L'accesso privato Google offre connettività privata agli host in un Una rete VPC o una rete on-premise che utilizza indirizzi IP privati per accedere alle API e ai servizi Google. Puoi estendere un Perimetro di servizio Controlli di servizio VPC agli host in quelle reti per controllare l'accesso alle risorse protette.
Gli host in una rete VPC devono avere un indirizzo IP privato (nessun indirizzo IP pubblico) e trovarsi in una subnet con accesso privato Google in un bucket con il controllo delle versioni attivo.
Affinché gli host on-premise raggiungano i servizi API di Google con restrizioni, le richieste alle API di Google deve essere inviato attraverso una rete VPC, un tunnel Cloud VPN o Cloud Interconnect.
In entrambi i casi, ti consigliamo di inviare tutte le richieste alle API di Google e
ai servizi
intervalli di indirizzi IP virtuali (VIP) per restricted.googleapis.com. La
Gli intervalli di indirizzi IP non vengono annunciati su internet. Traffico inviato al VIP
rimane solo all'interno della rete Google.
Per ulteriori informazioni su private.googleapis.com e
restricted.googleapis.com VIP; consulta Configurare
Accesso privato Google.
Intervalli di indirizzi IP per restricted.googleapis.com
Esistono due intervalli di indirizzi IP associati a restricted.googleapis.com
dominio:
- Intervallo IPv4:
199.36.153.4/30 - Intervallo IPv6:
2600:2d00:0002:1000::/64
Per informazioni sull'uso dell'intervallo IPv6 per accedere alle API di Google, consulta il Supporto IPv6.
Esempio di rete VPC
Nell'esempio seguente, il perimetro di servizio contiene due progetti: uno
dispone di una rete VPC autorizzata e un'altra
risorsa di Cloud Storage. Nella rete VPC, le istanze VM
devono trovarsi in una subnet con l'accesso privato Google abilitato e richiedono solo
ai servizi limitati dei Controlli di servizio VPC. Query alle API di Google e
da istanze VM nella risoluzione della rete VPC autorizzata
a restricted.googleapis.com e può accedere alla risorsa protetta.
- Il DNS è stato configurato nella rete VPC per mappare
*.googleapis.comrichieste arestricted.googleapis.com, che si risolve in199.36.153.4/30. - Alla rete VPC è stata aggiunta una route statica personalizzata che
indirizza il traffico con la destinazione
199.36.153.4/30alladefault-internet-gatewaycome hop successivo. Anche sedefault-internet-gatewayviene utilizzato come hop successivo, il traffico viene instradato privatamente attraverso la rete Google all'API o al servizio appropriato. - La rete VPC è stata autorizzata ad accedere
My-authorized-gcs-projectperché entrambi i progetti sono nello stesso servizio perimetrale.
Esempio di rete on-premise
È possibile utilizzare il routing statico semplicemente configurando una route statica nella router on-premise o annunciando l'intervallo di indirizzi dell'API di Google limitato mediante il protocollo BGP (Border Gateway Protocol) del router Cloud.
Per utilizzare l'accesso privato Google per gli host on-premise con Controlli di servizio VPC, configurare la connettività privata per gli host on-premise, Controlli di servizio VPC. Definisci un perimetro di servizio per il progetto contiene la rete VPC connessa ai tuoi ambienti on-premise in ogni rete.
Nel seguente scenario, i bucket di archiviazione nel progetto sensitive-buckets
è accessibile solo dalle istanze VM nel progetto main-project e
delle applicazioni on-premise connesse. Gli host on-premise possono accedere ai bucket di archiviazione
nel progetto sensitive-buckets perché il traffico passa attraverso una
una rete VPC all'interno dello stesso perimetro di servizio
sensitive-buckets.
- La configurazione DNS on-premise mappa le richieste
*.googleapis.comarestricted.googleapis.com, che si risolve nel199.36.153.4/30. - Il router Cloud è stato configurato per pubblicizzare l'IP
199.36.153.4/30di indirizzi IP attraverso il tunnel VPN. Il traffico verso le API di Google viene instradato attraverso il tunnel alla rete VPC. - È stata aggiunta una route statica personalizzata alla rete VPC che indirizza
il traffico con la destinazione
199.36.153.4/30versodefault-internet-gatewaycome hop successivo. Anche sedefault-internet-gatewayviene utilizzato come hop successivo, il traffico viene instradato privatamente attraverso la rete Google all'API o al servizio appropriato. - La rete VPC è stata autorizzata ad accedere
sensitive-bucketsprogetti e host on-premise hanno lo stesso accesso. - Gli host on-premise non possono accedere ad altre risorse esterne al servizio perimetrale.
Il progetto che si connette alla rete on-premise deve essere membro del il perimetro di servizio per raggiungere le risorse con restrizioni. Anche l'accesso on-premise funziona se i progetti pertinenti sono collegati da un bridge del perimetro.
Passaggi successivi
- Per configurare la connettività privata, consulta Configurazione della connettività privata.