Acceso privado a servicios

En esta página, se proporciona una descripción general del acceso privado a servicios.

Google y los terceros (que en conjunto se conocen como productores de servicios) pueden ofrecer servicios alojados en VPC, es decir, servicios que se ejecutan en VMs alojadas en una red de VPC. El acceso privado a servicios te permite acceder a esos servicios creando una conexión privada entre tu red de VPC y la red de VPC del productor de servicios. La conexión privada establece una conexión de intercambio de tráfico de red de VPC entre tu red y la red del productor de servicios.

El tráfico de acceso a servicios privados viaja de forma interna dentro de la red de Google, no a través de la Internet pública. Las instancias de tu red de VPC pueden acceder al servicio con sus direcciones IPv4 internas. Tus instancias pueden tener direcciones IP externas, pero el acceso privado a los servicios no las requiere ni las usa.

Servicios compatibles

Los siguientes servicios de Google alojados en VPC admiten el acceso privado a servicios:

• AI Platform Training
• AlloyDB para PostgreSQL
• Apigee
• Servicio de copia de seguridad y DR
• Cloud Build
• Sistema de detección de intrusiones de Cloud
• Cloud SQL (no admite el intercambio de tráfico de DNS)
• Cloud TPU
• Converge Enterprise Cloud con IBM Power para Google Cloud
• Filestore
• Google Cloud Managed Lustre
• Google Cloud VMware Engine
• Looker (Google Cloud Core)
• Memorystore para Memcached
• Memorystore para Redis
• Vertex AI

Acceso privado a servicios y el intercambio de tráfico entre redes de VPC

En una conexión privada, la red del productor de servicios y tu red se conectan a través del intercambio de tráfico de red de VPC. Para que el enrutamiento entre las dos redes funcione correctamente, estas deben usar rangos de direcciones IP distintos. Para evitar superposiciones, crea uno o más rangos asignados en tu red para usarlos con la conexión privada.

Cuando asignas un rango en tu red de VPC, ese rango no se puede usar para otros recursos, como subredes o destinos de rutas estáticas personalizadas.

Para obtener información sobre cómo elegir un rango asignado, consulta Elige un rango de direcciones IP para el rango asignado.

Flujo de trabajo del acceso privado a servicios

Cuando utilizas el acceso privado a servicios, los recursos se implementan tanto en tu red de VPC como en la red del productor de servicios. En los siguientes pasos, se describe el proceso:

1. Como consumidor de servicios, implementas una instancia de servicio con acceso privado a servicios. Los detalles pueden variar según el servicio que implementes. Los siguientes pasos los puedes realizar tú o el productor de servicios los puede automatizar como parte de la implementación de la instancia del servicio:

   1. Asignas un rango de direcciones IP en tu red de VPC. Este rango asignado está reservado exclusivamente para el productor de servicios.

   2. Creas una conexión privada al productor de servicios y especificas el rango asignado que creaste.

   3. Aprovisionas una instancia de servicio (por ejemplo, una instancia de Cloud SQL) que hace referencia a la conexión privada que creaste.

2. El productor de servicios aprovisiona recursos para tu instancia de servicio.

   1. El productor de servicios crea un proyecto para tu instancia de servicio. El proyecto está aislado, lo que significa que no se comparte con ningún otro cliente y que al consumidor del servicio solo se le facturan los recursos con los que se aprovisionó.

   2. Dentro de ese proyecto, el productor de servicios crea una red de VPC dedicada para ti.

   3. Dentro de esa red, el productor de servicios crea una subred. El rango de direcciones IP para esta subred se selecciona del rango asignado que proporcionaste. Por lo general, el productor de servicios elige un bloque CIDR de /29 a /24. No puedes seleccionar ni modificar el rango de direcciones IP de la subred del productor de servicios.

   4. A la instancia de servicio se le asigna una dirección IP de la nueva subred.

3. La conexión privada se activa.

   1. Se estableció la conexión de intercambio de tráfico entre redes de VPC.

   2. Tu red de VPC importa rutas desde la red del productor de servicios.

   3. Las VMs de tu red pueden comunicarse con la instancia de servicio a través de su dirección IP interna. El tráfico viaja completamente dentro de la red de Google y no a través de la Internet pública.

Después de crear la implementación inicial, puedes realizar las siguientes acciones:

• Aprovisionamiento de más recursos: Cuando aprovisionas recursos adicionales para el mismo servicio, el productor de servicios los coloca en subredes existentes si hay espacio. Si una subred está llena, se crea una nueva en esa región a partir del rango asignado.

• Borra recursos: Una subred en la red del productor de servicios se borra solo cuando borras todos los recursos de servicio que contiene. Para obtener información sobre cómo borrar recursos, consulta la documentación del productor de servicios correspondiente.

Ejemplo

En el siguiente diagrama, se muestra el uso de una conexión privada para acceder a instancias de servicio.

En este ejemplo, la red de VPC del consumidor de servicios asignó el rango de direcciones 10.240.0.0/16 para los servicios de Google y estableció una conexión privada que usa el rango asignado.

• Se asigna el rango 10.240.0.0/16 a la conexión privada.

• Google crea un proyecto y una red de VPC para los recursos del consumidor de servicios. Las redes de VPC se conectan a través del intercambio de tráfico entre redes de VPC.

• El productor de servicios crea una subred que usa el rango de direcciones IP 10.240.0.0/24.

• A la instancia de Cloud SQL se le asigna la dirección IP 10.240.0.2.

• Después de crear la subred, la red del consumidor de servicios importa rutas desde la red de servicio.

• En la red de VPC del consumidor de servicios, las solicitudes con un destino de 10.240.0.2 se enrutan a la conexión privada a la red del productor de servicios.

• El consumidor de servicios implementa una instancia de servicio para un servicio de Google diferente en europe-west1. Dado que Google es el productor de servicios, se pueden usar el mismo proyecto y la misma red. Sin embargo, debido a que la instancia se encuentra en una región diferente, se requiere una subred nueva. Google crea una nueva subred que usa el rango de direcciones IP 10.240.10.0/24 y asigna a la instancia de servicio la dirección IP 10.240.10.2.

Accesibilidad de las instancias de servicio

Solo una red de VPC del consumidor de servicios puede crear una conexión privada a una instancia de servicio administrado determinada. Sin embargo, existen formas de hacer que la conexión privada esté disponible para los recursos que se encuentran fuera de esa red de VPC:

• Para que las instancias de servicio estén disponibles desde otras redes de VPC, considera las siguientes opciones:
  • Acceso a través de Network Connectivity Center
  • Acceso a través de la VPC compartida
• Para que las instancias de servicio estén disponibles desde redes conectadas, como redes locales, consulta Acceso a través de conectividad híbrida.

Si ninguna de estas opciones funciona para tu caso de uso, es posible que el productor de servicios ofrezca otras formas de conectarse al servicio que se adapten mejor, por ejemplo, a través de Private Service Connect. Para obtener más información, consulta la documentación del servicio.

Acceso a través de Network Connectivity Center

En el caso de algunos servicios disponibles a través del acceso privado a servicios, puedes usar Network Connectivity Center para que otros radios de un concentrador puedan acceder al servicio creando un radio de VPC de productor. Para obtener más información, incluidos los servicios compatibles, consulta Radios de VPC de productores.

Acceso a través de la VPC compartida

Si usas VPC compartida, crea el rango de IP asignado y la conexión privada en el proyecto host. Por lo general, un administrador de red en el proyecto host debe realizar estas tareas. Después de configurar el proyecto host, las instancias de VM en proyectos de servicio pueden usar la conexión privada.

Acceso a través de la conectividad híbrida

En situaciones de redes híbridas, una red local se conecta a una red de VPC mediante una conexión de Cloud VPN o Cloud Interconnect. De forma predeterminada, los hosts locales no pueden acceder a la red del productor de servicios a través del acceso privado a servicios.

En la red de VPC, es posible que tengas rutas estáticas o dinámicas personalizadas para dirigir el tráfico a la red local de manera correcta. Sin embargo, la red del productor de servicios no contiene esas mismas rutas. Cuando creas una conexión privada, la red de VPC y la red del productor de servicios solo intercambian rutas de subredes.

La red del productor de servicios contiene una ruta predeterminada (0.0.0.0/0) que se conecta a Internet. Si exportas una ruta predeterminada a la red del productor de servicios, esta se ignora porque la ruta predeterminada de la red del productor de servicios tiene prioridad. En su lugar, debes definir y exportar una ruta personalizada con un destino más específico.

Para obtener más información, consulta Configura la conectividad híbrida.

Red de productores de servicios

En el lado del productor de servicios de la conexión privada, hay una red de VPC, en la que se aprovisionan los recursos de servicio. La red del productor de servicios se crea exclusivamente para ti y contiene solo tus recursos.

Un recurso en la red del productor de servicios es similar a otro recurso en tu red de VPC. Por ejemplo, otros recursos de tu red de VPC pueden acceder a ellos mediante direcciones IP internas. También puedes crear reglas de firewall en la red de VPC para controlar el acceso a la red del productor de servicios.

Para obtener más información sobre el lado del productor de servicios, consulta Habilita el acceso a servicios privados en la documentación de Service Infrastructure. Esta documentación es solo para tu información y no es necesaria para habilitar o usar el acceso a los servicios privados.

Precios

Para conocer los precios del acceso a servicios privados, consulta Acceso a servicios privados en la página de precios de VPC.

Limitaciones

Se aplican las siguientes limitaciones al acceso privado a servicios:

• Debido a que las conexiones privadas se implementan como conexiones de intercambio de tráfico entre redes de VPC, los comportamientos y las restricciones de las conexiones de intercambio de tráfico también se aplican a las conexiones privadas. Por ejemplo, debido a que el intercambio de tráfico entre redes de VPC no es transitivo, no hay una conexión privada disponible para las redes de VPC con intercambio de tráfico.

  Para obtener más información, consulta Intercambio de tráfico entre redes de VPC, Limitaciones del intercambio de tráfico entre redes de VPC y Cuotas y límites.

• Solo una red de VPC del consumidor de servicios puede crear una conexión privada que se conecte a una instancia de servicio administrado determinada. Sin embargo, existen formas de hacer que la conexión privada esté disponible para los recursos que se encuentran fuera de esa red de VPC. Para obtener más información, consulta Accesibilidad de las instancias de servicio.

• No puedes cambiar el rango de direcciones IP asociado a un rango asignado. Sin embargo, puedes modificar los rangos asignados que están asociados con una conexión privada.

• No se admite el uso de rangos de direcciones IPv6 con acceso privado a servicios.

¿Qué sigue?

• Para asignar rangos de direcciones IP, crear conexiones privadas o compartir zonas DNS privadas, consulta Configura el acceso privado a los servicios.