Acessar APIs regionais do Google por meio de endpoints

Neste documento, explicamos como usar endpoints do Private Service Connect para se conectar a endpoints regionais de APIs do Google compatíveis.

Para mais informações sobre outras configurações do Private Service Connect, consulte Private Service Connect.

Papéis

Para receber as permissões necessárias para criar um endpoint regional do Private Service Connect, peça ao administrador para conceder a você os seguintes papéis do IAM na rede VPC:

• Papel Administrador de rede do Compute (roles/compute.networkAdmin)
• Papel Administrador do DNS (roles/dns.admin)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Antes de começar

1. Instale a CLI do Google Cloud. Após a instalação, inicialize a CLI do Google Cloud executando o seguinte comando:

   $ gcloud init

   Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

2. Enable the Compute Engine, Network Connectivity Center, and Cloud DNS APIs.

   Roles required to enable APIs

   To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

   Enable the APIs

3. Além disso, ative a API para o serviço de destino que você quer acessar pelo endpoint do Private Service Connect. Por exemplo, se você quiser acessar spanner.me-central2.rep.googleapis.com, ative a API Cloud Spanner. O Private Service Connect não ativa automaticamente nenhuma API.

4. Verifique se as regras de firewall de saída permitem o tráfego para o endpoint. A configuração padrão de firewall para uma rede VPC permite esse tráfego porque contém uma regra de saída de permissão implícita. Verifique se você não criou uma regra de saída de prioridade mais alta que bloqueia o tráfego.

Criar um endpoint regional do Private Service Connect

É possível criar um endpoint regional do Private Service Connect para enviar solicitações a um endpoint regional para uma API de destino do Google.

Para uma lista de endpoints regionais compatíveis, consulte endpoints de serviço regional.

gcloud network-connectivity regional-endpoints create ENDPOINT_NAME \
    --region=REGION \
    --address=ADDRESS \
    --network=projects/PROJECT_ID/global/networks/NETWORK_NAME \
    --subnetwork=projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME \
    --target-google-api=REP_DNS_NAME

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/regionalEndpoints?regionalEndpointId=ENDPOINT_NAME

{
  "accessType": "REGIONAL",
  "address": "ADDRESS",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "subnetwork": "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME",
  "targetGoogleApi": "REP_DNS_NAME"
}

Listar endpoints

É possível listar todos os endpoints configurados.

gcloud network-connectivity regional-endpoints list \
    --region=REGION

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/regionalEndpoints

Verifique se o endpoint está funcionando

Crie uma instância de máquina virtual (VM) na rede VPC e na região em que o endpoint está configurado. Execute o comando a seguir na VM para verificar se o endpoint do Private Service Connect está funcionando. Os endpoints não respondem a solicitações de ping (ICMP).

• Para verificar um endpoint IPv4, faça o seguinte:

  curl --connect-to REP_DNS_NAME:443:ADDRESS:443 \
  'https://REP_DNS_NAME/PATH'
  

• Para verificar um endpoint IPv6, faça o seguinte:

  curl -6 --connect-to REP_DNS_NAME:443:[ADDRESS]:443 \
  'https://REP_DNS_NAME/PATH'
  

Substitua:

• REP_DNS_NAME: o nome DNS público do endpoint regional de destino. Por exemplo, spanner.me-central2.rep.googleapis.com.
• ADDRESS: o endereço IP do endpoint.
• PATH: o caminho para um recurso que é disponibilizado por este serviço. Por exemplo, muitos serviços oferecem um documento de descoberta com o caminho $discovery/rest?version=v1.

O exemplo de solicitação a seguir testa se um endpoint com o endereço IP 192.168.1.100 pode solicitar o documento de descoberta da API Cloud Spanner do endpoint regional em me-central2.

curl --connect-to spanner.me-central2.rep.googleapis.com:443:192.168.1.100:443 \
'https://spanner.me-central2.rep.googleapis.com/$discovery/rest?version=v1'

Criar uma entrada de DNS particular para o endpoint

É necessário criar entradas de DNS particulares para que os clientes possam direcionar solicitações ao endpoint do Private Service Connect.

Recomendamos criar uma zona particular que use o mesmo nome de host do endpoint regional de destino: SERVICE.REGION.rep.DOMAIN e criar um registro de vértice nessa zona.

