Présentation des points de terminaison d'API régionaux et multirégionaux

Google Cloud recommande d'utiliser des points de terminaison régionaux ou multirégionaux dans les scénarios suivants :

Les données en transit doivent rester dans une région ou une juridiction spécifique.
Vous avez besoin d'une preuve de traitement des données régionales à des fins de conformité ou d'audit.
Vous avez besoin de domaines de défaillance isolés au niveau régional pour accéder aux Google Cloud services.

Les points de terminaison régionaux et multirégionaux offrent le plus d'avantages aux clients qui doivent utiliser des services spécifiques à un emplacement. Ces points de terminaison garantissent également que les données en transit restent dans un emplacement particulier. Cette localité des données est conservée, que les données soient accessibles via une connectivité privée ou via l'Internet public.

Les points de terminaison régionaux et multirégionaux sont différents de l'accès privé à Google. L'accès privé à Google permet aux VM des sous-réseaux privés d'accéder aux API Google sans passer par Internet. Les points de terminaison régionaux offrent une isolation régionale et une résidence des données plus strictes, car l'ensemble du chemin de requête et le frontend du service sont régionalisés.

Points de terminaison régionaux

Les points de terminaison d'API régionaux permettent d'accéder aux Google Cloud services via un point de terminaison d'API limité à une seule Google Cloud région. Le trafic envoyé à un point de terminaison régional est traité et la terminaison TLS est effectuée dans la région spécifiée.

Pour la plupart des services, vous pouvez utiliser des points de terminaison régionaux pour travailler avec des ressources régionales dans la région spécifiée. Google Cloud Les opérations sur les ressources mondiales, les ressources multirégionales et les ressources régionales hors région ne sont généralement pas compatibles avec le point de terminaison régional.

Points de terminaison multirégionaux

Les points de terminaison d'API multirégionaux permettent d'accéder aux Google Cloud services via un point de terminaison d'API limité à un ensemble de Google Cloud régions d'un même pays (États-Unis, Inde ou Canada, par exemple) ou d'une même juridiction (Union européenne, par exemple) . Le trafic envoyé à un point de terminaison multirégional est traité et la terminaison TLS est effectuée entièrement dans la juridiction spécifiée.

Pour la plupart des Google Cloud services, vous pouvez utiliser des points de terminaison multirégionaux pour travailler avec des ressources multirégionales dans la région multirégionale spécifiée. Les opérations sur les ressources mondiales, les ressources régionales et les ressources multirégionales d'autres juridictions ne sont généralement pas compatibles.

Avantages des points de terminaison régionaux et multirégionaux

L'utilisation de points de terminaison régionaux et multirégionaux présente les avantages suivants :

Résidence des données : permet de répondre à des exigences strictes en matière de résidence des données en conservant les données en transit dans la région choisie. La session TLS est toujours terminée dans la région spécifiée.
Isolation régionale : réduit les dépendances interrégionales, ce qui limite les problèmes dus à des défaillances dans d'autres régions.
Conformité : vous aide à respecter les exigences réglementaires ou de règles qui imposent que les données soient traitées et stockées dans des limites géographiques spécifiques.

Limites des points de terminaison régionaux et multirégionaux

Les points de terminaison régionaux et multirégionaux ne sont pas accessibles via l'accès privé à Google. Pour vous connecter à des points de terminaison régionaux via un accès privé, utilisez Private Service Connect pour créer des points de terminaison privés. Pour en savoir plus, consultez Accéder aux API Google régionales via des points de terminaison privés.
De nombreux services ne sont pas compatibles avec les opérations interrégionales à partir de points de terminaison régionaux. Pour exécuter des opérations interrégionales, utilisez des points de terminaison mondiaux. Si les opérations interrégionales restent dans une même juridiction, utilisez des points de terminaison multirégionaux.
Certains Google Cloud services ne sont pas compatibles avec les points de terminaison régionaux ou multirégionaux. Pour obtenir la liste complète des services compatibles, consultez Points de terminaison de service régionaux.
Les points de terminaison régionaux et multirégionaux peuvent avoir une latence plus élevée que les points de terminaison mondiaux. Les performances varient en fonction de votre emplacement et de la région que vous utilisez.

Implémenter des points de terminaison régionaux et multirégionaux

Vous pouvez accéder aux points de terminaison régionaux ou multirégionaux de manière privée depuis votre VPC via des équilibreurs de charge régionaux. Par exemple, vous pouvez définir un périmètre VPC Service Controls pour isoler les ressources cloud d'un projet donné d'Internet et des réseaux non autorisés. Pour un périmètre donné, vous décidez pour quels services appliquer VPC Service Controls, puis vous placez les projets dans le périmètre. Pour en savoir plus, consultez la section Utiliser VPC Service Controls de ce document.

