Configure o acesso à rede privada

Esta página descreve como configurar o acesso de rede privado e encaminhar o tráfego numa Cloud de Confiance rede.

Para configurar o acesso à rede privada, configura três projetos:

  • Um projeto que contém uma rede da nuvem virtual privada (VPC) a ser usada pela instância de máquina virtual (VM) de destino ou pelo equilibrador de carga interno de destino.
  • Um projeto que atua como um projeto de serviço do Service Directory.
  • Um projeto para um Cloud de Confiance produto com a configuração que invoca o acesso de rede privada. Um exemplo de um Cloud de Confiance produto que pode chamar pontos finais através do acesso à rede privada é o Dialogflow CX.

Os artefactos dos projetos podem estar no mesmo projeto ou em projetos diferentes.

Antes de começar

Antes de configurar o acesso à rede privada, conclua os seguintes passos:

  • Para cada projeto, na Cloud de Confiance consola, na página APIs e serviços, clique em Ativar APIs e serviços para ativar as APIs que quer usar, incluindo a API Service Directory.

  • Para associar a sua rede VPC a anfitriões nas instalações, crie um túnel do Cloud VPN ou uma ligação do Cloud Interconnect.

  • Certifique-se de que o Cloud de Confiance projeto está dentro do perímetro dos VPC Service Controls do projeto de rede e do projeto do Service Directory para servicedirectory.googleapis.com.

    Saiba mais sobre os VPC Service Controls.

Configure o projeto para a rede VPC

Para configurar o projeto para a rede VPC, siga estes passos:

  1. Crie uma rede de VPC ou selecione uma rede de VPC existente que tenha uma sub-rede apenas de IPv4 ou de pilha dupla na região que quer usar. As redes antigas não são suportadas.

  2. Crie as regras de firewall de autorização de entrada necessárias.

    • Se o destino for uma VM ou um balanceador de carga de passagem interno de rede, as regras de firewall têm de permitir o tráfego TCP do intervalo 35.199.192.0/19 para as portas usadas pelo software em execução nas instâncias de VM de destino.

    • Se o destino for um balanceador de carga de aplicações interno ou um balanceador de carga de rede de proxy interno, as regras da firewall têm de permitir o tráfego TCP do intervalo 35.199.192.0/19 para o endereço IP e as portas usadas pelo balanceador de carga.

    Para mais informações acerca do intervalo 35.199.192.0/19, consulte o artigo Caminhos para o Cloud DNS e o Service Directory.

  3. Conceda a função de serviço autorizado do Private Service Connect (roles/servicedirectory.pscAuthorizedService) da gestão de identidade e de acesso (IAM) ao agente de serviço do produto que vai chamar o ponto final. Cloud de Confiance

    Para mais informações acerca das funções e autorizações, consulte o artigo Autorizações e funções do diretório de serviços.

Configure o projeto do Service Directory

Para configurar o projeto do Service Directory, siga estes passos:

  1. Na rede VPC, crie uma VM ou um balanceador de carga interno.

  2. Conceda a função de leitor do diretório de serviços do IAM (roles/servicedirectory.viewer) ao agente de serviço do produtoCloud de Confiance que vai chamar o ponto final.

  3. Crie um espaço de nomes e um serviço do Service Directory. Em seguida, crie um ponto final para este serviço, seguindo os passos na secção seguinte.

Crie um ponto final com acesso à rede privada

Para criar um ponto final com acesso à rede privada configurado, siga estes passos:

Consola

  1. Na Cloud de Confiance consola, aceda à página Namespaces do Service Directory. Aceda aos espaços de nomes do Service Directory
  2. Clique num espaço de nomes.
  3. Clique num serviço.
  4. Clique em Adicionar ponto final.
  5. Em Nome do ponto final, introduza um nome para o ponto final.
  6. Para Endereço IP, introduza um endereço IPv4, como 192.0.2.0.
  7. Em Porta, introduza um número de porta, como 443 ou 80.
  8. Para ativar o acesso à rede privada, em Rede de VPC associada, selecione a opção necessária:
    • Para escolher a partir de uma lista de redes disponíveis, clique em Escolher a partir da lista e, de seguida, selecione a rede.
    • Para especificar um projeto e uma rede, clique em Especificar por um projeto e um nome de rede e, de seguida, introduza o número do projeto e o nome da rede.
  9. Clique em Criar.

gcloud

Use o gcloud service-directory endpoints create comando com o ID do projeto e o caminho de rede especificados.

gcloud service-directory endpoints create ENDPOINT_NAME \
--project=PROJECT_ID \
--location=REGION \
--namespace=NAMESPACE_NAME \
--service=SERVICE_ID \
--address=IP_ADDRESS \
--port=PORT_NUMBER \
--network=NETWORK_PATH

