Acceso a servicios privados

En esta página se ofrece una descripción general del acceso de servicios privados.

Google y terceros (denominados conjuntamente productores de servicios) pueden ofrecer servicios alojados en VPC, es decir, servicios que se ejecutan en VMs alojadas en una red de VPC. El acceso a servicios privados te permite acceder a esos servicios creando una conexión privada entre tu red de VPC y la red de VPC del productor de servicios. La conexión privada establece una conexión de intercambio de tráfico entre redes de VPC entre tu red y la red del productor de servicios.

El tráfico de acceso a servicios privados se desplaza internamente por la red de Google, no por la red pública de Internet. Las instancias de tu red de VPC pueden acceder al servicio mediante sus direcciones IPv4 internas. Tus instancias pueden tener direcciones IP externas, pero estas no son necesarias ni se usan para el acceso a servicios privados.

Servicios admitidos

Los siguientes servicios alojados en VPC de Google admiten el acceso a servicios privados:

• AI Platform Training
• AlloyDB for PostgreSQL
• Apigee
• Servicio de Backup y DR
• Cloud Build
• Sistema de Detección de Intrusos de Cloud
• Cloud SQL (no admite el peering de DNS)
• TPU de Cloud
• Converge Enterprise Cloud con IBM Power para Google Cloud
• Filestore
• Google Cloud Managed Lustre
• VMware Engine de Google Cloud
• Looker (servicio principal de Google Cloud)
• Memorystore para Memcached
• Memorystore para Redis
• Vertex AI

Acceso a servicios privados e intercambio de tráfico entre redes de VPC

En una conexión privada, la red del productor de servicios y tu red están conectadas mediante el intercambio de tráfico entre redes de VPC. Para que el enrutamiento entre las dos redes funcione correctamente, ambas deben usar intervalos de direcciones IP distintos. Para evitar solapamientos, crea uno o varios intervalos asignados en tu red para usarlos con la conexión privada.

Cuando asignas un intervalo en tu red VPC, ese intervalo no se puede usar para otros recursos, como subredes o destinos de rutas estáticas personalizadas.

Para obtener información sobre cómo elegir un intervalo asignado, consulta Elegir un intervalo de direcciones IP para el intervalo asignado.

Flujo de trabajo de acceso privado a servicios

Cuando usas el acceso a servicios privados, los recursos se implementan tanto en tu red de VPC como en la del productor de servicios. Estos son los pasos que debe seguir:

1. Como consumidor de servicios, implementas una instancia de servicio con acceso a servicios privados. Los detalles pueden variar en función del servicio que estés implementando. Puede que sigas estos pasos o que el productor del servicio los automatice como parte de la implementación de la instancia del servicio:

   1. Asigna un intervalo de direcciones IP en tu red de VPC. Este intervalo asignado se reserva exclusivamente para el productor del servicio.

   2. Crea una conexión privada con el productor de servicios y especifica el intervalo asignado que has creado.

   3. Aprovisiona una instancia de servicio (por ejemplo, una instancia de Cloud SQL) que haga referencia a la conexión privada que has creado.

2. El productor de servicios aprovisiona recursos para tu instancia de servicio.

   1. El productor del servicio crea un proyecto para tu instancia de servicio. El proyecto está aislado, lo que significa que ningún otro cliente lo comparte y que al consumidor del servicio solo se le facturan los recursos que aprovisiona.

   2. En ese proyecto, el productor del servicio crea una red VPC dedicada a ti.

   3. Dentro de esa red, el productor de servicios crea una subred. El intervalo de direcciones IP de esta subred se selecciona del intervalo asignado que has proporcionado. Por lo general, el creador del servicio elige un bloque de /29 a /24 CIDR. No puedes seleccionar ni modificar el intervalo de direcciones IP de la subred del productor de servicios.

   4. A la instancia de servicio se le asigna una dirección IP de la nueva subred.

3. La conexión privada se activa.

   1. Se ha establecido la conexión de emparejamiento entre redes de VPC.

   2. Tu red de VPC importa rutas de la red del productor de servicios.

   3. Las máquinas virtuales de tu red pueden comunicarse con la instancia de servicio mediante su dirección IP interna. El tráfico se desplaza por completo dentro de la red de Google y no a través de Internet público.

Una vez que haya creado la implementación inicial, puede hacer lo siguiente:

• Aprovisionamiento de más recursos: cuando aprovisionas recursos adicionales para el mismo servicio, el productor de servicios los coloca en subredes ya creadas si hay espacio. Si una subred está llena, se crea una nueva subred en esa región a partir del intervalo asignado.

• Eliminar recursos: una subred de la red del productor de servicios se elimina solo cuando se eliminan todos los recursos de servicio que contiene. Para obtener información sobre cómo eliminar recursos, consulte la documentación del productor del servicio correspondiente.

Ejemplo

En el siguiente diagrama se muestra cómo usar una conexión privada para acceder a instancias de servicio.

En este ejemplo, la red de VPC del consumidor de servicios ha asignado el intervalo de direcciones 10.240.0.0/16 a los servicios de Google y ha establecido una conexión privada que utiliza el intervalo asignado.

• A la conexión privada se le asigna el intervalo 10.240.0.0/16.

• Google crea un proyecto y una red de VPC para los recursos del consumidor del servicio. Las redes de VPC se conectan mediante el emparejamiento entre redes de VPC.

• El productor del servicio crea una subred que usa el intervalo de direcciones IP 10.240.0.0/24.