Por exemplo, se o endpoint do Private Service Connect tiver um destino de spanner.me-central2.rep.googleapis.com, crie uma zona particular para spanner.me-central2.rep.googleapis.com que contenha um registro de vértice para spanner.me-central2.rep.googleapis.com. Criar registros no ápice do domínio significa que você pode acessar o nome do host público de outros endpoints regionais, como logging.me-central2.rep.googleapis.com.

As seções a seguir descrevem como usar o Cloud DNS para criar uma zona particular e um registro DNS de vértice.

Criar uma zona particular

gcloud dns managed-zones create ZONE_NAME \
    --dns-name=REP_DNS_NAME. \
    --networks=VPC_NETWORK_LIST \
    --visibility=private \
    --description="Private zone for REP_DNS_NAME"

POST https://dns.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones

{
  "name": "ZONE_NAME",
  "dnsName": "REP_DNS_NAME.",
  "description": "DESCRIPTION",
  "visibility": "private",
  "privateVisibilityConfig": {
    "kind": "dns#managedZonePrivateVisibilityConfig",
    "networks": [
      {
        "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
        "networkUrl": "NETWORK_1_URL"
      },
      {
        "kind": "dns#managedZonePrivateVisibilityConfigNetwork",
        "networkUrl": "NETWORK_2_URL"
      }
    ]
  }
}

Adicionar um registro DNS à zona

gcloud dns record-sets create REP_DNS_NAME \
    --rrdatas=ADDRESS \
    --type=RECORD_TYPE \
    --ttl=TTL \
    --zone=ZONE_NAME

POST https://www.googleapis.com/dns/v1/projects/PROJECT_ID/managedZones/ZONE_NAME/rrsets

{
  "name": "REP_DNS_NAME.",
  "type": "RECORD_TYPE",
  "ttl": TTL,
  "rrdatas": [ "ADDRESS" ]
}

Configurar clientes para usar o nome do endpoint particular

Configure os clientes para usar os nomes DNS particulares em vez dos nomes DNS públicos. Consulte a documentação do seu cliente ou da biblioteca de cliente para mais informações sobre como configurá-lo para usar endpoints personalizados. As páginas a seguir incluem etapas de configuração para alguns clientes comuns:

• Python: é possível configurar api_endpoint em Opções de cliente.

• Go: é possível configurar WithEndpoint em ClientOptions.

• .NET: é possível configurar Endpoint na classe de builder do cliente.

• gcloud: é possível configurar api_endpoint_overrides na CLI gcloud.

Receber informações detalhadas sobre um endpoint

É possível ver todos os detalhes de configuração de um endpoint.

gcloud network-connectivity regional-endpoints describe \
    ENDPOINT_NAME --region=REGION

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/regionalEndpoints/ENDPOINT_NAME

Atualizar a configuração de acesso global

Não é possível atualizar um endpoint do Private Service Connect que tenha um destino de endpoint regional. Se você precisar mudar a configuração de acesso global do endpoint, exclua o endpoint e crie um novo endpoint com a configuração de acesso global necessária.

Excluir um endpoint

É possível excluir um endpoint.

gcloud network-connectivity regional-endpoints delete \
    ENDPOINT_NAME --region=REGION

DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/regionalEndpoints/ENDPOINT_NAME

Acessar endpoints de redes híbridas

• O anexo da VLAN ou o túnel do Cloud VPN precisa terminar na mesma rede VPC (ou rede VPC compartilhada) como endpoint. Os clientes em redes VPC com peering não podem alcançar os endpoints.

• O tráfego de cliente de anexos da VLAN ou túneis do Cloud VPN pode alcançar endpoints em outra região se o acesso global estiver configurado.

• O Dataplane v1 e o Dataplane v2 têm suporte para os anexos da VLAN. Para mais informações sobre as versões do Dataplane, consulte Dataplane v2.

É preciso configurar os sistemas na outra rede para que eles possam fazer consultas nas suas zonas DNS particulares.

Se você tiver implementado as zonas de DNS particular usando o Cloud DNS, conclua estas etapas:

• Crie uma política de servidor de entrada na rede VPC a que a outra rede se conecta.

• Identifique os pontos de entrada do encaminhador de entrada na região em que o anexo da VLAN ou o túnel do Cloud VPN está localizado, na rede VPC a que sua outra rede se conecta.

• Configure sistemas e servidores de nomes DNS na outra rede para encaminhar os Nomes DNS para o endpoint a um ponto de entrada do encaminhador de entrada na mesma região do anexo da VLAN ou do túnel do Cloud VPN que se conecta à rede VPC.