Configurazione dell'accesso privato Google
In questa pagina viene descritto come abilitare e configurare l'accesso privato Google. Per impostazione predefinita, quando una VM di Compute Engine non ha un indirizzo IP esterno assegnata alla propria interfaccia di rete, può inviare pacchetti solo ad altri Destinazioni degli indirizzi IP. Puoi consentire a queste VM di connettersi all'insieme gli indirizzi IP esterni utilizzati dalle API di Google Google Cloud attivando Accesso privato Google sulla subnet utilizzata dall'interfaccia di rete della VM.
L'accesso privato Google consente inoltre di accedere agli indirizzi IP esterni utilizzati App Engine, inclusi i servizi di terze parti basati su App Engine.
Per visualizzare le API e i servizi idonei che puoi utilizzare con Accesso privato Google, consulta i supporti Google Cloud nel Panoramica dell'accesso privato Google.
Vedi le opzioni di accesso privato per Services per informazioni di base su Accesso privato Google e altre opzioni di connettività privata offerte da in Google Cloud.
Specifiche
L'interfaccia di una VM può inviare pacchetti agli indirizzi IP esterni delle API di Google e che utilizzano l'accesso privato Google se tutte queste condizioni sono soddisfatte:
L'interfaccia della VM è connessa a una subnet in cui si trova l'accesso privato Google in un bucket in cui è abilitato il controllo delle versioni.
La rete VPC che contiene la subnet soddisfa le requisiti per le API e i servizi Google.
All'interfaccia della VM non è assegnato un indirizzo IP esterno.
L'indirizzo IP di origine dei pacchetti inviati dalla VM corrisponde a uno dei seguenti e gli indirizzi IP esterni.
- L'indirizzo IPv4 interno principale dell'interfaccia della VM
- L'indirizzo IPv6 interno dell'interfaccia della VM
- Un indirizzo IPv4 interno da un intervallo IP alias
Una VM con un indirizzo IPv4 o IPv6 esterno assegnato alla rete dell'interfaccia utente non necessita dell'accesso privato Google connettersi alle API e ai servizi Google. Tuttavia, la rete VPC Deve soddisfare i requisiti per l'accesso alle API di Google e Google Cloud.
Requisiti di rete
L'accesso privato Google prevede i seguenti requisiti:
- Poiché l'accesso privato Google viene abilitato a livello di subnet, devi una rete VPC. Precedente o reti non sono supportate perché non supportano le subnet.
- Devi abilitare le API di Google che utilizzi nella console Google Cloud, nella piattaforma API pagina dei servizi.
Se vuoi connetterti alle API e ai servizi Google utilizzando IPv6, devi soddisfare entrambi i requisiti:
La VM deve essere configurata con un indirizzo IPv6
/96
predefinito.Il software in esecuzione sulla VM deve inviare pacchetti le cui origini corrispondono a una indirizzi IPv6 di quell'intervallo.
- A seconda della configurazione scelta, potrebbe essere necessario aggiornare Voci, route e regole firewall del DNS. Per ulteriori informazioni, vedi Riepilogo delle opzioni di configurazione.
Autorizzazioni
Proprietari del progetto, editor e entità IAM con la rete Il ruolo Amministratore può creare o aggiornare e assegnare gli indirizzi IP.
Per ulteriori informazioni sui ruoli, consulta documentazione sui ruoli IAM.
Logging
Cloud Logging acquisisce tutte le richieste API effettuate da istanze VM nelle subnet con l'accesso privato Google abilitato. Le voci di log identificano l'origine la richiesta API come indirizzo IP interno dell'istanza chiamante.
Puoi configurare i report sull'utilizzo giornaliero e i report mensili di aggregazione in modo che vengano inviati a un nel bucket Cloud Storage. Consulta la sezione Utilizzo della visualizzazione Report per informazioni dettagliate.
Riepilogo delle opzioni di configurazione
La tabella seguente riassume i diversi modi in cui puoi configurare Accesso privato Google. Per informazioni più dettagliate sulla configurazione, consulta Configurazione di rete.
Opzione dominio | Configurazione DNS | Configurazione del routing | Configurazione del firewall |
---|---|---|---|
Domini predefiniti | Non è richiesta alcuna configurazione DNS speciale. | Assicurati che la tua rete VPC possa instradare il traffico agli intervalli di indirizzi IP che e vengono utilizzati dalle API e dai servizi Google.
|
Assicurati che le regole firewall consentano il traffico in uscita verso Intervalli di indirizzi IP utilizzati dalle API e dai servizi Google. La regola firewall di autorizzazione in uscita predefinita consente questo traffico, se non esiste una priorità più elevata. che la blocca. |
private.googleapis.com
|
Configura i record DNS in una zona DNS privata da inviare richieste ai seguenti indirizzi IP: Per il traffico IPv4:
Per il traffico IPv6:
|
Assicurati che la rete VPC abbia route ai seguenti intervalli IP: Per il traffico IPv4:
Per il traffico IPv6:
|
Assicurati che le regole firewall consentano il traffico in uscita verso i seguenti intervalli IP: Per il traffico IPv4:
Per il traffico IPv6:
|
restricted.googleapis.com
|
Configura i record DNS per inviare richieste ai seguenti indirizzi IP: Per il traffico IPv4:
Per il traffico IPv6:
|
Assicurati che la rete VPC abbia route ai seguenti intervalli IP: Per il traffico IPv4:
Per il traffico IPv6:
|
Assicurati che le regole firewall consentano il traffico in uscita verso i seguenti intervalli IP: Per il traffico IPv4:
Per il traffico IPv6:
|
Configurazione di rete
Questa sezione descrive i requisiti di rete di base che devi soddisfare per per una VM nella tua rete VPC per accedere alle API e ai servizi Google.
Opzioni dominio
Scegli il dominio che vuoi utilizzare per accedere alle API e ai servizi Google.
L'IP virtuale private.googleapis.com
e restricted.googleapis.com
(VIP) supportano solo i protocolli basati su HTTP su TCP (HTTP, HTTPS e HTTP/2). Tutti gli altri
tra cui MQTT e ICMP, non sono supportati.
Intervalli di indirizzi IP e di dominio | Servizi supportati | Esempio di utilizzo |
---|---|---|
Domini predefiniti. Tutti i nomi di dominio per le API e i servizi Google ad eccezione di
Vari intervalli di indirizzi IP: puoi determinare un insieme di intervalli IP contenenti gli indirizzi possibili utilizzati dai domini predefiniti con riferimento Indirizzi IP per predefiniti domini. |
Abilita l'accesso API alla maggior parte delle API e dei servizi Google indipendentemente da se sono supportate dai Controlli di servizio VPC. Include l'accesso API a Google Maps, Google Ads e Google Cloud. Include le applicazioni web di Google Workspace come Gmail e Documenti Google, e altre applicazioni web. |
I domini predefiniti vengono utilizzati quando non configuri i record DNS per
|
|
Abilita l'accesso API alla maggior parte delle API e dei servizi Google indipendentemente da se sono supportate dai Controlli di servizio VPC. Include l'accesso API a Google Maps, Google Ads, Google Cloud e la maggior parte delle altre API di Google, tra cui l'elenco che segue. Non supporta Google Workspace per il web applicazioni come Gmail e Documenti Google. Non supporta nessuna siti web interattivi. Nomi di dominio corrispondenti:
|
Usa Scegli
|
|
Abilita l'accesso API a API di Google e supportati dai Controlli di servizio VPC. Blocca l'accesso alle API e ai servizi Google che non supportano Controlli di servizio VPC. Non supporta le API Google Workspace o le applicazioni web di Google Workspace, come come Gmail e Documenti Google. |
Usa Scegli Il dominio |
restricted.googleapis.com
, in quanto fornisce ulteriore mitigazione del rischio per i dati
l'esfiltrazione dei dati. L'uso di restricted.googleapis.com
nega l'accesso a
API e servizi Google non supportati dai Controlli di servizio VPC. Consulta
Impostazione di impostazioni private
connettività nella documentazione Controlli di servizio VPC per ulteriori dettagli.
