Acceso privado a servicios

En esta página, se proporciona una descripción general del acceso privado a servicios.

Google y los terceros (que en conjunto se conocen como productores de servicios) pueden ofrecer servicios alojados en VPC , es decir, servicios que se ejecutan en VMs alojadas en una red de VPC. El acceso privado a servicios te permite acceder a esos servicios mediante la creación de una conexión privada entre tu red de VPC y la red de VPC del productor de servicios. La conexión privada establece una conexión de intercambio de tráfico entre redes de VPC entre tu red y la red del productor de servicios.

El tráfico del acceso privado a servicios viaja de manera interna en la red de Google, no a través de la Internet pública. Las instancias de tu red de VPC pueden acceder al servicio con sus direcciones IPv4 internas. Las instancias pueden tener direcciones IP externas, pero el acceso privado a servicios no las requiere ni usa.

Servicios compatibles

Los siguientes servicios de Google alojados en VPC son compatibles con el acceso privado a servicios:

Acceso privado a servicios e intercambio de tráfico entre redes de VPC

En una conexión privada, la red del productor de servicios y tu red se conectan a través del intercambio de tráfico entre redes de VPC. Para que el enrutamiento entre las dos redes funcione correctamente, ambas deben usar rangos de direcciones IP distintos. Para evitar superposiciones, crea uno o más rangos asignados en tu red para usar con la conexión privada.

Cuando asignas un rango en tu red de VPC, ese rango no se puede usar para otros recursos, como subredes o destinos de rutas estáticas personalizadas.

Para obtener información sobre cómo elegir un rango asignado, consulta Elige un rango de direcciones IP para el rango asignado.

Flujo de trabajo del acceso privado a servicios

Cuando usas el acceso privado a servicios, los recursos se implementan en tu red de VPC y en la red del productor de servicios. En los siguientes pasos, se describe el proceso:

  1. Como consumidor de servicios, implementas una instancia de servicio con acceso privado a servicios. Los detalles pueden variar según el servicio que implementes. Es posible que tú realices los siguientes pasos o que el productor de servicios los automatice como parte de la implementación de la instancia de servicio:

    1. Asignas un rango de direcciones IP en tu red de VPC. Este rango asignado se reserva exclusivamente para el productor de servicios.

    2. Creas una conexión privada al productor de servicios y especificas el rango asignado que creaste.

    3. Aprovisionas una instancia de servicio (por ejemplo, una instancia de Cloud SQL) y haces referencia a la conexión privada que creaste.

  2. El productor de servicios aprovisiona recursos para tu instancia de servicio.

    1. El productor de servicios crea un proyecto para tu instancia de servicio. El proyecto está aislado, lo que significa que no se comparte con ningún otro cliente y que al consumidor de servicios solo se le facturan los recursos con los que se aprovisionó.

    2. Dentro de ese proyecto, el productor de servicios crea una red de VPC que está dedicada a ti.

    3. Dentro de esa red, el productor de servicios crea una subred. El rango de direcciones IP de esta subred se selecciona del rango asignado que proporcionaste. Por lo general, el productor de servicios elige un bloque CIDR de /29 a /24. No puedes seleccionar o modificar el rango de direcciones IP de la subred del productor de servicios.

    4. A la instancia de servicio se le asigna una dirección IP de la subred nueva.

  3. La conexión privada se activa.

    1. Se establece la conexión de intercambio de tráfico entre redes de VPC.

    2. Tu red de VPC importa rutas desde la red del productor de servicios.

    3. Las VMs de tu red pueden comunicarse con la instancia de servicio mediante su dirección IP interna. El tráfico viaja por completo dentro de la red de Google y no a través de la Internet pública.

Puedes realizar las siguientes acciones después de crear la implementación inicial:

  • Aprovisionar más recursos: Cuando aprovisionas recursos adicionales para el mismo servicio, el productor de servicios los coloca en subredes existentes si hay espacio. Si una subred está llena, se crea una nueva en esa región a partir del rango asignado.

  • Borrar recursos: Una subred en la red del productor de servicios se borra solo cuando borras todos los recursos de servicio que contiene. Para obtener información sobre cómo borrar recursos, consulta la documentación del productor de servicios correspondiente.

Ejemplo

En el siguiente diagrama, se muestra el uso de una conexión privada para acceder a instancias de servicio.

Los recursos de una red de consumidor de servicios pueden acceder a una instancia de Cloud SQL a través del acceso privado a servicios.
Acceso privado a servicios (haz clic para ampliar).

En este ejemplo, la red de VPC del consumidor de servicios asignó el rango de direcciones 10.240.0.0/16 para los servicios de Google y estableció una conexión privada que usa el rango asignado.

  • Se asigna el rango 10.240.0.0/16 a la conexión privada.

  • Google crea un proyecto y una red de VPC para los recursos del consumidor de servicios. Las redes de VPC se conectan mediante el intercambio de tráfico entre redes de VPC.

  • El productor de servicios crea una subred que usa el rango de direcciones IP 10.240.0.0/24.

  • A la instancia de Cloud SQL se le asigna la dirección IP 10.240.0.2.

  • Después de crear la subred, la red del consumidor de servicios importa rutas desde la red de servicio.

  • En la red de VPC del consumidor de servicios, las solicitudes con un destino de 10.240.0.2 se enrutan a la conexión privada a la red del productor de servicios.

