Opções de acesso privado para serviços

O Google fornece várias opções diferentes de acesso privado. Cada uma permite que as instâncias de VM com endereços IP internos (RFC 1918) se comuniquem a APIs e serviços específicos. Escolha uma opção que seja compatível com as APIs e os serviços que você precisa acessar.

A tabela a seguir resume cada opção, e você pode configurar apenas uma ou todas elas. Observe que cada uma funciona de forma independente.

Opção Instâncias Conexão Serviços compatíveis Uso
Acesso privado do Google
As instâncias de VM do GCP requerem apenas endereços IP internos e não podem ter endereços IP externos. Conecte-se aos endereços IP públicos das APIs e dos serviços do Google por meio do gateway de Internet padrão da rede VPC. Compatível com a maioria das APIs e dos serviços do Google Use essa opção para se conectar às APIs e aos serviços do Google sem fornecer endereços IP externos aos seus recursos do GCP.
Acesso privado do Google para hosts locais
Os hosts locais requerem um endereço IP interno e podem ter endereços IP externos. Conecte-se aos endereços IP públicos das APIs e dos serviços do Google por meio de um túnel VPN ou faça interconexões usando um intervalo de endereços IP restritos. Serviços do Google compatíveis com o intervalo de endereços IP restritos do Google Use essa opção para se conectar às APIs e aos serviços do Google por meio de uma rede VPC. Esse método não requer que seus hosts locais tenham endereços IP externos.
Acesso a serviços privados
As instâncias de VM do GCP requerem um endereço IP interno e podem ter endereços IP externos. Conecte-se a uma rede VPC gerenciada pelo Google ou por terceiros por meio de uma conexão de peering de rede VPC. Compatível com alguns serviços do Google ou de terceiros Use essa opção para se conectar a serviços específicos do Google e de terceiros sem fornecer endereços IP externos aos seus recursos do GCP, do Google ou de terceiros.

Acesso privado do Google

As instâncias de VM que só têm endereços IP internos, ou seja, não têm endereços IP externos, podem usar o acesso privado do Google. Elas podem alcançar os endereços IP externos das APIs e dos serviços do Google. Se você desativar o acesso privado, as instâncias de VM não poderão mais acessar as APIs e o serviço do Google e só poderão enviar tráfego dentro da rede VPC.

O acesso privado do Google não afeta as instâncias com endereços IP externos. Instâncias com esse tipo de endereço podem acessar a Internet, de acordo com os requisitos de acesso à Internet, e não precisam de nenhuma configuração especial para fazer solicitações aos endereços IP externos das APIs e dos serviços do Google.

O acesso privado do Google é ativado por sub-rede e é uma configuração para sub-redes em uma rede VPC. Para ativar o Acesso privado do Google em uma sub-rede e ver os requisitos, consulte Como configurar o Acesso privado do Google.

Serviços compatíveis

O acesso privado do Google permite acesso às APIs do Cloud e de desenvolvedor, bem como à maioria dos serviços do GCP, exceto aos seguintes:

  • Memcache do Google App Engine
  • Cloud Filestore
  • Cloud Memorystore
  • Cloud SQL

Em vez disso, o acesso de serviços privados pode ser compatível com um ou mais deles.

Exemplo

No exemplo a seguir, o projeto de exemplo contém uma única rede VPC com duas sub-redes. O Acesso privado do Google está ativado para subnet-a, mas não para subnet-b.

Implementação do acesso privado do Google (clique para ampliar)

