Configurazione dell'accesso privato ai servizi

L'accesso privato ai servizi è una connessione privata tra il tuo VPC rete e una rete di proprietà di Google o di una terza parte. Google o la terza parte persone giuridiche che offrono servizi, sono note anche come servizi produttori. La connessione privata abilita le istanze VM la rete VPC e i servizi a cui accedi per comunicare esclusivamente utilizzando indirizzi IP interni. VM Le istanze non hanno bisogno dell'accesso a internet o di indirizzi IP esterni per raggiungere i servizi disponibili tramite l'accesso privato ai servizi.

Per scoprire di più sull'accesso privato ai servizi e su altre opzioni di accesso privato, vedi Opzioni di accesso privato per i servizi.

A livello generale, per utilizzare l'accesso privato ai servizi, è necessario allocare un intervallo di indirizzi IP (blocco CIDR) nel tuo rete VPC e quindi creare un'istanza connessione a un producer di servizi.

Prima di iniziare

Per stabilire una connessione privata, devi completare i seguenti prerequisiti:

• Verificare che il servizio in uso supporta l'accesso privato ai servizi.
• Devi disporre di una rete VPC esistente da utilizzare per connettersi alla rete del producer di servizi. Le istanze VM devono utilizzare questo Rete VPC per connettersi ai servizi tramite una connessione privata.
• Attiva la sezione Service Networking API nel tuo progetto. L'API è necessaria per creare una connessione privata.
• Crea un progetto Google Cloud o scegline uno esistente. Per scoprire come creare un progetto Google Cloud, consulta Creazione e gestione progetti.
• Installa gcloud CLI se vuoi eseguire gcloud esempi delle righe di comando in questa guida.

Autorizzazioni

Proprietari del progetto e membri IAM con il ruolo Amministratore rete Compute (roles/compute.networkAdmin) può creare intervalli di indirizzi IP allocati e gestire e connessioni private.

Per ulteriori informazioni sui ruoli, leggi la sezione VPC IAM ruoli.

Scenario VPC condiviso

Se utilizzi un VPC condiviso, crea l'IP allocato l'intervallo di indirizzi e la connessione privata nel progetto host. Generalmente, una rete a eseguire queste operazioni. Dopo che il progetto host le istanze VM nei progetti di servizio possono utilizzare la connessione privata.

Quote e limiti

Poiché una connessione privata è implementata come peering VPC di connessione, la stessa quota e gli stessi limiti che si applicano al peering di rete VPC si applicano anche ai servizi privati access.

Intervalli di indirizzi IP allocati per i servizi

Prima di creare una connessione privata, devi allocare un intervallo di indirizzi IPv4 per essere utilizzato dalla rete VPC del producer di servizi. Ciò garantisce per evitare conflitti di indirizzi IP tra la rete VPC e dalla rete del producer di servizi. crea un intervallo allocato per ogni servizio produttore.

Quando allochi un intervallo nella tua rete VPC, questo è non idoneo per subnet (intervalli principali e secondari) e destinazioni di route statiche.

L'utilizzo di intervalli di indirizzi IPv6 con accesso privato ai servizi non è supportato.

Dimensione intervallo di indirizzi IP

Quando un producer di servizi crea una subnet sul lato della connessione, per l'intervallo di indirizzi IP della subnet.

Ogni producer di servizi richiede una dimensione minima dell'intervallo di indirizzi IP. Per Google, il la dimensione minima è un singolo blocco /24 (256 indirizzi), ma la dimensione consigliata è un blocco /16 (65.536 indirizzi).

La dimensione scelta dipende da diversi fattori, ad esempio:

• Il numero di servizi e le regioni che utilizzi.
• I requisiti per i servizi che utilizzi.
  • La dimensione minima dell'intervallo di indirizzi IP per i servizi.
  • Indica se il fornitore di servizi richiede intervalli IP separati per ciascuna istanza del servizio che crei o se può utilizzare lo stesso intervallo IP a più istanze del servizio.

