Acesso privado a serviços

O Google e terceiros, conhecidos conjuntamente como fornecedores de serviços, podem oferecer serviços com endereços IP internos hospedados em uma rede VPC. O Acesso privado a serviços permite que você acesse esses endereços IP internos. Isso é útil quando você quer que as instâncias de VM na sua rede VPC utilizem endereços IP internos em vez de endereços IP externos. Para detalhes sobre como usar o serviços de acesso privado, consulte Como configurar o Acesso privado a serviços.

O Acesso a serviços privados exige que você primeiro aloque um intervalo de endereços IP internos e crie uma conexão privada. Um intervalo alocado é um bloco CIDR reservado que não pode ser usado na sua rede VPC local. Ele é reservado apenas para fornecedores de serviços e evita sobreposições entre sua rede VPC e a rede VPC do fornecedor de serviços.

A conexão particular vincula sua rede VPC à rede VPC do produtor de serviços. Essa conexão permite que instâncias de VM na sua rede VPC utilizem endereços IP internos para acessar os recursos de serviço. As instâncias podem ter endereços IP externos, mas isso não é um requisito nem são usados pelo Acesso privado a serviços.

Se um produtor de serviços oferecer vários serviços, você precisará apenas de uma conexão particular. Você usa a API Service Networking quando cria uma conexão particular. No entanto, o Google Cloud implementa essa conexão como uma conexão de Peering de redes VPC entre sua rede VPC e a rede VPC do fornecedor de serviços. Sua rede VPC a mostra como uma conexão de peering e, para excluir a conexão particular, é preciso excluir a conexão de peering.

Use o Acesso privado a serviços apenas com serviços compatíveis. Confira com o produtor de serviços antes de criar uma conexão particular.

Rede do produtor de serviços

No lado do produtor de serviços, a conexão particular é uma rede VPC em que os recursos de serviço são provisionados. A rede do produtor de serviços é criada exclusivamente para você e contém apenas os seus recursos.

Um recurso na rede do produtor de serviços é semelhante a outros recursos na sua rede VPC. Por exemplo, pode ser acessado com endereços IP internos por outros recursos na sua rede VPC. É possível também criar regras de firewall em sua rede VPC para controlar o acesso à rede do fornecedor de serviços.

Para detalhes sobre o lado do produtor de serviços, consulte Como ativar o Acesso privado a serviços na documentação do Service Infrastructure. Essa documentação é apenas informativa e não é necessária para ativar ou usar o Acesso privado a serviços.

Acesso privado a serviços e conectividade no local

Em cenários de rede híbrida, uma rede local é conectada a uma rede VPC por meio de uma conexão com o Cloud VPN ou o Cloud Interconnect. Por padrão, os hosts locais não podem acessar a rede do produtor de serviços usando o acesso privado a serviços.

Na rede VPC, é possível ter rotas personalizadas dinâmicas ou estáticas para direcionar corretamente o tráfego para a rede local. No entanto, a rede do produtor de serviços não contém essas mesmas rotas. Quando você cria uma conexão particular, a rede VPC e a rede do produtor de serviços apenas trocam rotas de sub-rede.

A rede do produtor do serviço contém uma rota padrão (0.0.0.0/0) que é transferida para a Internet. Se você exportar uma rota padrão para a rede do produtor de serviços, ela será ignorada porque é preterida pela rota padrão da rede do produtor de serviços. Em vez disso, defina e exporte uma rota personalizada com um destino mais específico. Para mais informações, consulte Ordem de roteamento.

Exporte as rotas personalizadas da rede VPC para que a rede do produtor de serviços possa importá-las e rotear o tráfego corretamente para sua rede local. Atualize a configuração de peering de VPC associada à conexão particular para exportar rotas personalizadas.

Serviços compatíveis

Os seguintes serviços do Google são compatíveis com o Acesso privado a serviços:

Exemplo

No exemplo a seguir, a rede VPC do cliente alocou o intervalo de endereços 10.240.0.0/16 para serviços do Google e estabeleceu uma conexão particular que usa o intervalo alocado. Cada serviço do Google cria uma sub-rede a partir do bloco alocado para provisionar novos recursos em uma determinada região, como instâncias do Cloud SQL.

Acesso privado a serviços (clique para ampliar)
  • A conexão particular é atribuída ao intervalo alocado 10.240.0.0/16. A partir dessa alocação, os serviços do Google podem criar sub-redes em que novos recursos serão provisionados.
  • No lado de serviços do Google da conexão particular, o Google cria um projeto para o cliente. O projeto é isolado, o que significa que ele não é compartilhado com nenhum outro cliente e o cliente é cobrado apenas pelos recursos fornecidos.
  • Cada serviço do Google cria uma sub-rede para provisionar recursos. O intervalo de endereços IP da sub-rede geralmente é um bloco CIDR /24 escolhido pelo serviço e proveniente do intervalo de endereços IP alocado. Não é possível modificar a sub-rede do produtor de serviços. Um serviço provisiona novos recursos nas sub-redes regionais atuais que foram criadas anteriormente por esse serviço. Se uma sub-rede estiver cheia, o serviço criará uma nova sub-rede na mesma região.
  • As instâncias de VM na rede do cliente podem acessar recursos de serviço em qualquer região quando o serviço é compatível. Alguns serviços podem não aceitar a comunicação entre regiões. Para mais informações, consulte a documentação do serviço relevante.
  • Quando uma instância de VM se comunica com recursos de uma região diferente, os custos de saída para tráfego entre regiões continuam sendo aplicáveis.
  • A instância do Cloud SQL recebe o endereço IP 10.240.0.2. Na rede VPC do cliente, as solicitações com o destino 10.240.0.2 são roteadas para a conexão particular pela rede do produtor de serviços. Quando elas alcançam a rede do serviço, essa rede encaminha a solicitação para o recurso correto.
  • O tráfego entre redes VPC é transmitido internamente na rede do Google, e não pela Internet pública.

A seguir