  • A rede VPC atende ao requisito de roteamento do acesso privado do Google, porque tem uma rota cujo próximo salto é o gateway de Internet padrão. Embora o próximo salto seja chamado de "gateway de Internet padrão", as VMs que têm apenas endereços IP internos não atendem aos requisitos de acesso à Internet. Solicitações para APIs e serviços do Google feitas de VMs com apenas endereços IP internos não são enviadas pela Internet pública. Esse tráfego fica dentro da rede do Google.
  • As regras de firewall na rede VPC permitem a saída para 0.0.0.0/0 ou pelo menos para os IPs de servidor das APIs e serviços do Google.
  • O acesso privado do Google está ativado para subnet-a, mas não para subnet-b.
  • VM A1 pode acessar as APIs e os serviços do Google, incluindo o Cloud Storage, porque a interface de rede está localizada na subnet-a, que tem o acesso privado do Google ativado. Esse acesso privado aplica-se à instância porque ela tem apenas um endereço IP privado.
  • VM B1 não pode acessar as APIs e os serviços do Google porque tem apenas um endereço IP privado e o acesso privado do Google está desativado para subnet-b.
  • VM A2 e VM B2 podem acessar as APIs e os serviços do Google, incluindo o Cloud Storage, porque cada uma tem endereços IP públicos. O acesso privado do Google não determina se essas instâncias podem ou não acessar as APIs e os serviços do Google, porque ambas têm endereços IP públicos.

Acesso privado do Google para hosts locais

Os hosts locais podem acessar as APIs e serviços do Google por meio de uma conexão do Cloud VPN ou Cloud Interconnect a partir do seu data center ao GCP. Os hosts locais não precisam de endereços IP externos, porque usam endereços IP RFC 1918 internos.

Para ativar o acesso privado do Google para hosts locais, você precisa configurar o DNS, as regras de firewall e as rotas nas suas redes locais e VPC. Não é necessário ativar o acesso privado para nenhuma sub-rede na sua rede VPC, como faria para as instâncias de VM do GCP. No entanto, você precisa ter na sua rede VPC uma rota com pelo menos um destino 199.36.153.4/30 e um próximo salto sendo o gateway de Internet padrão. Embora o próximo salto seja chamado de "gateway padrão da Internet", o tráfego enviado para 199.36.153.4/30 permanece dentro da rede do Google em vez de percorrer a Internet pública porque o Google não divulga as rotas para 199.36.153.4/30.

No caso dos hosts locais, as solicitações para os serviços e as APIs do Google precisam ser enviadas para restricted.googleapis.com, que é um intervalo de endereços IP virtuais (VIP, na sigla em inglês) restritos fornecido por um registro A de DNS e publicado pelo Google. Embora o alcance dele seja 199.36.153.4/30, essas rotas não são informadas. Portanto, é necessário adicionar uma rota personalizada a um roteador do Cloud Router e definir na VPC outra rota que seja apropriada para o destino 199.36.153.4/30.

Para que os hosts locais alcancem o intervalo restrito, as solicitações precisam ser enviadas por meio de um túnel ou interconexão de VPN. Use o Cloud Router para anunciar dinamicamente esse intervalo. Se você quiser mais informações, consulte Como configurar o acesso privado do Google para hosts locais.

Serviços compatíveis

O acesso privado do Google para hosts locais é compatível com um subconjunto de serviços. Só são aceitos os serviços e as APIs do Google compatíveis com o VIP restrito:

  • BigQuery
  • Cloud Bigtable
  • Cloud Dataflow
  • Cloud Dataproc
  • Cloud Data Loss Prevention
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud KMS
  • Cloud Pub/Sub
  • Cloud Spanner
  • Cloud Storage
  • Container Registry
  • Stackdriver Logging
  • Stackdriver Error Reporting

Exemplo

No exemplo a seguir, a rede local é conectada a uma rede VPC por meio de um túnel do Cloud VPN. O tráfego de hosts locais para as APIs do Google viaja pelo túnel até a rede VPC. Depois que o tráfego atinge essa rede, ele é enviado por meio de uma rota que usa o gateway de Internet padrão como próximo salto. Esse próximo salto permite que o tráfego saia da rede VPC e seja entregue ao intervalo de IP restrito para APIs e serviços do Google, 199.36.153.4/30.

