Descripción general de los extremos de API regionales y multirregionales

Google Cloud recomienda usar extremos regionales o multirregionales en las siguientes situaciones:

• Los datos en tránsito deben permanecer dentro de una región o jurisdicción específica.
• Necesitas pruebas del tratamiento de datos regionales para fines de cumplimiento o auditoría.
• Necesitas dominios de falla aislados regionalmente para acceder a los servicios de Google Cloud.

Los extremos regionales y multirregionales ofrecen la mayor cantidad de beneficios a los clientes que requieren el uso de servicios específicos para la ubicación. Estos extremos también garantizan que los datos en tránsito permanezcan en una ubicación específica. Esta localidad de los datos se mantiene independientemente de si se accede a los datos a través de conectividad privada o de Internet pública.

Los extremos regionales y multirregionales son diferentes del Acceso privado a Google. El Acceso privado a Google permite que las VMs en subredes privadas accedan a las APIs de Google sin atravesar Internet. Los extremos regionales proporcionan un aislamiento regional y una residencia de datos más estrictos, ya que toda la ruta de acceso de la solicitud y el frontend del servicio están regionalizados.

Extremos regionales

Los extremos de API regionales proporcionan acceso a los servicios de Google Cloud a través de un extremo de API que se limita a una sola región de Google Cloud . El tráfico que se envía a un extremo regional se procesa y finaliza con TLS dentro de la región especificada.

Para la mayoría de los servicios de Google Cloud , puedes usar extremos regionales para trabajar con recursos regionales dentro de la región especificada. Por lo general, las operaciones en recursos globales, recursos multirregionales y recursos regionales fuera de la región no se admiten desde el extremo regional.

Extremos multirregionales

Los extremos de API multirregionales proporcionan acceso a los servicios de Google Cloud a través de un extremo de API que se limita a un conjunto de regiones de Google Cloud dentro del mismo país, como Estados Unidos, India o Canadá, o jurisdicción, como la Unión Europea. El tráfico que se envía a un extremo multirregional se procesa y finaliza con TLS por completo dentro de la jurisdicción especificada.

En la mayoría de los servicios de Google Cloud , puedes usar extremos multirregionales para trabajar con recursos multirregionales dentro de la multirregión especificada. Por lo general, no se admiten las operaciones en recursos globales, regionales y multirregionales de otras jurisdicciones.

Beneficios de los extremos regionales y multirregionales

El uso de extremos regionales y multirregionales tiene los siguientes beneficios:

• Residencia de datos: Ayuda a cumplir con los requisitos estrictos de residencia de datos, ya que mantiene los datos en tránsito dentro de la región elegida. La sesión de TLS siempre finaliza dentro de la región especificada.
• Aislamiento regional: Reduce las dependencias entre regiones, lo que disminuye los problemas debido a fallas en otras regiones.
• Cumplimiento: Te ayuda a cumplir con los requisitos reglamentarios o de políticas que exigen que los datos se procesen y almacenen dentro de límites geográficos específicos.

Limitaciones de los extremos regionales y multirregionales

• No se puede acceder a los extremos regionales y multirregionales a través del Acceso privado a Google. Para conectarte a extremos regionales a través de acceso privado, usa Private Service Connect para crear extremos privados. Para obtener más información, consulta Accede a las APIs de Google regionales a través de extremos privados.

• Muchos servicios no admiten operaciones entre regiones desde extremos regionales. Para ejecutar operaciones en varias regiones, usa extremos globales. Si las operaciones entre regiones permanecen dentro de una jurisdicción, usa extremos multirregionales.

• Algunos Google Cloud servicios no admiten extremos regionales o multirregionales. Para obtener una lista completa de los servicios admitidos, consulta Extremos de servicios regionales.

• Los extremos regionales y multirregionales pueden tener una latencia más alta que los extremos globales. El rendimiento varía según tu ubicación y la región que uses.

Implementa extremos regionales y multirregionales

Puedes acceder a los extremos regionales o multirregionales de forma privada desde tu VPC a través de balanceadores de cargas regionales. Por ejemplo, puedes definir un perímetro de Controles del servicio de VPC para aislar los recursos de nube de un proyecto determinado de Internet y de las redes no autorizadas. Para un perímetro determinado, decides para qué servicios aplicar los Controles del servicio de VPC y, luego, colocas los proyectos dentro del perímetro. Para obtener más información, consulta la sección Usa los Controles del servicio de VPC en este documento.

Acceso público

Puedes acceder a los extremos regionales y multirregionales de forma pública a través de Internet. Cuando accedes a extremos regionales desde Internet, el tráfico se enruta a través de la Google Cloud red de nivel Estándar. La conexión, incluida la finalización de TLS, se controla dentro de la región de destino.

Para obtener más información, consulta Accede a las APIs de Google regionales a través de extremos públicos.

Acceso privado

Para acceder de forma privada a los extremos regionales y multirregionales, usa Private Service Connect. Private Service Connect crea una dirección IP privada en tu nube privada virtual (VPC). La dirección IP privada se enruta al servicio regional. Si bien las APIs globales suelen usar el acceso privado estándar de Google con rangos especiales, como private.googleapis.com, los extremos regionales y multirregionales requieren una configuración explícita del extremo privado.

Para obtener más información, consulta Accede a las APIs de Google regionales a través de extremos privados.

Configura el enrutamiento y los firewalls

Sigue estos lineamientos para configurar correctamente el enrutamiento y los firewalls.

Enrutamiento local

Si te conectas a extremos regionales desde entornos locales a través de Cloud Interconnect o Cloud VPN, debes anunciar los rangos de IP privadas de los extremos regionales. Esta configuración garantiza el enrutamiento adecuado desde tu red local hacia los servicios de Google Cloud .

• Cloud Router: Usa anuncios de rutas personalizadas para anunciar todos los rangos de IP privadas a través de la conexión híbrida.
• Firewalls locales: Configura tus firewalls locales para permitir el tráfico saliente a los rangos de direcciones IP virtuales públicas o privadas de los extremos regionales. Para obtener más información, consulta Usa reglas de firewall de VPC.

Reglas de firewall de VPC

Configura tus políticas de firewall de salida para permitir el tráfico a las direcciones IP privadas de los extremos regionales. Si quitas las rutas predeterminadas, verifica que haya rutas adecuadas para los rangos de direcciones IP virtuales (VIP) del extremo regional:

• Para el acceso a VIP públicos, asegúrate de que existan rutas para los rangos de VIP de los extremos regionales con el siguiente salto establecido en la puerta de enlace de Internet predeterminada.

• En el caso de Private Service Connect, usa direcciones IP o el enrutamiento interno estándar.

Para obtener más información, consulta Configura una política de firewall jerárquica para permitir el tráfico de salida desde una red de VPC específica.

Usa los Controles del servicio de VPC

Los extremos regionales son compatibles con los perímetros de los Controles del servicio de VPC. Para obtener más información sobre los Controles del servicio de VPC, consulta Configuración y detalles del perímetro de servicio.

Los Controles del servicio de VPC ayudan a evitar el robo de datos de los servicios de Google Cloudcreando perímetros de seguridad. Debido a que no puedes acceder a los extremos regionales a través del Acceso privado a Google, para acceder a los extremos dentro de un perímetro de VPC, debes usar Private Service Connect para configurar extremos privados.

• Aplicación del perímetro: Cuando agregas un servicio, como storage.googleapis.com, a la lista de Servicios restringidos en tu perímetro de los Controles del servicio de VPC, las reglas de los Controles del servicio de VPC se aplican a todos los métodos de acceso para ese servicio, incluido el acceso a través de extremos regionales.

• Verificaciones de control de servicio: Las solicitudes a la API de extremos regionales, ya sean públicos o privados, están sujetas a verificaciones de políticas por parte de la API de Service Control. La API de Service Control evalúa la solicitud en función de la configuración del perímetro de los Controles del servicio de VPC y revisa la red de origen, el proyecto de origen y el proyecto de recursos de destino.

• Dentro del perímetro: Los recursos dentro de un perímetro de los Controles del servicio de VPC, como las VMs, pueden acceder a los servicios a través de extremos regionales si el servicio forma parte de los servicios accesibles del perímetro. El extremo de red debe estar dentro de tu perímetro de VPC, lo que requiere que crees extremos regionales privados con Private Service Connect. Para obtener más información, consulta Accede a las APIs de Google regionales a través de extremos privados.

• Fuera del perímetro: Los Controles del servicio de VPC bloquean los intentos de acceder a los recursos protegidos dentro del perímetro desde fuera de este con cualquier tipo de extremo, a menos que los niveles de acceso o las reglas de entrada y salida permitan el acceso de forma explícita.

Por ejemplo, defines un perímetro de Controles del servicio de VPC para aplicar una política en los recursos de Cloud Storage y, luego, colocas secure_project dentro del perímetro. Solo las VMs de secure_project pueden acceder a los recursos de Cloud Storage de secure_project. Además, las VMs no pueden acceder a los recursos de Cloud Storage fuera del perímetro.

Beneficios de los Controles del servicio de VPC

El uso de los Controles del servicio de VPC proporciona los siguientes beneficios:

• Obtienes los beneficios del aislamiento regional y la residencia de los datos, junto con la protección contra el robo de datos de los Controles del servicio de VPC.

• Con los Controles del servicio de VPC, el acceso que se limita a una sola región también se rige por los límites de seguridad de los perímetros de los Controles del servicio de VPC.

Configurar los Controles del servicio de VPC

Dentro de un perímetro de Controles del servicio de VPC, debes acceder a los extremos regionales privados con Private Service Connect desde un perímetro de VPC. Para obtener más información, consulta Accede a las APIs de Google regionales a través de extremos privados.

• Es posible que se bloquee el acceso estándar al extremo público regional, ya que parece originarse fuera del perímetro.

• Asegúrate de que el servicio al que accedes, como compute.googleapis.com o bigquery.googleapis.com, esté incluido en la lista de servicios restringidos por el perímetro.

Usa políticas de la organización para una aplicación adicional

Las políticas de la organización proporcionan controles adicionales para los recursos de nube de tu organización. Las siguientes dos políticas funcionan con endpoints regionales para aplicar la residencia de datos y mejorar el aislamiento regional:

• Restringir el uso del extremo (constraints/gcp.restrictEndpointUsage)
• Restricciones de ubicación del recurso (constraints/gcp.resourceLocations)

Aplicar el uso de extremos regionales

Para aplicar el uso de extremos regionales, usa la restricción de política de la organización Restrict Endpoint Usage para denegar el acceso a los extremos globales. Para obtener más información, consulta Cómo restringir el uso de extremos.

Los extremos regionales garantizan que los datos en tránsito permanezcan dentro de una región, y la restricción Restrict Endpoint Usage garantiza que los recursos que se usan para almacenar datos en reposo solo se creen en las regiones que permites. El uso de ambas políticas proporciona protecciones más integrales de residencia de datos para los datos en reposo y en tránsito.

La restricción Restrict Endpoint Usage se establece con una lista de bloqueo, lo que permite solicitudes a cualquier extremo de API de servicios admitidos que no se hayan bloqueado de forma explícita. Después de configurar los extremos regionales, se podrá seguir accediendo a los extremos globales, a menos que uses la restricción de política de la organización de uso de extremo restringido.

La restricción Restrict Endpoint Usage controla las ubicaciones físicas en las que los usuarios pueden crear y almacenar recursos Google Cloud nuevos, lo que aplica la residencia de datos en reposo. Esta política solo se aplica a la creación de recursos nuevos para los servicios admitidos. Los recursos existentes no se verán afectados.

Aplica restricciones de ubicación

La política de restricción de ubicaciones de recursos (constraints/gcp.resourceLocations) controla las ubicaciones físicas en las que se pueden crear y almacenar recursos Google Cloud nuevos, lo que aborda la residencia de datos en reposo. Para obtener más información, consulta Cómo establecer la política de la organización en la documentación de Resource Manager.

Cuando usas la política de restricción de ubicación de recursos, defines una lista de ubicaciones Google Cloud permitidas o denegadas. Para las ubicaciones, puedes usar regiones, zonas o multirregiones. La política solo se aplica a la creación de recursos nuevos para los servicios admitidos. Los recursos existentes no se verán afectados.

Usar esta política con extremos regionales es beneficioso, ya que los extremos regionales garantizan que los datos en tránsito permanezcan dentro de una región, y la política de restricción de ubicación garantiza que los recursos que almacenan los datos se encuentren en las regiones que permites.

Aplicación combinada

Si usas la política Restrict Endpoint Usage para rechazar los extremos globales y la política de restricción de ubicaciones de recursos para restringir las ubicaciones en las que se pueden crear recursos, aplicas los datos en reposo y los datos en tránsito.

• Datos en reposo: Los recursos solo se crean y almacenan en las regiones permitidas.
• Datos en tránsito: Las interacciones de la API con esos recursos se controlan por completo dentro de la región especificada cuando se usa el extremo regional correspondiente.

Precios

En el caso de los extremos regionales privados, los precios se basan en el uso de Private Service Connect. Los cargos de facturación incluyen el extremo y el procesamiento de datos.

En el caso de los extremos regionales públicos, no se factura el tráfico de entrada. El tráfico de salida se factura según los precios de redes del nivel Estándar.

Documentación de referencia

• Usa Google Cloud CLI para administrar extremos regionales.
• Consulta la documentación de la API de REST de regionalEndpoints.

¿Qué sigue?

• Accede a extremos regionales privados.
• Accede a extremos regionales públicos.
• Accede a las APIs regionales de Google a través de backends.
• Consulta los Google Cloud extremos de servicio regionales admitidos.