Informazioni sull'accesso alle API di Google tramite endpoint

Questo documento fornisce una panoramica degli endpoint Private Service Connect utilizzati per accedere alle API di Google.

Per impostazione predefinita, se hai un'applicazione che utilizza un servizio Google, come Cloud Storage, l'applicazione si connette al nome DNS predefinito per quel servizio, ad esempio storage.googleapis.com. I nomi DNS predefiniti per i servizi Google vengono risolti in indirizzi IP instradabili pubblicamente. Tuttavia, il traffico inviato dalle Google Cloud risorse a questi indirizzi IP rimane all'interno della rete di Google.

Con Private Service Connect, puoi creare endpoint privati utilizzando indirizzi IP interni globali all'interno della tua rete VPC. Puoi assegnare nomi DNS a questi indirizzi IP interni con nomi significativi come storage-vialink1.p.googleapis.com e bigtable-adsteam.p.googleapis.com. Questi nomi e indirizzi IP sono interni alla tua rete VPC e a qualsiasi rete on-premise connessa tramite tunnel Cloud VPN o collegamenti VLAN. Puoi controllare quale traffico va a quale endpoint e dimostrare che il traffico rimane all'interno Google Cloud.

Questa opzione ti consente di accedere a tutte le API e i servizi Google che sono inclusi nei bundle di API.

Figura 1. Private Service Connect ti consente di inviare traffico alle API di Google utilizzando un endpoint privato per la tua rete VPC (fai clic per ingrandire).

Funzionalità e compatibilità

Questa tabella riassume le funzionalità supportate dagli endpoint utilizzati per accedere alle API di Google.

Configurazione Dettagli
Configurazione consumer (endpoint)
Raggiungibilità globale Utilizza un indirizzo IP interno globale
Traffico Cloud Interconnect
Traffico Cloud VPN
Accesso tramite peering di rete VPC
Propagazione della connessione tramite NCC
Configurazione DNS automatica
Versione IP IPv4
Producer
Servizi supportati API di Google globali supportate

Accesso on-premise

Gli endpoint Private Service Connect che utilizzi per accedere alle API di Google sono accessibili dagli host on-premise connessi supportati. Per saperne di più, vedi Accedere all'endpoint da host on-premise.

Private Service Connect e Service Directory

Gli endpoint sono registrati in Service Directory. Service Directory è una piattaforma per archiviare, gestire e pubblicare servizi. Quando crei un endpoint per accedere alle API e ai servizi Google, seleziona una regione e uno spazio dei nomi di Service Directory.

Regione Service Directory

Service Directory è un servizio regionale; la regione selezionata definisce la posizione del piano di controllo di Service Directory. Non esiste alcuna differenza funzionale tra le regioni, ma potresti avere una preferenza per motivi amministrativi.

Quando crei il primo endpoint per le API di Google in una rete VPC, la regione selezionata viene utilizzata come regione predefinita per tutti gli endpoint successivi creati in quella rete. Se una regione non è già impostata per una rete e non ne specifichi una , la regione viene impostata su us-central1. Tutti gli endpoint di una rete devono utilizzare la stessa regione di Service Directory.

Spazio dei nomi Service Directory

Quando crei il primo endpoint per le API di Google in una rete VPC, lo spazio dei nomi selezionato viene utilizzato come spazio dei nomi predefinito per tutti gli endpoint successivi creati in quella rete. Se lo spazio dei nomi non è già impostato per una rete e non ne specifichi uno, viene utilizzato uno spazio dei nomi generato dal sistema. Tutti gli endpoint di una rete devono utilizzare lo stesso spazio dei nomi di Service Directory. Lo spazio dei nomi scelto deve essere utilizzato solo per gli endpoint utilizzati per accedere alle API di Google. Puoi utilizzare lo stesso spazio dei nomi per gli endpoint in più reti.

Quando crei un endpoint, vengono create le seguenti configurazioni DNS:

  • Viene creata una zona DNS privata di Service101} Directory per p.googleapis.com

  • I record DNS vengono creati in p.googleapis.com per alcune API e servizi Google di uso comune disponibili tramite Private Service Connect e con nomi DNS predefiniti che terminano in googleapis.com.

    Per istruzioni su come creare record DNS per API e servizi che non hanno un record DNS in p.googleapis.com, consulta Creare record DNS.

I servizi disponibili variano a seconda che tu selezioni il all-apis o vpc-sc bundle di API.

