por outros recursos na sua rede VPC. Também é possível criar regras de firewall na rede VPC para controlar o acesso à rede do produtor de serviços.

Para detalhes sobre o lado do produtor de serviços, consulte Como ativar o Acesso privado a serviços na documentação do Service Infrastructure. Essa documentação é apenas informativa e não é necessária para ativar ou usar o Acesso privado a serviços.

Acesso privado a serviços e conectividade no local

Em cenários de rede híbrida, uma rede local é conectada a uma rede VPC por meio de uma conexão com o Cloud VPN ou o Cloud Interconnect. Por padrão, os hosts locais não podem acessar a rede do produtor de serviços usando o Acesso privado a serviços.

Na rede VPC, é possível ter rotas personalizadas dinâmicas ou estáticas para direcionar corretamente o tráfego para a rede local. No entanto, a rede do produtor de serviços não contém essas mesmas rotas. Quando você cria uma conexão particular, a rede VPC e a rede do produtor de serviços apenas trocam rotas de sub-rede.

Exporte as rotas personalizadas da rede VPC para que a rede do produtor de serviços possa importá-las e rotear o tráfego corretamente para sua rede local.

Para exportar rotas personalizadas, crie uma conexão particular e modifique a configuração subjacente de peering de VPC para exportar rotas personalizadas. Para mais informações sobre como criar uma conexão particular, consulte Como configurar o Acesso privado a serviços. Para mais informações sobre como exportar rotas personalizadas, consulte Como atualizar uma conexão de peering.

Serviços compatíveis

Os seguintes serviços do Google são compatíveis com o Acesso privado a serviços:

Exemplo

No exemplo a seguir, a rede VPC do cliente alocou o intervalo de endereços 10.240.0.0/16 para serviços do Google e estabeleceu uma conexão particular que usa o intervalo alocado. Cada serviço do Google cria uma sub-rede a partir do bloco alocado para provisionar novos recursos em uma determinada região, como instâncias do Cloud SQL.

Acesso privado a serviços (clique para ampliar)
  • A conexão particular é atribuída ao intervalo alocado 10.240.0.0/16. A partir dessa alocação, os serviços do Google podem criar sub-redes em que novos recursos serão provisionados.
  • No lado de serviços do Google da conexão particular, o Google cria um projeto para o cliente. O projeto é isolado, o que significa que ele não é compartilhado com nenhum outro cliente e o cliente é cobrado apenas pelos recursos fornecidos.
  • Cada serviço do Google cria uma sub-rede para provisionar recursos. O intervalo de endereços IP da sub-rede geralmente é um bloco CIDR /24 escolhido pelo serviço e proveniente do intervalo de endereços IP alocado. Não é possível modificar a sub-rede do produtor de serviços. Um serviço provisiona novos recursos nas sub-redes regionais atuais que foram criadas anteriormente por esse serviço. Se uma sub-rede estiver cheia, o serviço criará uma nova sub-rede na mesma região.
  • As instâncias de VM na rede do cliente podem acessar recursos de serviço em qualquer região quando o serviço é compatível. No entanto, alguns serviços podem não aceitar a comunicação entre regiões. Por exemplo, as instâncias de VM só podem se comunicar com instâncias do Cloud SQL que estejam na mesma região. Para mais informações, consulte a documentação do serviço relevante.
  • Quando uma instância de VM se comunica com recursos de uma região diferente, os custos de saída para tráfego entre regiões continuam sendo aplicáveis.
  • A instância do Cloud SQL recebe o endereço IP 10.240.0.2. Na rede VPC do cliente, as solicitações com o destino 10.240.0.2 são roteadas para a conexão particular pela rede do produtor de serviços. Quando elas alcançam a rede do serviço, essa rede encaminha a solicitação para o recurso correto.
  • O tráfego entre redes VPC é transmitido internamente na rede do Google, e não pela Internet pública.

Acesso VPC sem servidor

O Acesso VPC sem servidor permite que você se conecte pelo Cloud Functions ou pelo ambiente padrão do App Engine diretamente à sua rede VPC. Essa conexão possibilita que o Cloud Functions e os aplicativos do ambiente padrão do App Engine acessem recursos na rede VPC por meio de endereços IP internos.

Com o Acesso VPC sem servidor, você cria um conector no projeto do GCP e o anexa a uma rede VPC. Em seguida, você configura os serviços sem servidor (como o Cloud Functions ou aplicativos do App Engine) para usar esse conector para tráfego de rede interno.

O Acesso VPC sem servidor permite que o aplicativo ou a função envie solicitações a recursos da sua rede VPC e receba respostas a essas solicitações. A comunicação na direção oposta, em que uma VM inicia uma solicitação para um aplicativo ou uma função, exige que você use o endereço público do aplicativo ou da função. Para mais informações, consulte Acesso privado do Google.

O Acesso VPC sem servidor não é compatível com redes legadas ou redes VPC compartilhadas. Para mais informações, consulte Como configurar o Acesso VPC sem servidor.

Serviços compatíveis

Os seguintes serviços do Google são compatíveis com conectores de Acesso VPC sem servidor:

  • Ambiente padrão do App Engine
    • Todos os ambientes de execução, exceto PHP 5.5 e Go 1.9
  • Cloud Functions

Exemplo

No exemplo a seguir, o Cloud Functions e um aplicativo de ambiente padrão do App Engine usam um conector de Acesso VPC sem servidor para enviar solicitações a recursos internos na rede VPC.

Exemplo de Acesso VPC sem servidor (clique para ampliar)
Exemplo de Acesso VPC sem servidor (clique para ampliar)
  • O conector de Acesso VPC sem servidor está no mesmo projeto e na mesma região que o Cloud Functions e o aplicativo do App Engine.
  • O conector está anexado à rede VPC que contém os recursos de destino. Ele poderá acessar recursos em outras redes VPC e projetos do GCP se você usar o Peering de redes VPC.
  • O conector recebe o intervalo de IP 10.8.0.0/28. As solicitações enviadas do conector para o destino têm um endereço IP de origem nesse intervalo.
  • O Cloud Functions e o aplicativo do App Engine acessam os recursos de destino enviando solicitações para os respectivos endereços IP internos, 10.0.0.4 e 10.1.0.2. Os recursos de destino podem estar em qualquer região. Os custos de saída se aplicam ao tráfego enviado do conector para um recurso em uma região diferente.
  • As solicitações enviadas do Cloud Functions e do App Engine para endereços IP internos (particular) são transmitidas internamente por meio do conector de Acesso VPC sem servidor até o recurso de destino. As solicitações enviadas para endereços IP externos (públicos) são transmitidas pela Internet pública.

A seguir

Esta página foi útil? Conte sua opinião sobre: