Accesso privato ai servizi

Questa pagina fornisce una panoramica dell'accesso privato ai servizi.

Google e terze parti (insieme noti come produttori di servizi) possono offrire servizi ospitati su VPC, ovvero servizi eseguiti su VM ospitate in una rete VPC. L'accesso privato ai servizi consente di raggiungere questi servizi creando una connessione privata tra la tua rete VPC e la rete VPC del producer di servizi. La connessione privata stabilisce una connessione in peering di rete VPC tra la tua rete e la rete del producer di servizi.

Il traffico di accesso ai servizi privati viene trasferito internamente all'interno della rete di Google, non tramite la rete internet pubblica. Le istanze nella tua rete VPC possono raggiungere il servizio utilizzando i relativi indirizzi IPv4 interni. Le tue istanze possono avere indirizzi IP esterni, ma questi non sono necessari per l'accesso privato ai servizi e non vengono utilizzati.

Servizi supportati

I seguenti servizi ospitati su Google VPC supportano l'accesso privato ai servizi:

• AI Platform Training
• AlloyDB per PostgreSQL
• Apigee
• Servizio di backup e DR
• Cloud Build
• Cloud Intrusion Detection System
• Cloud SQL (non supporta il peering DNS)
• Cloud TPU
• Converge Enterprise Cloud con IBM Power per Google Cloud
• Filestore
• Google Cloud Managed Lustre
• Google Cloud VMware Engine
• Looker (Google Cloud core)
• Memorystore for Memcached
• Memorystore for Redis
• Vertex AI

Accesso privato ai servizi e peering di rete VPC

In una connessione privata, la rete del producer di servizi e la tua rete sono connesse tramite il peering di rete VPC. Affinché il routing tra le due reti funzioni correttamente, le due reti devono utilizzare intervalli di indirizzi IP distinti. Per evitare sovrapposizioni, crea uno o più intervalli allocati nella tua rete da utilizzare con la connessione privata.

Quando allochi un intervallo nella tua rete VPC, questo non può essere utilizzato per altre risorse, come subnet o destinazioni di route statici personalizzati.

Per informazioni sulla scelta di un intervallo allocato, vedi Scegliere un intervallo di indirizzi IP per l'intervallo allocato.

Workflow di accesso privato ai servizi

Quando utilizzi l'accesso privato ai servizi, le risorse vengono implementate sia nella tua rete VPC sia in quella del producer di servizi. I seguenti passaggi descrivono la procedura:

1. In qualità di consumer di servizi, devi eseguire il deployment di un'istanza di servizio con accesso privato ai servizi. I dettagli possono variare a seconda del servizio che stai implementando. I seguenti passaggi potrebbero essere eseguiti da te o automatizzati dal producer di servizi nell'ambito del deployment dell'istanza di servizio:

   1. Alloca un intervallo di indirizzi IP nella rete VPC. Questo intervallo allocato è riservato esclusivamente al producer di servizi.

   2. Crea una connessione privata al producer di servizi, specificando l'intervallo allocato che hai creato.

   3. Esegui il provisioning di un'istanza di servizio, ad esempio un'istanza Cloud SQL, facendo riferimento alla connessione privata che hai creato.

2. Il producer di servizi esegue il provisioning delle risorse per l'istanza di servizio.

   1. Il producer di servizi crea un progetto per la tua istanza di servizio. Il progetto è isolato, il che significa che nessun altro cliente lo condivide e al consumer di servizi vengono addebitati solo i costi delle risorse che il consumer di servizi esegue il provisioning.

   2. All'interno di questo progetto, il producer di servizi crea una rete VPC dedicata.

   3. All'interno di questa rete, il producer di servizi crea una subnet. L'intervallo di indirizzi IP per questa subnet viene selezionato dall'intervallo allocato che hai fornito. Il producer di servizi in genere sceglie un blocco CIDR da /29 a /24. Non puoi selezionare o modificare l'intervallo di indirizzi IP della subnet del producer di servizi.

   4. All'istanza di servizio viene assegnato un indirizzo IP dalla nuova subnet.

3. La connessione privata diventa attiva.

   1. La connessione di peering di rete VPC è stabilita.

   2. La tua rete VPC importa le route dalla rete del producer di servizi.

   3. Le VM nella tua rete possono comunicare con l'istanza del servizio utilizzando il suo indirizzo IP interno. Il traffico viene trasferito interamente all'interno della rete di Google e non tramite la rete internet pubblica.

Dopo aver creato il deployment iniziale, puoi eseguire le seguenti azioni:

• Provisioning di altre risorse: quando esegui il provisioning di risorse aggiuntive per lo stesso servizio, il producer di servizi le inserisce nelle subnet esistenti se c'è spazio. Se una subnet è piena, viene creata una nuova subnet in quella regione dall'intervallo allocato.

• Eliminazione delle risorse: una subnet nella rete del producer di servizi viene eliminata solo quando elimini tutte le risorse di servizio al suo interno. Per informazioni sull'eliminazione delle risorse, consulta la documentazione deproducer di serviziio pertinente.

Esempio

Il seguente diagramma mostra l'utilizzo di una connessione privata per accedere alle istanze di servizio.

In questo esempio, la rete VPC consumer di servizi ha allocato l'intervallo di indirizzi 10.240.0.0/16 per i servizi Google e ha stabilito una connessione privata che utilizza l'intervallo allocato.

• Alla connessione privata viene assegnato l'intervallo allocato 10.240.0.0/16.

• Google crea un progetto e una rete VPC per le risorse del consumer di servizi. Le reti VPC sono connesse tramite il peering di rete VPC.