Substitua o seguinte:

  • ENDPOINT_NAME: um nome para o ponto final que está a criar no seu serviço, como my-endpoint
  • PROJECT_ID: o ID do projeto
  • REGION: a Cloud de Confiance região que contém o espaço de nomes
  • NAMESPACE_NAME: o nome que atribuiu ao espaço de nomes, como my-namespace
  • SERVICE_ID: o ID do serviço
  • IP_ADDRESS: o endereço IP do ponto final, como 192.0.2.0
  • PORT_NUMBER: as portas em que os pontos finais estão a ser executados, normalmente 443 ou 80
  • NETWORK_PATH: o URL para a rede, como projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME

Configure o Cloud de Confiance projeto de produto

Para configurar o Cloud de Confiance projeto do produto, siga estes passos:

  1. Ative a Cloud de Confiance API Product.

  2. Configure o seu Cloud de Confiance produto para chamar o serviço do Service Directory que criou. Os passos necessários dependem doCloud de Confiance produto específico.

Exemplos de utilização

Esta secção apresenta exemplos de utilização para configurar o acesso de rede privado.

Chamar um ponto final HTTP quando uma rede VPC, uma VM e o Service Directory estão no mesmo projeto

Neste exemplo de utilização, configura o Dialogflow CX, um Cloud de Confiance produto para o processamento de linguagem natural, para chamar um ponto final HTTP na sua VM. Ao chamar o ponto final, certifique-se de que o tráfego não transita pela Internet pública.

Neste exemplo de utilização, cria os seguintes artefactos no mesmo projeto:

  • Uma rede da VPC
  • Uma VM
  • Um serviço de diretório de serviços
  • Dialogflow CX

A Figura 1 mostra como pode permitir que uma configuração de serviço Google de um projeto saia para uma VM. A VM reside numa rede de VPC do projeto.

Permitir que uma configuração de serviço Google de um projeto saia para uma VM de projeto de rede.
Figura 1. Permitir uma configuração de serviço Google de um projeto para saída para uma VM (clique para aumentar).

Configure a sua rede e rede de destino

  1. Crie um projeto, como myproject.

  2. Crie uma rede VPC, como vpc-1.

    Ao criar a rede VPC, em Modo de criação de sub-redes, selecione Automático.

  3. Crie uma regra de firewall, como firewall-1.

    Ao criar a regra de firewall, introduza ou selecione os seguintes valores:

    • Para Rede, selecione vpc-1.
    • Para Intervalos de IPv4 de origem, introduza 35.199.192.0/19.
    • Para Protocolos e portas, selecione TCP e introduza 443 ou 80.

  4. Na região us-central1, crie uma VM, como vm-1.

    Ao criar a VM, introduza ou selecione os seguintes valores:

    • Para Redes > Interfaces de rede, selecione vpc-1.
    • Para Firewall, selecione Permitir tráfego HTTP.

    Se quiser usar HTTPS, selecione Permitir tráfego HTTPS. Certifique-se também de que instala um certificado Transport Layer Security (TLS) da infraestrutura de chave pública (PKI).

  5. Na região us-central1, crie um espaço de nomes, como namespace-1.

  6. No espaço de nomes, registe um serviço do Service Directory, como sd-1.

  7. Crie um ponto final em sd-1. Para o endereço do ponto final, use o endereço IP interno de vm-1 na porta 443. Para mais informações, consulte o artigo Crie um ponto final com acesso à rede privada.

  8. Conceda as seguintes funções de IAM ao agente de serviço do Cloud de Confiance produto que vai chamar o ponto final:

    • Função de visitante do diretório de serviços (roles/servicedirectory.viewer)
    • Função de serviço autorizado do Private Service Connect (roles/servicedirectory.pscAuthorizedService)

  9. Opcional: se quiser adicionar mais VMs, pode configurar outra VM, como vm-2, e adicionar o respetivo ponto final, como endpoint-2.

Configure um Cloud de Confiance produto

  1. Configurar uma Cloud de Confiance configuração do produto, como " Cloud Scheduler, liga-me todos os minutos".
  2. Configure um pedido HTTP.
  3. Especifique que os pedidos devem ser feitos através de redes privadas, como através de sd-1.
  4. Opcional: configure as definições do serviço de autoridade de certificação.

O produto Cloud de Confiance pode agora invocar o pedido HTTP através de sd-1.

Chame um ponto final HTTP quando uma rede VPC partilhada, uma VM e o Service Directory estão em projetos diferentes

Neste exemplo de utilização, configura o Dialogflow CX, um serviço de processamento de linguagem natural, para chamar um ponto final HTTP na sua VM. Cloud de Confiance Ao chamar o ponto final, certifique-se de que o tráfego não transita pela Internet pública.

