来自本地的专用连接

VPC Service Controls 可与适用于本地网络的专用 Google 访问通道(测试版)相结合,从而将服务边界扩展到本地。

为使您的本地应用访问受限的 Google API 服务,必须通过与 GCP 的专用连接(无论是基于路由的 VPN 还是 Cloud Interconnect 连接)向 Google API 发送请求。

您可以通过以下任一方式使用静态路由:在本地路由器中配置静态路由,或者从 Cloud Router 通过边界网关协议 (BGP) 公布受限 Google API 地址范围。

要将适用于本地主机的专用 Google 访问通道与 VPC Service Controls 配合使用,请为本地主机配置专用 Google 访问通道,然后配置 VPC Service Controls。为连接您的本地网络的 VPC 网络所属的项目定义服务边界。

示例

在以下场景中,本地主机可通过专用 Google 访问通道来访问 Cloud Storage API。但是,由于存在 VPC Service Controls 服务边界,主机只能访问项目 sensitive-buckets 中的存储分区。只能通过 hybrid-VPC VPC 网络中的虚拟机实例和连接的本地应用来访问项目 sensitive-buckets

  • 本地 DNS 配置将 *.googleapis.com 请求映射到解析为 199.36.153.4/30restricted.googleapis.com
  • Cloud Router 通过 VPN 隧道通告 199.36.153.4/30 IP 地址范围。流向 Google API 的流量会经由隧道路由到 VPC 网络。
  • VPC 网络包含一个将目的地为 199.36.153.4/30 的流量引向 default-internet-gateway 作为下一个跃点的路由。即使 default-internet-gateway 用作下一个跃点,流量会通过 Google 的网络私密地路由到相应 API 或服务。
  • VPC 网络有权访问 sensitive-buckets 项目,并且本地主机具有相同的访问权限。
  • 本地主机无法访问位于服务边界外的其他资源。

要想访问受限资源,连接到本地网络的项目必须是该服务边界的成员。

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
VPC Service Controls