Configurazione dell'accesso privato ai servizi

L'accesso privato ai servizi è una connessione privata tra la tua rete VPC e una rete di proprietà di Google o di terze parti. Google o la terza parte, le entità che offrono servizi, sono anche noti come produttori di servizi. La connessione privata consente alle istanze VM nella rete VPC e ai servizi a cui accedi di comunicare esclusivamente mediante indirizzi IP interni. Le istanze VM non hanno bisogno dell'accesso a internet o di indirizzi IP esterni per raggiungere i servizi disponibili tramite l'accesso privato ai servizi.

Per utilizzare l'accesso ai servizi privati:

• Crea un intervallo allocato.

  Un intervallo allocato riserva un intervallo di indirizzi IP per l'utilizzo da parte del producer, evitando sovrapposizioni di indirizzi IP tra le reti del consumer di servizi e del producer di servizi.

• Crea una connessione privata.

  La connessione privata utilizza il peering di rete VPC per stabilire la connettività tra le reti del consumer di servizi e del producer di servizi.

Per informazioni su altre opzioni di accesso privato, consulta Opzioni di accesso privato per i servizi.

Prima di iniziare

Per stabilire una connessione privata, completa i seguenti prerequisiti:

• Leggi la panoramica sull'accesso privato ai servizi, inclusi i servizi supportati, la raggiungibilità delle istanze di servizio e le limitazioni.
• Crea un Google Cloud progetto o scegli uno esistente. Per scoprire come creare un progetto Google Cloud , consulta la pagina Creare e gestire progetti.
• Abilita l'API Service Networking nel tuo progetto. L'API è necessaria per creare una connessione privata.
• Crea o scegli una rete VPC da utilizzare per connetterti alla rete del producer di servizi. Le istanze VM devono utilizzare questa rete VPC per connettersi ai servizi tramite una connessione privata.
• Installa Google Cloud CLI se vuoi eseguire gli esempi di riga di comando di gcloud CLI in questa guida.

Autorizzazioni

I proprietari del progetto e i membri IAM con il ruolo Amministratore rete Compute (roles/compute.networkAdmin) possono creare intervalli di indirizzi IP allocati e gestire le connessioni private.

Per saperne di più sui ruoli Compute Engine, consulta Ruoli e autorizzazioni IAM di Compute Engine.

Scegli un intervallo di indirizzi IP per l'intervallo allocato

La creazione di un intervallo allocato riserva un intervallo di indirizzi IP per l'utilizzo da parte del produttore del servizio. Quando scegli un intervallo per la tua allocazione, tieni presente quanto segue:

• Consulta la documentazione del producer di servizi per verificare se ha requisiti o consigli per le dimensioni dell'intervallo allocato.

  Per i servizi Google, la dimensione minima è un singolo blocco /24, ma la dimensione consigliata è un blocco /16.

• Seleziona un intervallo allocato completamente separato dagli intervalli di subnet attuali e futuri, inclusi gli intervalli di subnet delle reti connesse tramite il peering di rete VPC e gli intervalli di subnet dei raggi VPC connessi allo stesso hub Network Connectivity Center.

• Seleziona un intervallo che non corrisponda esattamente o non contenga le destinazioni di nessun percorso statico o dinamico personalizzato.

  Quando un producer di servizi seleziona una parte inutilizzata di un intervallo allocato da utilizzare come candidato per nuove risorse, esclude tutte le destinazioni di route personalizzate che corrispondono esattamente all'intervallo allocato o che rientrano al suo interno. Quando una rete VPC contiene un intervallo allocato e route personalizzate con destinazioni che corrispondono o rientrano nell'intervallo allocato, la parte utilizzabile dell'intervallo allocato viene ridotta. Questa configurazione può causare errori imprevisti di allocazione esaurita.

  Ad esempio, se crei un intervallo allocato per 10.0.0.0/16, si applica quanto segue:

  • Se esiste o viene creata in un secondo momento una route personalizzata con una destinazione per 10.0.0.0/16, l'intero intervallo 10.0.0.0/16 viene considerato non disponibile. Se un producer di servizi tenta di utilizzare l'intervallo allocato, Google Cloud restituisce un errore di allocazione esaurita.

  • Se esiste o viene creata in un secondo momento una route personalizzata con una destinazione per 10.0.0.0/20, la porzione 10.0.0.0/20 dell'intervallo allocato 10.0.0.0/16 è considerata non disponibile. Se un producer di servizi tenta di utilizzare l'intervallo allocato e la parte disponibile dell'intervallo allocato non è sufficiente per un producer di servizi, Google Cloud viene restituito un errore di esaurimento dell'allocazione.

