Acesso privado a serviços

Nesta página, você encontra uma visão geral do acesso a serviços privados.

O Google e terceiros, conhecidos conjuntamente como produtores de serviços, podem oferecer serviços hospedados na VPC, ou seja, serviços executados em VMs hospedadas em uma rede VPC. Com o acesso a serviços particulares, é possível alcançar esses serviços criando uma conexão particular entre sua rede VPC e a rede VPC do produtor de serviços. A conexão particular estabelece um peering de redes VPC entre sua rede e a rede do produtor de serviços.

O tráfego de acesso a serviços particulares é transmitido internamente na rede do Google, e não pela Internet pública. As instâncias na sua rede VPC podem acessar o serviço usando os endereços IPv4 internos. As instâncias podem ter endereços IP externo, mas eles não são um requisito nem são usados pelo acesso privado a serviços.

Serviços compatíveis

Os seguintes serviços hospedados na VPC do Google são compatíveis com o Acesso privado a serviços:

Acesso a serviços particulares e peering de rede VPC

Em uma conexão particular, a rede do produtor de serviços e sua rede são conectadas por peering de rede VPC. Para que o roteamento entre as duas redes funcione corretamente, elas precisam usar intervalos de endereços IP distintos. Para evitar sobreposições, crie um ou mais intervalos alocados na sua rede para usar com a conexão particular.

Quando você aloca um intervalo na sua rede VPC, ele não pode ser usado para outros recursos, como sub-redes ou destinos de rotas estáticas personalizadas.

Para informações sobre como escolher um intervalo alocado, consulte Escolher um intervalo de endereços IP para o intervalo alocado.

Fluxo de trabalho do acesso a serviços particulares

Ao usar o acesso a serviços particulares, os recursos são implantados na sua rede VPC e na rede do produtor de serviços. As etapas a seguir descrevem o processo:

  1. Como consumidor de serviços, você implanta uma instância de serviço com acesso a serviços particulares. Os detalhes podem variar dependendo do serviço que você está implantando. As etapas a seguir podem ser realizadas por você ou automatizadas pelo produtor de serviços como parte da implantação da instância de serviço:

    1. Você aloca um intervalo de endereços IP na sua rede VPC. Esse intervalo alocado é reservado exclusivamente para o produtor de serviços.

    2. Você cria uma conexão particular com o produtor de serviços, especificando o intervalo alocado que você criou.

    3. Você provisiona uma instância de serviço, por exemplo, uma instância do Cloud SQL, referenciando a conexão particular que criou.

  2. O produtor de serviços provisiona recursos para sua instância de serviço.

    1. O produtor de serviços cria um projeto para sua instância de serviço. O projeto é isolado, o que significa que ele não é compartilhado com nenhum outro cliente e o consumidor de serviços é cobrado apenas pelos recursos provisionados.

    2. Nesse projeto, o produtor de serviços cria uma rede VPC dedicada a você.

    3. Nessa rede, o produtor de serviços cria uma sub-rede. O intervalo de endereços IP dessa sub-rede é selecionado no intervalo alocado que você forneceu. Normalmente, o produtor de serviços escolhe um bloco CIDR de /29 a /24. Não é possível selecionar ou modificar o intervalo de endereços IP da sub-rede do produtor de serviços.

    4. A instância de serviço recebe um endereço IP da nova sub-rede.

  3. A conexão particular é ativada.

    1. A conexão de peering de rede VPC é estabelecida.

    2. Sua rede VPC importa rotas da rede do produtor de serviços.

    3. As VMs na sua rede podem se comunicar com a instância de serviço usando o endereço IP interno dela. O tráfego é transmitido totalmente na rede do Google, e não pela Internet pública.

Depois que a implantação inicial for criada, você poderá realizar as seguintes ações:

  • Provisionamento de mais recursos: quando você provisiona mais recursos para o mesmo serviço, o produtor de serviços os coloca em sub-redes existentes, se houver espaço. Se uma sub-rede estiver cheia, uma nova será criada na região com base no intervalo alocado.

  • Exclusão de recursos: uma sub-rede na rede do produtor de serviços só é excluída quando você exclui todos os recursos de serviço nela. Para informações sobre como excluir recursos, consulte a documentação do produtor de serviços relevante.

Exemplo

O diagrama a seguir mostra o uso de uma conexão particular para acessar instâncias de serviço.

Os recursos em uma rede de consumidor de serviços podem acessar uma instância do Cloud SQL pelo acesso a serviços particulares.
Acesso privado a serviços (clique para ampliar).

Neste exemplo, a rede VPC do consumidor de serviços alocou o intervalo de endereços 10.240.0.0/16 para serviços do Google e estabeleceu uma conexão particular que usa o intervalo alocado.

  • A conexão particular é atribuída ao intervalo alocado 10.240.0.0/16.

  • O Google cria um projeto e uma rede VPC para os recursos do consumidor de serviços. As redes VPC são conectadas usando o peering de rede VPC.