Supporto IPv6 per private.googleapis.com
e restricted.googleapis.com
I seguenti intervalli di indirizzi IPv6 possono essere utilizzati per indirizzare il traffico da IPv6 alle API e ai servizi Google:
private.googleapis.com
:2600:2d00:0002:2000::/64
restricted.googleapis.com
:2600:2d00:0002:1000::/64
Valuta la possibilità di configurare gli indirizzi IPv6 se vuoi utilizzare il dominio private.googleapis.com
o restricted.googleapis.com
e
hanno client che utilizzano indirizzi IPv6. I client IPv6 per cui sono configurati indirizzi IPv4 possono
raggiungere le API e i servizi Google utilizzando gli indirizzi IPv4. Non tutti i servizi accettano traffico da
client IPv6.
Configurazione DNS
Per la connettività alle API e ai servizi Google, puoi scegliere di inviare
di pacchetti agli indirizzi IP associati a private.googleapis.com
restricted.googleapis.com
VIP. Per utilizzare un VIP, devi configurare il DNS in modo che le VM
nei servizi di copertura della rete VPC, utilizzando gli indirizzi VIP
anziché gli indirizzi IP pubblici.
Le sezioni seguenti descrivono come utilizzare le zone DNS per inviare pacchetti all'IP indirizzi IP associati al VIP scelto. Segui le istruzioni per tutti gli scenari che ti riguardano:
- Se utilizzi servizi che hanno
*.googleapis.com
nomi di dominio, vedi Configura il DNS pergoogleapis.com
. Se utilizzi servizi che hanno altri nomi di dominio, vedi Configura il DNS per altri domini.
Ad esempio, se utilizzi Google Kubernetes Engine (GKE), devi configurare anche
*.gcr.io
e*.pkg.dev
; oppure, se utilizzi Cloud Run, devi configurare*.run.app
.Se utilizzi i bucket Cloud Storage e invii richieste a un il nome di dominio personalizzato di Cloud Storage, vedi Configura il DNS per i nomi di dominio personalizzati di Cloud Storage.
Quando configuri i record DNS per i VIP, utilizza solo gli indirizzi IP
descritti nei passaggi successivi. Non combinare indirizzi da
private.googleapis.com
e restricted.googleapis.com
VIP. Questo può
possono causare errori intermittenti perché i servizi offerti sono diversi
in base alla destinazione
di un pacchetto.
Configura il DNS per googleapis.com
Crea una zona e dei record DNS per googleapis.com
:
- Crea una zona DNS privata per
googleapis.com
. Prendi in considerazione la creazione di un zona privata di Cloud DNS che non ha uno scopo specifico. Nella zona
googleapis.com
, crea i seguenti record DNS privati per unoprivate.googleapis.com
orestricted.googleapis.com
, a seconda di quale che hai scelto di utilizzare.Per
private.googleapis.com
:Crea un record
A
perprivate.googleapis.com
che rimandi a seguenti indirizzi IP:199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
.Per connetterti alle API utilizzando indirizzi IPv6, configura anche un
AAAA
record perprivate.googleapis.com
che punta a2600:2d00:0002:2000::
.
Per
restricted.googleapis.com
:Crea un record
A
perrestricted.googleapis.com
che rimandi a seguenti indirizzi IP:199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
.Per connetterti alle API utilizzando indirizzi IPv6, crea anche un'
AAAA
record perrestricted.googleapis.com
che punta a2600:2d00:0002:1000::
.
Per creare record DNS privati in Cloud DNS, consulta aggiungi un record.
Nella zona
googleapis.com
, crea un recordCNAME
per*.googleapis.com
che rimanda al dominio che hai configurato:private.googleapis.com
oppurerestricted.googleapis.com
.
Configura il DNS per altri domini
Alcune API e alcuni servizi Google vengono forniti utilizzando nomi di dominio aggiuntivi,
tra cui *.gcr.io
, *.gstatic.com
, *.pkg.dev
, pki.goog
e *.run.app
.
Fai riferimento alla tabella degli intervalli di indirizzi IP e domini in Opzioni di dominio
per determinare se è possibile accedere ai servizi del dominio aggiuntivo utilizzando private.googleapis.com
o restricted.googleapis.com
. Per ciascuno dei domini aggiuntivi:
Crea una zona DNS per
DOMAIN
(ad esempio,gcr.io
). Se utilizzi Cloud DNS, assicurati che la zona si trovi nella zona nello stesso progetto della zona privatagoogleapis.com
.In questa zona DNS, crea i seguenti record DNS privati per uno
private.googleapis.com
orestricted.googleapis.com
, a seconda di quale che hai scelto di utilizzare.Per
private.googleapis.com
:Crea un record
A
perDOMAIN
che rimandi a quanto segue Indirizzi IP:199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
.Per connetterti alle API utilizzando indirizzi IPv6, crea anche un'
AAAA
record perDOMAIN
che punta a2600:2d00:0002:2000::
.
Per
restricted.googleapis.com
:Crea un record
A
perDOMAIN
che rimandi a quanto segue Indirizzi IP:199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
.Per connetterti alle API utilizzando indirizzi IPv6, crea anche un'
AAAA
record perrestricted.googleapis.com
che punta a2600:2d00:0002:1000::
.
Nella zona
DOMAIN
, crea un recordCNAME
per*.DOMAIN
che punta aDOMAIN
. Ad esempio, crea un recordCNAME
per*.gcr.io
che rimandi agcr.io
.
Configura il DNS per i nomi di dominio personalizzati di Cloud Storage
Se utilizzi bucket Cloud Storage e invii richieste a un
Nome di dominio personalizzato di Cloud Storage,
configurazione dei record DNS per il nome di dominio Cloud Storage personalizzato verso cui puntare
gli indirizzi IP per private.googleapis.com
o restricted.googleapis.com
sono
non è sufficiente per
consentire l'accesso ai bucket Cloud Storage.
Se vuoi inviare richieste a un nome di dominio personalizzato Cloud Storage, devi anche
imposta l'intestazione Host della richiesta HTTP e l'SNI TLS su storage.googleapis.com
Gli indirizzi IP per private.googleapis.com
e restricted.googleapis.com
non
supportare nomi host Cloud Storage personalizzati nelle intestazioni host delle richieste HTTP e TLS
SNI
Opzioni di routing
La rete VPC deve avere route appropriate i cui hop successivi vengono il gateway internet predefinito. Google Cloud non supporta il routing il traffico verso le API e i servizi Google attraverso altre istanze VM o . Nonostante siano chiamati gateway internet predefinito, i pacchetti inviati dalle VM della tua rete VPC alle API e ai servizi Google rimangono sulla rete di Google.
Se selezioni i domini predefiniti, le tue istanze VM si connettono alle API di Google e servizi usando un sottoinsieme dell'indirizzo IP esterno indirizzi IP. Questi indirizzi IP sono instradabili pubblicamente, rimane il percorso di una VM in una rete VPC a questi indirizzi all'interno della rete Google.
Google non pubblica su internet route verso nessuno degli indirizzi IP utilizzati dal
private.googleapis.com
orestricted.googleapis.com
domini. Di conseguenza, questi domini sono accessibili solo dalle VM in una rete VPC oppure on-premise connessi a una rete VPC.
Se la tua rete VPC contiene un route il cui hop successivo è l'impostazione predefinita gateway internet, puoi usare la route per accedere alle API e ai servizi Google, senza dover creare route personalizzate. Consulta la sezione Percorsi con un valore predefinito route per i dettagli.
Se hai sostituito un percorso predefinito (destinazione 0.0.0.0/0
o ::0/0
) con
una route personalizzata il cui hop successivo non è il gateway internet predefinito, puoi
soddisfare i requisiti di routing per le API e i servizi Google utilizzando
il routing.
Se la tua rete VPC non ha una route predefinita IPv6, non usufruirà della connettività IPv6 alle API e ai servizi Google. Aggiungi una route predefinita IPv6 per consentire Connettività IPv6.
Routing con un percorso predefinito
Ogni rete VPC contiene una route predefinita IPv4 (0.0.0.0/0
)
quando viene creato. Se abiliti gli indirizzi IPv6 esterni su una subnet,
a quel VPC viene aggiunta la route predefinita IPv6 generata dal sistema (::/0
)
in ogni rete.
Le route predefinite forniscono un percorso degli indirizzi IP per le seguenti destinazioni:
I domini predefiniti.
private.googleapis.com
:199.36.153.8/30
e2600:2d00:0002:2000::/64
.restricted.googleapis.com
:199.36.153.4/30
e2600:2d00:0002:1000::/64
.
Per verificare la configurazione di una route predefinita in una data rete, segui questi passaggi indicazioni stradali.
Console
Nella console Google Cloud, vai alla pagina Route.
Filtra l'elenco di route per visualizzare solo quelle della rete da esaminare.
Cerca una route la cui destinazione è
0.0.0.0/0
per il traffico IPv4.::/0
per il traffico IPv6 e il cui hop successivo è gateway internet predefinito.
gcloud
Usa il seguente comando gcloud
, sostituendo NETWORK_NAME
con
il nome della rete da ispezionare:
gcloud compute routes list \ --filter="default-internet-gateway NETWORK_NAME"
Se devi creare una route IPv4 predefinita sostitutiva, consulta Aggiunta di una route statica percorso.
Se è necessario creare una route IPv6 predefinita sostitutiva, consulta Aggiunta di una route IPv6 route predefinita.
Routing personalizzato
In alternativa a una route predefinita, puoi usare route statiche personalizzate, con una destinazione più specifica e ognuna che utilizza il gateway internet predefinito nell'hop successivo. Il numero di route necessarie e i relativi indirizzi IP di destinazione dipendono dal dominio che scegli.
- Domini predefiniti: devi avere route per gli intervalli di indirizzi IP per Google API e servizi.
private.googleapis.com
:199.36.153.8/30
e2600:2d00:0002:2000::/64
restricted.googleapis.com
:199.36.153.4/30
e2600:2d00:0002:1000::/64
Inoltre, ti consigliamo di aggiungere percorsi per 34.126.0.0/18
e 2001:4860:8040::/42
. Per ulteriori informazioni, consulta il Riepilogo di
opzioni di configurazione.
Per verificare la configurazione delle route personalizzate per le API e i servizi Google in un rete specifica, segui queste istruzioni.
Console
Nella console Google Cloud, vai alla pagina Route.
Utilizza il campo di testo Filtra tabella per filtrare l'elenco delle route utilizzando i seguenti criteri, sostituendo
NETWORK_NAME
con il nome della tua rete VPC.- Rete:
NETWORK_NAME
- Tipo di hop successivo:
default internet gateway
- Rete:
Esamina la colonna Intervallo IP di destinazione per ogni route. Se scegli i domini predefiniti, verifica la presenza di diverse route statiche personalizzate, una ogni intervallo di indirizzi IP utilizzato dal dominio predefinito. Se hai scelto
private.googleapis.com
orestricted.googleapis.com
, cerca per l'intervallo IP di quel dominio.
gcloud
Usa il seguente comando gcloud
, sostituendo NETWORK_NAME
con
il nome della rete da ispezionare:
gcloud compute routes list \ --filter="default-internet-gateway NETWORK_NAME"
Le route sono elencate in formato tabella, a meno che non personalizzi il comando con
--format
flag. Cerca nella colonna DEST_RANGE
la destinazione di ogni
percorso. Se hai scelto i domini predefiniti, verifica la presenza di diverse
una per ogni intervallo di indirizzi IP usato per impostazione predefinita
dominio. Se hai scelto private.googleapis.com
o
restricted.googleapis.com
, cerca l'intervallo IP di quel dominio.