  • Se esiste o viene creata in un secondo momento una route personalizzata con una destinazione per 10.0.0.0/8, ciò non influisce sulla disponibilità dell'intervallo allocato 10.0.0.0/16.

• Seleziona un intervallo che non sia in conflitto con le altre esigenze di indirizzi IP:

  • Alcuni prodotti Google e di terze parti utilizzano 172.17.0.0/16 per il routing all'interno del sistema operativo guest. Ad esempio, la rete bridge Docker predefinita utilizza questo intervallo. Se utilizzi un prodotto che utilizza 172.17.0.0/16, non utilizzare 172.17.0.0/16 in un intervallo allocato per l'accesso ai servizi privati.
  • Se utilizzi una rete VPC in modalità automatica, non puoi creare un intervallo allocato che corrisponda o si sovrapponga a 10.128.0.0/9. Google utilizza l'intervallo 10.128.0.0/9 per le subnet create automaticamente, incluse quelle nelle regioni future.

• Seleziona un blocco CIDR sufficientemente grande da soddisfare le tue esigenze attuali e future.

  Se in un secondo momento scopri che l'intervallo non è sufficiente, espandi l'intervallo, se possibile. Sebbene tu possa assegnare più allocazioni a un singolo producer di servizi, Google applica una quota al numero di intervalli di indirizzi IP che puoi allocare, ma non alle dimensioni (netmask) di ogni intervallo.

Creare un intervallo allocato

I passaggi seguenti descrivono come creare un intervallo di indirizzi IP allocato.

Quando un servizio Google alloca un intervallo per tuo conto, utilizza il seguente formato per denominare l'allocazione: google-managed-services-CONSUMER_NETWORK_NAME. Se questa allocazione esiste, i servizi Google utilizzano quella esistente anziché crearne un'altra. Puoi utilizzare la stessa convenzione di denominazione utilizzata da Google per segnalare ad altri utenti o servizi Google che esiste già un'allocazione per Google.

resource "google_compute_global_address" "private_ip_address" {
  name          = "private-ip-address"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 16
  network       = google_compute_network.peering_network.id
}

Se visualizzi un errore relativo all'autorizzazione compute.globalAddresses.list per il progetto, consulta Autorizzazioni del service account.

Elenca gli intervalli di indirizzi IP allocati

Per elencare gli intervalli di indirizzi IP allocati, utilizza il comando gcloud compute addresses list.

gcloud compute addresses list --global --filter="purpose=VPC_PEERING"

Crea una connessione privata

Dopo aver creato un intervallo allocato, puoi creare una connessione privata a un producer di servizi. La connessione privata stabilisce una connessione di peering di rete VPC tra la tua rete VPC e la rete del producer di servizi.

Tieni presente quanto segue quando crei una connessione privata:

• Se un singolo producer di servizi offre più servizi, ti serve una sola connessione privata per tutti i servizi del producer.
• Se un singolo producer di servizi offre più servizi e vuoi controllare quali intervalli allocati vengono utilizzati per risorse di servizi diversi, puoi utilizzare più reti VPC, ognuna con le proprie connessioni private. Questa configurazione ti consente di selezionare una rete specifica quando crei una nuova risorsa di servizio gestito per assicurarti che gli intervalli allocati associati vengano utilizzati per la nuova risorsa.

• Non riutilizzare lo stesso intervallo allocato per più produttori di servizi. Se ti connetti a più producer di servizi, utilizza un intervallo allocato univoco per ciascun producer di servizi. L'utilizzo di intervalli allocati diversi evita la sovrapposizione degli indirizzi IP e ti aiuta a gestire le impostazioni di rete, come route e regole firewall, per ogni producer di servizi.

resource "google_service_networking_connection" "default" {
  network                 = google_compute_network.peering_network.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.private_ip_address.name]
}

Elenca le connessioni private

Dopo aver creato una connessione privata, puoi elencarla per verificare che esista. L'elenco mostra anche l'elenco degli intervalli allocati associati a ciascuna connessione. Ad esempio, se non ricordi quale intervallo allocato hai assegnato a una connessione, visualizza l'elenco per scoprirlo.

gcloud services vpc-peerings list \
    --network=VPC_NETWORK

Modifica una connessione privata

Non puoi modificare un intervallo allocato, ma puoi aggiornare una connessione privata per aggiungere o rimuovere intervalli allocati senza interrompere il traffico.

