Configura el acceso a la red privada

En esta página, se describe cómo configurar el acceso a la red privada y enrutar el tráfico dentro de una Cloud de Confiance red.

Para configurar el acceso a la red privada, debes configurar tres proyectos:

  • Un proyecto que contiene una red de nube privada virtual (VPC) que usará la instancia de máquina virtual (VM) de destino o el balanceador de cargas interno de destino
  • Un proyecto que actúa como un proyecto de servicio del Directorio de servicios
  • Un proyecto para un Cloud de Confiance producto con la configuración que invoca el acceso a la red privada Un ejemplo de un Cloud de Confiance producto que puede llamar a extremos con acceso a la red privada es Dialogflow CX

Los artefactos de los proyectos podrían estar en el mismo proyecto o en proyectos diferentes.

Antes de comenzar

Antes de configurar el acceso a la red privada, completa los siguientes pasos:

  • Para cada proyecto, en la Cloud de Confiance consola, en la página APIs y servicios, haz clic en Habilitar APIs y servicios para habilitar las APIs que deseas usar, incluida la API de Service Directory.

  • Para vincular tu red de VPC a hosts locales, crea un túnel de Cloud VPN o una conexión de Cloud Interconnect.

  • Asegúrate de que el Cloud de Confiance proyecto esté dentro del perímetro de los Controles del servicio de VPC del proyecto de red y del proyecto del Directorio de servicios para servicedirectory.googleapis.com.

    Obtén más información sobre los controles de servicio de VPC.

Configura el proyecto para la red de VPC

Para configurar el proyecto para la red de VPC, sigue estos pasos:

  1. Crea una red de VPC o selecciona una existente que tenga una subred solo IPv4 o de pila doble en la región que deseas usar. Las redes heredadas no se admiten.

  2. Crea las reglas de firewall de entrada necesarias.

    • Si el destino es una VM o un balanceador de cargas de red de transferencia interno, las reglas de firewall deben permitir el tráfico TCP desde el rango 35.199.192.0/19 a los puertos que usa el software que se ejecuta en las instancias de VM de destino.

    • Si el destino es un balanceador de cargas de aplicaciones interno o un balanceador de cargas de red de proxy interno, las reglas de firewall de VPC y las políticas de firewall jerárquicas no controlan qué protocolos y puertos acepta el balanceador de cargas. Para el balanceador de cargas de aplicaciones interno, se puede usar una política de seguridad de Google Cloud Armor para restringir el acceso al balanceador de cargas.

    Para obtener más información sobre el rango 35.199.192.0/19, consulta Rutas de Cloud DNS y del Directorio de servicios.

  3. Otorga el rol de servicio autorizado de Private Service Connect de Identity and Access Management (IAM) (roles/servicedirectory.pscAuthorizedService) al agente de servicio del producto que llamará al extremo. Cloud de Confiance

    Para obtener más información sobre las funciones y los permisos, consulta Permisos y roles del Directorio de servicios.

Configura el proyecto del Directorio de servicios

Para configurar el proyecto del Directorio de servicios, sigue estos pasos:

  1. En la red de VPC, crea una VM o un balanceador de cargas interno.

  2. Otorga el rol de visualizador del Directorio de servicios de IAM (roles/servicedirectory.viewer) al agente de servicio del Cloud de Confiance producto que llamará al extremo.

  3. Crea un espacio de nombres y un servicio del Directorio de servicios. Luego, crea un extremo para este servicio siguiendo los pasos de la siguiente sección.

Crea un extremo con acceso a la red privada

Para crear un extremo con el acceso a la red privada configurado, sigue estos pasos:

Console

  1. En la Cloud de Confiance consola de, ve a la página **Espacios de nombres del Directorio de servicios**. Ir a los espacios de nombres del Directorio de servicios
  2. Haz clic en un espacio de nombres.
  3. Haz clic en un servicio.
  4. Haz clic en Agregar extremo.
  5. En Nombre del extremo, ingresa un nombre para el extremo.
  6. En Dirección IP, ingresa una dirección IPv4, como 192.0.2.0.
  7. En Puerto, ingresa un número de puerto, como 443 o 80.
  8. Para habilitar el acceso a la red privada, en Red de VPC asociada, selecciona la opción requerida opción:
    • Para elegir de una lista de redes disponibles, haz clic en Elegir de la lista y, luego, selecciona la red.
    • Para especificar un proyecto y una red, haz clic en Especificar por el nombre de red y de proyecto y, luego, ingresa el número de proyecto y el nombre de la red.
  9. Haz clic en Crear.

gcloud

Usa el gcloud service-directory endpoints create comando con el ID del proyecto y la ruta de acceso de la red especificados.

gcloud service-directory endpoints create ENDPOINT_NAME \
--project=PROJECT_ID \
--location=REGION \
--namespace=NAMESPACE_NAME \
--service=SERVICE_ID \
--address=IP_ADDRESS \
--port=PORT_NUMBER \
--network=NETWORK_PATH

