Acesso a serviços privados

Esta página oferece uma vista geral do acesso a serviços privados.

A Google e terceiros (conhecidos em conjunto como produtores de serviços) podem oferecer serviços alojados na VPC, ou seja, serviços executados em VMs alojadas numa rede VPC. O acesso a serviços privados permite-lhe alcançar esses serviços criando uma ligação privada entre a sua rede VPC e a rede VPC do produtor de serviços. A ligação privada estabelece uma ligação de interligação de redes VPC entre a sua rede e a rede do produtor do serviço.

O tráfego de acesso a serviços privados viaja internamente na rede da Google e não através da Internet pública. As instâncias na sua rede VPC podem alcançar o serviço através dos respetivos endereços IPv4 internos. As suas instâncias podem ter endereços IP externos, mas os endereços IP externos não são necessários nem usados pelo acesso privado aos serviços.

Serviços suportados

Os seguintes serviços alojados na VPC da Google suportam o acesso a serviços privados:

• AI Platform Training
• AlloyDB para PostgreSQL
• Apigee
• Serviço de cópias de segurança e RD
• Cloud Build
• Sistema de deteção de intrusos do Cloud
• Cloud SQL (não suporta DNS peering)
• Cloud TPU
• Faça convergir a nuvem empresarial com o IBM Power para Google Cloud
• Filestore
• Google Cloud Managed Lustre
• Google Cloud VMware Engine
• Looker (Google Cloud core)
• Memorystore for Memcached
• Memorystore para Redis
• Vertex AI

Acesso a serviços privados e intercâmbio da rede da VPC

Numa ligação privada, a rede do produtor de serviços e a sua rede estão ligadas através do peering de redes VPC. Para que o encaminhamento entre as duas redes funcione corretamente, as duas redes têm de usar intervalos de endereços IP distintos. Para evitar sobreposições, crie um ou mais intervalos atribuídos na sua rede para usar com a ligação privada.

Quando atribui um intervalo na sua rede VPC, esse intervalo não pode ser usado para outros recursos, como sub-redes ou destinos de rotas estáticas personalizadas.

Para obter informações sobre como escolher um intervalo atribuído, consulte o artigo Escolha um intervalo de endereços IP para o intervalo atribuído.

Fluxo de trabalho de acesso a serviços privados

Quando usa o acesso privado a serviços, os recursos são implementados na sua rede VPC e na rede do produtor de serviços. Os passos seguintes descrevem o processo:

1. Como consumidor de serviços, implementa uma instância de serviço com acesso a serviços privados. Os detalhes podem variar consoante o serviço que está a implementar. Os passos seguintes podem ser realizados por si ou podem ser automatizados pelo produtor do serviço como parte da implementação da instância do serviço:

   1. Atribui um intervalo de endereços IP na sua rede de VPC. Este intervalo atribuído está reservado exclusivamente para o produtor do serviço.

   2. Cria uma ligação privada ao produtor do serviço, especificando o intervalo atribuído que criou.

   3. Aprovisiona uma instância de serviço, por exemplo, uma instância do Cloud SQL, que faz referência à ligação privada que criou.

2. O produtor do serviço aprovisiona recursos para a sua instância de serviço.

   1. O produtor do serviço cria um projeto para a sua instância de serviço. O projeto está isolado, o que significa que nenhum outro cliente o partilha, e o consumidor de serviços só é faturado pelos recursos que o consumidor de serviços aprovisiona.

   2. Nesse projeto, o produtor do serviço cria uma rede VPC dedicada a si.

   3. Nessa rede, o produtor de serviços cria uma sub-rede. O intervalo de endereços IP desta sub-rede é selecionado a partir do intervalo atribuído que indicou. Normalmente, o produtor do serviço escolhe um bloco CIDR de /29 a /24. Não pode selecionar nem modificar o intervalo de endereços IP da sub-rede do produtor do serviço.

   4. À instância do serviço é atribuído um endereço IP da nova sub-rede.

3. A ligação privada fica ativa.

   1. A ligação de intercâmbio da rede da VPC está estabelecida.

   2. A sua rede VPC importa rotas da rede do produtor do serviço.

   3. As VMs na sua rede podem comunicar com a instância do serviço através do respetivo endereço IP interno. O tráfego viaja inteiramente na rede da Google e não através da Internet pública.

Pode realizar as seguintes ações após a criação da implementação inicial:

• Aprovisionamento de mais recursos: quando aprovisiona recursos adicionais para o mesmo serviço, o produtor do serviço coloca-os em sub-redes existentes se houver espaço. Se uma sub-rede estiver cheia, é criada uma nova sub-rede nessa região a partir do intervalo alocado.

• Eliminar recursos: uma sub-rede na rede do produtor de serviços é eliminada apenas quando elimina todos os recursos de serviço na mesma. Para obter informações sobre a eliminação de recursos, consulte a documentação do produtor de serviços relevante.

Exemplo

O diagrama seguinte mostra a utilização de uma ligação privada para aceder a instâncias de serviço.

Neste exemplo, a rede VPC do consumidor de serviços atribuiu o intervalo de endereços 10.240.0.0/16 aos serviços Google e estabeleceu uma ligação privada que usa o intervalo atribuído.

• À ligação privada é atribuído o intervalo alocado 10.240.0.0/16.

• A Google cria um projeto e uma rede VPC para os recursos do consumidor do serviço. As redes VPC estão ligadas através do intercâmbio das redes da VPC.

• O produtor de serviços cria uma sub-rede que usa o intervalo de endereços IP 10.240.0.0/24.

• À instância do Cloud SQL é atribuído o endereço IP 10.240.0.2.

• Após a criação da sub-rede, a rede de consumidor de serviços importa rotas da rede de serviços.

• Na rede VPC do consumidor de serviços, os pedidos com um destino de 10.240.0.2 são encaminhados para a ligação privada para a rede do produtor de serviços.

• O consumidor de serviços implementa uma instância de serviço para um serviço Google diferente em europe-west1. Uma vez que a Google é o produtor do serviço, é possível usar o mesmo projeto e rede. No entanto, uma vez que a instância está numa região diferente, é necessária uma nova sub-rede. A Google cria uma nova sub-rede que usa o intervalo de endereços IP 10.240.10.0/24 e atribui à instância do serviço o endereço IP 10.240.10.2.

Acessibilidade das instâncias de serviço

Apenas uma rede VPC de consumidor de serviços pode criar uma ligação privada a uma determinada instância de serviço gerido. No entanto, existem formas de disponibilizar a ligação privada a recursos que estão fora dessa rede VPC:

• Para disponibilizar as instâncias de serviço a partir de outras redes VPC, considere as seguintes opções:
  • Aceder através do Network Connectivity Center.
  • Aceder através da VPC partilhada.
• Para disponibilizar as instâncias de serviço a partir de redes ligadas, como redes no local, consulte o artigo Aceder através da conetividade híbrida.

Se nenhuma destas opções funcionar para o seu exemplo de utilização, o produtor do serviço pode oferecer outras formas de estabelecer ligação ao serviço que se adequem melhor, por exemplo, através do Private Service Connect. Para mais informações, consulte a documentação do serviço.

Aceder através do Network Connectivity Center

Para alguns serviços que estão disponíveis através do acesso a serviços privados, pode usar o Network Connectivity Center para tornar o serviço acessível a outros raios num hub através da criação de um raio de VPC de produtor. Para mais informações, incluindo que serviços são suportados, consulte os ramos da VPC do produtor.

Aceder através da VPC partilhada

Se estiver a usar a VPC partilhada, crie o intervalo de IP atribuído e a ligação privada no projeto anfitrião. Normalmente, um administrador de rede no projeto de anfitrião tem de realizar estas tarefas. Após a configuração do projeto de anfitrião, as instâncias de VM nos projetos de serviço podem usar a ligação privada.

Aceder através da conetividade híbrida

Em cenários de rede híbrida, uma rede no local está ligada a uma rede VPC através de uma ligação Cloud VPN ou Cloud Interconnect. Por predefinição, os anfitriões no local não podem aceder à rede do produtor de serviços através do acesso privado aos serviços.

Na rede VPC, pode ter rotas estáticas ou dinâmicas personalizadas para direcionar corretamente o tráfego para a sua rede no local. No entanto, a rede do produtor de serviços não contém essas mesmas rotas. Quando cria uma ligação privada, a rede VPC e a rede do produtor de serviços trocam apenas rotas de sub-rede.

A rede do produtor de serviços contém uma rota predefinida (0.0.0.0/0) que vai para a Internet. Se exportar uma rota predefinida para a rede do produtor do serviço, esta é ignorada porque a rota predefinida da rede do produtor do serviço tem precedência. Em alternativa, defina e exporte um trajeto personalizado com um destino mais específico.

Para mais informações, consulte o artigo Configure a conetividade híbrida.

Rede de produtores de serviços

Do lado do produtor de serviços da ligação privada, encontra-se uma rede VPC, onde os recursos do seu serviço são aprovisionados. A rede do produtor do serviço é criada exclusivamente para si e contém apenas os seus recursos.

Um recurso na rede do produtor de serviços é semelhante a outros recursos na sua rede VPC. Por exemplo, é acessível através de endereços IP internos por outros recursos na sua rede VPC. Também pode criar regras de firewall na sua rede VPC para controlar o acesso à rede do produtor do serviço.

Para mais informações sobre o lado do produtor de serviços, consulte o artigo Ative o acesso a serviços privados na documentação da infraestrutura de serviços. Esta documentação destina-se apenas a sua informação e não é necessária para ativar nem usar o acesso aos serviços privados.

Preços

Para ver os preços do acesso a serviços privados, consulte a secção Acesso a serviços privados na página de preços da VPC.

Limitações

As seguintes limitações aplicam-se ao acesso a serviços privados:

• Uma vez que uma ligação privada é implementada como uma ligação de interligação de redes VPC, os comportamentos e as restrições das ligações de interligação também se aplicam às ligações privadas. Por exemplo, uma vez que o intercâmbio das redes da VPC não é transitivo, não está disponível uma ligação privada para as redes da VPC em intercâmbio.

  Para mais informações, consulte os artigos Intercâmbio da rede da VPC, Limitações do intercâmbio da rede da VPC e Quotas e limites.

• Apenas uma rede VPC de consumidor de serviços pode criar uma ligação privada que se ligue a uma determinada instância de serviço gerido. No entanto, existem formas de disponibilizar a ligação privada a recursos que estão fora dessa rede da VPC. Para mais informações, consulte o artigo Acessibilidade das instâncias de serviço.

• Não pode alterar o intervalo de endereços IP associado a um intervalo atribuído. No entanto, pode modificar os intervalos atribuídos associados a uma ligação privada.

• A utilização de intervalos de endereços IPv6 com acesso a serviços privados não é suportada.

O que se segue?

• Para atribuir intervalos de endereços IP, criar ligações privadas ou partilhar zonas DNS privadas, consulte o artigo Configure o acesso a serviços privados.