  • El consumidor de servicios implementa una instancia de servicio para un servicio diferente de Google en europe-west1. Como Google es el productor de servicios, se pueden usar el mismo proyecto y la misma red. Sin embargo, como la instancia está en una región diferente, se requiere una subred nueva. Google crea una subred nueva que usa el rango de direcciones IP 10.240.10.0/24 y asigna a la instancia de servicio la dirección IP 10.240.10.2.

Accesibilidad de las instancias de servicio

Solo una red de VPC del consumidor de servicios puede crear una conexión privada a una instancia de servicio administrado determinada. Sin embargo, existen formas de hacer que la conexión privada esté disponible para los recursos que están fuera de esa red de VPC:

Si ninguna de estas opciones funciona para tu caso de uso, es posible que el productor de servicios ofrezca otras formas de conectarse al servicio que se adapten mejor, por ejemplo, a través de Private Service Connect. Para obtener más información, consulta la documentación del servicio.

Acceso a través de NCC

Para algunos servicios que están disponibles a través del acceso privado a servicios, puedes usar NCC para hacer que el servicio sea accesible para otros radios en un concentrador mediante la creación de un radio de VPC del productor. Para obtener más información, incluidos los servicios compatibles, consulta Radios de VPC del productor.

Acceso a través de la VPC compartida

Si usas una VPC compartida, crea el rango de IP asignado y la conexión privada en el proyecto host. Por lo general, un administrador de red en el proyecto host debe realizar estas tareas. Después de configurar el proyecto de host, las instancias de VM en proyectos de servicio pueden usar la conexión privada.

Acceso a través de la conectividad híbrida

En situaciones de redes híbridas, una red local se conecta a una red de VPC a través de una conexión de Cloud VPN o Cloud Interconnect. De forma predeterminada, los hosts locales no pueden acceder a la red del productor de servicios mediante el acceso privado a servicios.

En la red de VPC, es posible que tengas rutas estáticas o dinámicas personalizadas para dirigir el tráfico a la red local de manera correcta. Sin embargo, la red del productor de servicios no contiene esas mismas rutas. Cuando creas una conexión privada, la red de VPC y la red del productor de servicios solo intercambian rutas de subredes.

Nota: La red del productor de servicios contiene una ruta predeterminada (0.0.0.0/0) que se conecta a Internet. Si exportas una ruta predeterminada a la red del productor de servicios, esta se ignora porque la ruta predeterminada de la red del productor de servicios tiene prioridad. En su lugar, define y exporta una ruta personalizada con un destino más específico.

Para obtener más información, consulta Configura la conectividad híbrida.

Red de productores de servicios

En el lado del productor de servicios de la conexión privada, hay una red de VPC, en la que se aprovisionan los recursos de servicio. La red del productor de servicios se crea exclusivamente para ti y contiene solo tus recursos.

Un recurso en la red del productor de servicios es similar a otro recurso en tu red de VPC. Por ejemplo, otros recursos de tu red de VPC pueden acceder a ellos mediante direcciones IP internas. También puedes crear reglas de firewall en la red de VPC para controlar el acceso a la red del productor de servicios.

Para obtener más información sobre el lado del productor de servicios, consulta Habilita el acceso privado a servicios en la documentación de Service Infrastructure. Esta documentación es solo para tu información y no es necesaria a fin de habilitar o usar el acceso a los servicios privados.

Restringe las conexiones privadas con políticas de la organización

Puedes usar restricciones personalizadas de políticas de la organización para definir restricciones para las conexiones privadas. Por ejemplo, configurar restricciones personalizadas con el tipo de recurso servicenetworking.googleapis.com/Connection te permite hacer lo siguiente:

  • Especificar qué redes de VPC se pueden conectar con conexiones privadas
  • Especificar restricciones para los nombres de los rangos asignados que puedes usar para crear conexiones privadas

Para obtener más información, consulta Administra recursos con restricciones personalizadas.

Precios

Para los precios de acceso a servicios privados, consulta Acceso privado a servicios en la página de precios de VPC.

Limitaciones

Las siguientes limitaciones se aplican al acceso privado a servicios:

  • Debido a que una conexión privada se implementa como una conexión de intercambio de tráfico entre redes de VPC, los comportamientos y las restricciones de las conexiones de intercambio de tráfico también se aplican a las conexiones privadas. Por ejemplo, debido a que el intercambio de tráfico entre redes de VPC no es transitivo, una conexión privada no está disponible para las redes de VPC con intercambio de tráfico.

    Para obtener más información, consulta Intercambio de tráfico entre redes de VPC, Limitaciones del intercambio de tráfico entre redes de VPC, y Cuotas y límites.

  • Solo una red de VPC del consumidor de servicios puede crear una conexión privada que se conecte a una instancia de servicio administrado determinada. Sin embargo, existen formas de hacer que la conexión privada esté disponible para los recursos que están fuera de esa red de VPC. Para obtener más información, consulta Accesibilidad de las instancias de servicio.

  • No puedes cambiar el rango de direcciones IP asociado con un rango asignado. Sin embargo, puedes modificar qué rangos asignados están asociados con una conexión privada conexión.

  • No se admite el uso de rangos de direcciones IPv6 con acceso privado a servicios.

¿Qué sigue?