Se è necessario creare route, consulta Aggiunta di una route statica percorso.
Configurazione del firewall
La configurazione del firewall della rete VPC deve consentire l'accesso
dalle VM agli indirizzi IP usati dalle API e dai servizi Google. Lo schema implicito
La regola allow egress
soddisfa questo requisito.
In alcune configurazioni firewall, devi creare regole di autorizzazione in uscita specifiche.
Ad esempio, supponiamo che tu abbia creato una regola di negazione in uscita che blocca il traffico verso:
tutte le destinazioni (0.0.0.0
per IPv4 o ::/0
per IPv6). In questo caso, devi
crea una regola firewall di autorizzazione in uscita la cui priorità è superiore a quella in uscita
regola di negazione per ogni intervallo di indirizzi IP utilizzato dal dominio scelto
per le API e i servizi Google.
- Domini predefiniti: tutti gli intervalli di indirizzi IP per API di Google e Google Cloud.
private.googleapis.com
:199.36.153.8/30
e2600:2d00:0002:2000::/64
restricted.googleapis.com
:199.36.153.4/30
e2600:2d00:0002:1000::/64
Inoltre, ti consigliamo di includere 34.126.0.0/18
e
2001:4860:8040::/42
nella regola firewall di autorizzazione in uscita. Per maggiori informazioni
informazioni, consulta Riepilogo delle opzioni di configurazione.
Per creare regole firewall, consulta la sezione Creazione di un firewall. . Puoi limitare le VM a cui vengono applicate le regole firewall quando definisci il target di ogni regola di autorizzazione in uscita.
Indirizzi IP per i domini predefiniti
Questa sezione descrive come creare un elenco di intervalli di indirizzi IP di dominio predefiniti utilizzati API e servizi Google. Questi intervalli vengono allocati in modo dinamico e spesso, quindi non è possibile definire intervalli IP specifici per i singoli servizi o API. Per mantenere un elenco accurato, configura l'automazione per eseguire lo script ogni giorno. Per alternative alla gestione di un elenco di intervalli di indirizzi IP, valuta la possibilità di utilizzare private.googleapis.com VIP o Private Service Connect.
Segui questi passaggi per determinare gli intervalli di indirizzi IP utilizzati per impostazione predefinita
domini, come *.googleapis.com
e *.gcr.io
.
Google pubblica l'elenco completo degli intervalli IP che rende disponibili utenti su internet in goog.json.
Google pubblica inoltre un elenco di indirizzi IP esterni globali e a livello di regione disponibili per i clienti alle risorse Google Cloud cloud.json.
Gli indirizzi IP utilizzati dai domini predefiniti per le API e i servizi Google sono adatti
all'interno dell'elenco di intervalli calcolato rimuovendo tutti gli intervalli in cloud.json
da quelli di goog.json
. Questi elenchi vengono aggiornati di frequente.
Puoi utilizzare il seguente script Python per creare un elenco di intervalli di indirizzi IP che includono quelli utilizzati dai domini predefiniti per le API e i servizi Google.
Per informazioni sull'esecuzione di questo script, consulta Come vengono eseguiti.
Configurazione dell'accesso privato Google
Puoi abilitare l'accesso privato Google dopo aver soddisfatto la rete standard della tua rete VPC.
Abilita l'accesso privato Google
Per attivare l'accesso privato Google, segui questi passaggi:
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome della rete che contiene la subnet per la quale per abilitare l'accesso privato Google.
Per una subnet esistente:
- Fai clic sul nome della subnet. La pagina Dettagli subnet è visualizzati.
- Fai clic su Modifica.
- Nella sezione Accesso privato Google, seleziona On.
- Fai clic su Salva.
Per una nuova subnet:
- Fai clic su Aggiungi subnet.
- Inserisci un Nome.
- Seleziona una Regione.
- Per Tipo di stack IP, seleziona Solo IPv4 (stack singolo) o IPv4 e IPv6 (stack doppio).
