Accesso privato ai servizi

Questa pagina fornisce una panoramica dell'accesso privato ai servizi.

Google e le terze parti (collettivamente noti come producer di servizi) possono offrire servizi ospitati in una rete VPC. L'accesso privato ai servizi consente di raggiungere gli indirizzi IP interni di questi servizi Google e di terze parti utilizzando connessioni private. Questo è utile se vuoi che le istanze VM nella rete VPC utilizzino indirizzi IP interni anziché indirizzi IP esterni. Per maggiori dettagli sull'utilizzo dell'accesso privato ai servizi, vedi Configurare l'accesso privato ai servizi.

L'accesso privato ai servizi richiede prima di allocare un intervallo di indirizzi IPv4 interno e quindi di creare una connessione privata. Un intervallo allocato è un blocco CIDR riservato che non può essere utilizzato nella tua rete VPC locale. Viene accantonato solo ai producer di servizi e impedisce la sovrapposizione tra la rete VPC e la rete VPC del producer di servizi.

La connessione privata collega la tua rete VPC alla rete VPC del producer di servizi. Questa connessione consente alle istanze VM nella rete VPC di utilizzare indirizzi IPv4 interni per raggiungere le risorse di servizio. Le istanze possono avere indirizzi IP esterni, ma gli indirizzi IP esterni non sono necessari e non vengono utilizzati dall'accesso privato ai servizi.

Se un producer di servizi offre più servizi, hai bisogno di una sola connessione privata. Quando crei una connessione privata, utilizzi l'API Service Networking per crearla. Tuttavia, Google Cloud implementa questa connessione come connessione di peering di rete VPC tra la tua rete VPC e la rete VPC del producer di servizi. La tua rete VPC la mostra come connessione in peering. Per eliminarla devi eliminare la connessione privata.

L'utilizzo di intervalli di indirizzi IPv6 con accesso privato ai servizi non è supportato.

Puoi utilizzare l'accesso privato ai servizi solo con i servizi che lo supportano. Verifica con il producer di servizi prima di creare una connessione privata.

Rete producer di servizi

La connessione privata del producer di servizi contiene una rete VPC in cui viene eseguito il provisioning delle risorse di servizio. La rete del producer di servizi viene creata esclusivamente per te e contiene solo le risorse.

Una risorsa nella rete del producer di servizi è simile ad altre risorse nella rete VPC. Ad esempio, è raggiungibile tramite indirizzi IP interni da altre risorse nella tua rete VPC. Puoi anche creare regole firewall nella tua rete VPC per controllare l'accesso alla rete del producer di servizi.

Per maggiori dettagli sul lato producer di servizi, consulta Abilitare l'accesso privato ai servizi nella documentazione Service Infrastructure. Questa documentazione è solo a scopo informativo e non è necessaria per abilitare o utilizzare l'accesso privato ai servizi.

Accesso privato ai servizi e connettività on-premise

Negli scenari di networking ibridi, una rete on-premise viene connessa a una rete VPC tramite una connessione Cloud VPN o Cloud Interconnect. Per impostazione predefinita, gli host on-premise non possono raggiungere la rete del producer di servizi utilizzando l'accesso privato ai servizi.

Nella rete VPC potresti avere route statiche o dinamiche personalizzate per indirizzare correttamente il traffico alla rete on-premise. Tuttavia, la rete del producer di servizi non contiene quelle stesse route. Quando crei una connessione privata, la rete VPC e la rete producer di servizi scambiano solo route di subnet.

La rete del producer di servizi contiene una route predefinita (0.0.0.0/0) che passa a internet. Se esporti una route predefinita nella rete del producer di servizi, questa viene ignorata perché la route predefinita della rete del producer di servizi ha la precedenza. Definisci ed esporta invece una route personalizzata con una destinazione più specifica. Per ulteriori informazioni, vedi Ordine di routing.

Devi esportare le route personalizzate della rete VPC in modo che la rete del fornitore di servizi possa importarle e instradare correttamente il traffico alla tua rete on-premise. Aggiorna la configurazione del peering VPC associata alla connessione privata per esportare le route personalizzate.

Considerazioni

Prima di configurare l'accesso privato ai servizi, consulta le considerazioni per la scelta di una rete VPC e di un intervallo di indirizzi IP.

Servizi supportati

I seguenti servizi Google supportano l'accesso privato ai servizi:

• AI Platform Training
• AlloyDB per PostgreSQL
• Apigee
• Backup e RE
• Cloud Build
• Sistema di rilevamento delle intrusioni Cloud
• Cloud SQL (non supporta il peering DNS)
• Cloud TPU
• Converge Enterprise Cloud con IBM Power per Google Cloud
• Filestore
• Google Cloud VMware Engine
• Looker (Google Cloud core)
• Memorystore per Memcached
• Memorystore for Redis
• Servizio NetApp Cloud Volumes
• Vertex AI

Esempio

Nell'esempio seguente, la rete VPC del cliente ha allocato l'intervallo di indirizzi 10.240.0.0/16 per i servizi Google e ha stabilito una connessione privata che utilizza l'intervallo allocato. Ogni servizio Google crea una subnet dal blocco allocato per eseguire il provisioning di nuove risorse in una determinata regione, ad esempio le istanze Cloud SQL.

• Alla connessione privata viene assegnato l'intervallo allocato 10.240.0.0/16. Da questa allocazione, i servizi Google possono creare subnet in cui viene eseguito il provisioning di nuove risorse.
• Per quanto riguarda i servizi Google della connessione privata, Google crea un progetto per il cliente. Il progetto è isolato, quindi nessun altro cliente lo condivide e al cliente vengono addebitate solo le risorse di cui il cliente esegue il provisioning. In questo progetto isolato, Google crea inoltre una rete VPC e la connette alla rete del cliente utilizzando il peering di rete VPC.
• Ogni servizio Google crea una subnet in cui eseguire il provisioning delle risorse. L'intervallo di indirizzi IP della subnet è un blocco CIDR che proviene dall'intervallo di indirizzi IP allocato. Il blocco CIDR viene scelto dal servizio e in genere ha un intervallo di indirizzi IP da /29 a /24. Non puoi modificare la subnet del producer di servizi. Un servizio esegue il provisioning di nuove risorse nelle subnet regionali esistenti create in precedenza da quel servizio. Se una subnet è piena, il servizio ne crea una nuova nella stessa regione.
• Dopo la creazione della subnet, la rete del cliente importa le route dalla rete di servizi.
• Le istanze VM nella rete del cliente possono accedere alle risorse di servizio in qualsiasi area geografica, se il servizio le supporta. Alcuni servizi potrebbero non supportare la comunicazione tra regioni. Per saperne di più, consulta la documentazione del servizio pertinente.
• All'istanza Cloud SQL viene assegnato l'indirizzo IP 10.240.0.2. Nella rete VPC del cliente, le richieste con destinazione 10.240.0.2 vengono instradate alla connessione privata sulla rete del producer di servizi. Dopo aver raggiunto la rete di servizi, quest'ultima contiene route che indirizzano la richiesta alla risorsa corretta.
• Il traffico tra le reti VPC passa all'interno della rete Google, non attraverso la rete internet pubblica.

Prezzi

Per i prezzi dell'accesso privato ai servizi, consulta Accesso privato ai servizi nella pagina dei prezzi di VPC.

Passaggi successivi

• Per allocare intervalli di indirizzi IP, creare connessioni private o condividere zone DNS private, consulta Configurare l'accesso privato ai servizi.