Private Service Connect

De forma predeterminada, si tienes una aplicación que usa un servicio de Google, como Cloud Storage, tu aplicación se conecta con el nombre de DNS predeterminado para ese servicio, como storage.googleapis.com. Aunque las direcciones IP de los nombres de DNS predeterminados se pueden enrutar de forma pública, el tráfico enviado desde los recursos de Google Cloud permanece dentro de la red de Google.

Con Private Service Connect, puedes crear extremos privados con direcciones IP internas globales dentro de tu red de VPC. Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos como storage-vialink1.p.googleapis.com y bigtable-adsteam.p.googleapis.com. Estos nombres y direcciones IP son internas de tu red de VPC y de cualquier red local que esté conectada a esta mediante túneles de Cloud VPN o adjuntos de Cloud Interconnect (VLAN). Puedes controlar qué tráfico se dirige a cada extremo y también puedes demostrar que el tráfico permanece dentro de Google Cloud.

Consulta casos de uso para obtener más información sobre las opciones de configuración de Private Service Connect.

Figura 1. Private Service Connect te permite enviar tráfico a las API de Google con un extremo de Private Service Connect que es privado para tu red de VPC.

Requisitos de red

Para usar Private Service Connect, las instancias de máquina virtual (VM) sin direcciones IP externas deben tener su interfaz principal en una subred con el Acceso privado a Google habilitado.

Una VM con una dirección IP externa puede acceder a los servicios y las API de Google mediante extremos de Private Service Connect, independientemente de si el Acceso privado a Google está habilitado o no para su subred. La conectividad con el extremo de Private Service Connect permanece dentro de la red de Google.

No se puede acceder a los extremos de Private Service Connect desde redes de VPC con intercambio de tráfico.

API admitidas

Cuando creas un extremo de Private Service Connect, eliges a qué paquete de API necesitas acceder: all-apis o vpc-sc.

Los paquetes de API proporcionan acceso a las mismas API que están disponibles a través de los VIP del Acceso privado a Google.

  • El paquete all-apis proporciona acceso a las mismas API que private.googleapis.com.

  • El paquete vpc-sc proporciona acceso a las mismas API que restricted.googleapis.com.

Paquete de API Servicios compatibles Ejemplo de uso
all-apis Habilita el acceso a la mayoría de los servicios y las API de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Maps, Google Ads, Google Cloud y la mayoría de las demás API de Google, incluidas las listas que aparecen a continuación. Es incompatible con las aplicaciones web de Google Workspace. No es compatible con ningún sitio web interactivo.

Nombres de dominio con las siguientes terminaciones:
  • googleapis.com
  • googleadapis.com
  • ltsapis.goog
  • gcr.io
  • pkg.dev
  • gstatic.com
  • appspot.com
  • cloudfunctions.net
  • pki.goog
  • cloudproxy.app
  • run.app
  • datafusion.googleusercontent.com
  • datafusion.cloud.google.com
Nombres de dominio o host que coinciden:
  • packages.cloud.google.com
  • gcr.io
  • pkg.dev
  • appengine.google.com
  • pki.goog
Elige all-apis en estas circunstancias:
  • Si no usas los Controles del servicio de VPC.
  • Debes usar los Controles del servicio de VPC, pero también debes acceder a los servicios y las API de Google que no son compatibles con estos controles.
vpc-sc Habilita el acceso a la API a los servicios y las API de Google que son compatibles con los Controles del servicio de VPC.

Bloquea el acceso a los servicios y a las API de Google que son incompatibles con los Controles del servicio de VPC. Es incompatible con las aplicaciones web de Google Workspace y con las API de Google Workspace.

Elige vpc-sc cuando solo necesites acceso a los servicios y las API de Google que son compatibles con los Controles del servicio de VPC. El paquete vpc-sc no permite el acceso a los servicios ni las API de Google que no son compatibles con los Controles del servicio de VPC.

Configuración de DNS

Debes configurar una zona de DNS privada para entregar los registros DNS de los servicios que deseas usar. Puedes crear una zona de DNS privada con Cloud DNS o cualquier otra solución de DNS.

Solo se puede acceder a todos los nombres en una zona privada de Cloud DNS desde dentro de las redes de VPC autorizadas de la zona. Si deseas resolver estos nombres desde fuera de Google Cloud (por ejemplo, desde hosts locales), configura el reenvío de DNS entrante.

Para cada servicio que desees usar, crea un registro DNS que apunte a tu dirección IP de extremo de Private Service Connect. Los nombres de DNS deben estar en uno de los siguientes formatos:

  • SERVICE-ENDPOINT.p.googleapis.com

    Por ejemplo, para acceder a Cloud Storage mediante el extremo xyz de Private Service Connect, crea un registro DNS storage-xyz.p.googleapis.com que apunte a la dirección IP del extremo de Private Service Connect.

  • El nombre de DNS predeterminado del extremo del servicio, por ejemplo, storage.googleapis.com.

Si usas los nombres SERVICE-ENDPOINT.p.googleapis.com en la zona de DNS privada, se aplica lo siguiente:

  • Debes configurar las aplicaciones o bibliotecas cliente para usar estos nombres nuevos.

    Consulta la documentación de tu cliente o biblioteca cliente para obtener detalles. Por ejemplo:

    • Python: Puedes configurar api_endpoint en la Clase de opciones del cliente en el paquete google-api-core.

    • Go: Puedes configurar WithEndpoint en el Paquete de opciones del cliente en el paquete api.

    • gcloud: Puedes configurar api_endpoint_overrides con este comando.

      gcloud config set api_endpoint_overrides/SERVICE ENDPOINT_URL

      Por ejemplo: gcloud config set api_endpoint_overrides/storage https://storage-xyz.p.googleapis.com/storage/v1/

  • Si configuras el extremo que usa tu cliente, puedes controlar a qué extremo de Private Service Connect apunta un cliente determinado. También puedes dejar el cliente sin cambios para acceder a las API directamente.

Si anulas los nombres de DNS predeterminados en la zona de DNS privada, se aplica lo siguiente:

  • No necesitas modificar tus aplicaciones o bibliotecas cliente para usar nombres diferentes.

  • Cualquier VM o hosts locales que usen esta zona privada envían todas las solicitudes a la API a un extremo de Private Service Connect.

Casos de uso

Puedes crear varios extremos de Private Service Connect en la misma red de VPC. No hay límite en el ancho de banda para un extremo en particular. Debido a que los extremos de Private Service Connect utilizan direcciones IP internas globales, cualquier recurso en tu red de VPC puede usarlos.

Con varios extremos, puedes especificar diferentes rutas de acceso a la red con Cloud Router y las reglas de firewall.

  • Puedes crear reglas de firewall para evitar que algunas VM accedan a las API de Google a través de un extremo de Private Service Connect, a la vez que permite que otras VM tengan acceso.

  • Puedes tener una regla de firewall en una instancia de VM que prohíba todo el tráfico a Internet. El tráfico que se envíe a los extremos de Private Service Connect seguirá llegando a Google.

  • Si tienes hosts locales conectados a una VPC con un túnel de Cloud VPN o un adjunto de Cloud Interconnect (VLAN), puedes enviar algunas solicitudes a través del túnel o VLAN mientras envías otras solicitudes a través de la Internet pública. Esta configuración te permite omitir el túnel o la VLAN para servicios como Google Libros que no son compatibles con el Acceso privado a Google.

    Para crear esta configuración, crea un extremo de Private Service Connect, anuncia las direcciones IP del extremo de Private Service Connect con los anuncios de ruta personalizados de Cloud Router y habilita una Política de reenvío entrante de Cloud DNS. La aplicación puede enviar algunas solicitudes a través del túnel de Cloud VPN o el adjunto de Cloud Interconnect (VLAN) mediante el nombre del extremo de Private Service Connect, y otras a través de Internet con el nombre de DNS predeterminado.

  • Si conectas tu red local a tu red de VPC con varios adjuntos de Cloud Interconnect (VLAN), puedes enviar parte del tráfico local a través de una VLAN y el resto a través de otros medios, como se muestra en la figura 2. Esto te permite usar tus propias redes en áreas extensas, en lugar de las de Google, y controlar el movimiento de datos para cumplir con los requisitos geográficos.

    Para crear esta configuración, crea dos extremos de Private Service Connect. Crea un anuncio de ruta personalizado para el primer extremo de la sesión de BGP del Cloud Router que administra la primera VLAN y crea un anuncio de ruta personalizado diferente para el segundo extremo de la sesión del Cloud Router que administra la segunda VLAN. Los hosts locales que están configurados para usar el nombre del extremo de Private Service Connect envían tráfico en el adjunto de Cloud Interconnect (VLAN) correspondiente.

  • También puedes usar varios adjuntos de Cloud Interconnect (VLAN) en una topología activa/activa. Si anuncias la misma dirección IP del extremo de Private Service Connect mediante anuncios de ruta personalizados para las sesiones de BGP en los routers de Cloud que administran las VLAN, los paquetes enviados desde sistemas locales a los extremos se enrutan en todas las VLAN que usan ECMP.

    Figura 2. Mediante la configuración de Private Service Connect, Cloud Router y los hosts locales, puedes controlar qué adjunto de Cloud Interconnect (VLAN) se usa para enviar tráfico a las API de Google.

Precios

Los precios de Private Service Connect se describen en la página de precios de VPC. Los precios se aplican durante el período de vista previa.

¿Qué sigue?