אפשרויות גישה פרטיות לשירותים
במסמך הזה מפורטת סקירה כללית של האפשרויות השונות לקישוריות פרטית לממשקי API ולשירותים של Google ושל צדדים שלישיים. כברירת מחדל, למכונה וירטואלית (VM) שאין לה כתובת IP חיצונית אין גישה לכלום מחוץ לרשת ה-VPC שלה, כולל Google APIs ושירותים של Google.Google Cloud מספקת כמה אפשרויות לחיבור פרטי לשירותים דרך כתובת ה-IP הפנימית של מכונה וירטואלית. כל ממשקי ה-API והשירותים של Google Cloud Google תומכים לפחות באחת מאפשרויות הגישה הפרטית הבאות:
- התחברות לשירות פרטי
- גישה פרטית ל-Google
- גישה לשירותים פרטיים
- קישור בין רשתות VPC שכנות (peering)
אתם יכולים להגדיר אחת או יותר מהאפשרויות האלה – האפשרויות פועלות באופן עצמאי.
סוגי Google Cloud שירותים
Google Cloud מציעה שני סוגים של שירותים:
ממשקי API ושירותים של Google שפועלים בתשתית הייצור של Google. דוגמאות לשירותים:
- אפליקציות אינטרנט כמו Gmail, Google Docs ומפות Google.
- Google APIs, כולל ממשקי API עם נקודות קצה של שירותי API
*.googleapis.com. - משאבים ללא שרת שמוצגים מכתובות URL של
*.appspot.com,*.run.appאו*.cloudfunctions.net. - קבצים שמוצגים מכתובות URL של
*.gstatic.com.
שירותים בתשתית הייצור של Google עשויים להציע קישוריות פרטית באמצעות Private Service Connect, גישה פרטית ל-Google או שניהם.
שירותים שמארחים ב-VPC ופועלים במכונות וירטואליות של Compute Engine ברשתות VPC. שירותים שמתארחים ב-VPC יכולים להיות מנוהלים על ידי Google או על ידי ספקי שירותים של צד שלישי. דוגמאות לשירותים:
- Cloud SQL
- Filestore
- Memorystore ל-Redis
שירותים שמארחים ב-VPC יכולים להציע קישוריות פרטית באמצעות Private Service Connect, גישה לשירותים פרטיים, קישור בין רשתות VPC שכנות (peering) או שילוב של האפשרויות האלה.
בנוסף, אם יש לכם שירות serverless, אתם יכולים להתחבר מהשירות לרשתות VPC.
חיבור ל-Google APIs
בטבלה הבאה מתוארות אפשרויות הגישה הפרטית לחיבור לממשקי API ולשירותים של Google שמתארחים בתשתית הייצור של Google:
| אפשרות | לקוחות | חיבור | שירותים נתמכים |
|---|---|---|---|
| נקודות קצה של Private Service Connect ל-Google APIs | |||
| Google Cloud משאבים או מערכות מקומיות, עם או בלי כתובות IP חיצוניות. | מתחברים ל נקודת קצה ברשת ה-VPC, שמעבירה בקשות ל-Google APIs ולשירותים של Google. | תומך בכל ממשקי Google Cloud API וברוב ממשקי Google APIs ושירותים אחרים1. | |
| עורפי קצה של Private Service Connect ל-Google APIs | |||
| Google Cloud משאבים או מערכות מקומיות, עם או בלי כתובות IP חיצוניות. | מתחברים ל מאזן עומסים (LB) ברשת ה-VPC, שמעביר בקשות ל-Google APIs ולשירותים של Google. | תמיכה בממשקי API ובשירותים נבחרים של Google שהם לוקאליים וגלובליים. | |
| גישה פרטית ל-Google | |||
| Google Cloud משאבים ללא כתובות IP חיצוניות. | מתחברים לכתובות IP חיצוניות רגילות או לדומיינים ולכתובות IP וירטואליות של גישה פרטית ל-Google עבור Google APIs ושירותים של Google דרך שער האינטרנט שמוגדר כברירת מחדל ברשת ה-VPC. | תומך ברוב ממשקי Google API ובשירותים של Google1. | |
| גישה פרטית ל-Google למארחים מקומיים | |||