Acesso privado do Google para caso de uso de nuvem híbrida (clique para ampliar)
  • A configuração do DNS local mapeia as solicitações *.googleapis.com para restricted.googleapis.com, que são resolvidas para 199.36.153.4/30.
  • O Cloud Router anuncia o intervalo de endereços IP 199.36.153.4/30 por meio do túnel VPN. O tráfego encaminhado para as APIs do Google é roteado pelo túnel até a rede VPC.
  • A rede VPC inclui uma rota que direciona esse tráfego com o destino 199.36.153.4/30 para o gateway da Internet padrão (como o próximo salto). O Google então o direciona para a API ou o serviço apropriado.
  • Se você usa o Cloud DNS para configurar uma zona DNS particular na sua rede, todas as solicitações às APIs do Google são mapeadas para o intervalo restrito. Somente as APIs compatíveis são acessíveis com essa configuração, o que pode tornar outros serviços inacessíveis. O Cloud DNS não aceita modificações parciais. Se você precisar usá-las, utilize o BIND.

Acesso a serviços privados

O Google e terceiros, conhecidos conjuntamente como fornecedores de serviços, podem oferecer serviços com endereços IP internos hospedados em uma rede VPC. Você se conecta a esses serviços privados por meio de uma conexão privada. As instâncias de VM usam a conexão privada para se conectar aos endereços IP internos dos serviços. As instâncias precisam ter endereços IP internos para usar o acesso a serviços privados. Elas podem ter endereços IP externos, mas isso não é uma exigência, já que esses endereços não são usados pelo acesso a serviços privados.

Uma conexão privada é implementada como uma conexão de peering de rede VPC entre sua rede VPC e a rede VPC do produtor de serviços. A rede do produtor de serviços é criada exclusivamente para você e não é compartilhada com outros clientes. Os comportamentos e restrições das conexões de peering de rede VPC também se aplicam a conexões privadas.

O Acesso a serviços privados exige que você primeiro aloque um intervalo de endereços IP internos e crie uma conexão privada. O intervalo alocado não pode ser usado na sua rede VPC local. Ele é reservado apenas para os fornecedores de serviços e evita sobreposições entre sua rede VPC e a rede VPC do produtor de serviços. Quando você cria uma conexão privada, é preciso especificar uma alocação.

Você pode usar o Acesso a serviços privados apenas com serviços compatíveis. Verifique com o produtor de serviços antes de criar uma conexão privada. Para ver informações detalhadas sobre como alocar um intervalo e criar uma conexão privada, consulte Como configurar o Acesso a serviços privados.

Serviços compatíveis

Os seguintes serviços do Google são compatíveis com o Acesso a serviços privados:

Exemplo

No exemplo a seguir, a rede VPC do cliente alocou o intervalo de endereços 10.240.0.0/16 para os serviços do Google e estabeleceu uma conexão privada que usa o intervalo alocado. Cada serviço do Google cria uma sub-rede no bloco alocado para provisionar novos recursos, como instâncias do Cloud SQL.

Acesso a serviços privados (clique para ampliar)
  • A conexão privada é atribuída ao intervalo 10.240.0.0/16 alocado. A partir dessa alocação, os serviços do Google podem criar sub-redes para provisionar recursos.
  • O Google cria, no lado dos serviços da conexão privada, um projeto para o cliente. O projeto é isolado, o que significa que ele não é compartilhado com nenhum outro cliente e o cliente é cobrado apenas pelos recursos fornecidos.
  • Cada serviço do Google cria uma sub-rede para provisionar recursos. O intervalo de endereços IP da sub-rede é escolhido pelo serviço, mas precisa estar no intervalo de endereços IP alocado.
  • As instâncias de VM de uma região podem acessar recursos em qualquer região. No entanto, alguns serviços podem não aceitar a comunicação entre regiões. Por exemplo, as instâncias de VM só podem se comunicar com instâncias do Cloud SQL que estão na mesma região. Consulte a documentação do serviço relevante para mais informações.
  • Ainda são aplicáveis custos de saída para tráfego entre regiões quando uma instância de VM se comunica com recursos de uma região diferente.
  • A instância do Cloud SQL recebe o endereço IP 10.240.0.2. Na rede VPC do cliente, as solicitações com um destino 10.240.0.2 são roteadas para a rede VPC do serviço do Google. Quando alcançam a rede, ela encaminha a solicitação para o recurso correto. O tráfego viaja internamente na rede do Google, não através da Internet pública.

Próximas etapas

Esta página foi útil? Conte sua opinião sobre: