Akses Google Pribadi dengan Kontrol Layanan VPC

Akses Google Pribadi menawarkan konektivitas pribadi ke host di jaringan VPC atau jaringan lokal yang menggunakan alamat IP pribadi untuk mengakses API dan layanan Google. Anda dapat memperluas perimeter layanan Kontrol Layanan VPC ke host di jaringan tersebut untuk mengontrol akses ke resource yang dilindungi.

Host di jaringan VPC hanya boleh memiliki alamat IP pribadi (bukan alamat IP publik) dan berada di subnet dengan Akses Google Pribadi yang diaktifkan.

Agar host lokal dapat menjangkau layanan Google API yang dibatasi, permintaan ke Google API harus dikirim melalui jaringan VPC, baik melalui tunnel Cloud VPN maupun koneksi Cloud Interconnect.

Dalam kedua kasus tersebut, sebaiknya kirim semua permintaan ke Google API dan layanan Google ke rentang alamat IP virtual (VIP) untuk restricted.googleapis.com. Rentang alamat IP tidak diumumkan ke internet. Lalu lintas yang dikirim ke VIP tetap berada di jaringan Google saja.

Untuk informasi selengkapnya tentang VIP private.googleapis.com dan restricted.googleapis.com, lihat Mengonfigurasi Akses Google Pribadi.

Rentang alamat IP untuk restricted.googleapis.com

Ada dua rentang alamat IP yang terkait dengan domain restricted.googleapis.com:

  • Rentang IPv4: 199.36.153.4/30
  • Rentang IPv6: 2600:2d00:0002:1000::/64

Untuk mengetahui informasi tentang penggunaan rentang IPv6 untuk mengakses Google API, lihat Dukungan IPv6.

Contoh jaringan VPC

Dalam contoh berikut, perimeter layanan berisi dua project: satu project memiliki jaringan VPC berizin dan project lainnya dengan resource Cloud Storage yang dilindungi. Dalam jaringan VPC, instance VM harus berada di subnet dengan Akses Google Pribadi aktif dan hanya memerlukan akses ke layanan yang dibatasi Kontrol Layanan VPC. Kueri ke Google API dan layanan dari instance VM di jaringan VPC yang diberi otorisasi di-resolve ke restricted.googleapis.com dan dapat mengakses resource yang dilindungi.

Akses Google Pribadi dengan Kontrol Layanan VPC (klik untuk memperbesar)
Akses Google Pribadi dengan Kontrol Layanan VPC (klik untuk memperbesar)
  • DNS dikonfigurasi di jaringan VPC untuk memetakan permintaan *.googleapis.com ke restricted.googleapis.com, yang ditetapkan menjadi 199.36.153.4/30.
  • Rute statis kustom telah ditambahkan ke jaringan VPC yang mengarahkan traffic dengan 199.36.153.4/30 tujuan ke default-internet-gateway sebagai hop berikutnya. Meskipun default-internet-gateway digunakan sebagai next hop, traffic dirutekan secara pribadi melalui jaringan Google ke API atau layanan yang sesuai.
  • Jaringan VPC diberi otorisasi untuk mengakses My-authorized-gcs-project karena kedua project berada di perimeter layanan yang sama.

Contoh jaringan lokal

Anda dapat menggunakan pemilihan rute statis, cukup dengan mengonfigurasi rute statis di router lokal, atau dengan mengumumkan rentang alamat IP Google API yang terbatas melalui border gateway protocol (BGP) dari Cloud Router.

Untuk menggunakan Akses Google Pribadi bagi host lokal dengan Kontrol Layanan VPC, siapkan konektivitas pribadi untuk host lokal, lalu konfigurasikan Kontrol Layanan VPC. Tentukan perimeter layanan untuk project yang berisi jaringan VPC yang terhubung ke jaringan lokal Anda.

Dalam skenario berikut, bucket penyimpanan dalam project sensitive-buckets hanya dapat diakses dari instance VM dalam project main-project dan dari aplikasi lokal yang terhubung. Host lokal dapat mengakses bucket penyimpanan di project sensitive-buckets karena traffic melewati jaringan VPC yang berada di dalam perimeter layanan yang sama dengan sensitive-buckets.

  • Konfigurasi DNS lokal memetakan permintaan *.googleapis.com ke restricted.googleapis.com, yang di-resolve ke 199.36.153.4/30.
  • Cloud Router dikonfigurasi untuk memberitahukan rentang alamat IP 199.36.153.4/30 melalui tunnel VPN. Traffic yang menuju ke Google API dirutekan melalui tunnel ke jaringan VPC.
  • Rute statis kustom telah ditambahkan ke jaringan VPC yang mengarahkan traffic dengan 199.36.153.4/30 tujuan ke default-internet-gateway sebagai hop berikutnya. Meskipun default-internet-gateway digunakan sebagai next hop, traffic dirutekan secara pribadi melalui jaringan Google ke API atau layanan yang sesuai.
  • Jaringan VPC diberi otorisasi untuk mengakses project sensitive-buckets, dan host lokal memiliki akses yang sama.
  • Host lokal tidak dapat mengakses resource lain yang berada di luar perimeter layanan.

Project yang terhubung ke jaringan lokal Anda harus menjadi anggota perimeter layanan untuk menjangkau resource yang dibatasi. Akses lokal juga berfungsi jika project yang relevan dihubungkan oleh jembatan perimeter.

Langkah selanjutnya