• A la instancia de Cloud SQL se le asigna la dirección IP 10.240.0.2.

• Una vez creada la subred, la red del consumidor de servicios importa las rutas de la red de servicios.

• En la red de VPC del consumidor de servicios, las solicitudes con el destino 10.240.0.2 se enrutan a la conexión privada a través de la red del productor de servicios.

• El consumidor del servicio implementa una instancia de servicio para otro servicio de Google en europe-west1. Como Google es el productor del servicio, se pueden usar el mismo proyecto y la misma red. Sin embargo, como la instancia está en otra región, se necesita una subred nueva. Google crea una subred que usa el intervalo de direcciones IP 10.240.10.0/24 y asigna a la instancia de servicio la dirección IP 10.240.10.2.

Alcanzabilidad de las instancias de servicio

Solo una red de VPC de consumidor de servicios puede crear una conexión privada a una instancia de servicio gestionado determinada. Sin embargo, hay formas de que la conexión privada esté disponible para los recursos que se encuentran fuera de esa red VPC:

• Para que las instancias de servicio estén disponibles en otras redes de VPC, puedes usar las siguientes opciones:
  • Acceso a través de Network Connectivity Center.
  • Acceso a través de VPC compartida.
• Para que las instancias de servicio estén disponibles en redes conectadas, como redes locales, consulta Acceder a través de la conectividad híbrida.

Si ninguna de estas opciones se adapta a tu caso de uso, el productor del servicio puede ofrecer otras formas de conectarte al servicio que se ajusten mejor, por ejemplo, a través de Private Service Connect. Para obtener más información, consulta la documentación del servicio.

Acceder a través de Network Connectivity Center

En el caso de algunos servicios que están disponibles a través del acceso a servicios privados, puedes usar Network Connectivity Center para que el servicio sea accesible para otros radios de un centro creando un radio de VPC de productor. Para obtener más información, incluidos los servicios admitidos, consulta Spokes de VPC de productor.

Acceder a través de VPC compartida

Si utilizas VPC compartida, crea el intervalo de IPs asignado y la conexión privada en el proyecto host. Normalmente, un administrador de red del proyecto host debe realizar estas tareas. Una vez configurado el proyecto host, las instancias de máquina virtual de los proyectos de servicio pueden usar la conexión privada.

Acceder a través de la conectividad híbrida

En los casos de redes híbridas, una red local se conecta a una red de VPC a través de una conexión Cloud VPN o Cloud Interconnect. De forma predeterminada, los hosts locales no pueden acceder a la red del productor de servicios mediante el acceso a servicios privados.

En la red de VPC, puede que tengas rutas estáticas o dinámicas personalizadas para dirigir correctamente el tráfico a tu red local. Sin embargo, la red del productor del servicio no contiene esas mismas rutas. Cuando creas una conexión privada, la red de VPC y la red del productor de servicios solo intercambian rutas de subred.

La red del productor de servicios contiene una ruta predeterminada (0.0.0.0/0) que va a Internet. Si exportas una ruta predeterminada a la red del productor de servicios, se ignorará porque la ruta predeterminada de la red del productor de servicios tiene prioridad. En su lugar, defina y exporte una ruta personalizada con un destino más específico.

Para obtener más información, consulta Configurar la conectividad híbrida.

Red de productores de servicios

En el lado del productor de servicios de la conexión privada, hay una red de VPC en la que se aprovisionan los recursos de tu servicio. La red del productor de servicios se crea exclusivamente para ti y solo contiene tus recursos.

Un recurso de la red del productor de servicios es similar a otros recursos de tu red de VPC. Por ejemplo, se puede acceder a ella a través de direcciones IP internas desde otros recursos de tu red de VPC. También puedes crear reglas de cortafuegos en tu red de VPC para controlar el acceso a la red del productor del servicio.

Para obtener más información sobre el lado del productor de servicios, consulta Habilitar el acceso a servicios privados en la documentación de Infraestructura de Servicios. Esta documentación es meramente informativa y no es necesaria para habilitar ni usar el acceso a servicios privados.

Precios

Para consultar los precios de acceso a servicios privados, consulta la sección Acceso a servicios privados de la página de precios de VPC.

Limitaciones

Se aplican las siguientes limitaciones al acceso a servicios privados:

• Como una conexión privada se implementa como una conexión de emparejamiento entre redes VPC, los comportamientos y las restricciones de las conexiones de emparejamiento también se aplican a las conexiones privadas. Por ejemplo, como el intercambio de tráfico entre redes de VPC no es transitivo, las redes de VPC emparejadas no pueden usar una conexión privada.

  Para obtener más información, consulta los artículos Emparejamiento entre redes de VPC, Limitaciones del emparejamiento entre redes de VPC y Cuotas y límites.

• Solo una red de VPC de consumidor de servicios puede crear una conexión privada que se conecte a una instancia de servicio gestionado determinada. Sin embargo, hay formas de hacer que la conexión privada esté disponible para los recursos que se encuentran fuera de esa red de VPC. Para obtener más información, consulta Disponibilidad de las instancias de servicio.

• No puedes cambiar el intervalo de direcciones IP asociado a un intervalo asignado. Sin embargo, puede modificar los intervalos asignados que están asociados a una conexión privada.

• No se admite el uso de intervalos de direcciones IPv6 con acceso a servicios privados.

Siguientes pasos

• Para asignar intervalos de direcciones IP, crear conexiones privadas o compartir zonas DNS privadas, consulta Configurar el acceso a servicios privados.