Accès aux services privés

Cette page présente l'accès aux services privés.

Google et des tiers (appelés collectivement des producteurs de services) peuvent proposer des services hébergés sur un VPC, c'est-à-dire des services qui s'exécutent sur des VM hébergées dans un réseau VPC. L'accès aux services privés vous permet d'accéder à ces services en créant une connexion privée entre votre réseau VPC et le réseau VPC du producteur de services. La connexion privée établit une connexion d'appairage de réseaux VPC entre votre réseau et celui du producteur de services.

Le trafic d'accès aux services privés transite en interne dans le réseau de Google, et non par Internet. Les instances de votre réseau VPC peuvent accéder au service à l'aide de leurs adresses IPv4 internes. Vos instances peuvent avoir des adresses IP externes, mais celles-ci ne sont pas obligatoires pour l'accès aux services privés et ne sont pas utilisées dans ce cadre.

Services compatibles

Les services Google hébergés sur VPC suivants sont compatibles avec l'accès aux services privés :

• AI Platform Training
• AlloyDB pour PostgreSQL
• Apigee
• Service de sauvegarde et de reprise après sinistre
• Cloud Build
• Cloud Intrusion Detection System
• Cloud SQL (non compatible avec l'appairage DNS)
• Cloud TPU
• Converge Enterprise Cloud avec IBM Power pour Google Cloud
• Filestore
• Google Cloud Managed Lustre
• Google Cloud VMware Engine
• Looker (Google Cloud Core)
• Memorystore pour Memcached
• Memorystore pour Redis
• Vertex AI

Accès aux services privés et appairage de réseaux VPC

Dans une connexion privée, le réseau du producteur de services et votre réseau sont connectés via l'appairage de réseaux VPC. Pour que le routage entre les deux réseaux fonctionne correctement, ils doivent utiliser des plages d'adresses IP distinctes. Pour éviter les chevauchements, vous créez une ou plusieurs plages allouées dans votre réseau à utiliser avec la connexion privée.

Lorsque vous allouez une plage dans votre réseau VPC, elle ne peut pas être utilisée pour d'autres ressources, telles que des sous-réseaux ou des destinations de routes statiques personnalisées.

Pour savoir comment choisir une plage allouée, consultez Choisir une plage d'adresses IP pour la plage allouée.

Workflow d'accès aux services privés

Lorsque vous utilisez l'accès aux services privés, les ressources sont déployées à la fois dans votre réseau VPC et dans celui du producteur de services. Voici les étapes à suivre :

1. En tant que client de service, vous déployez une instance de service avec l'accès aux services privés. Les détails peuvent varier selon le service que vous déployez. Les étapes suivantes peuvent être effectuées par vous ou être automatisées par le producteur de services lors du déploiement de l'instance de service :

   1. Vous allouez une plage d'adresses IP dans votre réseau VPC. Cette plage allouée est réservée exclusivement au producteur de services.

   2. Vous créez une connexion privée au producteur de services, en spécifiant la plage allouée que vous avez créée.

   3. Vous provisionnez une instance de service (par exemple, une instance Cloud SQL) en faisant référence à la connexion privée que vous avez créée.

2. Le producteur de services provisionne des ressources pour votre instance de service.

   1. Le producteur de services crée un projet pour votre instance de service. Le projet est isolé, ce qui signifie qu'il n'est partagé avec aucun autre client, et le client de service n'est facturé qu'à hauteur des ressources qu'il provisionne.

   2. Dans ce projet, le producteur de services crée un réseau VPC qui vous est dédié.

   3. Dans ce réseau, le producteur de services crée un sous-réseau. La plage d'adresses IP de ce sous-réseau est sélectionnée à partir de la plage allouée que vous avez fournie. Le producteur de services choisit généralement un bloc CIDR compris entre /29 et /24. Vous ne pouvez ni sélectionner, ni modifier la plage d'adresses IP du sous-réseau du producteur de services.

   4. Une adresse IP du nouveau sous-réseau est attribuée à l'instance de service.

3. La connexion privée devient active.

   1. La connexion d'appairage de réseaux VPC est établie.

   2. Votre réseau VPC importe les routes du réseau du producteur de services.

   3. Les VM de votre réseau peuvent communiquer avec l'instance de service à l'aide de son adresse IP interne. Le trafic transite entièrement dans le réseau de Google et non par Internet.

Une fois le déploiement initial créé, vous pouvez effectuer les actions suivantes :

• Provisionnement de ressources supplémentaires : lorsque vous provisionnez des ressources supplémentaires pour le même service, le producteur de services les place dans les sous-réseaux existants s'il y a de l'espace. Si un sous-réseau est saturé, un nouveau sous-réseau est créé dans cette région à partir de la plage allouée.

• Suppression de ressources : un sous-réseau du réseau du producteur de services n'est supprimé que lorsque vous supprimez toutes les ressources de service qu'il contient. Pour en savoir plus sur la suppression de ressources, consultez la documentation du producteur de services concerné.

Exemple

Le schéma suivant montre comment utiliser une connexion privée pour accéder aux instances de service.

Dans cet exemple, le réseau VPC du consommateur de services a alloué la plage d'adresses 10.240.0.0/16 aux services Google et a établi une connexion privée utilisant cette plage.

• La connexion privée se voit attribuer la plage 10.240.0.0/16.

• Google crée un projet et un réseau VPC pour les ressources du consommateur de services. Les réseaux VPC sont connectés à l'aide de l'appairage de réseaux VPC.

• Le producteur de services crée un sous-réseau qui utilise la plage d'adresses IP 10.240.0.0/24.