Se non hai un blocco /16 contiguo, puoi iniziare con un blocco più piccolo l'allocazione e aggiungerne di nuovi se hai bisogno di più indirizzi IP. in un secondo momento.

Informazioni sulla subnet del producer di servizi

Quando stabilisci una connessione privata e crei una risorsa con un IP privato. il servizio crea una subnet in cui eseguire il provisioning della risorsa. La seleziona un intervallo di indirizzi IP disponibile dall'intervallo allocato. Tu impossibile selezionare o modificare l'intervallo di indirizzi IP della subnet del producer di servizi. La viene eliminata dal servizio solo quando elimini tutte le risorse una subnet.

Quando esegui il provisioning di risorse aggiuntive, il servizio le esegue a livello di regione creato in precedenza. Se una subnet è piena, il servizio ne crea uno nuovo nella regione.

Considerazioni

Prima di allocare un intervallo di indirizzi IP, considera quanto segue:

• Seleziona un intervallo allocato completamente separato da quello attuale gli intervalli di subnet futuri, inclusi gli intervalli di subnet di reti connesse utilizzando il peering di rete VPC, e intervalli di subnet da VPC spoke connessi allo stesso hub di Network Connectivity Center.

• Seleziona un intervallo che non corrisponde esattamente a o non contiene le destinazioni di nessuna route statiche o dinamiche personalizzate.

  Quando un producer di servizi seleziona una parte non utilizzata di un intervallo allocato per da utilizzare come candidato per le nuove risorse, esclude tutte le route personalizzate destinazioni che corrispondono esattamente o rientrano nell'intervallo allocato. Quando La rete VPC contiene un intervallo allocato e route personalizzate con destinazioni che corrispondono o rientrano nell'intervallo allocato, dell'intervallo allocato è ridotta. Questa configurazione può portare a errori imprevisti di allocazione esaurita.

  Ad esempio, se crei un intervallo allocato per 10.0.0.0/16, si applica quanto segue:

  • Se una route personalizzata con destinazione 10.0.0.0/16 esiste o è creato in un secondo momento, tutto l'intervallo 10.0.0.0/16 è considerato non disponibile. Se un producer di servizi tenta di usare l'intervallo allocato, Google Cloud restituisce un errore di allocazione esaurita.

  • Se una route personalizzata con destinazione 10.0.0.0/20 esiste o è creata in un secondo momento, la parte 10.0.0.0/20 di 10.0.0.0/16 allocata questo intervallo è considerato non disponibile. Se un producer di servizi tenta di utilizzare l'intervallo allocato e la parte disponibile della quota insufficiente per un producer di servizi, Google Cloud restituisce un errore di allocazione esaurita.

  • Se una route personalizzata con destinazione 10.0.0.0/8 esiste o è creato in un secondo momento, questo non influisce sulla disponibilità Intervallo allocato 10.0.0.0/16.

• Seleziona un intervallo che non sia in conflitto con le altre esigenze di indirizzo IP:

  • Alcuni prodotti Google e di terze parti utilizzano 172.17.0.0/16 per i percorsi all'interno di il sistema operativo guest. Ad esempio, rete di bridge Docker predefinita utilizza questo intervallo. Se dipendi da un prodotto che utilizza 172.17.0.0/16, Non utilizzano 172.17.0.0/16 in un intervallo allocato per l'accesso privato ai servizi.
  • Se utilizzi un VPC in modalità automatica non puoi creare un intervallo allocato che corrisponde o si sovrappone a 10.128.0.0/9. Google utilizza l'intervallo 10.128.0.0/9 per creare automaticamente subnet, incluse quelle nelle regioni future.

• Seleziona un blocco CIDR abbastanza grande da soddisfare le esigenze attuali e future e alle esigenze aziendali. Se in seguito ti rendi conto che le dimensioni dell'intervallo non sono sufficienti, espandi l'intervallo, se possibile. Sebbene sia possibile assegnare più allocazioni a un singolo producer di servizi, Google applica quota sul numero di intervalli di indirizzi IP che che puoi allocare, ma non la dimensione (netmask) di ogni intervallo.

• Se aggiungi un altro intervallo allocato a una connessione privata, si espande l'intervallo di indirizzi IP disponibili per il producer di servizi durante la creazione per qualsiasi servizio fornito. Non puoi prenotare un servizio in un intervallo allocato all'interno di una connessione privata per l'uso da parte di un particolare servizio.

• Non riutilizzare lo stesso intervallo allocato per più producer di servizi. Sebbene è possibile, ciò può portare a una sovrapposizione degli indirizzi IP. Ogni producer di servizi ha visibilità solo sulla rete e non può sapere quali indirizzi IP che usano i producer di servizi.

• Puoi assegnare un solo blocco CIDR a un intervallo allocato quando crei l'allocazione delle risorse. Per espandere l'intervallo di indirizzi IP, non puoi aggiungere altri blocchi a un'allocazione. Puoi invece crearne un'altra l'allocazione o ricreare quello esistente utilizzando un blocco più grande comprende gli intervalli nuovi ed esistenti.

• Se crei personalmente l'allocazione anziché lasciare che sia Google a farlo (ad esempio, mediante Cloud SQL), puoi utilizzare la stessa convenzione di denominazione per segnalare altri utenti o servizi Google già esistenti con un'allocazione per Google. Quando un servizio Google alloca un intervallo per tuo conto, utilizza la classe seguente formato per assegnare un nome all'allocazione: google-managed-services-[your network name]. Se questa allocazione esiste, i servizi Google utilizzano uno invece di crearne un altro.

• Poiché una connessione privata è implementata come peering di rete VPC i comportamenti e i vincoli delle connessioni in peering si applicano anche alle connessioni private Limiti di peering di rete VPC.

• Se prevedi di modificare l'indirizzo IP interno di un'istanza di servizio esistente che utilizza VPC, valuta se questa azione può essere fastidioso, ad esempio se richiede l'eliminazione e la nuova creazione del servizio in esecuzione in un'istanza Compute Engine. Per ulteriori informazioni, consulta la documentazione relativa ai un servizio gestito. Ad esempio, se utilizzi Cloud SQL, consulta Cambia l'indirizzo IP privato di un'istanza Cloud SQL esistente.

Creare un'allocazione IP

I passaggi seguenti spiegano come creare un intervallo di indirizzi IP allocato.

gcloud compute addresses create google-managed-services-my-network \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=16 \
    --description="peering range for Google" \
    --network=my-network

resource "google_compute_global_address" "private_ip_address" {
  name          = "private-ip-address"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 16
  network       = google_compute_network.peering_network.id
}

Se viene visualizzato un errore relativo all'autorizzazione compute.globalAddresses.list per consulta la sezione Autorizzazioni account di servizio.

Elenca gli intervalli di indirizzi IP allocati

Per elencare gli intervalli di indirizzi IP allocati, utilizza il metodo Comando addresses list.

gcloud compute addresses list --global --filter="purpose=VPC_PEERING"

Crea una connessione privata

Dopo aver creato un intervallo allocato, puoi creare una connessione privata producer di servizi. La connessione privata stabilisce una connessione di peering di rete VPC tra tra la rete VPC e la rete del producer di servizi.

Le connessioni private sono una relazione one-to-one tra tra una rete VPC e un producer di servizi. Se un singolo producer di servizi offre più servizi, è necessaria una sola connessione privata per i servizi del produttore.