Inserisci un intervallo IPv4. Questo è l'indirizzo IPv4 principale per la subnet.
Se selezioni un intervallo che non è un indirizzo RFC 1918, verifica che l'intervallo non sia in conflitto con una configurazione esistente. Per maggiori informazioni per informazioni, consulta Subnet IPv4 più intervalli.
Se crei una subnet a doppio stack, seleziona una subnet IPv6 tipo di accesso: Interno o esterno.
Se vuoi impostare il tipo di accesso su Interno, ma L'opzione Interno non è disponibile; verifica che un IPv6 interno l'intervallo di indirizzi IP assegnato sulla rete.
Effettua altre selezioni per la nuova subnet in base alle tue esigenze. Per Ad esempio, potresti dover creare intervalli IP di subnet secondari abilitare log di flusso VPC.
Seleziona On nella sezione Accesso privato Google.
Fai clic su Aggiungi.
gcloud
Per una subnet esistente:
Determina il nome e la regione della subnet. Per elencare le subnet per rete specifica, utilizza il comando seguente:
gcloud compute networks subnets list --filter=NETWORK_NAME
Esegui questo comando per abilitare l'accesso privato Google:
gcloud compute networks subnets update SUBNET_NAME \ --region=REGION \ --enable-private-ip-google-access
Verifica che l'accesso privato Google sia abilitato eseguendo questo comando:
gcloud compute networks subnets describe SUBNET_NAME \ --region=REGION \ --format="get(privateIpGoogleAccess)"
In tutti i comandi precedenti, sostituisci quanto segue con valori validi:
SUBNET_NAME
: il nome della subnetREGION
: la regione della subnetNETWORK_NAME
: il nome della rete VPC che contiene la subnet
Quando crei un nuovo
subnet, utilizza
--enable-private-ip-google-access
per abilitare l'accesso privato Google:
gcloud compute networks subnets create SUBNET_NAME \ --region=REGION \ --network=NETWORK_NAME \ --range=PRIMARY_IP_RANGE \ [ --stack-type=STACK_TYPE ] \ [ --ipv6-access-type=IPv6_ACCESS_TYPE ] \ --enable-private-ip-google-access
Sostituisci quanto segue con valori validi:
SUBNET_NAME
: il nome della subnetREGION
: la regione della subnetNETWORK_NAME
: il nome della rete VPC che contiene la subnetPRIMARY_IP_RANGE
: intervallo di indirizzi IP principali della subnetSTACK_TYPE
è il tipo di stack per la subnet:IPV4_ONLY
oIPV4_IPV6
.IPv6_ACCESS_TYPE
è il tipo di accesso IPv6:EXTERNAL
oINTERNAL
. Specifica il tipo di accesso IPv6 solo se hai specificato anche--stack-type=IPV4_IPV6
.
Disattiva l'accesso privato Google
Segui questi passaggi per disabilitare l'accesso privato Google per una subnet esistente:
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome della rete che contiene la subnet per la quale per disattivare l'accesso privato Google.
Fai clic sul nome di una subnet esistente. La pagina Dettagli subnet è visualizzati.
Fai clic su Modifica.
Nella sezione Accesso privato Google, seleziona Off.
Fai clic su Salva.
gcloud
Determina il nome e la regione della subnet. Per elencare le subnet per rete specifica, utilizza il comando seguente:
gcloud compute networks subnets list \ --filter=NETWORK_NAME
Esegui questo comando per disabilitare l'accesso privato Google:
gcloud compute networks subnets update SUBNET_NAME \ --region=REGION \ --no-enable-private-ip-google-access
Esegui questo comando per verificare che l'accesso privato Google sia disattivata:
gcloud compute networks subnets describe SUBNET_NAME \ --region=REGION \ --format="get(privateIpGoogleAccess)"
In tutti i comandi precedenti, sostituisci quanto segue con valori validi:
SUBNET_NAME
: il nome della subnetREGION
: la regione della subnetNETWORK_NAME
: il nome della rete VPC che contiene la subnet