Neste exemplo de utilização, cria os seguintes artefactos em projetos diferentes:

  • Uma rede de VPC partilhada
  • Uma VM
  • Um serviço de diretório de serviços
  • Dialogflow CX

Antes de criar os projetos, tenha em atenção o seguinte:

  • Certifique-se de que a invocação da API respeita o perímetro dos VPC Service Controls.
  • Certifique-se de que a configuração do Cloud de Confiance projeto de serviço permite a saída para uma VM que reside no projeto da rede VPC.
  • O projeto do produtor pode não ser o mesmo que o projeto de Cloud de Confiance serviço.
  • Certifique-se de que são usados os perímetros dos VPC Service Controls de ambos os projetos.
  • O projeto do Service Directory e o projeto de rede não têm de estar ligados, mas têm de fazer parte do mesmo VPC Service Controls.
  • Na rede e no serviço, a firewall e o IAM estão desativados por predefinição.

A Figura 2 mostra como pode enviar tráfego através do acesso à rede privada com os perímetros dos controlos de serviços da VPC aplicados.

Envie tráfego através do acesso à rede privada com perímetros dos VPC Service Controls aplicados.
Figura 2. Envie tráfego através do acesso à rede privada com os perímetros dos VPC Service Controls aplicados (clique para aumentar).

Configure o projeto de rede

  1. Crie um projeto, como my-vpc-project.

  2. Crie uma rede VPC, como vpc-1.

    Ao criar a rede VPC, para o Modo de criação de sub-redes, selecione Automático.

  3. Crie uma regra de firewall, como firewall-1.

    Ao criar a regra, introduza ou selecione os seguintes valores:

    • Para Rede, selecione vpc-1.
    • Para Intervalos de IPv4 de origem, introduza 35.199.192.0/19.
    • Para Protocolos e portas, selecione TCP e introduza 443 ou 80.

  4. Na região us-central1, crie uma VM, como vm-1.

    Ao criar a VM, introduza ou selecione os seguintes valores:

    • Para Redes > Interfaces de rede, selecione vpc-1.
    • Para Firewall, selecione Permitir tráfego HTTP.

    Se quiser usar HTTPS, selecione Permitir tráfego HTTPS. Certifique-se também de que instala um certificado Transport Layer Security (TLS) da infraestrutura de chave pública (PKI).

Se estiver a usar os VPC Service Controls, o perímetro dos VPC Service Controls permite que o Service Directory se ligue ao projeto de serviço e ao projeto do Service Directory. Cloud de Confiance

Configure o projeto do Service Directory

  1. Crie um projeto, como my-sd-project.

  2. Precisa de uma autorização de IAM adicional porque o projeto da rede VPC e o projeto do Service Directory são projetos diferentes.

    No projeto de rede, conceda a função Network Attacher do Service Directory (roles/servicedirectory.networkAttacher) ao principal do IAM que cria o ponto final do Service Directory.

  3. Crie um ponto final do Service Directory que aponte para a VM na rede VPC:

    1. Na região us-central1, crie um espaço de nomes, como namespace-1.
    2. No espaço de nomes, registe um serviço do Service Directory, como sd-1.
    3. Crie um ponto final em sd-1. Para o endereço do ponto final, use o endereço IP interno de vm-1 na porta 443. Para mais informações, consulte o artigo Crie um ponto final com acesso à rede privada.

  4. Conceda as seguintes funções de IAM ao agente de serviço do Cloud de Confiance produto que vai chamar o ponto final:

    • Função de visualizador do Service Directory (roles/servicedirectory.viewer) no projeto do Service Directory
    • Função de serviço autorizado do Private Service Connect (roles/servicedirectory.pscAuthorizedService) no projeto de rede

Se estiver a usar os VPC Service Controls, o perímetro dos VPC Service Controls permite que o Service Directory se ligue ao projeto de serviço e ao projeto do Service Directory. Cloud de Confiance

Configure o Cloud de Confiance projeto de serviço

  1. Ative a API para o serviço Cloud de Confiance que está a usar.
  2. Para configurar o Cloud de Confiance serviçoPUSH, use o serviço Service Directory do projeto Service Directory.

Se estiver a usar os VPC Service Controls, o perímetro dos VPC Service Controls permite que o Service Directory se ligue ao projeto de rede e ao projeto do Service Directory.

Use o acesso à rede privada do Service Directory com o Dialogflow

Para ver instruções sobre como pode usar o acesso à rede privada do Service Directory com o Dialogflow, consulte o artigo Usar o Service Directory para acesso à rede privada.

O que se segue?