Opzioni di accesso privato per i servizi
Questo documento fornisce una panoramica delle diverse opzioni per la connettività privata alle API e ai servizi Google e di terze parti. Per impostazione predefinita, una macchina virtuale (VM) che non ha un indirizzo IP esterno non può raggiungere nulla al di fuori della sua rete VPC, inclusi i servizi e le API di Google.Google Cloud offre diverse opzioni per fornire connettività privata ai servizi tramite l'indirizzo IP interno di una VM. Tutte le Google Cloud API e i servizi supportano almeno una delle seguenti opzioni di accesso privato:
- Private Service Connect
- Accesso privato Google
- Accesso privato ai servizi
- Peering di rete VPC
Puoi configurare una o più di queste opzioni, che funzionano indipendentemente l'una dall'altra.
Tipi di servizi Google Cloud
Google Cloud offre due tipi di servizi:
API e servizi Google eseguiti sull'infrastruttura di produzione di Google. Ecco alcuni esempi di servizi:
- Applicazioni web come Gmail, Documenti Google e Google Maps.
- API di Google, incluse quelle con endpoint del servizio API
*.googleapis.com. - Risorse serverless pubblicate dagli URL
*.appspot.com,*.run.appo*.cloudfunctions.net. - File pubblicati dagli URL
*.gstatic.com.
I servizi nell'infrastruttura di produzione di Google potrebbero offrire connettività privata tramite Private Service Connect, l'accesso privato Google o entrambi.
Servizi ospitati su VPC eseguiti su VM Compute Engine nelle reti VPC. I servizi ospitati nel VPC possono essere gestiti da Google o da produttori di servizi di terze parti. Ecco alcuni esempi di servizi:
- Cloud SQL
- Filestore
- Memorystore for Redis
I servizi ospitati su VPC potrebbero offrire connettività privata tramite Private Service Connect, accesso privato ai servizi, peering di rete VPC o una combinazione di queste opzioni.
Inoltre, se hai un servizio serverless, puoi connetterti dal servizio alle reti VPC.
Connettersi alle API di Google
La seguente tabella descrive le opzioni di accesso privato per la connessione a servizi e API di Google ospitati nell'infrastruttura di produzione di Google:
| Opzione | Client | Connessione | Servizi supportati |
|---|---|---|---|
| Endpoint Private Service Connect per le API di Google | |||
| Google Cloud o sistemi on-premise, con o senza indirizzi IP esterni. | Connettiti a un endpoint nella tua rete VPC, che inoltra le richieste alle API e ai servizi di Google. | Supporta tutte le API Google Cloud e la maggior parte delle altre API e dei servizi di Google1. | |
| Backend Private Service Connect per le API di Google | |||
| Google Cloud o sistemi on-premise, con o senza indirizzi IP esterni. | Connettiti a un bilanciatore del carico nella tua rete VPC, che inoltra le richieste alle API e ai servizi Google. | Supporta API e servizi Google locali e globali selezionati. | |
| Accesso privato Google | |||
| RisorseGoogle Cloud senza indirizzi IP esterni. | Connettiti agli indirizzi IP esterni standard o ai domini e agli IP virtuali dell'accesso privato Google per i servizi e le API di Google tramite il gateway internet predefinito della rete VPC. | Supporta la maggior parte delle API e dei servizi Google1. | |
| Accesso privato Google per gli host on-premise | |||
| Host on-premise con o senza indirizzi IP esterni. | Connettiti alle API e ai servizi Google dalla tua rete on-premise tramite un tunnel Cloud VPN o un collegamento VLAN utilizzando uno dei domini e VIP specifici per l'accesso privato Google. | I servizi Google a cui puoi accedere dipendono dal dominio specifico per l'accesso privato Google che utilizzi. | |
Connettiti ai servizi nelle reti VPC
La tabella seguente descrive le opzioni di accesso privato per la connessione ai servizi ospitati su VPC:
| Opzione | Client | Connessione | Servizi supportati | Utilizzo |
|---|---|---|---|---|
| Connessione ai servizi | ||||
| Endpoint Private Service Connect per servizi pubblicati | ||||
| Google Cloud Istanze VM con o senza indirizzi IP esterni. | Connettiti ai servizi in un'altra rete VPC tramite un endpoint. | Supporta i servizi pubblicati utilizzando Private Service Connect per i producer di servizi. | Utilizza questa opzione per connetterti ai servizi supportati in un'altra rete VPC senza assegnare indirizzi IP esterni alle tue risorse Google Cloud . | |
| Backend di Private Service Connect per servizi pubblicati | ||||
| Google Cloud Istanze VM con o senza indirizzi IP esterni. | Connettiti ai servizi in un'altra rete VPC tramite un bilanciatore del carico. | Supporta i servizi pubblicati utilizzando Private Service Connect per i producer di servizi. | Utilizza questa opzione per connetterti ai servizi supportati in un'altra rete VPC tramite un bilanciatore del carico gestito dal consumer. Non devi assegnare indirizzi IP esterni alle tue risorse Google Cloud . | |
| Policy di connessione al servizio | ||||
| Google Cloud Istanze VM con o senza indirizzi IP esterni. | Connettiti ai servizi in un'altra rete VPC tramite un endpoint. | Supporta servizi Google e di terze parti specifici. Per scoprire se un servizio supporta le policy di connessione al servizio, contatta il fornitore del servizio. | Utilizza questa opzione per eseguire il deployment di un'istanza di servizio gestito e configurare la connettività tramite l'API o la UI amministrativa di un servizio. L'istanza di servizio viene implementata in una rete VPC del producer connessa alla tua rete VPC tramite un endpoint. Non devi assegnare indirizzi IP esterni alle tue risorse Google Cloud . | |
| Accesso privato ai servizi | ||||
| Google Cloud Istanze VM con o senza indirizzi IP esterni. | Connettiti a una rete VPC gestita da Google o da terze parti tramite una connessione di peering di rete VPC. | Supporta i servizi Google2 e i servizi di terze parti resi disponibili tramite l' API Service Networking. | Utilizza questa opzione per connetterti a servizi Google e di terze parti specifici senza assegnare indirizzi IP esterni alle risorse Google Cloud e a quelle di Google o di terze parti. | |
Connettersi dai servizi Google serverless alle reti VPC
Puoi utilizzare l'uscita VPC diretta per consentire agli ambienti Cloud Run, App Engine standard e Cloud Run Functions di inviare pacchetti agli indirizzi IPv4 interni delle risorse in una rete VPC. Se il traffico VPC diretto in uscita non è un'opzione per te, puoi configurare un connettore di accesso VPC serverless. Entrambe le opzioni supportano anche l'invio di pacchetti ad altre reti connesse alla rete VPC selezionata.