| מארחים מקומיים עם או בלי כתובות IP חיצוניות. | מתחברים לממשקי API ולשירותים של Google מהרשת המקומית באמצעות מנהרת Cloud VPN או צירוף ל-VLAN, על ידי שימוש באחד מהדומיינים וכתובות ה-IP הווירטואליות (VIP) הספציפיים לגישה פרטית ל-Google. | שירותי Google שאפשר לגשת אליהם תלויים בדומיין הספציפי של גישה פרטית ל-Google שבו אתם משתמשים. | |
התחברות לשירותים ברשתות VPC
בטבלה הבאה מפורטות אפשרויות הגישה הפרטית לחיבור לשירותים שמארחים ב-VPC:
| אפשרות | לקוחות | חיבור | שירותים נתמכים | Usage |
|---|---|---|---|---|
| חיבור לשירותים | ||||
| נקודות קצה מסוג Private Service Connect לשירותים שפורסמו | ||||
| Google Cloud מכונות וירטואליות עם כתובות IP חיצוניות או ללא כתובות IP חיצוניות. | חיבור לשירותים ברשת VPC אחרת דרך נקודת קצה. | תמיכה בשירותים שמפורסמים באמצעות Private Service Connect לבעלי שירותים מנוהלים. | אפשר להשתמש באפשרות הזו כדי להתחבר לשירותים נתמכים ברשת VPC אחרת בלי להקצות כתובות IP חיצוניות ל Google Cloud משאבים. | |
| בקצה העורפי של Private Service Connect לשירותים שפורסמו | ||||
| Google Cloud מכונות וירטואליות עם כתובות IP חיצוניות או ללא כתובות IP חיצוניות. | להתחבר לשירותים ברשת VPC אחרת באמצעות מאזן עומסים. | תמיכה בשירותים שמפורסמים באמצעות Private Service Connect לבעלי שירותים מנוהלים. | משתמשים באפשרות הזו כדי להתחבר לשירותים נתמכים ברשת VPC אחרת דרך מאזן עומסים שמנוהל על ידי הצרכן. לא צריך להקצות כתובות IP חיצוניות למשאבי Google Cloud . | |
| מדיניות בנושא חיבור לשירות | ||||
| Google Cloud מכונות וירטואליות עם כתובות IP חיצוניות או ללא כתובות IP חיצוניות. | חיבור לשירותים ברשת VPC אחרת דרך נקודת קצה. | תומך בשירותים ספציפיים של Google ושל צדדים שלישיים. כדי לברר אם שירות מסוים תומך במדיניות של חיבור שירותים, צריך לפנות לספק השירות. | משתמשים באפשרות הזו כדי לפרוס מופע של שירות מנוהל ולהגדיר קישוריות באמצעות ממשק משתמש או API אדמיניסטרטיבי של שירות. מופע השירות נפרס ברשת VPC של ספק השירות שמחוברת לרשת ה-VPC שלכם דרך נקודת קצה. לא צריך להקצות כתובות IP חיצוניות למשאבי Google Cloud . | |
| גישה לשירותים פרטיים | ||||
| Google Cloud מכונות וירטואליות עם כתובות IP חיצוניות או ללא כתובות IP חיצוניות. | חיבור לרשת VPC מנוהלת של Google או של צד שלישי באמצעות חיבור VPC Network Peering. | תמיכה ב שירותי Google2 ובשירותים של צד שלישי שזמינים באמצעות Service Networking API. | אפשר להשתמש באפשרות הזו כדי להתחבר לשירותים ספציפיים של Google ושל צד שלישי, בלי להקצות כתובות IP חיצוניות למשאבים שלכם Google Cloud ולמשאבים של Google או של צד שלישי. | |
חיבור משירותי Google ללא שרתים לרשתות VPC
אתם יכולים להשתמש ביציאה ישירה מ-VPC כדי לאפשר לסביבות של Cloud Run, App Engine standard ופונקציות של Cloud Run לשלוח מנות לכתובות IPv4 פנימיות של משאבים ברשת VPC. אם אי אפשר להשתמש ביציאה ישירה מ-VPC, אפשר להגדיר במקום זאת מחבר חיבור לרשת (VPC) מאפליקציית serverless. שתי האפשרויות תומכות גם בשליחת מנות לרשתות אחרות שמחוברות לרשת ה-VPC שנבחרה.