Esta página foi traduzida pela API Cloud Translation.

Acerca do acesso às APIs Google através de pontos finais

Este documento oferece uma vista geral dos pontos finais do Private Service Connect usados para aceder às APIs Google.

Por predefinição, se tiver uma aplicação que utilize um serviço Google, como o Cloud Storage, a sua aplicação liga-se ao nome DNS predefinido desse serviço, como storage.googleapis.com. Os nomes DNS predefinidos dos serviços Google são resolvidos para endereços IP encaminháveis publicamente. No entanto, o tráfego enviado dos recursosGoogle Cloud para esses endereços IP permanece na rede da Google.

Com o Private Service Connect, pode criar pontos finais privados usando endereços IP internos globais na sua rede VPC. Pode atribuir nomes DNS a estes endereços IP internos com nomes significativos, como storage-vialink1.p.googleapis.com e bigtable-adsteam.p.googleapis.com. Estes nomes e endereços IP são internos à sua rede VPC e a quaisquer redes no local que estejam ligadas a ela através de túneis do Cloud VPN ou anexos de VLAN. Pode controlar que tráfego é encaminhado para que ponto final e pode demonstrar que o tráfego permanece dentro do Google Cloud.

Esta opção dá-lhe acesso a todas as APIs e serviços Google incluídos nos pacotes de APIs.

**Figura 1.** O Private Service Connect permite-lhe enviar tráfego para as APIs Google através de um ponto final privado para a sua rede VPC (clique para aumentar).

Funcionalidades e compatibilidade

Esta tabela resume as funcionalidades suportadas pelos pontos finais usados para aceder às APIs Google.

Configuração	Detalhes
Configuração do consumidor (ponto final)
Acessibilidade global	Usa um endereço IP global interno
Tráfego do Cloud Interconnect
Tráfego do Cloud VPN
Acesso através do intercâmbio da rede da VPC
Propagação de ligações através do Network Connectivity Center
Configuração automática de DNS
Versão do IP	IPv4
Produtor
Serviços suportados	APIs Google globais suportadas

Acesso nas instalações

Os pontos finais do Private Service Connect que usa para aceder às APIs Google podem ser acedidos a partir de anfitriões no local suportados. Para mais informações, consulte o artigo Aceda ao ponto final a partir de anfitriões no local.

Private Service Connect e Service Directory

Os pontos finais estão registados no diretório de serviços. O Service Directory é uma plataforma para armazenar, gerir e publicar serviços. Quando cria um ponto final para aceder às APIs e aos serviços Google, seleciona uma região do Service Directory e um espaço de nomes do Service Directory.

Região do diretório de serviços

O diretório de serviços é um serviço regional. A região que selecionar define onde reside o plano de controlo do diretório de serviços. Não existe diferença funcional entre as regiões, mas pode ter uma preferência por motivos administrativos.

Quando cria o primeiro ponto final para as APIs Google numa rede VPC, a região que selecionar é usada como a região predefinida para todos os pontos finais subsequentes criados nessa rede. Se uma região ainda não estiver definida para uma rede e não especificar uma região, a região é definida como us-central1. Todos os pontos finais numa rede têm de usar a mesma região do Service Directory.

Espaço de nomes do diretório de serviços

Quando cria o primeiro ponto final para as APIs Google numa rede VPC, o espaço de nomes que selecionar é usado como o espaço de nomes predefinido para todos os pontos finais subsequentes criados nessa rede. Se o espaço de nomes ainda não estiver definido para uma rede e não especificar um espaço de nomes, é usado um espaço de nomes gerado pelo sistema. Todos os pontos finais numa rede têm de usar o mesmo espaço de nomes do Service Directory. O espaço de nomes que escolher tem de ser usado apenas para pontos finais que são usados para aceder às APIs Google. Pode usar o mesmo espaço de nomes para pontos finais em várias redes.

Quando cria um ponto final, são criadas as seguintes configurações de DNS:

É criada uma zona de DNS privado do Service Directory para p.googleapis.com
Os registos DNS são criados no p.googleapis.com para algumas APIs e serviços Google usados frequentemente que estão disponíveis através do Private Service Connect e têm nomes DNS predefinidos que terminam em googleapis.com.

Consulte as instruções para criar registos de DNS para APIs e serviços que não tenham um registo de DNS em p.googleapis.com.

Os serviços disponíveis variam consoante selecione o all-apis ou o vpc-sc pacote de APIs.

É criada uma zona DNS do Service Directory para cada rede VPC que contenha um ponto final.

Os nomes DNS de um ponto final estão acessíveis em todas as regiões na sua rede VPC.

APIs suportadas

Quando cria um ponto final para aceder às APIs e aos serviços Google, escolhe o pacote de APIs ao qual precisa de aceder: Todas as APIs (all-apis) ou VPC-SC (vpc-sc):

O pacote all-apis oferece acesso à maioria das APIs e serviços Google, incluindo todos os pontos finais de serviço *.googleapis.com.
O pacote vpc-sc oferece acesso a APIs e serviços que suportam os VPC Service Controls.