• Aggiungi intervalli: man mano che aumenti le dimensioni, potresti aggiungere o sostituire un intervallo allocato se stai per esaurire quello esistente. Se aggiungi un altro intervallo allocato a una connessione privata, il producer di servizi avrà a disposizione più indirizzi IP quando crea nuove risorse di servizio per qualsiasi servizio che fornisce. Non puoi riservare un intervallo allocato specifico all'interno di una connessione privata per l'utilizzo da parte di un servizio specifico.

  Per saperne di più sull'aggiunta o la sostituzione di intervalli, vedi Esaurimento dell'intervallo di indirizzi IP.

• Rimuovi intervalli: quando rimuovi un intervallo da una connessione privata, si applica quanto segue:

  • L'intervallo allocato non è più associato alla connessione privata, ma non viene eliminato.

    • Se un intervallo rimosso non è più in uso, puoi eliminare l'allocazione.

  • Le risorse del producer di servizi esistenti potrebbero continuare a utilizzare l'intervallo rimosso.

  • L'accesso privato ai servizi non utilizza gli intervalli rimossi per allocare nuove subnet.

gcloud services vpc-peerings update \
    --service=servicenetworking.googleapis.com \
    --ranges=RESERVED_RANGE_NAME \
    --network=VPC_NETWORK \
    [--force]

Eliminare un intervallo di indirizzi IP allocato

Prima di eliminare un intervallo di indirizzi IP allocato, controlla se l'intervallo è in uso da una connessione privata.

Se l'intervallo di indirizzi IP allocato è in uso, prima modifica la connessione privata per rimuovere l'intervallo. Poi elimina l'intervallo di indirizzi IP allocato.

Se elimini un indirizzo IP allocato in uso e non modifichi la connessione privata, si verifica quanto segue:

• Le connessioni esistenti rimangono attive, ma non c'è nulla che impedisca alla tua rete VPC di utilizzare indirizzi IP che si sovrappongono a quelli della rete del producer di servizi.

• Se elimini l'unico intervallo di indirizzi IP allocato associato a una connessione privata, il servizio non può creare nuove subnet perché non è presente alcun intervallo di indirizzi IP allocato da cui scegliere.

• Se in un secondo momento crei un intervallo di indirizzi IP allocato che corrisponde o si sovrappone all'intervallo eliminato, l'aggiunta dell'intervallo a una connessione privata non va a buon fine.

Per evitare questi problemi, modifica sempre le connessioni private quando elimini un intervallo di indirizzi IP allocato in uso.

gcloud compute addresses delete NAME \
    --global

Elimina una connessione privata

Per eliminare una connessione privata, completa la procedura descritta in questa sezione. Non tentare di eliminare una connessione privata eliminando direttamente la connessione di peering di rete VPC associata.

Prima di eliminare una connessione privata, devi eliminare tutte le istanze di servizio a cui accedi tramite la connessione.

• Il comportamento di eliminazione dell'istanza di servizio può variare in base al servizio. Le risorse del servizio potrebbero essere eliminate immediatamente o dopo un periodo di attesa. Se è previsto un periodo di attesa, non puoi eliminare la connessione privata finché non è trascorso il periodo di attesa e le risorse del produttore di servizi non sono state eliminate.

  Ad esempio, se elimini un'istanza Cloud SQL, ricevi una risposta di esito positivo, ma il servizio attende quattro giorni prima di eliminare le risorse del produttore del servizio. Il periodo di attesa significa che se cambi idea sull'eliminazione del servizio, puoi richiedere il ripristino delle risorse. Se provi a eliminare la connessione durante il periodo di attesa, l'eliminazione non va a buon fine e viene visualizzato un messaggio che indica che le risorse sono ancora in uso dal produttore del servizio.

• Non puoi eliminare una connessione privata in uso da uno spoke VPC producer. Per eliminare la connessione, elimina prima lo spoke VPC del producer.

gcloud services vpc-peerings delete \
    --service=servicenetworking.googleapis.com \
    --network=VPC_NETWORK

Condividere zone DNS private con i produttori di servizi

Le zone private di Cloud DNS sono private per la tua rete VPC. Se vuoi consentire a una rete di producer di servizi di risolvere i nomi dalla tua zona privata, puoi configurare il peering DNS tra le due reti.

Quando configuri il peering DNS, fornisci una rete VPC e un suffisso DNS. Se il producer di servizi deve risolvere un indirizzo con questo suffisso DNS, inoltra le query alla tua rete VPC per la risoluzione.

Questi servizi supportati supportano il peering DNS, ad eccezione di Cloud SQL.

Se vuoi abilitare il peering DNS, devi abilitare l'API Cloud DNS nel tuo progetto.