Se un singolo producer di servizi offre più servizi e vuoi controllare quali intervalli allocati vengono utilizzati per diverse risorse di servizio, puoi utilizzare a più reti VPC, ciascuna con le proprie connessioni private. Questa configurazione ti consente di selezionare una rete particolare quando ne crei una nuova per garantire che gli intervalli allocati associati vengano utilizzati la nuova risorsa.

Se ti connetti a più producer di servizi, usa un'allocazione unica per ogni producer di servizi. Questa procedura ti aiuta a gestire le impostazioni della rete, ad esempio e regole firewall per ciascun producer di servizi.

resource "google_service_networking_connection" "default" {
  network                 = google_compute_network.peering_network.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.private_ip_address.name]
}

Elenca connessioni private

Dopo aver creato una connessione privata, puoi elencarla per verificare che esista. L'elenco mostra anche l'elenco degli intervalli allocati associati a ogni connessione. Ad esempio, se non ricordi quale intervallo allocato è assegnato a una connessione, visualizza l'elenco per scoprirlo.

gcloud services vpc-peerings list \
    --network=VPC_NETWORK

Modificare una connessione privata

Per le connessioni private esistenti, puoi aggiungere o rimuovere l'indirizzo IP allocato senza interrompere il traffico. Ad esempio, man mano che esegui la scalabilità, potresti aggiungere allocato se stai per esaurire quello esistente.

Non puoi rimuovere gli intervalli IP allocati utilizzando la console Google Cloud. Se vuoi rimuovi un intervallo allocato, utilizza le istruzioni gcloud per modificare connessione. Quando rimuovi un intervallo da una connessione privata, viene eseguita la seguente azione: Si applica:

• L'intervallo allocato non è più associato alla connessione privata, ma non venga eliminato.

  • Se un intervallo rimosso non è più in uso, puoi eliminare il allocazione.

• Le risorse del producer di servizi esistenti potrebbero continuare a utilizzare l'intervallo rimosso.

• L'accesso privato ai servizi non utilizzerà gli intervalli rimossi per allocare nuovi subnet.

gcloud services vpc-peerings update \
    --service=servicenetworking.googleapis.com \
    --ranges=RESERVED_RANGE_NAME \
    --network=VPC_NETWORK \
    [--force]

Elimina un intervallo di indirizzi IP allocati

Prima di eliminare un intervallo di indirizzi IP allocati, verifica se l'intervallo è utilizzato da una connessione privata.

Se l'intervallo di indirizzi IP allocati è in uso, occorre innanzitutto modifica la connessione privata per rimuovere l'intervallo. Quindi elimina l'intervallo di indirizzi IP allocati.

Se elimini un indirizzo IP allocato che è in uso e non modifichi connessione privata, si applica quanto segue:

• Le connessioni esistenti rimangono attive, ma non c'è nulla evitando alla rete VPC di utilizzare indirizzi IP che si sovrappongono con la rete del producer di servizi.

• Se elimini l'unico indirizzo IP allocato associato a una connessione privata, il servizio non può crearne di nuovi perché non esiste un intervallo di indirizzi IP allocato tra cui scegliere.

• Se in seguito crei un intervallo di indirizzi IP allocati che corrisponde o si sovrappone l'intervallo eliminato, l'aggiunta dell'intervallo a una connessione privata non riesce.

Per evitare questi problemi, modifica sempre le tue connessioni private quando elimini e un intervallo di indirizzi IP allocati in uso.

gcloud compute addresses delete NAME \
    --global

Elimina una connessione privata

Prima di eliminare una connessione privata, devi eliminare tutto il servizio alle istanze accessibili tramite la connessione. Ad esempio, se vuoi eliminare una connessione privata utilizzata per accedere a Cloud SQL, devi prima eliminare le istanze Cloud SQL che utilizzano la connessione. Dopo le istanze di servizio, le risorse del producer di servizi vengono eliminate, l'eliminazione potrebbe non avvenire immediatamente. Alcuni producer di servizi ritardano l'eliminazione finché non è trascorso un periodo di attesa. Non puoi eliminare l'elemento privato connessione durante il periodo di attesa. Devi attendere che l'output del producer di servizi risorse siano state eliminate prima di poter eliminare la connessione.