  • O fornecedor de serviços cria uma sub-rede que usa o intervalo de endereços IP 10.240.0.0/24.

  • A instância do Cloud SQL recebe o endereço IP 10.240.0.2.

  • Depois que a sub-rede é criada, a rede do consumidor de serviços importa rotas da rede de serviço.

  • Na rede VPC do consumidor de serviços, as solicitações com um destino de 10.240.0.2 são roteadas para a conexão particular pela rede do produtor de serviços.

  • O consumidor de serviço implanta uma instância de serviço para um serviço diferente do Google em europe-west1. Como o Google é o produtor de serviços, o mesmo projeto e a mesma rede podem ser usados. No entanto, como a instância está em uma região diferente, uma nova sub-rede é necessária. O Google cria uma sub-rede que usa o intervalo de endereços IP 10.240.10.0/24 e atribui à instância de serviço o endereço IP 10.240.10.2.

Acessibilidade das instâncias de serviço

Apenas uma rede VPC de consumidor de serviços pode criar uma conexão particular com uma determinada instância de serviço gerenciado. No entanto, há maneiras de disponibilizar a conexão particular para recursos fora dessa rede VPC:

Se nenhuma dessas opções funcionar para seu caso de uso, o produtor de serviços poderá oferecer outras maneiras de se conectar ao serviço que sejam mais adequadas, por exemplo, pelo Private Service Connect. Para mais informações, consulte a documentação do serviço.

Acessar pelo Network Connectivity Center

Para alguns serviços disponíveis pelo acesso a serviços particulares, é possível usar o Network Connectivity Center para tornar o serviço acessível a outros spokes em um hub criando um spoke VPC do produtor. Para mais informações, incluindo quais serviços são compatíveis, consulte Spokes de VPC do produtor.

Acessar pela VPC compartilhada

Se você estiver usando a VPC compartilhada, crie o intervalo de IP alocado e a conexão particular no projeto host. Normalmente, um administrador de rede no projeto host é quem realiza essas tarefas. Depois que o projeto host estiver configurado, as instâncias de VM em projetos de serviço poderão usar a conexão particular.

Acessar usando a conectividade híbrida

Em cenários de rede híbrida, uma rede local é conectada a uma rede VPC por meio de uma conexão com o Cloud VPN ou o Cloud Interconnect. Por padrão, os hosts locais não podem acessar a rede do produtor de serviços usando o acesso privado a serviços.

Na rede VPC, é possível ter rotas personalizadas dinâmicas ou estáticas para direcionar corretamente o tráfego para a rede local. No entanto, a rede do produtor de serviços não contém essas mesmas rotas. Quando você cria uma conexão particular, a rede VPC e a rede do produtor de serviços apenas trocam rotas de sub-rede.

A rede do produtor de serviços contém uma rota padrão (0.0.0.0/0) que vai para a Internet. Se você exportar uma rota padrão para a rede do produtor de serviços, ela será ignorada porque é preterida pela rota padrão da rede do produtor de serviços. Em vez disso, defina e exporte uma rota personalizada com um destino mais específico.

Para mais informações, consulte Configurar a conectividade híbrida.

Rede do produtor de serviços

No lado do produtor de serviços, a conexão particular é uma rede VPC em que os recursos de serviço são provisionados. A rede do produtor de serviços é criada exclusivamente para você e contém apenas os seus recursos.

Um recurso na rede do produtor de serviços é semelhante a outros recursos na sua rede VPC. Por exemplo, pode ser acessado com endereços IP internos por outros recursos na sua rede VPC. É possível também criar regras de firewall em sua rede VPC para controlar o acesso à rede do fornecedor de serviços.

Para mais informações sobre o lado do produtor de serviços, consulte Ativar o acesso a serviços particulares na documentação do Service Infrastructure. Essa documentação é apenas informativa e não é necessária para ativar ou usar o acesso particular a serviços.

Preços

Para preços de acesso a serviços particulares, consulte Acesso a serviços particulares na página de preços da VPC.

Limitações

As seguintes limitações se aplicam ao Acesso privado a serviços:

  • Como uma conexão particular é implementada como uma conexão de peering de redes VPC, os comportamentos e as restrições de conexões de peering também se aplicam a conexões particulares. Por exemplo, como o peering de rede VPC não é transitivo, uma conexão particular não está disponível para redes VPC com peering.

    Para mais informações, consulte Peering de rede VPC, Limitações do peering de rede VPC e Cotas e limites.

  • Apenas uma rede VPC de consumidor de serviços pode criar uma conexão privada que se conecta a uma determinada instância de serviço gerenciado. No entanto, há maneiras de disponibilizar a conexão particular para recursos que estão fora dessa rede VPC. Para mais informações, consulte Acessibilidade de instâncias de serviço.

  • Não é possível mudar o intervalo de endereços IP associado a um intervalo alocado. No entanto, é possível modificar quais intervalos alocados estão associados a uma conexão particular.

  • Não é possível usar intervalos de endereços IPv6 com o acesso a serviços particulares.

A seguir