Peering DNS con un producer di servizi

gcloud services peered-dns-domains create PEERING_NAME \
    --network=VPC_NETWORK \
    --dns-suffix=DNS_SUFFIX

## Uncomment this block after adding a valid DNS suffix

# resource "google_service_networking_peered_dns_domain" "default" {
#   name       = "example-com"
#   network    = google_compute_network.peering_network.name
#   dns_suffix = "example.com."
#   service    = "servicenetworking.googleapis.com"
# }

Elenca le configurazioni di peering DNS

gcloud services peered-dns-domains list \
    --network=VPC_NETWORK

Eliminare una configurazione di peering DNS

gcloud services peered-dns-domains delete PEERING_NAME \
    --network=VPC_NETWORK

Configura la connettività ibrida

Per impostazione predefinita, la rete del producer di servizi apprende solo le route di subnet dalla tua rete VPC. Pertanto, qualsiasi richiesta che non provenga da un intervallo IP di subnet viene eliminata dal producer di servizi.

Per configurare la connettività tra gli host on-premise e la rete del producer di servizi:

• Nella tua rete VPC, aggiorna la connessione di peering per esportare le route personalizzate nella rete del producer di servizi. L'esportazione delle route invia tutte le route statiche e dinamiche idonee che si trovano nella tua rete VPC, ad esempio le route alla tua rete on-premise, alla rete del producer di servizi. La rete del producer di servizi li importa automaticamente e poi può inviare il traffico alla tua rete on-premise tramite la rete VPC.

• Assicurati che i prefissi che includono gli intervalli IP allocati per l'accesso ai servizi privati vengano pubblicizzati correttamente nella tua rete on-premise. Per capire come puoi annunciare prefissi IPv4 personalizzati utilizzando router Cloud, consulta Route annunciate.

• Verifica che il collegamento VLAN o il tunnel Cloud VPN termini nella stessa rete VPC (o rete VPC condiviso) della connessione privata, perché il peering di rete VPC non fornisce il routing transitivo.

Risoluzione dei problemi

Le sezioni seguenti contengono informazioni per la risoluzione dei problemi relativi all'accesso ai servizi privati.

Quanto spazio di archiviazione viene utilizzato della mia allocazione?

Quando crei una connessione privata con un producer di servizi, allochi un intervallo di indirizzi IP da utilizzare. Se utilizzi più servizi di un produttore di servizi, ogni servizio riserva un blocco di indirizzi IP dall'intervallo allocato. Puoi controllare quali servizi utilizzano quali indirizzi IP in modo da poter, ad esempio, vedere quali servizi utilizzano grandi blocchi di indirizzi IP ed evitare l'esaurimento degli indirizzi IP.

Per visualizzare il rapporto di allocazione per gli intervalli allocati, utilizza Network Analyzer. Per ulteriori informazioni, vedi Riepilogo dell'utilizzo degli indirizzi IP per l'accesso privato ai servizi.

In alternativa, per visualizzare quale servizio utilizza un determinato intervallo di indirizzi IP:

1. Elenca le tue connessioni private.
2. Trova il nome della connessione di peering che ti connette al producer di servizi pertinente.
3. Elenca le route per la tua rete VPC.
4. Trova le route con un hop successivo che corrisponde al nome della connessione di peering. L'intervallo di destinazione delle route indica gli indirizzi IP utilizzati da ciascun servizio.

Esaurimento dell'intervallo di indirizzi IP

Per una determinata connessione privata, se esaurisci lo spazio di indirizzi IP allocato, Google Cloud viene restituito questo errore: Failed to create subnetwork. Couldn't find free blocks in allocated IP ranges.

Potresti visualizzare questo errore perché l'intervallo allocato non è sufficiente per il tuo utilizzo o perché una route statica o dinamica personalizzata impedisce l'utilizzo completo dell'intervallo allocato. Per ulteriori informazioni sulle considerazioni relative al routing, vedi Scegliere un intervallo di indirizzi IP per l'intervallo allocato.

Puoi espandere l'allocazione esistente o aggiungerne di nuove. L'allocazione espansa deve essere un intervallo di indirizzi IP contiguo che include l'intervallo esistente. Ti consigliamo di espandere un'allocazione perché non esiste un limite alle dimensioni di un'allocazione, ma esiste un limite al numero di allocazioni che puoi creare.

