Panoramica degli endpoint API regionali e multiregionali

Google Cloud Ti consigliamo di utilizzare endpoint regionali o multiregionali nei seguenti scenari:

• I dati in transito devono rimanere all'interno di una regione o giurisdizione specifica.
• Hai bisogno di prove della gestione dei dati regionali per scopi di conformità o audit.
• Hai bisogno di domini di errore isolati a livello regionale per accedere ai Google Cloud servizi.

Gli endpoint regionali e multiregionali offrono i maggiori vantaggi ai clienti che richiedono l'utilizzo di servizi specifici per località. Questi endpoint garantiscono anche che i dati in transito rimangano in una località specifica. Questa località dei dati viene mantenuta indipendentemente dal fatto che i dati siano accessibili tramite connettività privata o tramite internet pubblico.

Gli endpoint regionali e multiregionali sono diversi dall'accesso privato Google. L'accesso privato Google consente alle VM nelle subnet private di raggiungere le API di Google senza attraversare internet. Gli endpoint regionali forniscono un isolamento regionale e una residenza dei dati più rigorosi, perché l'intero percorso della richiesta e il frontend del servizio sono regionalizzati.

Endpoint regionali

Gli endpoint API regionali forniscono l'accesso ai Google Cloud servizi tramite un endpoint API con ambito limitato a una singola Google Cloud regione. Il traffico inviato a un endpoint regionale viene elaborato e il protocollo TLS viene terminato nella regione specificata.

Per la maggior parte dei servizi, puoi utilizzare gli endpoint regionali per lavorare con le risorse regionali all'interno della regione specificata. Google Cloud In genere, le operazioni sulle risorse globali, sulle risorse multiregionali e sulle risorse regionali fuori regione non sono supportate dall'endpoint regionale.

Endpoint multiregionali

Gli endpoint API multiregionali forniscono l'accesso ai Google Cloud servizi tramite un endpoint API con ambito limitato a un insieme di Google Cloud regioni all'interno dello stesso paese, ad esempio Stati Uniti, India o Canada, o giurisdizione, ad esempio l'Unione Europea. Il traffico inviato a un endpoint multiregionale viene elaborato e il protocollo TLS viene terminato interamente all'interno della giurisdizione specificata.

Per la maggior parte dei Google Cloud servizi, puoi utilizzare gli endpoint multiregionali per lavorare con le risorse multiregionali all'interno della multiregione specificata. In genere, le operazioni sulle risorse globali, sulle risorse regionali e sulle risorse multiregionali di altre giurisdizioni non sono supportate.

Vantaggi degli endpoint regionali e multiregionali

L'utilizzo di endpoint regionali e multiregionali offre i seguenti vantaggi:

• Residenza dei dati: aiuta a soddisfare i rigorosi requisiti di residenza dei dati mantenendo i dati in transito all'interno della regione scelta. La sessione TLS viene sempre terminata nella regione specificata.
• Isolamento regionale: riduce le dipendenze tra regioni, il che riduce i problemi dovuti a errori in altre regioni.
• Conformità: ti aiuta a rispettare i requisiti normativi o i requisiti previsti dalle norme che impongono che i dati vengano elaborati e archiviati entro confini geografici specifici.

Limitazioni degli endpoint regionali e multiregionali

• Gli endpoint regionali e multiregionali non sono accessibili tramite l'accesso privato Google. Per connetterti agli endpoint regionali tramite accesso privato, utilizza Private Service Connect per creare endpoint privati. Per saperne di più, consulta Accedere alle API di Google regionali tramite endpoint privati.

• Molti servizi non supportano le operazioni tra regioni dagli endpoint regionali. Per eseguire operazioni tra regioni, utilizza gli endpoint globali. Se le operazioni tra regioni rimangono all'interno di una giurisdizione, utilizza gli endpoint multiregionali.

• Alcuni Google Cloud servizi non supportano gli endpoint regionali o multiregionali Per un elenco completo dei servizi supportati, consulta Endpoint di servizio regionali.

• Gli endpoint regionali e multiregionali potrebbero avere una latenza maggiore rispetto agli endpoint globali. Il rendimento varia in base alla tua località e alla regione che stai utilizzando.

Implementare endpoint regionali e multiregionali

Puoi accedere agli endpoint regionali o multiregionali in privato dal tuo VPC tramite i bilanciatori del carico regionali. Ad esempio, puoi definire un perimetro dei Controlli di servizio VPC per isolare le risorse cloud di un determinato progetto da internet e da reti non autorizzate. Per un determinato perimetro, decidi per quali servizi applicare i Controlli di servizio VPC, quindi inserisci i progetti all'interno del perimetro. Per saperne di più, consulta la sezione Utilizzare i Controlli di servizio VPC in questo documento.

Accesso pubblico

Puoi accedere agli endpoint regionali e multiregionali pubblicamente su internet. Quando accedi agli endpoint regionali da internet, il traffico viene instradato tramite la Google Cloud rete di livello Standard. La connessione, inclusa la terminazione TLS, viene gestita all'interno della regione di destinazione.

Per saperne di più, consulta Accedere alle API di Google regionali tramite endpoint pubblici.

Accesso privato

Per l'accesso privato agli endpoint regionali e multiregionali, utilizza Private Service Connect. Private Service Connect crea un indirizzo IP privato nel tuo Virtual Private Cloud (VPC). L'indirizzo IP privato viene instradato al servizio regionale. Sebbene le API globali utilizzino spesso l'accesso privato Google standard utilizzando intervalli speciali, come private.googleapis.com, gli endpoint regionali e multiregionali richiedono una configurazione esplicita dell'endpoint privato.

Per saperne di più, consulta Accedere alle API di Google regionali tramite endpoint privati.

Configurare il routing e i firewall

Segui queste linee guida per configurare correttamente il routing e i firewall.

Routing on-premise

Se ti connetti agli endpoint regionali da ambienti on-premise tramite Cloud Interconnect o Cloud VPN, devi annunciare gli intervalli IP privati degli endpoint regionali. Questa configurazione garantisce il corretto routing dalla rete on-premise ai servizi. Google Cloud

• Router Cloud: utilizza gli annunci di route personalizzati per annunciare tutti gli intervalli IP privati sulla connessione ibrida.
• Firewall on-premise: configura i firewall on-premise per consentire il traffico in uscita verso gli intervalli di indirizzi IP virtuali pubblici o privati degli endpoint regionali. Per saperne di più, consulta Utilizzare le regole firewall VPC.

Regole firewall VPC

Configura le policy firewall in uscita per consentire il traffico verso gli indirizzi IP privati degli endpoint regionali. Se rimuovi le route predefinite, verifica che siano presenti route appropriate per gli intervalli di indirizzi IP virtuali (VIP) degli endpoint regionali:

• Per l'accesso VIP pubblico, assicurati che esistano route per gli intervalli VIP degli endpoint regionali con l'hop successivo impostato sul gateway internet predefinito.

• Per Private Service Connect, utilizza indirizzi IP o routing interno standard.

Per saperne di più, consulta Configurare una policy del firewall gerarchica per consentire il traffico in uscita da una rete VPC specifica.

Utilizzare i Controlli di servizio VPC

Gli endpoint regionali sono compatibili con i perimetri dei Controlli di servizio VPC. Per saperne di più sui Controlli di servizio VPC, consulta Dettagli e configurazione del perimetro di servizio.

I Controlli di servizio VPC contribuiscono a impedire l'esfiltrazione di dati da Google Cloud servizi creando perimetri di sicurezza. Poiché non puoi accedere agli endpoint regionali tramite l'accesso privato Google, per accedere agli endpoint all'interno di un perimetro VPC devi utilizzare Private Service Connect per configurare gli endpoint privati.

• Applicazione del perimetro: quando aggiungi un servizio, ad esempio storage.googleapis.com, all'elenco Servizi limitati nel perimetro dei Controlli di servizio VPC, le regole dei Controlli di servizio VPC si applicano a tutti i metodi di accesso per quel servizio, incluso l'accesso tramite endpoint regionali.

• Controlli di servizio: le richieste API agli endpoint regionali, pubblici o privati, sono soggette a controlli delle policy da parte dell'API Service Control. L'API Service Control valuta la richiesta in base alla configurazione del perimetro dei Controlli di servizio VPC ed esamina la rete di origine, il progetto di origine e il progetto della risorsa di destinazione.

• All'interno del perimetro: le risorse all'interno di un perimetro dei Controlli di servizio VPC, ad esempio le VM, possono accedere ai servizi tramite endpoint regionali se il servizio fa parte dei servizi accessibili del perimetro. L'endpoint di rete deve trovarsi all'interno del perimetro VPC, il che richiede la creazione di endpoint regionali privati utilizzando Private Service Connect. Per saperne di più, consulta Accedere alle API di Google regionali tramite endpoint privati.

• Al di fuori del perimetro: i tentativi di accedere alle risorse protette all'interno del perimetro dall'esterno del perimetro utilizzando qualsiasi tipo di endpoint vengono bloccati dai Controlli di servizio VPC, a meno che i livelli di accesso o le regole in entrata e in uscita non consentano esplicitamente l'accesso.

Ad esempio, definisci un perimetro dei Controlli di servizio VPC per applicare una policy alle risorse di Cloud Storage, quindi inserisci secure_project all'interno del perimetro. Solo le VM di secure_project possono accedere alle risorse di Cloud Storage di secure_project. Inoltre, le VM non possono accedere alle risorse di Cloud Storage al di fuori del perimetro.

Vantaggi dei Controlli di servizio VPC

L'utilizzo dei Controlli di servizio VPC offre i seguenti vantaggi:

• Ottieni i vantaggi dell'isolamento regionale e della residenza dei dati, nonché la protezione dall'esfiltrazione di dati dei Controlli di servizio VPC.

