Accesso privato ai servizi

Google e terze parti (noti anche come producer di servizi) possono offrire servizi con indirizzi IP interni ospitati in una rete VPC. L'accesso privato ai servizi ti consente di raggiungere gli indirizzi IP interni. Questa operazione è utile se vuoi che le istanze VM nella tua rete VPC utilizzino indirizzi IP interni anziché indirizzi IP esterni. Per informazioni dettagliate sull'utilizzo dell'accesso privato ai servizi, consulta la sezione Configurare l'accesso privato ai servizi.

L'accesso privato ai servizi richiede prima di allocare un intervallo di indirizzi IPv4 interno e di creare una connessione privata. Un intervallo allocato è un blocco IDR riservato che non può essere utilizzato nella rete VPC locale. Viene riservato solo ai producer di servizi e impedisce la sovrapposizione tra la rete VPC e la rete VPC del producer di servizi.

La connessione privata collega la tua rete VPC alla rete VPC del producer di servizi. Questa connessione consente alle istanze VM nella rete VPC di utilizzare indirizzi IPv4 interni per raggiungere le risorse di servizio. Le istanze possono avere indirizzi IP esterni, ma gli indirizzi IP esterni non sono obbligatori e non sono utilizzati dall'accesso privato ai servizi.

Se un producer di servizi offre più servizi, è necessaria una sola connessione privata. Quando crei una connessione privata, utilizzi l'API Service Networking per crearla. Tuttavia, Google Cloud implementa questa connessione come connessione peering di rete VPC tra la tua rete VPC e la rete VPC del producer di servizi. La tua rete VPC lo mostra come connessione in peering. Per eliminare la connessione privata, devi eliminare la connessione in peering.

L'uso di intervalli di indirizzi IPv6 con accesso ai servizi privati non è supportato.

Puoi utilizzare l'accesso privato ai servizi solo con i servizi che lo supportano. Prima di creare una connessione privata, rivolgiti al producer di servizi.

Rete di producer di servizi

Sul lato del producer di servizi della connessione privata si trova una rete VPC in cui viene eseguito il provisioning delle risorse di servizio. La rete del producer di servizi viene creata esclusivamente per te e contiene solo le tue risorse.

Una risorsa nella rete del producer di servizi è simile ad altre risorse nella rete VPC. Ad esempio, è raggiungibile tramite indirizzi IP interni da altre risorse nella rete VPC. Puoi anche creare regole firewall nella tua rete VPC per controllare l'accesso alla rete del producer di servizi.

Per informazioni dettagliate sul lato del producer di servizi, consulta la sezione Abilitare l'accesso privato ai servizi nella documentazione dell'infrastruttura di servizi. Questa documentazione è fornita a scopo informativo e non è obbligatoria per attivare o utilizzare l'accesso privato ai servizi.

Accesso ai servizi privati e connettività on-premise

Negli scenari di rete ibrida, una rete on-premise è connessa a una rete VPC tramite una connessione Cloud VPN o Cloud Interconnect. Per impostazione predefinita, gli host on-premise non possono raggiungere la rete del provider di servizi utilizzando l'accesso privato ai servizi.

Nella rete VPC potresti avere route statiche o dinamiche personalizzate per indirizzare correttamente il traffico alla tua rete on-premise. Tuttavia, la rete del producer di servizi non contiene gli stessi percorsi. Quando crei una connessione privata, solo la rete VPC e la rete del producer di servizi instradano le route delle subnet.

La rete del producer di servizi contiene una route predefinita (0.0.0.0/0) che rimanda a Internet. Se esporti una route predefinita alla rete del producer di servizi, questa viene ignorata perché la route predefinita del producer di servizi ha la precedenza. Puoi invece definire ed esportare un percorso personalizzato con una destinazione più specifica. Per ulteriori informazioni, consulta la sezione Ordine di routing.

Devi esportare le route personalizzate della rete VPC in modo che la rete del fornitore di servizi possa importarle e instradare correttamente il traffico alla tua rete on-premise. Aggiorna la configurazione del peering VPC associata alla connessione privata per esportare le route personalizzate.

Servizi supportati

I seguenti servizi Google supportano l'accesso ai servizi privati:

Esempio

Nell'esempio seguente, la rete VPC del cliente ha allocato l'intervallo di indirizzi 10.240.0.0/16 per i servizi Google e ha stabilito una connessione privata che utilizza tale intervallo. Ogni servizio Google crea una subnet dal blocco allocato per eseguire il provisioning di nuove risorse in una determinata area geografica, come le istanze Cloud SQL.

Accesso ai servizi privati (fai clic per ingrandire)
  • Alla connessione privata è assegnato l'intervallo 10.240.0.0/16 allocato. Da questa allocazione, i servizi Google possono creare subnet per le quali viene eseguito il provisioning di nuove risorse.
  • Sul lato servizi Google della connessione privata, Google crea un progetto per il cliente. Il progetto è isolato, il che significa che nessun altro cliente lo condivide e al cliente vengono fatturate solo le risorse fornite dal cliente.
  • Ogni servizio Google crea una subnet in cui eseguire il provisioning delle risorse. L'intervallo di indirizzi IP della subnet è un blocco CIDR proveniente dall'intervallo di indirizzi IP allocato. Il blocco CIDR viene scelto dal servizio e di solito ha un intervallo di indirizzi IP da /29 a /24. Non puoi modificare la subnet del producer di servizi. Un servizio esegue il provisioning di nuove risorse nelle subnet regionali esistenti create in precedenza da tale servizio. Se una subnet è piena, il servizio crea una nuova subnet nella stessa area geografica.
  • Le istanze VM nella rete del cliente possono accedere alle risorse di servizio in qualsiasi area geografica se il servizio lo supporta. Alcuni servizi potrebbero non supportare le comunicazioni tra aree geografiche. Per ulteriori informazioni, consulta la documentazione del servizio pertinente.
  • Si applicano comunque i costi in uscita per il traffico tra aree geografiche in cui un'istanza VM comunica con le risorse in un'altra area geografica.
  • All'istanza Cloud SQL viene assegnato l'indirizzo IP 10.240.0.2. Nella rete VPC del cliente, le richieste con destinazione 10.240.0.2 vengono instradate alla connessione privata alla rete del producer di servizi. Una volta raggiunta la rete di servizio, questa contiene route che indirizzano la richiesta alla risorsa corretta.
  • Il traffico tra le reti VPC viaggia internamente all'interno della rete Google, non attraverso la rete Internet pubblica.

Passaggi successivi