• L'instance Cloud SQL se voit attribuer l'adresse IP 10.240.0.2.

• Une fois le sous-réseau créé, le réseau consommateur de services importe les routes depuis le réseau de services.

• Dans le réseau VPC consommateur de services, les requêtes dont la destination est 10.240.0.2 sont acheminées vers la connexion privée via le réseau du producteur de services.

• Le client de services déploie une instance de service pour un autre service Google dans europe-west1. Comme Google est le producteur de services, vous pouvez utiliser le même projet et le même réseau. Toutefois, comme l'instance se trouve dans une autre région, un nouveau sous-réseau est nécessaire. Google crée un sous-réseau qui utilise la plage d'adresses IP 10.240.10.0/24 et attribue l'adresse IP 10.240.10.2 à l'instance de service.

Accessibilité des instances de service

Un seul réseau VPC consommateur de service peut créer une connexion privée à une instance de service géré donnée. Toutefois, il existe des moyens de rendre la connexion privée disponible pour les ressources qui se trouvent en dehors de ce réseau VPC :

• Pour rendre les instances de service disponibles à partir d'autres réseaux VPC, envisagez les options suivantes :
  • Accéder à l'outil via Network Connectivity Center
  • Accéder à l'instance via un VPC partagé
• Pour rendre les instances de service disponibles à partir de réseaux connectés, tels que les réseaux sur site, consultez Accéder via la connectivité hybride.

Si aucune de ces options ne convient à votre cas d'utilisation, le producteur de services peut proposer d'autres moyens de se connecter au service qui sont mieux adaptés, par exemple via Private Service Connect. Pour en savoir plus, consultez la documentation du service.

Accéder à la page via Network Connectivity Center

Pour certains services disponibles via l'accès aux services privés, vous pouvez utiliser Network Connectivity Center pour rendre le service accessible par d'autres spokes d'un hub en créant un spoke VPC de producteur. Pour en savoir plus, y compris sur les services compatibles, consultez Spokes VPC du producteur.

Accéder à l'instance via un VPC partagé

Si vous utilisez un VPC partagé, créez la plage d'adresses IP allouée et la connexion privée dans le projet hôte. En règle générale, un administrateur réseau du projet hôte doit effectuer ces tâches. Une fois le projet hôte configuré, les instances de VM dans les projets de service peuvent utiliser la connexion privée.

Accéder à la connectivité hybride

Dans les scénarios de mise en réseau hybride, un réseau sur site est connecté à un réseau VPC via une connexion Cloud VPN ou Cloud Interconnect. Par défaut, les hôtes sur site ne peuvent pas atteindre le réseau du producteur de services en utilisant l'accès aux services privés.

Dans le réseau VPC, vous pouvez disposer de routes statiques ou dynamiques personnalisées pour diriger correctement le trafic vers votre réseau sur site. Cependant, le réseau du producteur de services ne contient pas ces mêmes routes. Lorsque vous créez une connexion privée, le réseau VPC et le réseau du producteur de services n'échangent que des routes de sous-réseau.

Le réseau du producteur de services contient une route par défaut (0.0.0.0/0) qui passe par Internet. Si vous exportez une route par défaut vers le réseau du producteur de services, celle-ci est ignorée car la route par défaut du réseau de producteur de services est prioritaire. Définissez et exportez plutôt une route personnalisée avec une destination plus spécifique.

Pour en savoir plus, consultez Configurer la connectivité hybride.

Réseau de producteurs de services

Du côté du producteur de services de la connexion privée, il y a un réseau VPC où vos ressources de service sont provisionnées. Le réseau du producteur de services est créé exclusivement pour vous et ne contient que vos ressources.

Une ressource sur le réseau du producteur de services est semblable aux autres ressources de votre réseau VPC. Par exemple, elle est accessible via des adresses IP internes par d'autres ressources de votre réseau VPC. Vous pouvez également créer des règles de pare-feu dans votre réseau VPC afin de contrôler l'accès au réseau du producteur de services.

Pour en savoir plus sur les accès côté producteur de services, consultez la section Activer l'accès aux services privés dans la documentation de Service Infrastructure. Cette documentation est fournie à titre de référence seulement, et n'est pas nécessaire pour activer ou utiliser l'accès aux services privés.

Tarifs

Pour connaître les tarifs d'accès aux services privés, consultez la section Accès aux services privés sur la page des tarifs du VPC.

Limites

Les limites suivantes s'appliquent à l'accès aux services privés :

• Comme une connexion privée est implémentée en tant que connexion d'appairage de réseaux VPC, les comportements et les contraintes des connexions d'appairage s'appliquent également aux connexions privées. Par exemple, l'appairage de réseaux VPC n'étant pas transitif, une connexion privée n'est pas disponible pour les réseaux VPC appairés.

  Pour en savoir plus, consultez Appairage de réseaux VPC, Limites de l'appairage de réseaux VPC et Quotas et limites.

• Un seul réseau VPC consommateur de services peut créer une connexion privée à une instance de service gérée donnée. Toutefois, il existe des moyens de rendre la connexion privée disponible pour les ressources qui se trouvent en dehors de ce réseau VPC. Pour en savoir plus, consultez Accessibilité des instances de service.

• Vous ne pouvez pas modifier la plage d'adresses IP associée à une plage attribuée. Toutefois, vous pouvez modifier les plages allouées associées à une connexion privée.

• L'utilisation de plages d'adresses IPv6 avec l'accès aux services privés n'est pas disponible.

Étapes suivantes

• Pour allouer des plages d'adresses IP, créer des connexions privées ou partager des zones DNS privées, consultez la page Configurer l'accès aux services privés.