Opções de acesso privado para serviços
Neste documento, apresentamos uma visão geral das diferentes opções de conectividade privada com APIs e serviços do Google e de terceiros. Por padrão, uma máquina virtual (VM) sem um endereço IP externo não pode acessar nada fora da rede VPC, incluindo APIs e serviços do Google. OGoogle Cloud oferece várias opções para fornecer conectividade particular a serviços usando o endereço IP interno de uma VM. Todas as APIs e os serviços oferecem suporte a pelo menos uma das seguintes opções de acesso privado: Google Cloud
- Private Service Connect
- Acesso privado do Google
- Acesso privado a serviços
- Peering de rede VPC
Você pode configurar uma ou mais dessas opções, que operam de forma independente umas das outras.
Tipos de serviços Google Cloud
OGoogle Cloud oferece dois tipos de serviços:
APIs e serviços do Google executados na infraestrutura de produção do Google. Exemplos de serviços:
- Aplicativos da Web, como Gmail, Documentos Google e Google Maps.
- APIs do Google, incluindo aquelas que têm endpoints de serviço de API
*.googleapis.com. - Recursos sem servidor veiculados de URLs
*.appspot.com,*.run.appou*.cloudfunctions.net. - Arquivos veiculados de URLs
*.gstatic.com.
Os serviços na infraestrutura de produção do Google podem oferecer conectividade privada pelo Private Service Connect, pelo Acesso privado do Google ou por ambos.
Serviços hospedados na VPC que são executados em VMs do Compute Engine em redes VPC. Os serviços hospedados na VPC podem ser gerenciados pelo Google ou por produtores de serviços terceirizados. Exemplos de serviços:
- Cloud SQL
- Filestore
- Memorystore for Redis
Os serviços hospedados na VPC podem oferecer conectividade particular por meio do Private Service Connect, acesso a serviços particulares, peering de rede VPC ou uma combinação dessas opções.
Além disso, se você tiver um serviço sem servidor, poderá conectar o serviço a redes VPC.
Conectar-se às APIs do Google
A tabela a seguir descreve as opções de acesso privado para se conectar a APIs e serviços do Google hospedados na infraestrutura de produção do Google:
| Opção | Clientes | Conexão | Serviços compatíveis |
|---|---|---|---|
| Endpoints do Private Service Connect para APIs do Google | |||
| Recursos doGoogle Cloud ou sistemas locais, com ou sem endereços IP externos. | Conecte-se a um endpoint na sua rede VPC, que encaminha as solicitações para os serviços e as APIs do Google. | Compatível com todas as APIs do Google Cloud e a maioria das outras APIs e serviços do Google1. | |
| Back-ends do Private Service Connect para APIs do Google | |||
| Recursos doGoogle Cloud ou sistemas locais, com ou sem endereços IP externos. | Conecte-se a um balanceador de carga na sua rede VPC, que encaminha solicitações para APIs e serviços do Google. | Oferece suporte a APIs e serviços locais e globais do Google selecionados. | |
| Acesso privado do Google | |||
| Recursos doGoogle Cloud sem endereços IP externos. | Conecte-se aos endereços IP externos padrão ou aos domínios e VIPs do Acesso privado do Google para serviços e APIs do Google por meio do gateway de Internet padrão da rede VPC. | Compatível com a maioria dos serviços e das APIs do Google1. | |
| Acesso privado do Google para hosts locais | |||
| Hosts locais com ou sem endereços IP externos. | Conecte-se a serviços e APIs do Google pela rede local por meio de um encapsulamento do Cloud VPN ou de um anexo da VLAN usando um dos domínios e VIPs específicos de Acesso privado do Google. | Os serviços do Google que podem ser acessados dependem do domínio específico de Acesso privado do Google que você usa. | |
Conectar-se aos serviços nas redes VPC
A tabela a seguir descreve as opções de acesso particular para se conectar a serviços hospedados na VPC:
| Opção | Clientes | Conexão | Serviços compatíveis | Uso |
|---|---|---|---|---|
| Como se conectar aos serviços | ||||
| Endpoints do Private Service Connect para serviços publicados | ||||
| Google Cloud Instâncias de VM com ou sem endereços IP externos. | Conecte-se a serviços em outra rede VPC por meio de um endpoint. | Compatível com serviços publicados usando o Private Service Connect para produtores de serviços. | Use essa opção para se conectar a serviços com suporte em outra rede VPC sem atribuir endereços IP externo aos recursos do Google Cloud . | |
| Back-ends do Private Service Connect para serviços publicados | ||||
| Google Cloud Instâncias de VM com ou sem endereços IP externos. | Conecte-se a serviços em outra rede VPC por meio de um balanceador de carga. | Compatível com serviços publicados usando o Private Service Connect para produtores de serviços. | Use essa opção para se conectar a serviços com suporte em outra rede VPC por meio de um balanceador de carga gerenciado pelo consumidor. Você não precisa atribuir endereços IP externos aos seus recursos do Google Cloud . | |
| Políticas de conexão de serviço | ||||
| Google Cloud Instâncias de VM com ou sem endereços IP externos. | Conecte-se a serviços em outra rede VPC por meio de um endpoint. | Compatível com serviços específicos do Google e de terceiros. Para saber se um serviço gerenciado é compatível com as políticas de conexão, entre em contato com o provedor. | Use essa opção para implantar uma instância de serviço gerenciado e configurar a conectividade por meio da API ou interface administrativa de um serviço. A instância de serviço é implantada em uma rede VPC do produtor que está conectada à sua rede VPC por meio de um endpoint. Você não precisa atribuir endereços IP externos aos seus recursos do Google Cloud . | |
| Acesso privado a serviços | ||||
| Google Cloud Instâncias de VM com ou sem endereços IP externos. | Conecte-se a uma rede VPC gerenciada por terceiros ou pelo Google por meio de uma conexão de peering de redes VPC. | Compatível com Serviços do Google2 e serviços de terceiros disponibilizados com a API Service Networking. | Use essa opção para se conectar a serviços específicos do Google e de terceiros sem atribuir endereços IP externos aos recursos do Google Cloud e do Google ou de terceiros. | |
Conectar serviços do Google sem servidor para redes VPC
Use a saída direta da VPC para permitir que os ambientes do Cloud Run, do App Engine padrão e do Cloud Run Functions enviem pacotes para os endereços IPv4 internos dos recursos em uma rede VPC. Se a saída VPC direta não for uma opção para você, configure um conector de acesso VPC sem servidor. As duas opções também oferecem suporte ao envio de pacotes a outras redes conectadas à rede VPC selecionada.