Acesso privado do Google

Instâncias de VM que só têm endereços IP internos, ou seja, que não têm endereços IP externos, podem usar o Acesso privado do Google. Elas podem acessar os endereços IP externos de serviços e APIs do Google. O endereço IP de origem do pacote pode ser o endereço IP interno principal da interface de rede ou um endereço em um intervalo de IPs de alias atribuído à interface. Se você desativar o Acesso privado do Google, as instâncias de VM não poderão mais acessar serviços e APIs do Google; elas só poderão enviar tráfego dentro da rede VPC.

O Acesso privado do Google não afeta as instâncias com endereços IP externos. Instâncias com endereços IP externos podem acessar a Internet, de acordo com os requisitos de acesso à Internet. Elas não precisam de uma configuração especial para fazer solicitações aos endereços IP externos de serviços e APIs do Google.

O Acesso privado do Google é ativado por sub-rede e é uma configuração para sub-redes em uma rede VPC. Para ativar o Acesso privado do Google em uma sub-rede e ver os requisitos, consulte Como configurar o Acesso privado do Google.

Serviços compatíveis

O Acesso privado do Google permite acesso às APIs do Cloud e de desenvolvedor, bem como à maioria dos serviços do Google Cloud, exceto:

  • Memcache do App Engine
  • Filestore
  • Memorystore

Em vez disso, o acesso de serviços privados pode ser compatível com um ou mais deles.

Exemplo

A rede VPC no exemplo a seguir atende ao requisito de roteamento do Acesso privado do Google porque tem rotas para os endereços IP externos das APIs e serviços do Google, dos quais os próximos saltos são o gateway de Internet padrão. O Acesso privado do Google está ativado para subnet-a, mas não para subnet-b.

Implementação do Acesso privado do Google (clique para ampliar)

A lista a seguir fornece detalhes sobre o diagrama acima:

  • As regras de firewall na rede VPC foram configuradas para permitir a saída para 0.0.0.0/0 (ou pelo menos para os IPs de servidor para serviços e APIs do Google).
  • VM A1 pode acessar serviços e APIs do Google, inclusive o Cloud Storage, porque sua interface de rede está localizada em subnet-a, que tem o Acesso privado do Google ativado. Esse tipo de acesso se aplica à instância porque ela tem apenas um endereço IP interno.
  • VM B1 não pode acessar serviços APIs e do Google porque ele tem apenas um endereço IP interno e o Acesso privado do Google está desativado para subnet-b.
  • VM A2 e VM B2 podem acessar serviços e APIs do Google, inclusive o Cloud Storage, porque cada um deles tem endereços IP externos. O Acesso privado do Google não determina se essas instâncias podem ou não acessar serviços e APIs do Google porque ambas têm endereços IP externos.

A seguir