Enquanto produtor de serviços, pode permitir que os consumidores de serviços aprovisionem recursos com endereços IP privados (RFC 1918) ou públicos. Se os consumidores de serviços quiserem usar endereços IP privados, têm de usar o acesso privado aos serviços. No entanto, os consumidores de serviços só podem usar o acesso privado ao serviço se o seu serviço gerido o oferecer. Para oferecer conetividade privada, tem de concluir um processo de integração único.
O processo de integração requer que use a API Service Networking e as unidades de arrendamento. Para ver instruções passo a passo detalhadas, contacte o seu representante da Google.
Vista geral
As secções seguintes descrevem os componentes e a topologia de rede geral necessários para ativar o acesso a serviços privados para o seu serviço gerido.
Unidades de arrendamento
Quando um consumidor de serviços ativa o seu serviço gerido, o serviço cria uma unidade de arrendamento para formalizar uma relação entre a sua organização e o projeto do consumidor de serviços. Google Cloud As unidades de posse isolam os recursos e os custos de faturação entre diferentes consumidores de serviços.
Para cada consumidor de serviços, tem duas unidades de posse. Um para o seu serviço gerido e outro para o serviço de gestão de acesso privado. O serviço gerido é o serviço externo que está a oferecer aos consumidores de serviços e o serviço de gestão de acesso privado gere as ligações privadas com as redes VPC dos consumidores de serviços. Estas unidades de arrendamento têm de estar na mesma organização do Google Workspace onde o seu serviço gerido está alojado.Google Cloud
Service Networking
O Service Networking automatiza a configuração da conetividade privada (através da interligação de redes VPC) entre si e o consumidor do serviço. Ativa e usa o Service Networking no mesmo projeto em que criou o serviço de gestão de acesso privado. Este é um projeto diferente do que contém o seu serviço gerido.
Quando um consumidor de serviços cria uma ligação privada com o seu serviço gerido, o Service Networking cria um projeto anfitrião de VPC partilhada e uma rede de VPC partilhada para si. O projeto anfitrião e a rede são criados numa pasta Google Cloud predesignada na sua organização. Especifica este nome da pasta como parte do processo de integração. O projeto e a rede estão contidos numa unidade de arrendamento, pelo que estão isolados e só podem ser usados por esse consumidor de serviços.
Depois de o Service Networking criar a rede da VPC partilhada, o Service Networking cria automaticamente uma ligação de intercâmbio de redes da VPC entre a rede da VPC partilhada e a rede da VPC especificada pelo consumidor do serviço.
Os consumidores de serviços também têm de fornecer um intervalo de endereços IP atribuído quando criam a ligação privada. Esta atribuição reserva endereços IP que só podem ser usados por si, um produtor de serviços. Por exemplo, quando um consumidor de serviços aprovisiona um recurso, usa a rede de serviços para criar sub-redes na rede de VPC partilhada. Para o intervalo de endereços IP da sub-rede, a rede de serviços seleciona automaticamente um intervalo do intervalo atribuído. Este processo impede colisões entre a rede da VPC partilhada e a rede da VPC do consumidor de serviços.
Projetos de serviço da VPC partilhada
Quando o seu serviço aprovisiona o recurso de um consumidor de serviços pela primeira vez, o seu serviço gerido aprovisiona-o num projeto de serviço de VPC partilhada, que está anexado ao projeto anfitrião do Service Networking. Esta relação de VPC partilhada permite que os recursos no projeto de serviço usem sub-redes na rede de VPC partilhada.
O seu serviço gerido cria o projeto de serviço numa unidade de posse e numa pasta predesignada, especificada durante o processo de integração. A pasta e a unidade de posse estão relacionadas com o seu serviço gerido e são diferentes das que a rede de serviços usa.
Topologia de rede
O exemplo seguinte mostra um único consumidor de serviços que tem conetividade privada a um único produtor de serviços. O consumidor do serviço aprovisionou dois recursos em regiões diferentes. Uma vez que cada recurso está numa região diferente, estão em sub-redes diferentes.
Existem dois projetos do Endpoints: um para o serviço gerido e outro para o serviço de gestão de acesso privado. Têm de estar na mesma organização. Google Cloud
Na Google Cloud organização, existem duas pastas, uma para cada um dos serviços Endpoints. A pasta do serviço de gestão de acesso privado contém um projeto anfitrião da VPC partilhada para a ligação privada. A pasta do serviço gerido contém um projeto de serviço para recursos do consumidor de serviços.
- Em cada pasta, os projetos relacionados com o consumidor de serviços estão contidos em unidades de posse. Ambas as unidades de arrendamento estão associadas a
consumer-project-a.
- Em cada pasta, os projetos relacionados com o consumidor de serviços estão contidos em unidades de posse. Ambas as unidades de arrendamento estão associadas a
Os consumidores de serviços têm de iniciar a ligação privada (que também é uma ligação de interligação de redes VPC). Têm de fornecer um intervalo de endereços IP atribuído para a ligação privada a partir da qual provêm os endereços IP da sub-rede. Para mais informações sobre os passos do consumidor de serviços, consulte o artigo Configurar o acesso privado aos serviços.
- Se oferecer vários serviços, os consumidores de serviços só precisam de uma ligação privada. Todo o tráfego de e para o consumidor de serviços passa pelo projeto anfitrião de VPC partilhada.
Num único projeto de consumidor de serviços, várias redes VPC podem estabelecer ligação privada aos seus serviços. Isto requer um projeto anfitrião da VPC partilhada para cada rede VPC ligada. No entanto, todos esses projetos podem estar contidos na mesma
consumer-project-aunidade de arrendamento.No projeto anfitrião, tem de configurar regras de firewall e rotas para ativar a conetividade a novos recursos. Uma vez que outros serviços podem usar a mesma rede de VPC partilhada, estas regras podem permitir ou negar a conetividade entre os seus diferentes serviços.
Processo de integração
A lista seguinte é um resumo geral do processo de integração. Tem de concluir este processo para cada serviço gerido que ofereça conetividade privada. Contacte o seu representante da Google para receber mais informações.
Crie um serviço de gestão de peering.
Este é um serviço gerido que um produtor de serviços cria através da API Service Management and Endpoints. Para mais informações, contacte o seu representante da Google.
Faculte as seguintes informações de configuração ao seu representante da Google:
- O intervalo de endereços IP mínimo que os consumidores de serviços têm de atribuir quando
estabelecem ligação consigo, especificado como um comprimento do prefixo IPv4. Se oferecer vários serviços, recomendamos que os utilizadores atribuam um intervalo de endereços IP maior, como
/16. - O ID da pasta onde o seu serviço de gestão de acesso privado cria projetos de anfitriões da VPC partilhada. Use o Resource Manager para encontrar o ID da pasta.
- A conta de faturação associada à organização onde o seu serviço de gestão de acesso privado cria projetos anfitriões da VPC partilhada.
- Os principais (normalmente, estes são IDs de contas de serviço) que gerem as regras da firewall de rede do projeto anfitrião.
- O intervalo de endereços IP mínimo que os consumidores de serviços têm de atribuir quando
estabelecem ligação consigo, especificado como um comprimento do prefixo IPv4. Se oferecer vários serviços, recomendamos que os utilizadores atribuam um intervalo de endereços IP maior, como
Ative a API Compute Engine.
Para cada projeto anfitrião da VPC partilhada, ative a API
compute.googleapis.com, o que pode fazer através das APIs Service Usage ou na configuração do projeto.Depois de os recursos terem sido aprovisionados, configure as regras de firewall para a rede de VPC partilhada no projeto anfitrião. Tem de usar a identidade que indicou durante o processo de integração para aceder à rede VPC. Se oferecer outros serviços, esses serviços podem usar a mesma rede VPC. Não crie regras que possam permitir ou negar inadvertidamente o tráfego para outros serviços.
Informar os consumidores de serviços.
Informe os consumidores de serviços de que têm de estabelecer uma ligação privada. Para mais informações, consulte o artigo Configurar o acesso a serviços privados. Os consumidores de serviços têm de fornecer as seguintes informações:
- O nome do respetivo projeto e rede onde quer estabelecer a conetividade privada.
- A região da nuvem onde o recurso tem de ser aprovisionado.
O que se segue?
- Para ativar as APIs Service Networking, consulte o artigo Introdução à API Service Networking.
- Para obter informações sobre os limites de ligação privada do Service Networking, consulte Quotas e limites.