Ad esempio, se elimini un'istanza di Cloud SQL, riceverai un esito positivo risposta, ma il servizio attende quattro giorni prima di eliminarlo delle risorse producer. Il periodo di attesa significa che se cambi idea il servizio, puoi richiedere di reintegrare le risorse. Se provi a la connessione durante il periodo di attesa, l'eliminazione non va a buon fine e un messaggio che informa che le risorse sono ancora in uso dal producer di servizi.

gcloud services vpc-peerings delete \
    --service=servicenetworking.googleapis.com \
    --network=VPC_NETWORK

Condividi zone DNS private con i producer di servizi

Le zone private di Cloud DNS sono private per la tua rete VPC. Se vuoi consentire alla rete di un producer di servizi di risolvere i nomi puoi configurare il peering DNS tra le due reti.

Quando configuri il peering DNS, fornisci una rete VPC e una Suffisso DNS. Se il producer di servizi deve risolvere un indirizzo con quel DNS il producer di servizi inoltra queste query al tuo VPC da risolvere.

Questi supporti supportare il peering DNS, con l'eccezione di Cloud SQL.

Se vuoi abilitare il peering DNS, devi attiva la API Cloud DNS nel tuo progetto

DNS in peering con un producer di servizi

gcloud services peered-dns-domains create PEERING_NAME \
    --network=VPC_NETWORK \
    --dns-suffix=DNS_SUFFIX

## Uncomment this block after adding a valid DNS suffix

# resource "google_service_networking_peered_dns_domain" "default" {
#   name       = "example-com"
#   network    = google_compute_network.peering_network.name
#   dns_suffix = "example.com."
#   service    = "servicenetworking.googleapis.com"
# }

Elenca configurazioni di peering DNS

gcloud services peered-dns-domains list \
    --network=VPC_NETWORK

Elimina una configurazione di peering DNS

gcloud services peered-dns-domains delete PEERING_NAME \
    --network=VPC_NETWORK

Risoluzione dei problemi

In che misura viene utilizzata la mia quota di allocazione?

Quando crei una connessione privata con un producer di servizi, allochi un indirizzo IP un intervallo di indirizzi IP. Se utilizzi più servizi di un servizio producer, ciascun servizio riserverà un blocco di indirizzi IP intervallo. Potete controllare quali servizi usano determinati indirizzi IP in modo che, ad esempio ad esempio, puoi vedere quali servizi usano grandi blocchi di indirizzi IP e per evitare l'esaurimento degli indirizzi IP.

Per visualizzare quale servizio utilizza un determinato intervallo di indirizzi IP:

1. Elenca le tue connessioni private.
2. Trova il nome della connessione in peering che ti connette al servizio pertinente produttore.
3. Elenca i percorsi dei tuoi rete VPC.
4. Trova le route con un hop successivo che corrispondono al nome della connessione in peering. La dell'intervallo di destinazione delle route indica gli indirizzi IP a cui è connesso ciascun servizio che utilizzano.

Esaurimento dell'intervallo di indirizzi IP

Per una determinata connessione privata, se esaurisci l'indirizzo IP allocato spazio, Google Cloud restituirà questo errore: Failed to create subnetwork. Couldn't find free blocks in allocated IP ranges.

Potresti visualizzare questo errore perché l'intervallo allocato non è sufficiente per oppure perché una route statica o dinamica personalizzata impedisce dall'utilizzo completo. Per ulteriori informazioni sulle considerazioni sul routing, consulta Considerazioni.

Puoi espandere l'allocazione esistente o aggiungerne di nuove. Lo stato espanso l'allocazione deve essere un intervallo di indirizzi IP contiguo che include gli indirizzi IP intervallo. È consigliabile espandere un'allocazione perché non c'è limite al dimensione di un'allocazione, ma esiste un limite al numero di allocazioni che puoi creare.

