Opciones de acceso privado a servicios
En este documento se ofrece una descripción general de las diferentes opciones de conectividad privada a APIs y servicios de Google y de terceros. De forma predeterminada, una máquina virtual (VM) que no tiene una dirección IP externa no puede acceder a nada fuera de su red VPC, incluidas las APIs y los servicios de Google.Google Cloud ofrece varias opciones para proporcionar conectividad privada a los servicios a través de la dirección IP interna de una VM. Todas las Google Cloud APIs y los servicios admiten al menos una de las siguientes opciones de acceso privado:
- Private Service Connect
- Acceso privado de Google
- Acceso a servicios privados
- Emparejamiento entre redes VPC
Puede configurar una o varias de estas opciones, que funcionan de forma independiente entre sí.
Tipos de Google Cloud servicios
Google Cloud ofrece dos tipos de servicios:
APIs y servicios de Google que se ejecutan en la infraestructura de producción de Google. Estos son algunos ejemplos de servicios:
- Aplicaciones web como Gmail, Documentos de Google y Google Maps.
- Las APIs de Google, incluidas las que tienen endpoints de servicio de la API
*.googleapis.com. - Recursos sin servidor servidos desde URLs
*.appspot.com,*.run.appo*.cloudfunctions.net. - Archivos servidos desde URLs de
*.gstatic.com.
Los servicios de la infraestructura de producción de Google pueden ofrecer conectividad privada a través de Private Service Connect, Private Google Access o ambos.
Servicios alojados en VPC que se ejecutan en máquinas virtuales de Compute Engine en redes de VPC. Google o productores de servicios externos pueden gestionar los servicios alojados en VPC. Estos son algunos ejemplos de servicios:
- Cloud SQL
- Filestore
- Memorystore para Redis
Los servicios alojados en VPC pueden ofrecer conectividad privada a través de Private Service Connect, acceso privado a servicios, intercambio de tráfico entre redes de VPC o una combinación de estas opciones.
Además, si tienes un servicio sin servidor, puedes conectarte desde el servicio a redes de VPC.
Conectarse a las APIs de Google
En la siguiente tabla se describen las opciones de acceso privado para conectarse a las APIs y los servicios de Google alojados en la infraestructura de producción de Google:
| Opción | En nombre de sus clientes | Conexión | Servicios admitidos |
|---|---|---|---|
| Puntos finales de Private Service Connect para APIs de Google | |||
| Google Cloud o sistemas locales, con o sin direcciones IP externas. | Conéctate a un endpoint de tu red de VPC, que reenvía las solicitudes a las APIs y los servicios de Google. | Admite todas las APIs de Google Cloud y la mayoría de las demás APIs y servicios de Google1. | |
| Back-ends de Private Service Connect para APIs de Google | |||
| Google Cloud o sistemas locales, con o sin direcciones IP externas. | Conéctate a un balanceador de carga de tu red VPC, que reenvía solicitudes a las APIs y los servicios de Google. | Admite determinadas APIs y servicios de Google locales y globales. | |
| Acceso privado de Google | |||
| Google Cloud recursos sin direcciones IP externas. | Conéctate a las direcciones IP externas estándar o a los dominios y las IPs virtuales de acceso privado de Google para las APIs y los servicios de Google a través de la puerta de enlace de Internet predeterminada de la red de VPC. | Es compatible con la mayoría de las APIs y los servicios de Google1. | |
| Acceso privado de Google para hosts on-premise | |||
| Hosts locales con o sin direcciones IP externas. | Conéctate a las APIs y los servicios de Google desde tu red on-premise a través de un túnel de Cloud VPN o una vinculación de VLAN mediante uno de los dominios y VIPs específicos del acceso privado de Google. | Los servicios de Google a los que puedes acceder dependen del dominio específico de Acceso privado de Google que utilices. | |
Conectarse a servicios en redes de VPC
En la siguiente tabla se describen las opciones de acceso privado para conectarse a servicios alojados en VPC:
| Opción | En nombre de sus clientes | Conexión | Servicios admitidos | Uso |
|---|---|---|---|---|
| Conectarse a servicios | ||||
| Endpoints de Private Service Connect para servicios publicados | ||||
| Google Cloud Instancias de VM con o sin direcciones IP externas. | Conéctate a servicios de otra red de VPC a través de un punto final. | Admite servicios publicados mediante Private Service Connect para productores de servicios. | Usa esta opción para conectarte a los servicios admitidos de otra red de VPC sin asignar direcciones IP externas a tus Google Cloud recursos. | |
| Backends de Private Service Connect para servicios publicados | ||||
| Google Cloud Instancias de VM con o sin direcciones IP externas. | Conéctate a servicios de otra red de VPC a través de un balanceador de carga. | Admite servicios publicados mediante Private Service Connect para productores de servicios. | Usa esta opción para conectarte a servicios admitidos en otra red de VPC a través de un balanceador de carga gestionado por el consumidor. No es necesario asignar direcciones IP externas a tus Google Cloud recursos. | |
| Políticas de conexión de servicios | ||||
| Google Cloud Instancias de VM con o sin direcciones IP externas. | Conéctate a servicios de otra red de VPC a través de un punto final. | Admite servicios específicos de Google y de terceros. Para saber si un servicio admite políticas de conexión de servicios, ponte en contacto con el proveedor del servicio. | Usa esta opción para desplegar una instancia de servicio gestionado y configurar la conectividad a través de la API o la interfaz de usuario de administración de un servicio. La instancia de servicio se implementa en una red VPC de productor que está conectada a tu red VPC a través de un endpoint. No es necesario asignar direcciones IP externas a tus Google Cloud recursos. | |
| Acceso privado a servicios | ||||
| Google Cloud Instancias de VM con o sin direcciones IP externas. | Conéctate a una red de VPC gestionada por Google o por terceros a través de una conexión de emparejamiento entre redes de VPC. | Admite servicios de Google2 y servicios de terceros que se ofrecen mediante la API Service Networking. | Usa esta opción para conectarte a servicios específicos de Google y de terceros sin asignar direcciones IP externas a tus recursos de Google Cloud y de Google o de terceros. | |
Conectarse desde servicios de Google sin servidor a redes de VPC
Puedes usar la salida de VPC directa para permitir que los entornos de Cloud Run, App Engine estándar y las funciones de Cloud Run envíen paquetes a las direcciones IPv4 internas de los recursos de una red de VPC. Si no puedes usar la salida de VPC directa, puedes configurar un conector de acceso a VPC sin servidor. Ambas opciones también admiten el envío de paquetes a otras redes conectadas a la red de VPC seleccionada.