Acceso privado a servicios

Google y los terceros (que en conjunto se conocen como productores de servicios) pueden ofrecer servicios con direcciones IP internas que se alojan en una red de VPC. El acceso privado a los servicios te permite acceder a esas direcciones IP internas. Esto es útil si deseas que las instancias de VM en la red de VPC usen direcciones IP internas en lugar de externas. Para obtener detalles sobre cómo usar el acceso privado a los servicios, consulta Configura el acceso privado a los servicios.

El acceso privado a servicios requiere que primero asignes un rango de direcciones IP internas y luego crees una conexión privada. Un rango asignado es un bloque CIDR reservado que no se puede usar en la red de VPC local. Se reserva solo para los productores de servicios y evita que se superpongan tu red de VPC y la de ellos. Cuando creas una conexión privada, debes especificar una asignación.

La conexión privada vincula tu red de VPC con la red de VPC del productor de servicios. Esta conexión permite que las instancias de VM de la red de VPC usen direcciones IP internas para acceder a los recursos de servicio que tienen direcciones IP internas. Las instancias pueden tener direcciones IP externas, pero el acceso privado a los servicios no las requiere ni las usa.

Si un productor de servicios ofrece varios servicios, solo necesitas una conexión privada. Cuando creas una conexión privada, debes usar la API de Herramientas de redes de servicios para hacerlo. Sin embargo, Google Cloud implementa esta conexión como una conexión de intercambio de tráfico entre redes de VPC entre tu red de VPC y la del productor de servicios. Por ejemplo, la red de VPC la muestra como una conexión de intercambio de tráfico y, para borrar la conexión privada, debes borrar la conexión de intercambio de tráfico.

Puedes usar el acceso privado a los servicios solo con los servicios compatibles. Consulta con el productor de servicios antes de crear una conexión privada.

Red de productores de servicios

En el lado del productor de servicios de la conexión privada, hay una red de VPC, en la que se aprovisionan los recursos de servicio. La red del productor de servicios se crea exclusivamente para ti y contiene solo tus recursos.

Un recurso en la red del productor de servicios es similar a otro recurso en tu red de VPC. Por ejemplo, otros recursos de tu red de VPC pueden acceder a ellos mediante direcciones IP internas. También puedes crear reglas de firewall en la red de VPC para controlar el acceso a la red del productor de servicios.

Para obtener detalles sobre el lado del productor de servicios, consulta Habilita el acceso privado a servicios en la documentación de Service Infrastructure. Esta documentación es solo para tu información y no es necesaria a fin de habilitar o usar el acceso privado a los servicios.

Acceso privado a servicios y conectividad local

En situaciones de redes híbridas, una red local se conecta a una red de VPC mediante una conexión de Cloud VPN o Cloud Interconnect. De forma predeterminada, los hosts locales no pueden acceder a la red del productor de servicios mediante el acceso privado a servicios.

En la red de VPC, es posible que tengas rutas estáticas o dinámicas personalizadas para dirigir el tráfico a la red local de manera correcta. Sin embargo, la red del productor de servicios no contiene esas mismas rutas. Cuando creas una conexión privada, la red de VPC y la red del productor de servicios solo intercambian rutas de subredes.

Debes exportar las rutas personalizadas de la red de VPC para que la red del proveedor de servicios pueda importarlas y enrutar el tráfico a la red local de forma correcta.

Para exportar rutas personalizadas, debes crear una conexión privada y, luego, modificar la configuración de intercambio de tráfico entre redes de VPC subyacente. Para obtener información sobre cómo crear una conexión privada, consulta Configura el acceso privado a los servicios. Para obtener información sobre cómo exportar rutas personalizadas, consulta Actualiza una conexión de intercambio de tráfico.

Servicios compatibles

Estos servicios de Google son compatibles con el acceso privado a servicios:

Ejemplo

En el siguiente ejemplo, la red de VPC del cliente asignó el rango de direcciones 10.240.0.0/16 para los servicios de Google y estableció una conexión privada que usa el rango asignado. Cada servicio de Google crea una subred a partir bloque asignado para aprovisionar recursos nuevos en una región determinada, como las instancias de Cloud SQL.

Acceso privado a los servicios (haz clic para ampliar)
  • Se asigna el rango 10.240.0.0/16 a la conexión privada. A partir de esta asignación, los servicios de Google pueden crear subredes en las que se aprovisionan recursos nuevos.
  • Del lado de los servicios de Google de la conexión privada, Google crea un proyecto para el cliente. El proyecto está aislado, lo que significa que no se comparte con ningún otro cliente y al cliente solo se le facturan los recursos con los que se aprovisionó.
  • Cada servicio de Google crea una subred en la que se aprovisionan recursos. Por lo general, el rango de direcciones IP de la subred es un bloque CIDR /24 que elige el servicio y proviene del rango de direcciones IP asignadas. No puedes modificar la subred del productor de servicios. Un servicio aprovisiona recursos nuevos en subredes regionales existentes que ese servicio creó antes. Si una subred está llena, el servicio crea una subred nueva en la misma región.
  • Las instancias de VM en la red del cliente pueden acceder a los recursos de servicio en cualquier región si el servicio lo admite. Es posible que algunos servicios no admitan la comunicación entre regiones. Para obtener más información, consulta la documentación del servicio correspondiente.
  • Se aplican costos de salida para el tráfico entre regiones, en el que una instancia de VM se comunica con recursos en una región diferente.
  • A la instancia de Cloud SQL se le asigna la dirección IP 10.240.0.2. En la red de VPC del cliente, las solicitudes con un destino de 10.240.0.2 se enrutan a la conexión privada a la red del productor del servicio. Después de que se accede a la red de servicio, esta contiene rutas que dirigen la solicitud al recurso correcto.
  • El tráfico entre redes de VPC fluye de forma interna dentro de la red de Google, no a través de la Internet pública.

¿Qué sigue?