Paso 01 Introducción: En esta guía práctica aprenderá a usar Private Google Access dentro de una VPC para que un servicio de Cloud Run configurado con endpoint interno sea accesible de forma segura sin exponer una IP pública. El tráfico circula por la red privada de Google y no por Internet público. Lo que vamos a hacer incluye desplegar un servicio Cloud Run con ingress interno; crear una subred con Private Google Access activado y otra sin Private Google Access; lanzar máquinas virtuales en ambas subredes sin IP externa; y comprobar la conectividad desde cada VM hacia el endpoint interno de Cloud Run.
Resultados esperados: VM en subred con PGA ON debe poder acceder; VM en subred con PGA OFF no debe poder acceder. Al finalizar se mostrarán los pasos para limpiar recursos.
Paso 02 Crear servicio Cloud Run con endpoint interno: Configuración de ejemplo en gcloud: gcloud config set project PROJECT_ID; gcloud config set run/region us-central1; gcloud run deploy myservice201 --image=stacksimplify/google-cloud-run:v1 --allow-unauthenticated --ingress=internal --port=80 --region=us-central1. La URL pública de verificación puede verse pero el servicio está configurado solo para ingress interno, por lo que no será accesible desde Internet público cuando no se permita el ingreso externo.
Paso 03 Crear subred con Private Google Access activado: Desde la consola VPC Network crear una subred nueva en la región us-central1 con rango de IP por ejemplo 10.231.0.0/20 y activar Private Google Access en ON. También puede crear la subred con gcloud si lo prefiere.
Paso 04 Crear VM en subred con PGA ON: Crear una VM sin IP externa en la subred con PGA activado mediante gcloud compute instances create myvm-pga-on --zone=us-central1-a --machine-type=e2-micro --network-interface=subnet=mysubnet2pga,no-address. Conectar usando IAP gcloud compute ssh --zone us-central1-a myvm-pga-on --tunnel-through-iap. Desde la VM ejecutar curl https://myservice201-506997606680.us-central1.run.app y la solicitud debe finalizar correctamente porque el tráfico hacia APIs y servicios de Google usa Private Google Access.
Paso 05 Crear VM en subred con PGA OFF: Crear una VM sin IP externa en la subred que no tiene PGA con gcloud compute instances create myvm-pga-off --zone=us-central1-a --machine-type=e2-micro --network-interface=subnet=mysubnet1,no-address. Conectar por IAP y repetir curl hacia el endpoint interno de Cloud Run. En este caso la conexión fallará ya que la subred no puede enrutar tráfico a los servicios de Google de forma privada.
Paso 06 Limpieza de recursos: Eliminar las instancias con gcloud compute instances delete myvm-pga-on --zone=us-central1-a --delete-disks=all y gcloud compute instances delete myvm-pga-off --zone=us-central1-a --delete-disks=all. Eliminar el servicio de Cloud Run con gcloud run services delete myservice201. Verifique también la eliminación de subredes y reglas de firewall que haya creado para este experimento.
Resumen y buenas prácticas: Private Google Access permite que instancias sin IP externa accedan de forma privada a APIs y servicios gestionados por Google, incluyendo endpoints internos de Cloud Run. Active PGA en subredes donde cargas de trabajo privadas necesitan comunicarse con servicios Google sin asignar IPs públicas. Para entornos productivos combine PGA con reglas de firewall restrictivas, VPC Service Controls cuando proceda, y controles de identidad y acceso para minimizar la superficie de ataque.
Sobre Q2BSTUDIO: En Q2BSTUDIO somos una empresa de desarrollo de software especializada en aplicaciones a medida y software a medida, con experiencia en soluciones en la nube y seguridad. Ofrecemos arquitectura y migración en plataformas cloud y gestión de infraestructuras híbridas. Si su proyecto requiere integración con nubes públicas y mejores prácticas en redes y seguridad, conozca nuestros servicios cloud aws y azure. También contamos con capabilities en inteligencia artificial, agentes IA y soluciones de IA para empresas que mejoran procesos y generan valor mediante modelos a medida. Nuestros servicios incluyen ciberseguridad, pentesting, soluciones de inteligencia de negocio y visualización con power bi, automatización de procesos y consultas avanzadas para convertir datos en decisiones.
Palabras clave para posicionamiento: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi.