Accesso privato ai servizi

Questa pagina fornisce una panoramica dell'accesso privato ai servizi.

Google e terze parti (noti collettivamente come producer di servizi) possono offrire servizi ospitati su VPC, ovvero servizi eseguiti su VM ospitate in una rete VPC. L'accesso privato ai servizi consente di raggiungere questi servizi creando una connessione privata tra la rete VPC e la rete VPC del producer di servizi. La connessione privata stabilisce una connessione di tipo peering di rete VPC tra la tua rete e la rete del producer di servizi.

Il traffico di accesso privato ai servizi viene trasferito internamente alla rete di Google, non tramite la rete internet pubblica. Le istanze nella rete VPC possono raggiungere il servizio utilizzando i loro indirizzi IPv4 interni. Le istanze possono avere indirizzi IP esterni, ma questi non sono obbligatori e non vengono utilizzati per l'accesso privato ai servizi.

Servizi supportati

I seguenti servizi Google ospitati su VPC supportano l'accesso privato ai servizi:

Accesso privato ai servizi e peering di rete VPC

In una connessione privata, la rete del producer di servizi e la tua rete sono connesse tramite il peering di rete VPC. Affinché il routing tra le due reti funzioni correttamente, le due reti devono utilizzare intervalli di indirizzi IP distinti. Per evitare sovrapposizioni, crea uno o più intervalli allocati nella tua rete da utilizzare con la connessione privata.

Quando allochi un intervallo nella rete VPC, questo non può essere utilizzato per altre risorse, come subnet o destinazioni di route statiche personalizzate.

Per informazioni sulla scelta di un intervallo allocato, consulta Scegliere un intervallo di indirizzi IP per l'intervallo allocato range.

Flusso di lavoro dell'accesso privato ai servizi

Quando utilizzi l'accesso privato ai servizi, le risorse vengono sottoposte a deployment sia nella rete VPC sia nella rete del producer di servizi. I seguenti passaggi descrivono la procedura:

  1. In qualità di consumer di servizi, esegui il deployment di un'istanza di servizio con accesso privato ai servizi. I dettagli possono variare a seconda del servizio di cui stai eseguendo il deployment. I seguenti passaggi potrebbero essere eseguiti da te o automatizzati dal producer di servizi nell'ambito del deployment dell'istanza di servizio:

    1. Alloca un intervallo di indirizzi IP nella rete VPC. Questo intervallo allocato è riservato esclusivamente al producer di servizi.

    2. Crea una connessione privata al producer di servizi, specificando l'intervallo allocato che hai creato.

    3. Esegui il provisioning di un'istanza di servizio, ad esempio un'istanza Cloud SQL, facendo riferimento alla connessione privata che hai creato.

  2. Il producer di servizi esegue il provisioning delle risorse per l'istanza di servizio.

    1. Il producer di servizi crea un progetto per l'istanza di servizio. Il progetto è isolato, il che significa che nessun altro cliente lo condivide e al consumer di servizi vengono addebitate solo le risorse di cui esegue il provisioning.

    2. All'interno di questo progetto, il producer di servizi crea una rete VPC dedicata a te.

    3. All'interno di questa rete, il producer di servizi crea una subnet. L'intervallo di indirizzi IP per questa subnet viene selezionato dall'intervallo allocato che hai fornito. In genere, il producer di servizi sceglie un blocco CIDR da /29 a /24. Non puoi selezionare o modificare l'intervallo di indirizzi IP della subnet del producer di servizi.

    4. All'istanza di servizio viene assegnato un indirizzo IP dalla nuova subnet.

  3. La connessione privata diventa attiva.

    1. Viene stabilita la connessione di peering di rete VPC.

    2. La rete VPC importa le route dalla rete del producer di servizi.

    3. Le VM nella tua rete possono comunicare con l'istanza di servizio utilizzando il suo indirizzo IP interno. Il traffico viene trasferito interamente all'interno della rete di Google e non tramite la rete internet pubblica.

Dopo aver creato il deployment iniziale, puoi eseguire le seguenti azioni:

  • Eseguire il provisioning di altre risorse: quando esegui il provisioning di risorse aggiuntive per lo stesso servizio, il producer di servizi le inserisce nelle subnet esistenti, se c'è spazio. Se una subnet è piena, viene creata una nuova subnet nella regione dall'intervallo allocato.

  • Eliminare le risorse: una subnet nella rete del producer di servizi viene eliminata solo quando elimini tutte le risorse di servizio al suo interno. Per informazioni sull'eliminazione delle risorse, consulta la documentazione del producer di servizi pertinente.

Esempio

Il seguente diagramma mostra l'utilizzo di una connessione privata per accedere alle istanze di servizio.

Le risorse in una rete consumer di servizi possono accedere a un'istanza Cloud SQL tramite l'accesso privato ai servizi.
Accesso privato ai servizi (fai clic per ingrandire).

In questo esempio, la rete VPC del consumer di servizi ha allocato l'intervallo di indirizzi 10.240.0.0/16 per i servizi Google e ha stabilito una connessione privata che utilizza l'intervallo allocato.

  • Alla connessione privata viene assegnato l'intervallo allocato 10.240.0.0/16.

  • Google crea un progetto e una rete VPC per le risorse del consumer di servizi. Le reti VPC sono connesse tramite il peering di rete VPC.