Nota: estes pacotes dão acesso às mesmas APIs que estão disponíveis através dos VIPs de acesso privado da Google. all-apis é equivalente a private.googleapis.com e vpc-sc é equivalente a restricted.googleapis.com.

Os pacotes de API suportam apenas protocolos baseados em HTTP através de TCP (HTTP, HTTPS e HTTP/2). Todos os outros protocolos, incluindo MQTT e ICMP, não são suportados.

Pacote de APIs Serviços suportados Exemplo de utilização

Pacote de APIs	Serviços suportados	Exemplo de utilização
`all-apis`	Permite o acesso à API à maioria das APIs e serviços Google, independentemente de serem suportados pelos VPC Service Controls. Inclui acesso à API do Google Maps, Google Ads Google Cloude à maioria das outras APIs Google, incluindo as listas abaixo. Não suporta aplicações Web do Google Workspace, como o Gmail e o Google Docs. Não suporta Websites interativos. Nomes de domínio correspondentes: `accounts.google.com` (só suporta caminhos necessários para a autenticação OAuth de contas de serviço; a autenticação de contas de utilizador é interativa e não é suportada) `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io` ou `.gcr.io` `.googleapis.com` `.gke.goog` `.gstatic.com` `.kernels.googleusercontent.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` ou `.pkg.dev` `pki.goog` ou `.pki.goog` `.run.app` `source.developers.google.com` `storage.cloud.google.com`	Escolha `all-apis` nestas circunstâncias: Não usa os VPC Service Controls. Usa os VPC Service Controls, mas também precisa de aceder a APIs e serviços Google que não são suportados pelos VPC Service Controls. ¹
`vpc-sc`	Ativa o acesso à API às APIs Google e aos serviços suportados pelo VPC Service Controls. Bloqueia o acesso a APIs e serviços Google que não suportam os VPC Service Controls. Não suporta APIs Google Workspace nem aplicações Web do Google Workspace, como o Gmail e o Google Docs.	Escolha `vpc-sc` quando só precisar de acesso a APIs e serviços Google que são suportados pelos VPC Service Controls. O pacote `vpc-sc` não permite o acesso a APIs e serviços Google que não suportam os VPC Service Controls. ¹

all-apis

Permite o acesso à API à maioria das APIs e serviços Google, independentemente de serem suportados pelos VPC Service Controls. Inclui acesso à API do Google Maps, Google Ads Google Cloude à maioria das outras APIs Google, incluindo as listas abaixo. Não suporta aplicações Web do Google Workspace, como o Gmail e o Google Docs. Não suporta Websites interativos.

Nomes de domínio correspondentes:

accounts.google.com (só suporta caminhos necessários para a autenticação OAuth de contas de serviço; a autenticação de contas de utilizador é interativa e não é suportada)
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io ou *.gcr.io
*.googleapis.com
*.gke.goog
*.gstatic.com
*.kernels.googleusercontent.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev ou *.pkg.dev
pki.goog ou *.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

Escolha all-apis nestas circunstâncias:

Não usa os VPC Service Controls.
Usa os VPC Service Controls, mas também precisa de aceder a APIs e serviços Google que não são suportados pelos VPC Service Controls. ¹

vpc-sc

Ativa o acesso à API às APIs Google e aos serviços suportados pelo VPC Service Controls.

Bloqueia o acesso a APIs e serviços Google que não suportam os VPC Service Controls. Não suporta APIs Google Workspace nem aplicações Web do Google Workspace, como o Gmail e o Google Docs.

Escolha vpc-sc quando só precisar de acesso a APIs e serviços Google que são suportados pelos VPC Service Controls. O pacote vpc-sc não permite o acesso a APIs e serviços Google que não suportam os VPC Service Controls. ¹

¹ Se precisar de restringir os utilizadores apenas às APIs e aos serviços Google que suportam os VPC Service Controls, use o vpc-sc, uma vez que oferece uma mitigação de riscos adicional para a exfiltração de dados. A utilização de vpc-sc nega o acesso a APIs Google e serviços que não são suportados pelos VPC Service Controls. Consulte o artigo Configurar a conetividade privada na documentação do VPC Service Controls para obter mais detalhes.

Requisitos de endereço IP

Quando configura o Private Service Connect numa rede VPC, fornece um endereço IP a usar para o ponto final.

O endereço conta para a quota do projeto para endereços IP internos globais.

