Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Panoramica degli endpoint API regionali e multiregionali

Google Cloud consiglia di utilizzare endpoint regionali o multiregionali nei seguenti scenari:

I dati in transito devono rimanere all'interno di una regione o giurisdizione specifica.
Hai bisogno di prove del trattamento dei dati regionali a fini di conformità o controllo.
Per accedere ai servizi Google Cloud, hai bisogno di domini di errore isolati a livello regionale.

Gli endpoint regionali e multiregionali offrono i maggiori vantaggi ai clienti che richiedono l'utilizzo di servizi specifici per la località. Questi endpoint garantiscono inoltre che i dati in transito rimangano in una posizione specifica. Questa località dei dati viene mantenuta indipendentemente dal fatto che i dati vengano accessibili tramite connettività privata o tramite internet pubblico.

Gli endpoint regionali e multiregionali sono diversi da accesso privato Google. L'accesso privato Google consente alle VM nelle subnet private di raggiungere le API di Google senza attraversare internet. Gli endpoint regionali forniscono un isolamento regionale e una residenza dei dati più rigorosi, perché l'intero percorso della richiesta e il frontend del servizio sono regionalizzati.

Endpoint regionali

Gli endpoint API regionali forniscono l'accesso ai servizi Google Cloud tramite un endpoint API con ambito limitato a una singola Google Cloud regione. Il traffico inviato a un endpoint regionale viene elaborato e il protocollo TLS viene terminato all'interno della regione specificata.

Per la maggior parte dei servizi Google Cloud , puoi utilizzare endpoint regionali per lavorare con risorse regionali all'interno della regione specificata. Le operazioni sulle risorse globali, multiregionali e regionali esterne alla regione in genere non sono supportate dall'endpoint regionale.

Endpoint multiregionali

Gli endpoint API multiregionali forniscono l'accesso ai servizi Google Cloud tramite un endpoint API con ambito definito per un insieme di regioni Google Cloud all'interno dello stesso paese, ad esempio Stati Uniti, India o Canada, o giurisdizione, ad esempio l'Unione Europea. Il traffico inviato a un endpoint multiregionale viene elaborato e il protocollo TLS viene terminato interamente all'interno della giurisdizione specificata.

Per la maggior parte dei servizi Google Cloud , puoi utilizzare endpoint multiregionali per lavorare con risorse multiregionali all'interno della multiregione specificata. Le operazioni su risorse globali, regionali e multiregionali di altre giurisdizioni in genere non sono supportate.

Vantaggi degli endpoint regionali e multiregionali

L'utilizzo di endpoint regionali e multiregionali presenta i seguenti vantaggi:

Residenza dei dati: consente di soddisfare i rigorosi requisiti di residenza dei dati mantenendo i dati in transito all'interno della regione scelta. La sessione TLS viene sempre terminata all'interno della regione specificata.
Isolamento regionale: riduce le dipendenze tra regioni, il che riduce i problemi dovuti a errori in altre regioni.
Conformità: ti aiuta a rispettare i requisiti normativi o i requisiti previsti dalle norme che impongono l'elaborazione e l'archiviazione dei dati entro confini geografici specifici.

Limitazioni degli endpoint regionali e multiregionali

Gli endpoint regionali e multiregionali non sono accessibili tramite accesso privato Google. Per connetterti agli endpoint regionali tramite l'accesso privato, utilizza Private Service Connect per creare endpoint privati. Per maggiori informazioni, vedi Accedere alle API di Google regionali tramite endpoint privati.
Molti servizi non supportano le operazioni tra regioni dagli endpoint regionali. Per eseguire operazioni tra regioni, utilizza gli endpoint globali. Se le operazioni tra regioni rimangono all'interno di una giurisdizione, utilizza endpoint multiregionali.
Alcuni Google Cloud servizi non supportano gli endpoint regionali o multiregionali. Per un elenco completo dei servizi supportati, consulta Endpoint di servizio regionali.
Gli endpoint regionali e multiregionali potrebbero avere una latenza maggiore rispetto agli endpoint globali. Il rendimento varia in base alla tua posizione e alla regione che stai utilizzando.

Implementare endpoint regionali e multiregionali

Puoi accedere agli endpoint regionali o multiregionali in privato dal tuo VPC tramite i bilanciatori del carico regionali. Ad esempio, puoi definire un perimetro dei Controlli di servizio VPC per isolare le risorse cloud di un determinato progetto da internet e da reti non autorizzate. Per un determinato perimetro, decidi per quali servizi applicare i Controlli di servizio VPC e poi inserisci i progetti all'interno del perimetro. Per saperne di più, consulta la sezione Utilizza i Controlli di servizio VPC di questo documento.

Accesso pubblico

Puoi accedere pubblicamente agli endpoint regionali e multiregionali su internet. Quando accedi agli endpoint regionali da internet, il traffico viene instradato tramite il Google Cloud networking di livello Standard. La connessione, inclusa la terminazione TLS, viene gestita all'interno della regione di destinazione.

Per saperne di più, vedi Accedere alle API di Google regionali tramite endpoint pubblici.

Accesso privato

Per l'accesso privato agli endpoint regionali e multiregionali, utilizza Private Service Connect. Private Service Connect crea un indirizzo IP privato nel tuo Virtual Private Cloud (VPC). L'indirizzo IP privato viene instradato al servizio regionale. Sebbene le API globali spesso utilizzino l'accesso privato Google standard utilizzando intervalli speciali, come private.googleapis.com, gli endpoint regionali e multiregionali richiedono una configurazione esplicita dell'endpoint privato.

Per saperne di più, consulta Accedere alle API di Google regionali tramite endpoint privati.

Configurare il routing e i firewall

Segui queste linee guida per configurare correttamente il routing e i firewall.

Routing on-premise

Se ti connetti a endpoint regionali da ambienti on-premise tramite Cloud Interconnect o Cloud VPN, devi annunciare gli intervalli IP privati degli endpoint regionali. Questa configurazione garantisce il corretto routing dalla tua rete on-premise ai servizi Google Cloud .

Router Cloud: utilizza gli annunci di route personalizzati per annunciare tutti gli intervalli di IP privati tramite la connessione ibrida.
Firewall on-premise: configura i firewall on-premise per consentire il traffico in uscita verso gli intervalli di indirizzi IP virtuali pubblici o privati degli endpoint regionali. Per saperne di più, consulta Utilizza le regole firewall VPC.

Regole firewall VPC

Configura le policy firewall in uscita per consentire il traffico verso gli indirizzi IP privati degli endpoint regionali. Se rimuovi le route predefinite, verifica che siano presenti route appropriate per gli intervalli di indirizzi IP virtuali (VIP) dell'endpoint regionale:

Per l'accesso VIP pubblico, assicurati che esistano route per gli intervalli VIP degli endpoint regionali con l'hop successivo impostato sul gateway internet predefinito.
Per Private Service Connect, utilizza indirizzi IP o routing interno standard.

Per saperne di più, consulta Configura un criterio firewall gerarchico per consentire il traffico in uscita da una rete VPC specifica.

Utilizzare i Controlli di servizio VPC

Gli endpoint regionali sono compatibili con i perimetri dei Controlli di servizio VPC. Per saperne di più sui Controlli di servizio VPC, consulta Dettagli e configurazione del perimetro di servizio.

I Controlli di servizio VPC contribuiscono a impedire l'esfiltrazione di dati dai servizi Google Cloudcreando perimetri di sicurezza. Poiché non puoi accedere agli endpoint regionali tramite l'accesso privato Google, per accedere agli endpoint all'interno di un perimetro VPC, devi utilizzare Private Service Connect per configurare gli endpoint privati.

Applicazione del perimetro: quando aggiungi un servizio, ad esempio storage.googleapis.com, all'elenco Servizi limitati nel perimetro dei Controlli di servizio VPC, le regole dei Controlli di servizio VPC si applicano a tutti i metodi di accesso per quel servizio, incluso l'accesso tramite endpoint regionali.
Controlli di Service Control:le richieste API agli endpoint regionali, pubblici o privati, sono soggette a controlli delle norme da parte dell'API Service Control. L'API Service Control valuta la richiesta in base alla configurazione del perimetro dei Controlli di servizio VPC e esamina la rete di origine, il progetto di origine e il progetto di risorse di destinazione.
All'interno del perimetro:le risorse all'interno di un perimetro dei Controlli di servizio VPC, come le VM, possono accedere ai servizi tramite endpoint regionali se il servizio fa parte dei servizi accessibili del perimetro. L'endpoint di rete deve trovarsi all'interno del perimetro VPC, il che richiede la creazione di endpoint regionali privati utilizzando Private Service Connect. Per saperne di più, consulta Accedere alle API di Google regionali tramite endpoint privati.
Al di fuori del perimetro:i tentativi di accedere alle risorse protette all'interno del perimetro dall'esterno del perimetro utilizzando qualsiasi tipo di endpoint vengono bloccati da Controlli di servizio VPC, a meno che i livelli di accesso o le regole in entrata e in uscita non consentano esplicitamente l'accesso.

Ad esempio, definisci un perimetro dei Controlli di servizio VPC per applicare una policy alle risorse Cloud Storage, quindi inserisci secure_project all'interno del perimetro. Solo le VM di secure_project possono accedere alle risorse Cloud Storage di secure_project. Inoltre, le VM non possono accedere alle risorse Cloud Storage all'esterno del perimetro.

Vantaggi dei Controlli di servizio VPC

L'utilizzo dei Controlli di servizio VPC offre i seguenti vantaggi:

Usufruisci dei vantaggi dell'isolamento regionale e della residenza dei dati, nonché della protezione dall'esfiltrazione di dati dei Controlli di servizio VPC.
Con i Controlli di servizio VPC, l'accesso limitato a una singola regione è regolato anche dai confini di sicurezza dei perimetri dei Controlli di servizio VPC.