Reemplaza lo siguiente:

  • ENDPOINT_NAME: Un nombre para el extremo que estás creando en tu servicio, como my-endpoint
  • PROJECT_ID: El ID del proyecto
  • REGION: la Cloud de Confiance región que contiene el espacio de nombres
  • NAMESPACE_NAME: El nombre que le diste al espacio de nombres, como my-namespace
  • SERVICE_ID: El ID del servicio
  • IP_ADDRESS: La dirección IP del extremo, como 192.0.2.0
  • PORT_NUMBER: Los puertos en los que se ejecutan los extremos, por lo general, 443 o 80
  • NETWORK_PATH: La URL de la red, como projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME

Configura el proyecto del Cloud de Confiance producto

Para configurar el Cloud de Confiance proyecto del producto, sigue estos pasos:

  1. Habilita la API del producto. Cloud de Confiance

  2. Configura tu Cloud de Confiance producto para llamar al servicio del Directorio de servicios que creaste. Los pasos necesarios dependen del producto específico Cloud de Confiance .

Casos de uso

En esta sección, se proporcionan casos de uso de ejemplo para configurar el acceso a la red privada.

Llama a un extremo HTTP cuando una red de VPC, una VM y el Directorio de servicios están en el mismo proyecto

En este caso de uso, configuras Dialogflow CX, un Cloud de Confiance producto para el procesamiento de lenguaje natural, para llamar a un extremo HTTP en tu VM. Mientras llamas al extremo, asegúrate de que el tráfico no pase por la Internet pública.

En este caso de uso, crearás los siguientes artefactos en el mismo proyecto:

  • Una red de VPC
  • Una VM
  • Un servicio del Directorio de servicios
  • Dialogflow CX

En la Figura 1, se muestra cómo puedes permitir que una configuración del servicio de Google de un proyecto salga a una VM. La VM reside en una red de VPC del proyecto.

Permite que la configuración de un servicio de Google de un proyecto realice una salida a una VM del proyecto de red.
Figura 1. Permite que una configuración del servicio de Google de un proyecto salga a una VM (haz clic para ampliar).

Configura tu red y la red de destino

  1. Crea un proyecto, como myproject.

  2. Crea una red de VPC, como vpc-1.

    Mientras creas la red de VPC, en Modo de creación de subred, selecciona Automático.

  3. Crea una regla de firewall, como firewall-1.

    Mientras creas la regla de firewall, ingresa o selecciona los siguientes valores:

    • En Red, selecciona vpc-1.
    • En Rangos de IPv4 de origen, ingresa 35.199.192.0/19.
    • En Protocolos y puertos, selecciona TCP y, luego, ingresa 443 o 80.

  4. En la región us-central1, crea una VM, como vm-1.

    Mientras creas la VM, ingresa o selecciona los siguientes valores:

    • En Redes > Interfaces de red, selecciona vpc-1.
    • En Firewall, selecciona Permitir tráfico HTTP.

    Si deseas usar HTTPS, selecciona Permitir tráfico HTTPS. Además, asegúrate que instalas un certificado de seguridad de la capa de transporte (TLS) de la infraestructura de clave pública (PKI).

  5. En la región us-central1, crea un espacio de nombres, como namespace-1.

  6. En el espacio de nombres, registra un servicio del Directorio de servicios, como sd-1.

  7. Crea un extremo en sd-1. Para la dirección del extremo, usa la dirección IP interna de vm-1 en el puerto 443. Para obtener más información, consulta Crea un extremo con acceso a la red privada access.

  8. Otorga los siguientes roles de IAM al agente de servicio del Cloud de Confiance producto que llamará al extremo:

    • Rol de visualizador del Directorio de servicios (roles/servicedirectory.viewer)
    • Rol de servicio autorizado de Private Service Connect (roles/servicedirectory.pscAuthorizedService)

  9. Opcional: Si deseas agregar más VMs, puedes configurar otra VM, como vm-2, y agregar su extremo, como endpoint-2.

Configura un Cloud de Confiance producto

  1. Configura una Cloud de Confiance configuración de producto, como " Cloud Scheduler, llámame cada minuto".
  2. Configura una solicitud HTTP.
  3. Especifica que las solicitudes deben pasar por redes privadas, como a través de sd-1.
  4. Opcional: Configura los parámetros de configuración del Servicio de autoridad certificadora.

El Cloud de Confiance producto ahora puede invocar la solicitud HTTP con sd-1.

Llama a un extremo HTTP cuando una red de VPC compartida, una VM y el Directorio de servicios están en proyectos diferentes

En este caso de uso, configuras Dialogflow CX, un Cloud de Confiance servicio para el procesamiento de lenguaje natural, para llamar a un extremo HTTP en tu VM. Mientras llamas al extremo, asegúrate de que el tráfico no pase por la Internet pública.