• Il producer di servizi crea una subnet che utilizza l'intervallo di indirizzi IP 10.240.0.0/24.

• All'istanza Cloud SQL viene assegnato l'indirizzo IP 10.240.0.2.

• Dopo la creazione della subnet, la rete consumer di servizi importa le route dalla rete di servizi.

• Nella rete VPC consumer di servizi, le richieste con destinazione 10.240.0.2 vengono indirizzate alla connessione privata alla rete del producer di servizi.

• Il consumer di servizi esegue il deployment di un'istanza di servizio per un altro servizio Google in europe-west1. Poiché Google è il producer di servizi, è possibile utilizzare lo stesso progetto e la stessa rete. Tuttavia, poiché l'istanza si trova in una regione diversa, è necessaria una nuova subnet. Google crea una nuova subnet che utilizza l'intervallo di indirizzi IP 10.240.10.0/24 e assegna all'istanza di servizio l'indirizzo IP 10.240.10.2.

Raggiungibilità delle istanze di servizio

Solo una rete VPC consumer di servizi può creare una connessione privata a una determinata istanza di servizio gestito. Tuttavia, esistono modi per rendere disponibile la connessione privata alle risorse esterne alla rete VPC:

• Per rendere disponibili le istanze di servizio da altre reti VPC, valuta le seguenti opzioni:
  • Accesso tramite Network Connectivity Center.
  • Accesso tramite VPC condiviso.
• Per rendere disponibili le istanze di servizio dalle reti connesse, ad esempio le reti on-premise, consulta Accesso tramite connettività ibrida.

Se nessuna di queste opzioni funziona per il tuo caso d'uso, il producer di servizi potrebbe offrire altri modi per connettersi al servizio più adatti, ad esempio tramite Private Service Connect. Per saperne di più, consulta la documentazione del servizio.

Accesso tramite Network Connectivity Center

Per alcuni servizi disponibili tramite l'accesso privato ai servizi, puoi utilizzare Network Connectivity Center per rendere il servizio raggiungibile da altri spoke di un hub creando uno spoke VPC del producer. Per saperne di più, inclusi i servizi supportati, consulta la sezione Spoke VPC del producer.

Accesso tramite VPC condiviso

Se utilizzi il VPC condiviso, crea l'intervallo IP allocato e la connessione privata nel progetto host. In genere, queste attività devono essere eseguite da un amministratore di rete nel progetto host. Una volta configurato il progetto host, le istanze VM nei progetti di servizio possono utilizzare la connessione privata.

Accesso tramite connettività ibrida

Negli scenari di networking ibrido, una rete on-premise è connessa a una rete VPC tramite una connessione Cloud VPN o Cloud Interconnect. Per impostazione predefinita, gli host on-premise non possono raggiungere la rete del producer di servizi utilizzando l'accesso privato ai servizi.

Nella rete VPC, potresti avere route statiche o dinamiche personalizzate per indirizzare correttamente il traffico alla tua rete on-premise. Tuttavia, la rete del producer di servizi non contiene le stesse route. Quando crei una connessione privata, la rete VPC e la rete del producer di servizi scambiano solo le route di subnet.

La rete del producer di servizi contiene una route predefinita (0.0.0.0/0) che va a internet. Se esporti una route predefinita nella rete del producer di servizi, viene ignorata perché la route predefinita della rete del producer di servizi ha la precedenza. Definisci ed esporta invece una route personalizzata con una destinazione più specifica.

Per saperne di più, consulta Configurare la connettività ibrida.

Rete del producer di servizi

Sul lato della connessione privata del producer di servizi si trova una rete VPC, in cui vengono sottoposte a provisioning le risorse del servizio. La rete del producer di servizi è creata esclusivamente per te e contiene solo le tue risorse.

Una risorsa nella rete producer di servizi è simile ad altre risorse nella tua rete VPC. Ad esempio, è raggiungibile tramite indirizzi IP interni da altre risorse nella tua rete VPC. Puoi anche creare regole firewall nella tua rete VPC per controllare l'accesso alla rete del producer di servizi.

Per ulteriori informazioni sul lato del producer di servizi, consulta Attivare l'accesso privato ai servizi nella documentazione Service Infrastructure. Questa documentazione è solo a scopo informativo e non è necessaria per attivare o utilizzare l'accesso ai servizi privati.

Prezzi

Per i prezzi dell'accesso privato ai servizi, consulta la sezione Accesso privato ai servizi nella pagina dei prezzi di VPC.

Limitazioni

All'accesso privato ai servizi si applicano le seguenti limitazioni:

• Poiché una connessione privata viene implementata come connessione peering di rete VPC, anche i comportamenti e i vincoli delle connessioni peering si applicano alle connessioni private. Ad esempio, poiché il peering di rete VPC non è transitivo, una connessione privata non è disponibile per le reti VPC in peering.

  Per ulteriori informazioni, consulta Peering di rete VPC, Limitazioni del peering di rete VPC e Quote e limiti.

• Solo una rete VPC consumer di servizi può creare una connessione privata che si connette a una determinata istanza di servizio gestito. Tuttavia, esistono modi per rendere disponibile la connessione privata alle risorse esterne alla rete VPC. Per saperne di più, consulta Raggiungibilità delle istanze di servizio.

• Non puoi modificare l'intervallo di indirizzi IP associato a un intervallo allocato. Tuttavia, puoi modificare gli intervalli allocati associati a una connessione privata.

• L'utilizzo di intervalli di indirizzi IPv6 con l'accesso al servizio privato non è supportato.

Passaggi successivi

• Per allocare intervalli di indirizzi IP, creare connessioni private o condividere zone DNS private, consulta Configurare l'accesso ai servizi privati.