Configurazione dei Controlli di servizio VPC

All'interno di un perimetro dei Controlli di servizio VPC, devi accedere agli endpoint regionali privati utilizzando Private Service Connect dall'interno di un perimetro VPC. Per saperne di più, consulta Accedere alle API di Google regionali tramite endpoint privati.

L'accesso all'endpoint pubblico regionale standard potrebbe essere bloccato perché sembra provenire dall'esterno del perimetro.
Assicurati che il servizio a cui stai accedendo, ad esempio compute.googleapis.com o bigquery.googleapis.com, sia incluso nell'elenco dei servizi limitati dal perimetro.

Utilizzare le policy dell'organizzazione per un'applicazione aggiuntiva

Le policy dell'organizzazione forniscono controlli aggiuntivi per le risorse cloud della tua organizzazione. Le seguenti due norme funzionano con gli endpoint regionali per applicare la residenza dei dati e migliorare l'isolamento regionale:

Limitare l'utilizzo dell'endpoint (constraints/gcp.restrictEndpointUsage)
Vincoli di posizione della risorsa (constraints/gcp.resourceLocations)

Forza l'utilizzo di endpoint regionali

Per imporre l'utilizzo di endpoint regionali, utilizza il vincolo delle policy dell'organizzazione Limita utilizzo endpoint per negare l'accesso agli endpoint globali. Per saperne di più, consulta Limitare l'utilizzo degli endpoint.

Gli endpoint regionali garantiscono che i dati in transito rimangano all'interno di una regione e il vincolo Limita l'utilizzo dell'endpoint garantisce che le risorse utilizzate per archiviare i dati at-rest vengano create solo nelle regioni che consenti. L'utilizzo di entrambe le norme fornisce protezioni più complete per la residenza dei dati at-rest e per i dati in transito.

Il vincolo Limita l'utilizzo degli endpoint viene impostato utilizzando una denylist, consentendo le richieste agli endpoint API di qualsiasi servizio supportato che non siano esplicitamente negati. Dopo aver configurato gli endpoint regionali, gli endpoint globali sono ancora accessibili, a meno che tu non utilizzi il vincolo delle policy dell'organizzazione Limita utilizzo endpoint.

Il vincolo Limita utilizzo endpoint controlla le posizioni fisiche in cui gli utenti possono creare e archiviare nuove risorse Google Cloud , applicando la residenza dei dati at-rest. Questo criterio si applica solo alla creazione di nuove risorse per i servizi supportati. Le risorse esistenti non sono interessate.

Forza l'applicazione di vincoli di posizione

Il criterio del vincolo delle località delle risorse (constraints/gcp.resourceLocations) controlla le posizioni fisiche in cui possono essere create e archiviate nuove risorse Google Cloud , il che riguarda la residenza dei dati a riposo. Per saperne di più, consulta la sezione Imposta la policy dell'organizzazione nella documentazione di Resource Manager.

Quando utilizzi la policy di vincolo della località delle risorse, definisci un elenco di località Google Cloud consentite o negate. Per le località, puoi utilizzare regioni, zone o multiregioni. Il criterio si applica solo alla creazione di nuove risorse per i servizi supportati. Le risorse esistenti non sono interessate.

L'utilizzo di questo criterio con gli endpoint regionali è vantaggioso, perché gli endpoint regionali garantiscono che i dati in transito rimangano all'interno di una regione e il criterio di vincolo di località garantisce che le risorse che archiviano i dati rimangano all'interno delle regioni che consenti.

Applicazione combinata

Utilizzando la norma di utilizzo Limita utilizzo endpoint per negare gli endpoint globali e il criterio di vincolo delle località delle risorse per limitare le località in cui è possibile creare le risorse, applichi i dati at-rest e i dati in transito.

Dati at-rest: le risorse vengono create e archiviate solo nelle regioni consentite.
Dati in transito: le interazioni API con queste risorse vengono gestite interamente all'interno della regione specificata quando si utilizza l'endpoint regionale corrispondente.

Prezzi

Per gli endpoint regionali privati, i prezzi si basano sull'utilizzo di Private Service Connect. Gli addebiti di fatturazione includono l'endpoint e il trattamento dei dati.

Per gli endpoint regionali pubblici, il traffico in entrata non viene fatturato. Il traffico in uscita viene fatturato in base ai prezzi di rete del livello Standard.

Documentazione di riferimento

Utilizza Google Cloud CLI per gestire gli endpoint regionali.
Consulta la documentazione REST di regionalEndpoints.

Passaggi successivi

Accedi agli endpoint regionali privati.
Accedi agli endpoint regionali pubblici.
Accedi alle API di Google regionali tramite i backend.
Consulta gli Google Cloud endpoint di servizio regionali supportati.