Akses Google Pribadi menawarkan konektivitas pribadi ke host di jaringan VPC atau jaringan lokal yang menggunakan alamat IP pribadi untuk mengakses API dan layanan Google. Anda dapat memperluas perimeter layanan Kontrol Layanan VPC ke host di jaringan tersebut untuk mengontrol akses ke resource yang dilindungi.
Host di jaringan VPC hanya boleh memiliki alamat IP pribadi (bukan alamat IP publik) dan berada di subnet dengan Akses Google Pribadi yang diaktifkan.
Agar host lokal dapat menjangkau layanan Google API yang dibatasi, permintaan ke Google API harus dikirim melalui jaringan VPC, baik melalui tunnel Cloud VPN maupun koneksi Cloud Interconnect.
Dalam kedua kasus tersebut, sebaiknya kirim semua permintaan ke Google API dan layanan Google ke rentang alamat IP virtual (VIP) untuk restricted.googleapis.com
. Rentang
alamat IP tidak diumumkan ke internet. Lalu lintas yang dikirim ke VIP
tetap berada di jaringan Google saja.
Untuk informasi selengkapnya tentang VIP private.googleapis.com
dan
restricted.googleapis.com
, lihat Mengonfigurasi
Akses Google Pribadi.
Rentang alamat IP untuk restricted.googleapis.com
Ada dua rentang alamat IP yang terkait dengan domain restricted.googleapis.com
:
- Rentang IPv4:
199.36.153.4/30
- Rentang IPv6:
2600:2d00:0002:1000::/64
Untuk mengetahui informasi tentang penggunaan rentang IPv6 untuk mengakses Google API, lihat Dukungan IPv6.
Contoh jaringan VPC
Dalam contoh berikut, perimeter layanan berisi dua project: satu project memiliki jaringan VPC berizin dan project lainnya dengan resource Cloud Storage yang dilindungi. Dalam jaringan VPC, instance VM harus berada di subnet dengan Akses Google Pribadi aktif dan hanya memerlukan akses ke layanan yang dibatasi Kontrol Layanan VPC. Kueri ke Google API dan layanan dari instance VM di jaringan VPC yang diberi otorisasi di-resolve ke restricted.googleapis.com
dan dapat mengakses resource yang dilindungi.
- DNS dikonfigurasi di jaringan VPC untuk memetakan permintaan
*.googleapis.com
kerestricted.googleapis.com
, yang ditetapkan menjadi199.36.153.4/30
. - Rute statis kustom telah ditambahkan ke jaringan VPC yang mengarahkan traffic dengan
199.36.153.4/30
tujuan kedefault-internet-gateway
sebagai hop berikutnya. Meskipundefault-internet-gateway
digunakan sebagai next hop, traffic dirutekan secara pribadi melalui jaringan Google ke API atau layanan yang sesuai. - Jaringan VPC diberi otorisasi untuk mengakses
My-authorized-gcs-project
karena kedua project berada di perimeter layanan yang sama.
Contoh jaringan lokal
Anda dapat menggunakan pemilihan rute statis, cukup dengan mengonfigurasi rute statis di router lokal, atau dengan mengumumkan rentang alamat IP Google API yang terbatas melalui border gateway protocol (BGP) dari Cloud Router.
Untuk menggunakan Akses Google Pribadi bagi host lokal dengan Kontrol Layanan VPC, siapkan konektivitas pribadi untuk host lokal, lalu konfigurasikan Kontrol Layanan VPC. Tentukan perimeter layanan untuk project yang berisi jaringan VPC yang terhubung ke jaringan lokal Anda.
Dalam skenario berikut, bucket penyimpanan dalam project sensitive-buckets
hanya dapat diakses dari instance VM dalam project main-project
dan dari aplikasi lokal yang terhubung. Host lokal dapat mengakses bucket penyimpanan di project sensitive-buckets
karena traffic melewati jaringan VPC yang berada di dalam perimeter layanan yang sama dengan sensitive-buckets
.
- Konfigurasi DNS lokal memetakan permintaan
*.googleapis.com
kerestricted.googleapis.com
, yang di-resolve ke199.36.153.4/30
. - Cloud Router dikonfigurasi untuk memberitahukan rentang alamat IP
199.36.153.4/30
melalui tunnel VPN. Traffic yang menuju ke Google API dirutekan melalui tunnel ke jaringan VPC. - Rute statis kustom telah ditambahkan ke jaringan VPC yang mengarahkan traffic dengan
199.36.153.4/30
tujuan kedefault-internet-gateway
sebagai hop berikutnya. Meskipundefault-internet-gateway
digunakan sebagai next hop, traffic dirutekan secara pribadi melalui jaringan Google ke API atau layanan yang sesuai. - Jaringan VPC diberi otorisasi untuk mengakses project
sensitive-buckets
, dan host lokal memiliki akses yang sama. - Host lokal tidak dapat mengakses resource lain yang berada di luar perimeter layanan.
Project yang terhubung ke jaringan lokal Anda harus menjadi anggota perimeter layanan untuk menjangkau resource yang dibatasi. Akses lokal juga berfungsi jika project yang relevan dihubungkan oleh jembatan perimeter.
Langkah selanjutnya
- Untuk mengonfigurasi konektivitas pribadi, lihat Menyiapkan konektivitas pribadi.