En este caso de uso, crearás los siguientes artefactos en proyectos diferentes:

  • Una red de VPC compartida
  • Una VM
  • Un servicio del Directorio de servicios
  • Dialogflow CX

Antes de crear los proyectos, ten en cuenta lo siguiente:

  • Asegúrate de que la invocación de la API respete el perímetro de los Controles del servicio de VPC.
  • Asegúrate de que la configuración del proyecto de servicio Cloud de Confiance permita la salida a una VM que reside en el proyecto de red de VPC.
  • Es posible que el proyecto del productor no sea el mismo que el Cloud de Confiance servicio proyecto.
  • Asegúrate de que se usen los perímetros de los Controles del servicio de VPC de ambos proyectos.
  • No es necesario que el proyecto del Directorio de servicios y el proyecto de red estén conectados, pero ambos deben formar parte de los mismos Controles del servicio de VPC.
  • En la red y el servicio, el firewall y IAM están inhabilitados de forma predeterminada.

En la Figura 2, se muestra cómo puedes enviar tráfico con el acceso a la red privada con los perímetros de los Controles del servicio de VPC aplicados.

Envía tráfico con acceso a la red privada y con perímetros de Controles del servicio de VPC aplicados.
Figura 2. Envía tráfico con el acceso a la red privada con los perímetros de los Controles del servicio de VPC aplicados (haz clic para ampliar).

Configura el proyecto de red

  1. Crea un proyecto, como my-vpc-project.

  2. Crea una red de VPC, como vpc-1.

    Mientras creas la red de VPC, en Modo de creación de subred, selecciona Automático.

  3. Crea una regla de firewall, como firewall-1.

    Mientras creas la regla, ingresa o selecciona los siguientes valores:

    • En Red, selecciona vpc-1.
    • En Rangos de IPv4 de origen, ingresa 35.199.192.0/19.
    • En Protocolos y puertos, selecciona TCP y, luego, ingresa 443 o 80.

  4. En la región us-central1, crea una VM, como vm-1.

    Mientras creas la VM, ingresa o selecciona los siguientes valores:

    • En Redes > Interfaces de red, selecciona vpc-1.
    • En Firewall, selecciona Permitir tráfico HTTP.

    Si deseas usar HTTPS, selecciona Permitir tráfico HTTPS. Además, asegúrate que instalas un certificado de seguridad de la capa de transporte (TLS) de la infraestructura de clave pública (PKI).

Si usas los Controles del servicio de VPC, el perímetro de los Controles del servicio de VPC permite que el Directorio de servicios se conecte tanto al Cloud de Confiance proyecto de servicio como a el proyecto del Directorio de servicios.

Configura el proyecto del Directorio de servicios

  1. Crea un proyecto, como my-sd-project.

  2. Necesitas un permiso de IAM adicional porque el proyecto de red de VPC y el proyecto del Directorio de servicios son proyectos diferentes.

    Desde el proyecto de red, otorga el rol de Vinculador de redes del Directorio de servicios (roles/servicedirectory.networkAttacher) a la principal de IAM que crea el extremo del Directorio de servicios.

  3. Crea un extremo del Directorio de servicios que apunte a la VM en la red de VPC:

    1. En la región us-central1, crea un espacio de nombres, como namespace-1.
    2. En el espacio de nombres, registra un servicio del Directorio de servicios, como sd-1.
    3. Crea un extremo en sd-1. Para la dirección del extremo, usa la dirección IP interna de vm-1 en el puerto 443. Para obtener más información, consulta Crea un extremo con acceso a la red privada access.

  4. Otorga los siguientes roles de IAM al agente de servicio del Cloud de Confiance producto que llamará al extremo:

    • Rol de visualizador del Directorio de servicios (roles/servicedirectory.viewer) en el proyecto del Directorio de servicios
    • Rol de servicio autorizado de Private Service Connect (roles/servicedirectory.pscAuthorizedService) en el proyecto de red

Si usas los Controles del servicio de VPC, el perímetro de los Controles del servicio de VPC permite que el Directorio de servicios se conecte tanto al Cloud de Confiance proyecto de servicio como a el proyecto del Directorio de servicios.

Configura el proyecto de servicio Cloud de Confiance

  1. Habilita la API para el Cloud de Confiance servicio que estás usando.
  2. Para configurar el Cloud de Confiance servicio PUSH, usa el servicio del Directorio de servicios del proyecto del Directorio de servicios.

Si usas los Controles del servicio de VPC, el perímetro de los Controles del servicio de VPC permite que el Directorio de servicios se conecte tanto al proyecto de red como al proyecto del Directorio de servicios.

Usa el acceso a la red privada del Directorio de servicios con Dialogflow

Para obtener instrucciones sobre cómo usar el acceso a la red privada del Directorio de servicios con Dialogflow, consulta Usa el Directorio de servicios para acceder a redes privadas.

¿Qué sigue?