  • Il producer di servizi crea una subnet che utilizza l'intervallo di indirizzi IP 10.240.0.0/24.

  • All'istanza Cloud SQL viene assegnato l'indirizzo IP 10.240.0.2.

  • Dopo aver creato la subnet, la rete del consumer di servizi importa le route dalla rete di servizi.

  • Nella rete VPC del consumer di servizi, le richieste con destinazione 10.240.0.2 vengono instradate alla connessione privata alla rete del producer di servizi.

  • Il consumer di servizi esegue il deployment di un'istanza di servizio per un altro servizio Google in europe-west1. Poiché Google è il producer di servizi, è possibile utilizzare lo stesso progetto e la stessa rete. Tuttavia, poiché l'istanza si trova in un'altra regione, è necessaria una nuova subnet. Google crea una nuova subnet che utilizza l'intervallo di indirizzi IP 10.240.10.0/24 e assegna all'istanza di servizio l'indirizzo IP 10.240.10.2.

Raggiungibilità delle istanze di servizio

Solo una rete VPC del consumer di servizi può creare una connessione privata a una determinata istanza di servizio gestito. Tuttavia, esistono modi per rendere la connessione privata disponibile per le risorse esterne alla rete VPC:

Se nessuna di queste opzioni funziona per il tuo caso d'uso, il producer di servizi potrebbe offrire altri modi per connettersi al servizio più adatti, ad esempio tramite Private Service Connect. Per saperne di più, consulta la documentazione del servizio.

Accesso tramite NCC

Per alcuni servizi disponibili tramite l'accesso privato ai servizi, puoi utilizzare NCC per rendere il servizio raggiungibile da altri spoke di un hub creando uno spoke VPC del producer. Per saperne di più, inclusi i servizi supportati, consulta Spoke VPC del producer.

Accesso tramite VPC condiviso

Se utilizzi il VPC condiviso, crea l' intervallo IP allocato e la connessione privata nel progetto host. In genere, queste attività devono essere eseguite da un amministratore di rete nel progetto host. Una volta configurato il progetto host, le istanze VM nei progetti di servizio possono utilizzare la connessione privata.

Accesso tramite connettività ibrida

Negli scenari di networking ibrido, una rete on-premise è connessa a una rete VPC tramite una connessione Cloud VPN o Cloud Interconnect. Per impostazione predefinita, gli host on-premise non possono raggiungere la rete del producer di servizi utilizzando l'accesso privato ai servizi.

Nella rete VPC potresti avere route statiche o dinamiche personalizzate per indirizzare correttamente il traffico alla tua rete on-premise. Tuttavia, la rete del producer di servizi non contiene le stesse route. Quando crei una connessione privata, la rete VPC e la rete del producer di servizi scambiano solo le route di subnet.

La rete del producer di servizi contiene una route predefinita (0.0.0.0/0) che va a internet. Se esporti una route predefinita nella rete del producer di servizi, questa viene ignorata perché la route predefinita della rete del producer di servizi ha la precedenza. Definisci ed esporta invece una route personalizzata con una destinazione più specifica.

Per saperne di più, consulta Configurare la connettività ibrida.

Rete del producer di servizi

Sul lato del producer di servizi della connessione privata è presente una rete VPC, in cui viene eseguito il provisioning delle risorse di servizio. La rete del producer di servizi viene creata esclusivamente per te e contiene solo le tue risorse.

Una risorsa nella rete del producer di servizi è simile ad altre risorse nella rete VPC. Ad esempio, è raggiungibile tramite indirizzi IP interni da altre risorse nella rete VPC. Puoi anche creare regole firewall nella rete VPC per controllare l'accesso alla rete del producer di servizi.

Per saperne di più sul lato del producer di servizi, consulta Abilitare l'accesso privato ai servizi nella documentazione di Service Infrastructure. Questa documentazione è solo a scopo informativo e non è necessaria per abilitare o utilizzare l'accesso privato ai servizi.

Prezzi

Per i prezzi dell'accesso privato ai servizi, consulta Accesso privato ai servizi nella pagina dei prezzi di VPC.

Limitazioni

Le seguenti limitazioni si applicano all'accesso privato ai servizi:

  • Poiché una connessione privata viene implementata come connessione di peering di rete VPC, anche i comportamenti e i vincoli delle connessioni di peering si applicano alle connessioni private. Ad esempio, poiché il peering di rete VPC non è transitivo, una connessione privata non è disponibile per le reti VPC in peering.

    Per saperne di più, consulta Peering di rete VPC, Limitazioni del peering di rete VPC, e Quote e limiti.

  • Solo una rete VPC del consumer di servizi può creare una connessione privata che si connette a una determinata istanza di servizio gestito. Tuttavia, esistono modi per rendere la connessione privata disponibile per le risorse esterne alla rete VPC. Per saperne di più, consulta Raggiungibilità delle istanze di servizio.

  • Non puoi modificare l'intervallo di indirizzi IP associato a un intervallo allocato. Tuttavia, puoi modificare gli intervalli allocati associati a una connessione privata connessione.

  • L'utilizzo di intervalli di indirizzi IPv6 con l'accesso privato ai servizi non è supportato.

Passaggi successivi