• Con i Controlli di servizio VPC, anche l'accesso con ambito limitato a una singola regione è regolato dai limiti di sicurezza dei perimetri dei Controlli di servizio VPC.

Configurare i Controlli di servizio VPC

All'interno di un perimetro dei Controlli di servizio VPC, devi accedere agli endpoint regionali privati utilizzando Private Service Connect dall'interno di un perimetro VPC. Per saperne di più, consulta Accedere alle API di Google regionali tramite endpoint privati.

• L'accesso standard agli endpoint regionali pubblici potrebbe essere bloccato perché sembra provenire dall'esterno del perimetro.

• Assicurati che il servizio a cui stai accedendo, ad esempio compute.googleapis.com o bigquery.googleapis.com, sia incluso nell'elenco dei servizi limitati dal perimetro.

Utilizzare le policy dell'organizzazione per un'applicazione aggiuntiva

Le policy dell'organizzazione forniscono controlli aggiuntivi per le risorse cloud della tua organizzazione. Le due policy seguenti funzionano con gli endpoint regionali per applicare la residenza dei dati e migliorare l'isolamento regionale:

• Limita utilizzo endpoint (constraints/gcp.restrictEndpointUsage)
• Vincoli sulla località delle risorse (constraints/gcp.resourceLocations)

Applicare l'utilizzo degli endpoint regionali

Per applicare l'utilizzo degli endpoint regionali, utilizza il vincolo della policy dell'organizzazione Limita utilizzo endpoint per negare l'accesso agli endpoint globali. Per saperne di più, consulta Limitazione dell'utilizzo degli endpoint nella documentazione di Assured Workloads.

Gli endpoint regionali garantiscono che i dati in transito rimangano all'interno di una regione e il vincolo Limita utilizzo endpoint garantisce che le risorse utilizzate per archiviare i dati at-rest vengano create solo nelle regioni che consenti. L'utilizzo di entrambe le policy fornisce protezioni più complete per la residenza dei dati at-rest e in transito.

Il vincolo Limita utilizzo endpoint viene impostato utilizzando un elenco di indirizzi IP bloccati, consentendo le richieste agli endpoint API di tutti i servizi supportati che non sono esplicitamente negati. Dopo aver configurato gli endpoint regionali, gli endpoint globali rimangono accessibili a meno che tu non utilizzi il vincolo della policy dell'organizzazione Limita utilizzo endpoint.

Il vincolo Limita utilizzo endpoint controlla le località fisiche in cui gli utenti possono creare e archiviare nuove Google Cloud risorse, applicando la residenza dei dati at-rest. Questa policy si applica solo alla creazione di nuove risorse per i servizi supportati. Le risorse esistenti non sono interessate da questo cambiamento.

Applicare i vincoli di località

La policy del vincolo sulla località delle risorse (constraints/gcp.resourceLocations) controlla le località fisiche in cui è possibile creare e archiviare nuove Google Cloud risorse, il che riguarda la residenza dei dati a riposo. Per saperne di più, consulta Impostare la policy dell'organizzazione nella documentazione di Resource Manager.

Quando utilizzi la policy del vincolo sulla località delle risorse, definisci un elenco di località consentite o negate Google Cloud . Per le località, puoi utilizzare regioni, zone o multiregioni. La policy si applica solo alla creazione di nuove risorse per i servizi supportati. Le risorse esistenti non sono interessate da questo cambiamento.

L'utilizzo di questa policy con gli endpoint regionali è vantaggioso, perché gli endpoint regionali garantiscono che i dati in transito rimangano all'interno di una regione e la policy del vincolo di località garantisce che le risorse che archiviano i dati rimangano nelle regioni che consenti.

Applicazione combinata

Utilizzando la policy Limita utilizzo endpoint per negare gli endpoint globali e la policy del vincolo sulla località delle risorse per limitare le località in cui è possibile creare le risorse, applichi la residenza dei dati at-rest e i dati in transito.

• Dati at-rest: le risorse vengono create e archiviate solo nelle regioni consentite.
• Dati in transito: le interazioni API con queste risorse vengono gestite interamente all'interno della regione specificata quando si utilizza l'endpoint regionale corrispondente.

Prezzi

Per gli endpoint regionali privati, i prezzi si basano sull'utilizzo di Private Service Connect. Gli addebiti di fatturazione includono l'endpoint e il trattamento dei dati.

Per gli endpoint regionali pubblici, il traffico in entrata non viene fatturato. Il traffico in uscita viene fatturato in base ai prezzi della rete di livello Standard.

Documentazione di riferimento

• Utilizza Google Cloud CLI per gestire gli endpoint regionali.
• Consulta la documentazione REST regionalEndpoints.

Passaggi successivi

• Accedi agli endpoint regionali privati.
• Accedi agli endpoint regionali pubblici.
• Accedi alle API di Google regionali tramite i backend.
• Consulta gli Google Cloud endpoint di servizio regionali supportati.