Per espandere un'allocazione esistente:

1. Elenca le tue connessioni private e prendi nota del nome e l'intervallo allocato che devi espandere.
2. Elimina l'intervallo allocato esistente.
3. Crea un nuovo intervallo allocato utilizzando lo stesso nome di per l'intervallo eliminato. Specifica un intervallo di indirizzi IP che includa l'IP eliminato di indirizzi IP esterni. In questo modo, le risorse in peering esistenti che utilizzano la vecchia all'intervallo allocato può continuare a utilizzare gli stessi indirizzi IP senza conflitti con risorse nella tua rete VPC. Ad esempio, se l'intervallo allocato precedente era 192.168.0.0/20, crea un nuovo intervallo allocato come 192.168.0.0/16.

Per aggiungere intervalli allocati a una connessione privata esistente:

1. Crea un nuovo intervallo allocato. Questo intervallo non deve necessariamente essere contigui agli intervalli allocati esistenti.
2. Aggiungi l'intervallo allocato al privato esistente connessione.

Gli host on-premise non riescono a comunicare con la rete del producer di servizi

La rete del producer di servizi potrebbe non disporre delle route corrette da indirizzare il traffico verso la rete on-premise. Per impostazione predefinita, la rete del producer di servizi apprende solo le route di subnet dalla tua rete VPC. Pertanto, tutte le richieste che non provengono da un intervallo IP di subnet vengono eliminate dal servizio produttore.

Nella tua rete VPC, aggiorna lo stato connessione per esportare route personalizzate alla rete del producer di servizi. L'esportazione delle route invia tutti route statiche e dinamiche idonee si trovano nella tua rete VPC, ad esempio route alla rete del producer di servizi. La rete del producer di servizi li importa automaticamente e quindi può inviare il traffico al tuo fornitore tramite la rete VPC.

Autorizzazioni account di servizio

Se viene visualizzato un errore relativo all'autorizzazione compute.globalAddresses.list per un progetto durante la creazione di un'allocazione IP o se si verificano errori come Error 400: Precondition check failed durante la creazione, l'elenco o la modifica connessioni private, potrebbe esserci un problema con i ruoli IAM (Identity and Access Management) per l'account di servizio dell'API Service Networking. Questo account di servizio viene creato automaticamente dopo l'abilitazione del servizio API Networking. Il provisioning e la visualizzazione dell'account possono richiedere del tempo della pagina IAM.

gcloud projects add-iam-policy-binding HOST_PROJECT_NAME \
    --member=serviceAccount:service-HOST_PROJECT_NUMBER@service-networking.iam.gserviceaccount.com \
    --role=roles/servicenetworking.serviceAgent

La route della subnet di peering persiste dopo l'aggiornamento dell'allocazione degli IP

Dopo aver aggiornato l'intervallo di indirizzi IP allocati di un servizio privato la route della subnet di peering precedente potrebbe ancora essere visualizzata nella tabella di routing della tua rete VPC. La route persiste perché l'indirizzo IP è ancora in uso.

Per risolvere il problema:

• Assicurati che, se elimini un'allocazione IP, devi anche aggiornare la connessione privata.
• Elimina o aggiorna le risorse che utilizzano l'intervallo di indirizzi IP precedente.

La route della subnet di peering viene rimossa automaticamente dopo che l'intervallo di indirizzi IP è non è più in uso. Potrebbe verificarsi un ritardo tra l'eliminazione della risorsa e il producer di servizi elimini completamente la risorsa. Ad esempio, se il vecchio IP di indirizzi IP usati da un'istanza Cloud SQL, possono essere necessarie fino a 4 giorni affinché il producer di servizi elimini completamente la tua istanza. La subnet di peering la route viene rimossa al termine dell'eliminazione.