Accès public

Vous pouvez accéder aux points de terminaison régionaux et multirégionaux publiquement sur Internet. Lorsque vous accédez à des points de terminaison régionaux depuis Internet, le trafic est acheminé via le Google Cloud réseau de niveau Standard. La connexion, y compris la terminaison TLS, est gérée dans la région de destination.

Pour en savoir plus, consultez Accéder aux API Google régionales via des points de terminaison publics.

Accès privé

Pour accéder de manière privée aux points de terminaison régionaux et multirégionaux, utilisez Private Service Connect. Private Service Connect creates une adresse IP privée dans votre cloud privé virtuel (VPC). L'adresse IP privée est acheminée vers le service régional. Bien que les API mondiales utilisent souvent l'accès privé à Google standard en utilisant des plages spéciales, telles que private.googleapis.com, les points de terminaison régionaux et multirégionaux nécessitent une configuration explicite des points de terminaison privés.

Pour en savoir plus, consultez Accéder aux API Google régionales via des points de terminaison privés.

Configurer le routage et les pare-feu

Suivez ces consignes pour configurer correctement votre routage et vos pare-feu.

Routage sur site

Si vous vous connectez à des points de terminaison régionaux à partir d'environnements sur site via Cloud Interconnect ou Cloud VPN, vous devez annoncer les plages d'adresses IP privées des points de terminaison régionaux. Cette configuration garantit un routage approprié de votre réseau sur site vers les Google Cloud services.

Cloud Router : utilisez des annonces de routage personnalisées pour annoncer toutes les plages d'adresses IP privées sur la connexion hybride.
Pare-feu sur site : configurez vos pare-feu sur site pour autoriser le trafic sortant vers les plages d'adresses IP virtuelles publiques ou privées des points de terminaison régionaux. Pour plus d'informations, consultez Utiliser des règles de pare-feu VPC.

Règles de pare-feu VPC

Configurez vos règles de pare-feu de sortie pour autoriser le trafic vers les adresses IP privées des points de terminaison régionaux. Si vous supprimez les routes par défaut, vérifiez que des routes appropriées sont en place pour les plages d'adresses IP virtuelles (VIP) des points de terminaison régionaux :

Pour l'accès VIP public, assurez-vous que des routes existent pour les plages VIP des points de terminaison régionaux avec le prochain saut défini sur la passerelle Internet par défaut.
Pour Private Service Connect, utilisez des adresses IP ou un routage interne standard.

Pour en savoir plus, consultez Configurer une stratégie de pare-feu hiérarchique pour autoriser le trafic sortant d'un réseau VPC spécifique.

Utiliser VPC Service Controls

Les points de terminaison régionaux sont compatibles avec les périmètres VPC Service Controls. Pour en savoir plus sur VPC Service Controls, consultez Périmètres de service : détails et configuration.

VPC Service Controls permet d'empêcher l'exfiltration de données depuis les Google Cloud services en créant des périmètres de sécurité. Étant donné que vous ne pouvez pas accéder aux points de terminaison régionaux via l'accès privé à Google, vous devez utiliser Private Service Connect pour configurer des points de terminaison privés afin d'accéder aux points de terminaison dans un périmètre VPC.

Application du périmètre : lorsque vous ajoutez un service, tel que storage.googleapis.com, à la liste Services restreints de votre périmètre VPC Service Controls, les règles VPC Service Controls s'appliquent à toutes les méthodes d'accès à ce service, y compris l'accès via des points de terminaison régionaux.
Vérifications des contrôles de service : les requêtes d'API adressées aux points de terminaison régionaux, qu'ils soient publics ou privés, sont soumises à des vérifications de règles par l'API Service Control. L'API Service Control évalue la requête par rapport à la configuration du périmètre VPC Service Controls et examine le réseau source, le projet source et le projet de ressource cible.
À l'intérieur du périmètre : les ressources d'un périmètre VPC Service Controls, telles que les VM, peuvent accéder aux services via des points de terminaison régionaux si le service fait partie des services accessibles du périmètre. Le point de terminaison réseau doit se trouver dans votre périmètre VPC, ce qui vous oblige à créer des points de terminaison régionaux privés à l'aide de Private Service Connect. Pour en savoir plus, consultez Accéder aux API Google régionales via des points de terminaison privés.
En dehors du périmètre : les tentatives d'accès aux ressources protégées dans le périmètre depuis l'extérieur du périmètre à l'aide de n'importe quel type de point de terminaison sont bloquées par VPC Service Controls, sauf si les niveaux d'accès ou les règles d'entrée et de sortie autorisent explicitement l'accès.

Par exemple, vous définissez un périmètre VPC Service Controls pour appliquer une règle aux ressources Cloud Storage, puis vous placez secure_project dans le périmètre. Seules les VM de secure_project peuvent accéder aux ressources Cloud Storage de secure_project. De plus, les VM ne peuvent pas accéder aux ressources Cloud Storage en dehors du périmètre.

