专用 Google 访问通道提供与 VPC 网络或本地网络中主机的专用连接,这些主机使用专用 IP 地址访问 Google API 和服务。您可以将 VPC Service Controls 服务边界扩展到这些网络中的主机,以控制对受保护资源的访问权限。
VPC 网络中的主机必须仅具有专用 IP 地址(没有公共 IP 地址),且位于启用了专用 Google 访问通道的子网中。
如需使本地主机访问受限的 Google API 服务,对 Google API 的请求必须通过 VPC 网络(可以通过 Cloud VPN 隧道或 Cloud Interconnect 连接)发送。
在这两种情况下,我们建议您将针对 Google API 和服务的所有请求都发送到 restricted.googleapis.com
的虚拟 IP (VIP) 地址范围。此 IP 地址范围不会公布到互联网。发送到 VIP 的流量只会留在 Google 的网络中。
如需详细了解 private.googleapis.com
和 restricted.googleapis.com
VIP,请参阅配置专用 Google 访问通道。
restricted.googleapis.com
的 IP 地址范围
有两个 IP 地址范围与 restricted.googleapis.com
网域关联:
- IPv4 范围:
199.36.153.4/30
- IPv6 范围:
2600:2d00:0002:1000::/64
有关使用 IPv6 范围访问 Google API 的信息, 请参阅 IPv6 支持。
VPC 网络示例
在以下示例中,服务边界包含两个项目:一个项目具有已获授权的 VPC 网络,另一个项目具有受保护的 Cloud Storage 资源。在 VPC 网络中,虚拟机实例必须位于启用了专用 Google 访问通道的子网中,并且只需要访问 VPC Service Controls 受限服务。从已获授权的 VPC 网络中的虚拟机实例到 Google API 和服务的查询会解析为 restricted.googleapis.com
,并且可以访问受保护的资源。
- 在 VPC 网络中配置了 DNS,以将
*.googleapis.com
请求映射到解析为199.36.153.4/30
的restricted.googleapis.com
。 - 向 VPC 网络添加了自定义静态路由,以将目的地为
199.36.153.4/30
的流量定向到default-internet-gateway
作为下一个跃点。即使default-internet-gateway
用作下一个跃点,流量也会通过 Google 的网络私密地路由到相应 API 或服务。 - VPC 网络获得了访问
My-authorized-gcs-project
的授权,因为这两个项目都位于同一服务边界内。
本地网络示例
您可以通过以下任一方式使用静态路由:在本地路由器中配置静态路由,或者从 Cloud Router 通过边界网关协议 (BGP) 公布受限 Google API 地址范围。
如需将适用于本地主机的专用 Google 访问通道与 VPC Service Controls 配合使用,请为本地主机设置专用连接,然后配置 VPC Service Controls。为连接您的本地网络的 VPC 网络所属的项目定义服务边界。
在以下场景中,项目 sensitive-buckets
中的存储分区只能通过项目 main-project
中的虚拟机实例和连接的本地应用访问。本地主机可以访问项目 sensitive-buckets
中的存储分区,因为流量经过的 VPC 网络与 sensitive-buckets
位于同一服务边界内。
- 本地 DNS 配置会将
*.googleapis.com
请求映射到解析为199.36.153.4/30
的restricted.googleapis.com
。 - Cloud Router 路由器已配置为通过 VPN 隧道通告
199.36.153.4/30
IP 地址范围。流向 Google API 的流量会经由隧道路由到 VPC 网络。 - 向 VPC 网络添加了自定义静态路由,以便将目的地为
199.36.153.4/30
的流量定向到default-internet-gateway
作为下一个跃点。即使default-internet-gateway
用作下一个跃点,流量也会通过 Google 的网络私密地路由到相应 API 或服务。 - VPC 网络获得了访问
sensitive-buckets
项目的授权,且本地主机具有相同的访问权限。 - 本地主机无法访问位于服务边界外的其他资源。
连接到本地网络的项目必须是服务边界的成员才能访问受限资源。如果相关项目通过边界网桥连接,则本地访问也会起作用。
后续步骤
- 如需配置专用连接,请参阅设置专用连接。