Options d'accès privé pour les services
Ce document présente les différentes options de connectivité privée aux API et services Google et tiers. Par défaut, une machine virtuelle (VM) sans adresse IP externe ne peut accéder à aucun élément en dehors de son réseau VPC, y compris aux API et services Google.Google Cloud propose plusieurs options pour fournir une connectivité privée aux services via l'adresse IP interne d'une VM. Toutes les API et tous les services Google Cloud sont compatibles avec au moins l'une des options d'accès privé suivantes :
- Private Service Connect
- Accès privé à Google
- Accès aux services privés
- Appairage de réseaux VPC
Vous pouvez configurer une ou plusieurs de ces options, car elles fonctionnent indépendamment les unes des autres.
Types de services Google Cloud
Google Cloud propose deux types de services :
API et services Google qui s'exécutent sur l'infrastructure de production de Google. Voici quelques exemples de services :
- Applications Web telles que Gmail, Google Docs et Google Maps.
- Les API Google, y compris celles qui comportent des points de terminaison de service d'API
*.googleapis.com. - Ressources sans serveur diffusées à partir d'URL
*.appspot.com,*.run.appou*.cloudfunctions.net. - Fichiers diffusés à partir d'URL
*.gstatic.com.
Les services de l'infrastructure de production de Google peuvent proposer une connectivité privée via Private Service Connect, l'accès privé à Google ou les deux.
Services hébergés sur VPC qui s'exécutent sur des VM Compute Engine dans des réseaux VPC. Les services hébergés dans un VPC peuvent être gérés par Google ou par des producteurs de services tiers. Voici quelques exemples de services :
- Cloud SQL
- Filestore
- Memorystore pour Redis
Les services hébergés dans un VPC peuvent proposer une connectivité privée via Private Service Connect, l'accès aux services privés, l'appairage de réseaux VPC ou une combinaison de ces options.
De plus, si vous disposez d'un service sans serveur, vous pouvez vous connecter au réseau VPC depuis le service.
Se connecter aux API Google
Le tableau suivant décrit les options d'accès privé pour se connecter aux API et services Google hébergés dans l'infrastructure de production de Google :
| Option | Clients | Connexion | Services compatibles |
|---|---|---|---|
| Points de terminaison Private Service Connect pour les API Google | |||
| RessourcesGoogle Cloud ou systèmes sur site, avec ou sans adresses IP externes | Connectez-vous à un point de terminaison de votre réseau VPC, qui transmet les requêtes aux API et services Google. | Compatible avec toutes les API Google Cloud , ainsi qu'avec la plupart des autres services et API Google1. | |
| Backends Private Service Connect pour les API Google | |||
| RessourcesGoogle Cloud ou systèmes sur site, avec ou sans adresses IP externes | Connectez-vous à un équilibreur de charge de votre réseau VPC, qui transmet les requêtes aux API et services Google. | Compatible avec les API et services Google localisés et globaux. | |
| Accès privé à Google | |||
| aux ressourcesGoogle Cloud sans adresse IP externe. | Connexion aux adresses IP externes standards ou aux domaines et adresses IP virtuelles de l'accès privé à Google pour les API et services Google, via la passerelle Internet par défaut du réseau VPC. | Compatible avec la plupart des API et services Google1. | |
| Accès privé à Google pour les hôtes sur site | |||
| Hôtes sur site associés ou non à des adresses IP externes | Connectez-vous aux API et services Google depuis votre réseau sur site via un tunnel Cloud VPN ou un rattachement de VLAN, avec l'un des domaines et l'une des adresses IP virtuelles spécifiques pour l'Accès privé à Google. | Les services Google auxquels vous pouvez accéder dépendent du domaine spécifique d'accès privé à Google que vous utilisez. | |
Se connecter aux services situés dans des réseaux VPC
Le tableau suivant décrit les options d'accès privé pour se connecter aux services hébergés dans un VPC :
| Option | Clients | Connexion | Services compatibles | Utilisation |
|---|---|---|---|---|
| Connexion aux services | ||||
| Points de terminaison Private Service Connect pour les services publiés | ||||
| Google Cloud Instances de VM associées ou non à des adresses IP externes. | Connectez-vous aux services d'un autre réseau VPC via un point de terminaison. | Compatible avec les services publiés à l'aide de Private Service Connect pour les producteurs de services. | Utilisez cette option pour vous connecter aux services compatibles dans un autre réseau VPC sans attribuer d'adresses IP externes à vos ressources Google Cloud . | |
| Backends Private Service Connect pour les services publiés | ||||
| Google Cloud Instances de VM associées ou non à des adresses IP externes. | Connectez-vous aux services d'un autre réseau VPC via un équilibreur de charge. | Compatible avec les services publiés à l'aide de Private Service Connect pour les producteurs de services. | Utilisez cette option pour vous connecter aux services compatibles d'un autre réseau VPC via un équilibreur de charge géré par le client. Vous n'avez pas besoin d'attribuer des adresses IP externes à vos ressources Google Cloud . | |
| Règles de connexion au service | ||||
| Google Cloud Instances de VM associées ou non à des adresses IP externes. | Connectez-vous aux services d'un autre réseau VPC via un point de terminaison. | Compatible avec des services Google et tiers spécifiques. Pour savoir si un service est compatible avec les règles de connexion au service, contactez le fournisseur de services. | Utilisez cette option pour déployer une instance de service géré et configurer la connectivité via l'API ou l'interface utilisateur d'administration d'un service. L'instance de service est déployée dans un réseau VPC producteur qui est connecté à votre réseau VPC via un point de terminaison. Vous n'avez pas besoin d'attribuer des adresses IP externes à vos ressources Google Cloud . | |
| Accès aux services privés | ||||
| Google Cloud Instances de VM associées ou non à des adresses IP externes. | Connectez-vous à un réseau VPC géré par Google ou un tiers via une connexion d'appairage de réseaux VPC. | Compatible avec les services Google2 et avec les services tiers mis à disposition à l'aide de l'API Service Networking. | Utilisez cette option pour vous connecter à des services Google et tiers spécifiques sans attribuer d'adresses IP externes à vos ressources Google Cloud et Google, ou tierces. | |
Se connecter aux services VPC depuis des services Google sans serveur
Vous pouvez utiliser la sortie VPC directe pour permettre aux environnements Cloud Run, App Engine standard et Cloud Run Functions d'envoyer des paquets aux adresses IPv4 internes des ressources d'un réseau VPC. Si la sortie VPC directe n'est pas une option pour vous, vous pouvez configurer un connecteur d'accès au VPC sans serveur à la place. Les deux options permettent également d'envoyer des paquets à d'autres réseaux connectés au réseau VPC sélectionné.