Avantages de VPC Service Controls

L'utilisation de VPC Service Controls présente les avantages suivants :

Vous bénéficiez des avantages de l'isolation régionale et de la résidence des données, ainsi que de la protection contre l'exfiltration de données de VPC Service Controls.
Avec VPC Service Controls, l'accès limité à une seule région est également régi par les limites de sécurité de vos périmètres VPC Service Controls.

Configurer VPC Service Controls

Dans un périmètre VPC Service Controls, vous devez accéder aux points de terminaison régionaux privés à l'aide de Private Service Connect depuis un périmètre VPC. Pour en savoir plus, consultez Accéder aux API Google régionales via des points de terminaison privés.

L'accès standard aux points de terminaison régionaux publics peut être bloqué, car il semble provenir de l'extérieur du périmètre.
Assurez-vous que le service auquel vous accédez, tel que compute.googleapis.com ou bigquery.googleapis.com, est inclus dans la liste des services restreints par le périmètre.

Utiliser des règles d'administration pour une application supplémentaire

Les règles d'administration fournissent des contrôles supplémentaires pour les ressources cloud de votre organisation. Les deux règles suivantes fonctionnent avec des points de terminaison régionaux pour appliquer la résidence des données et améliorer l'isolation régionale :

Restreindre l'utilisation des points de terminaison (constraints/gcp.restrictEndpointUsage)
Contraintes d'emplacement des ressources (constraints/gcp.resourceLocations)

Appliquer l'utilisation des points de terminaison régionaux

Pour appliquer l'utilisation de points de terminaison régionaux, utilisez la contrainte de règle d'administration Restreindre l'utilisation des points de terminaison pour refuser l'accès aux points de terminaison mondiaux. Pour en savoir plus, consultez Restreindre l'utilisation des points de terminaison dans la documentation Assured Workloads.

Les points de terminaison régionaux garantissent que les données en transit restent dans une région, et la contrainte Restreindre l'utilisation des points de terminaison garantit que les ressources utilisées pour stocker les données au repos ne sont créées que dans les régions que vous autorisez. L'utilisation des deux règles offre des protections plus complètes en matière de résidence des données pour les données au repos et les données en transit.

La contrainte Restreindre l'utilisation des points de terminaison est définie à l'aide d'une liste de refus, ce qui autorise les requêtes adressées aux points de terminaison d'API de tous les services compatibles qui ne sont pas explicitement refusés. Une fois que vous avez configuré des points de terminaison régionaux, les points de terminaison mondiaux restent accessibles, sauf si vous utilisez la contrainte de règle d'administration Restreindre l'utilisation des points de terminaison.

La contrainte Restreindre l'utilisation des points de terminaison contrôle les emplacements physiques où les utilisateurs peuvent créer et stocker de nouvelles Google Cloud ressources, ce qui applique la résidence des données au repos. Cette règle ne s'applique qu'à la création de nouvelles ressources pour les services compatibles. Les ressources existantes ne sont pas concernées.

Appliquer des contraintes d'emplacement

La règle de contrainte d'emplacement des ressources (constraints/gcp.resourceLocations) contrôle les emplacements physiques où de nouvelles Google Cloud ressources peuvent être créées et stockées, ce qui traite de la résidence des données au repos. Pour en savoir plus, consultez Définir la règle d'administration dans la documentation de Resource Manager.

Lorsque vous utilisez la règle de contrainte d'emplacement des ressources, vous définissez une liste d' emplacements autorisés ou refusés Google Cloud . Pour les emplacements, vous pouvez utiliser des régions, des zones ou des régions multirégionales. La règle ne s'applique qu'à la création de nouvelles ressources pour les services compatibles. Les ressources existantes ne sont pas concernées.

L'utilisation de cette règle avec des points de terminaison régionaux est avantageuse, car les points de terminaison régionaux garantissent que les données en transit restent dans une région, et la règle de contrainte d'emplacement garantit que les ressources qui stockent les données au repos ne sont créées que dans les régions que vous autorisez.

Application combinée

En utilisant la règle Restreindre l'utilisation des points de terminaison pour refuser les points de terminaison mondiaux et la règle de contrainte d'emplacement des ressources pour limiter les emplacements où les ressources peuvent être créées, vous appliquez la résidence des données au repos et des données en transit.

Données au repos : les ressources ne sont créées et stockées que dans les régions autorisées.
Données en transit : les interactions d'API avec ces ressources sont gérées entièrement dans la région spécifiée lorsque vous utilisez le point de terminaison régional correspondant.

Tarifs

Pour les points de terminaison régionaux privés, les tarifs sont basés sur l'utilisation de Private Service Connect. Les frais de facturation incluent le point de terminaison et le traitement des données.

Pour les points de terminaison régionaux publics, le trafic entrant n'est pas facturé. Le trafic sortant est facturé en fonction des tarifs du réseau de niveau Standard.

Documentation de référence

Utilisez la Google Cloud CLI pour gérer les points de terminaison régionaux.
Consultez la regionalEndpoints documentation REST.