Per espandere un'assegnazione esistente:

1. Elenca le tue connessioni private e registra il nome dell'intervallo allocato che devi espandere.
2. Elimina l'intervallo allocato esistente che vuoi espandere.
3. Crea un nuovo intervallo allocato utilizzando lo stesso nome dell'intervallo eliminato. Specifica un intervallo di indirizzi IP che includa l'intervallo di indirizzi IP eliminato. In questo modo, le risorse in peering esistenti che utilizzano il vecchio intervallo allocato possono continuare a utilizzare gli stessi indirizzi IP senza entrare in conflitto con le risorse nella rete VPC. Ad esempio, se l'intervallo precedente allocato era 192.168.0.0/20, crea un nuovo intervallo allocato

Per aggiungere intervalli allocati a una connessione privata esistente:

1. Crea un nuovo intervallo allocato. Questo intervallo non deve essere contiguo agli intervalli allocati esistenti.
2. Aggiungi l'intervallo allocato alla connessione privata esistente.

Autorizzazioni service account

Se viene visualizzato un errore relativo all'autorizzazione compute.globalAddresses.list per un progetto durante la creazione di un intervallo allocato o se si verificano errori come Error 400: Precondition check failed durante la creazione, l'elenco o la modifica delle connessioni private, potrebbe trattarsi di un problema con i ruoli Identity and Access Management (IAM) per il service account dell'API Service Networking. Questo account di servizio viene creato automaticamente dopo l'abilitazione dell'API Service Networking. Potrebbe essere necessario del tempo prima che l'account venga sottoposto al provisioning e visualizzato nella pagina IAM.

gcloud projects add-iam-policy-binding HOST_PROJECT_NAME \
    --member=serviceAccount:service-HOST_PROJECT_NUMBER@service-networking.iam.gserviceaccount.com \
    --role=roles/servicenetworking.serviceAgent

La route subnet di peering persiste dopo l'aggiornamento dell'intervallo allocato

Dopo aver aggiornato l'intervallo di indirizzi IP allocato di una connessione di servizi privati, la vecchia route di subnet di peering potrebbe ancora essere visualizzata nella tabella di routing della tua rete VPC. L'itinerario persiste perché l'intervallo di indirizzi IP è ancora in uso.

Per risolvere il problema, segui questi passaggi:

• Assicurati che, se elimini un intervallo allocato, aggiorni anche la connessione privata.
• Elimina o aggiorna le risorse che utilizzano il vecchio intervallo di indirizzi IP.

La route di subnet di peering viene rimossa automaticamente dopo che l'intervallo di indirizzi IP non è più in uso. Potrebbe esserci un ritardo tra l'eliminazione della risorsa e l'eliminazione completa della risorsa da parte del producer di servizi. Ad esempio, se il vecchio intervallo di indirizzi IP viene utilizzato da un'istanza Cloud SQL, il producer di servizi potrebbe impiegare fino a quattro giorni per eliminare completamente l'istanza. La route della subnet di peering viene rimossa al termine dell'eliminazione.

Impossibile creare una nuova connessione privata

Se tenti di creare una nuova connessione privata dopo aver eliminato la connessione di peering di rete VPC associata a una connessione privata precedente, Google Cloud potrebbe restituire un errore. Per informazioni sulla risoluzione dei problemi, vedi i seguenti messaggi di errore.

Per evitare che si verifichi questo problema, segui la procedura per eliminare una connessione privata anziché eliminare direttamente la connessione di peering di rete VPC associata.

• Errore Impossibile modificare gli intervalli allocati:

  ERROR: Cannot modify allocated ranges in CreateConnection. Please use UpdateConnection. Existing allocated IP ranges: ALLOCATED_RANGE_NAMES.

  Se ricevi questo errore, procedi nel seguente modo:

  1. Ricrea la connessione privata che hai eliminato e utilizza i nomi degli intervalli allocati restituiti dall'errore. Quando ricrei la connessione, devi utilizzare gli stessi nomi degli intervalli allocati, ma gli intervalli di indirizzi IP (blocchi CIDR) corrispondenti possono essere uguali o diversi.

     Per creare la connessione privata, consulta Crea una connessione privata.

  2. Se necessario, modifica la connessione privata per aggiungere o rimuovere intervalli allocati. Potresti voler utilizzare intervalli allocati diversi da quelli specificati quando hai ricreato la connessione privata nel passaggio precedente.

     Per modificare la connessione privata, vedi Modificare una connessione privata.

• Errore interno temporaneo:

  ERROR: (gcloud.services.vpc-peerings.connect) The operation "operations/OPERATION_ID"
  resulted in a failure "encountered some transient internal error, please try again later"

  Se viene visualizzato questo errore, contatta l'assistenza cloud.