Viene creata una zona DNS di Service Directory per ogni rete VPC che contiene un endpoint.

I nomi DNS di un endpoint sono accessibili in tutte le regioni della rete VPC.

API supportate

Quando crei un endpoint per accedere alle API e ai servizi Google, scegli il bundle di API a cui devi accedere: Tutte le API (all-apis) o VPC-SC (vpc-sc):

I bundle di API supportano solo i protocolli basati su HTTP su TCP (HTTP, HTTPS e HTTP/2). Tutti gli altri protocolli, inclusi MQTT e ICMP, non sono supportati.

Bundle di API Servizi supportati Esempio di utilizzo
all-apis

Consente l'accesso alle API alla maggior parte delle API e dei servizi Google, indipendentemente dal fatto che siano supportati dai Controlli di servizio VPC. Include l'accesso alle API a Google Maps, Google Ads, Google Cloud, e alla maggior parte delle altre API di Google, inclusi gli elenchi riportati di seguito. Non supporta le applicazioni web di Google Workspace come Gmail e Documenti Google. Non supporta i siti web interattivi.

Nomi di dominio che corrispondono a:

  • accounts.google.com (supporta solo i percorsi necessari per l'autenticazione OAuth degli account di servizio; l'autenticazione dell'account utente è interattiva e non è supportata)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • *.developerconnect.dev
  • dl.google.com
  • gcr.io o *.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • gstatic.com o *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.byoid.googleusercontent.com
  • *.notebooks.cloud.google.com
  • notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev o *.pkg.dev
  • pki.goog o *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Scegli all-apis in queste circostanze:

  • Non utilizzi i Controlli di servizio VPC.
  • Utilizzi i Controlli di servizio VPC, ma devi anche accedere alle API e ai servizi Google non supportati dai Controlli di servizio VPC. 1
vpc-sc

Consente l'accesso alle API e ai servizi Google supportati dai Controlli di servizio VPC .

Blocca l'accesso alle API e ai servizi Google che non supportano i Controlli di servizio VPC. Non supporta le API Google Workspace o le applicazioni web di Google Workspace come Gmail e Documenti Google.

Scegli vpc-sc quando hai bisogno di accedere solo alle API e ai servizi Google supportati dai Controlli di servizio VPC. Il bundle vpc-sc non consente l'accesso alle API e ai servizi Google che non supportano i Controlli di servizio VPC. 1
1 Se devi limitare gli utenti solo alle API e ai servizi Google che supportano i Controlli di servizio VPC, utilizza vpc-sc, in quanto fornisce una mitigazione del rischio aggiuntiva per l'esfiltrazione dei dati. L'utilizzo di vpc-sc nega l'accesso a API e servizi Google non supportati dai Controlli di servizio VPC. Per maggiori dettagli, consulta Configurare la connettività privata nella documentazione dei Controlli di servizio VPC.

Requisiti dell'indirizzo IP

Quando configuri Private Service Connect su una rete VPC, fornisci un indirizzo IP da utilizzare per l endpoint.

L'indirizzo viene conteggiato nella quota del progetto per gli indirizzi IP interni globali.

L'indirizzo IP deve soddisfare le seguenti specifiche:

  • Deve essere un singolo indirizzo IP e non un intervallo di indirizzi.

  • Deve essere un indirizzo IPv4 valido. Può essere un indirizzo RFC 1918 o un indirizzo non RFC 1918. Gli indirizzi IPv6 non sono supportati per Private Service Connect.

  • Non può rientrare nell'intervallo delle subnet configurate nella rete VPC.

  • Non può rientrare in un intervallo di indirizzi IP primario o secondario di una subnet nella rete VPC o in una rete connessa alla rete VPC tramite peering di rete VPC.

  • Non può sovrapporsi a una route statica personalizzata /32 nella rete VPC locale. Ad esempio, se la rete VPC ha una route statica personalizzata per 10.10.10.10/32, non puoi riservare l'indirizzo 10.10.10.10 per Private Service Connect.

  • Non può sovrapporsi a una route statica personalizzata di peering /32 se hai configurato la rete in peering per esportare route personalizzate e hai configurato la rete VPC per importare route personalizzate.

  • Non può rientrare in uno degli intervalli IP in modalità automatica (in 10.128.0.0/9) se la rete VPC locale è una rete in modalità automatica o se è in peering con una rete in modalità automatica.

  • Non può rientrare in un intervallo IP allocato nella rete VPC locale. Tuttavia, può rientrare in un intervallo IP allocato in una rete VPC in peering.

  • Se un endpoint si sovrappone a una route dinamica personalizzata la cui destinazione è la stessa /32, l' endpoint ha la priorità.

  • Se un indirizzo IP dell'endpoint si trova nell'intervallo di destinazione di una route statica locale, route dinamica locale o route personalizzata di peering e la route ha una maschera di subnet più breve di /32, l'endpoint ha una priorità più alta.

Casi d'uso

Puoi creare più endpoint nella stessa rete VPC. Non esiste un limite alla larghezza di banda totale inviata a un determinato endpoint. Poiché gli endpoint utilizzano indirizzi IP interni globali, possono essere utilizzati da qualsiasi risorsa nella rete VPC o in una rete on-premise connessa tramite tunnel Cloud VPN o collegamenti Cloud Interconnect.

Con più endpoint, puoi specificare percorsi di rete diversi utilizzando router Cloud e le regole firewall.

  • Puoi creare regole firewall per impedire ad alcune VM di accedere alle API di Google tramite un endpoint, consentendo ad altre VM di avere accesso.

  • Puoi avere una regola firewall su un'istanza VM che non consente tutto il traffico verso internet; il traffico inviato agli endpoint Private Service Connect raggiunge comunque Google.

  • Se hai host on-premise connessi a un VPC tramite un tunnel Cloud VPN o un collegamento VLAN, puoi inviare alcune richieste tramite il tunnel o la VLAN, mentre altre richieste tramite internet pubblico. Questa configurazione ti consente di ignorare il tunnel o la VLAN per servizi come Google Libri non supportati dall'accesso privato Google.

    Per creare questa configurazione, crea un endpoint Private Service Connect, annuncia gli indirizzi IP dell'endpoint utilizzando gli annunci di route personalizzati di Cloud Router, e abilita una policy di forwarding in entrata di Cloud DNS. L'applicazione può inviare alcune richieste tramite il tunnel Cloud VPN o il collegamento VLAN utilizzando il nome di l'endpoint e può inviare altre richieste tramite internet utilizzando il nome DNS predefinito.

  • Se connetti la rete on-premise alla rete VPC utilizzando più collegamenti VLAN, puoi inviare parte del traffico on-premise su una VLAN e il resto su altre, come mostrato nella Figura 2. In questo modo puoi utilizzare la tua rete WAN anziché quella di Google e controllare il movimento dei dati per soddisfare i requisiti geografici.

    Per creare questa configurazione, crea due endpoint. Crea un annuncio di route personalizzata per il primo endpoint nella sessione BGP del router Cloud che gestisce la prima VLAN e crea un annuncio di route personalizzata diverso per il secondo endpoint nella sessione BGP del router Cloud che gestisce la seconda VLAN. Gli host on-premise che sono configurati per utilizzare il nome dell'endpoint inviano il traffico tramite il collegamento VLAN corrispondente.

  • Puoi anche utilizzare più collegamenti VLAN in una topologia attiva/attiva. Se annunci lo stesso indirizzo IP dell'endpoint utilizzando annunci di route personalizzati per le sessioni BGP sui router Cloud che gestiscono le VLAN, i pacchetti inviati dai sistemi on-premise agli endpoint vengono instradati tra le VLAN utilizzando ECMP.

    Figura 2. Configurando Private Service Connect, router Cloud e gli host on-premise, puoi controllare quale collegamento VLAN viene utilizzato per inviare traffico alle API di Google (fai clic per ingrandire).

Prezzi

I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.

Quote

Il numero di endpoint Private Service Connect che puoi creare per accedere alle API di Google è controllato dalla PSC Google APIs Forwarding Rules per VPC Network quota. Per saperne di più, consulta Quote.

Vincoli dei criteri dell'organizzazione

Un amministratore dei criteri dell'organizzazione può utilizzare il constraints/compute.disablePrivateServiceConnectCreationForConsumers vincolo per definire l'insieme di tipi di endpoint per cui gli utenti non possono creare regole di forwarding.

Per informazioni sulla creazione di un criterio dell'organizzazione che utilizza questo vincolo, consulta Impedire ai consumer di eseguire il deployment di endpoint per tipo di connessione.

Passaggi successivi