O endereço IP tem de cumprir as seguintes especificações:

Tem de ser um único endereço IP e não um intervalo de endereços.
Tem de ser um endereço IPv4 válido. Pode ser um endereço RFC 1918 ou um endereço não RFC 1918. Os endereços IPv6 não são suportados para o Private Service Connect.
Não pode estar no intervalo de sub-redes configuradas na rede VPC.
Não pode estar dentro de um intervalo de endereços IP principal ou secundário de qualquer sub-rede na rede VPC ou numa rede ligada à rede VPC através do intercâmbio da rede VPC.
Não pode sobrepor-se a uma rota estática personalizada na rede VPC local./32 Por exemplo, se a rede da VPC tiver uma rota estática personalizada para 10.10.10.10/32, não pode reservar o endereço 10.10.10.10 para o Private Service Connect.
Não pode sobrepor-se a uma rota estática personalizada de /32intercâmbio de tráfego se tiver configurado a rede com intercâmbio de tráfego para exportar rotas personalizadas e tiver configurado a sua rede da VPC para importar rotas personalizadas.
Não pode estar dentro de nenhum dos intervalos de IP de modo automático (em 10.128.0.0/9) se a rede VPC local for uma rede de modo automático ou se estiver em peering com uma rede de modo automático.
Não pode estar num intervalo de IPs atribuídos na rede VPC local. No entanto, pode estar dentro de um intervalo de IP atribuído numa rede VPC com peering.
Se um ponto final se sobrepuser a uma rota dinâmica personalizada cujo destino seja o mesmo /32, o ponto final tem prioridade.
Se um endereço IP de ponto final estiver localizado no intervalo de destino de uma rota estática local, rota dinâmica local ou rota personalizada de peering, e essa rota tiver uma máscara de sub-rede mais curta do que /32, o ponto final tem maior prioridade.

Exemplos de utilização

Pode criar vários pontos finais na mesma rede VPC. Não existe um limite para a largura de banda total enviada para um ponto final específico. Uma vez que os pontos finais usam endereços IP internos globais, podem ser usados por qualquer recurso na sua rede VPC ou numa rede no local ligada através de túneis do Cloud VPN ou anexos do Cloud Interconnect.

Com vários pontos finais, pode especificar diferentes caminhos de rede através do Cloud Router e das regras de firewall.

Pode criar regras de firewall para impedir que algumas VMs acedam às APIs Google através de um ponto final, ao mesmo tempo que permite que outras VMs tenham acesso.
Pode ter uma regra de firewall numa instância de VM que não permita todo o tráfego para a Internet. O tráfego enviado para pontos finais do Private Service Connect continua a chegar à Google.
Se tiver anfitriões no local ligados a uma VPC através de um túnel do Cloud VPN ou de uma associação de VLAN, pode enviar alguns pedidos através do túnel ou da VLAN enquanto envia outros pedidos através da Internet pública. Esta configuração permite ignorar o túnel ou a VLAN para serviços como o Google Livros que não são suportados pelo acesso privado à Google.

Para criar esta configuração, crie um ponto final do Private Service Connect, anuncie os endereços IP do ponto final através de anúncios de rotas personalizadas do Cloud Router e ative uma política de encaminhamento de entrada do Cloud DNS. A aplicação pode enviar alguns pedidos através do túnel de VPN na nuvem ou da associação de VLAN usando o nome do ponto final e pode enviar outros pedidos através da Internet usando o nome DNS predefinido.
Se ligar a sua rede nas instalações à rede VPC através de várias associações de VLAN, pode enviar algum tráfego das instalações através de uma VLAN e o resto através de outras, conforme mostrado na figura 2. Isto permite-lhe usar a sua própria rede de área alargada em vez da da Google e controlar o movimento de dados para cumprir os requisitos geográficos.

Para criar esta configuração, crie dois pontos finais. Crie um anúncio de rota personalizado para o primeiro ponto final na sessão BGP do Cloud Router que gere a primeira VLAN e crie um anúncio de rota personalizado diferente para o segundo ponto final na sessão BGP do Cloud Router que gere a segunda VLAN. Os anfitriões no local configurados para usar o nome do ponto final enviam tráfego através da associação VLAN correspondente.
Também pode usar várias associações de VLAN numa topologia ativa/ativa. Se anunciar o mesmo endereço IP do ponto final através de anúncios de rotas personalizadas para as sessões BGP nos Cloud Routers que gerem as VLANs, os pacotes enviados de sistemas no local para os pontos finais são encaminhados através das VLANs com ECMP.

Figura 2. Ao configurar o Private Service Connect, o Cloud Router e os anfitriões no local, pode controlar que anexo de VLAN é usado para enviar tráfego para as APIs Google (clique para aumentar).

Preços

Os preços do Private Service Connect estão descritos na página de preços da VPC.

Quotas

O número de pontos finais do Private Service Connect que pode criar para aceder às APIs Google é controlado pela quota PSC Google APIs Forwarding Rules per VPC Network. Para mais informações, consulte as quotas.

Restrições de políticas da organização

Um administrador da política de organização pode usar a restrição constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir o conjunto de tipos de pontos finais para os quais os utilizadores não podem criar regras de encaminhamento.

Para obter informações sobre a criação de uma política da organização que use esta restrição, consulte o artigo Impedir que os consumidores implementem pontos finais por tipo de ligação.

O que se segue?

Configure o Private Service Connect para aceder às APIs e aos serviços Google