El Acceso privado a Google ofrece conectividad privada a los hosts en una red de VPC o en una red local que usa direcciones IP privadas para acceder a los servicios y a las APIs de Google. Puedes extender un perímetro de servicio de Controles del servicio de VPC a hosts en esas redes para controlar el acceso a los recursos protegidos.
Los hosts en una red de VPC deben tener solo una dirección IP privada (no una dirección IP pública) y estar en una subred con el Acceso privado a Google habilitado.
Para que los hosts locales alcancen servicios restringidos de las APIs de Google, las solicitudes a las APIs de Google se deben enviar a través de una red de VPC, ya sea a través de un túnel de Cloud VPN o de una conexión de Cloud Interconnect.
En ambos casos, recomendamos que envíes todas las solicitudes a los servicios y a las APIs de Google a los rangos de direcciones IP virtuales (VIP) de restricted.googleapis.com
. El
Los rangos de direcciones IP no se anuncian en Internet. El tráfico enviado a la VIP permanece solo en la red de Google.
Para obtener más información sobre private.googleapis.com
y
restricted.googleapis.com
VIP, consulta Configurar
Acceso privado a Google.
Rangos de direcciones IP para restricted.googleapis.com
Existen dos rangos de direcciones IP asociados con el restricted.googleapis.com
dominio:
- Rango IPv4:
199.36.153.4/30
- Rango de IPv6:
2600:2d00:0002:1000::/64
Para obtener información sobre el uso del rango de IPv6 para acceder a las APIs de Google, consulta Compatibilidad con IPv6.
Ejemplo de red de VPC
En el siguiente ejemplo, el perímetro de servicio contiene dos proyectos: uno que tiene una red de VPC autorizada y otro con el recurso de Cloud Storage protegido. En la red de VPC, las instancias de VM deben estar en una subred con el Acceso privado a Google habilitado y solo requieren acceso a los servicios restringidos de los Controles del servicio de VPC. Las consultas a los servicios y a las API de Google desde las instancias de VM en la red de VPC autorizada se resuelven en restricted.googleapis.com
y pueden acceder al recurso protegido.
- El DNS se configuró en la red de VPC para mapear solicitudes de
*.googleapis.com
arestricted.googleapis.com
, que se resuelve como199.36.153.4/30
. - Se agregó una ruta estática personalizada a la red de VPC que dirige el tráfico con el destino
199.36.153.4/30
adefault-internet-gateway
como siguiente salto. Aunquedefault-internet-gateway
se usa como el siguiente salto, el tráfico se enruta de forma privada a la API o el servicio adecuado a través de la red de Google. - La red de VPC tiene autorización para acceder al
My-authorized-gcs-project
porque ambos proyectos se encuentran en el mismo perímetro de servicio.
Ejemplo de red local
Puedes usar el enrutamiento estático si configuras una ruta estática en el router local o si anuncias el rango de direcciones restringido de la API de Google mediante el protocolo de puerta de enlace fronteriza (BGP) desde Cloud Router.
Si quieres usar el Acceso privado a Google en los hosts locales con los Controles del servicio de VPC, configura la conectividad privada para los hosts locales y, luego, los Controles del servicio de VPC. Define un perímetro de servicio para el proyecto que contiene la red de VPC conectada a tu red local.
En el siguiente caso, solo se puede acceder a los depósitos de almacenamiento en el proyecto sensitive-buckets
desde las instancias de VM en el proyecto main-project
y desde las aplicaciones locales conectadas. Los hosts locales pueden acceder a los buckets de almacenamiento en el proyecto sensitive-buckets
porque el tráfico pasa por una red de VPC que se encuentra dentro del mismo perímetro de servicio que sensitive-buckets
.
- La configuración de DNS local mapea solicitudes
*.googleapis.com
arestricted.googleapis.com
, que se resuelve en199.36.153.4/30
. - El Cloud Router se configuró para anunciar el rango de direcciones IP
199.36.153.4/30
a través del túnel VPN. El tráfico que se dirige a las API de Google se enruta a través del túnel a la red de VPC. - Se agregó una ruta estática personalizada a la red de VPC que dirige el tráfico con el destino
199.36.153.4/30
adefault-internet-gateway
como siguiente salto. Aunquedefault-internet-gateway
se usa como el siguiente salto, el tráfico se enruta de forma privada a la API o el servicio adecuado a través de la red de Google. - La red de VPC tiene autorización para acceder a los proyectos
sensitive-buckets
, y los hosts locales tienen el mismo acceso. - Los hosts locales no pueden acceder a otros recursos que están fuera del perímetro de servicio.
El proyecto que se conecta a la red local debe ser miembro del perímetro de servicio para alcanzar los recursos restringidos. El acceso local también funciona si los proyectos pertinentes se conectan por un puente perimetral.
Próximos pasos
- Para configurar la conectividad privada, consulta Configura la conectividad privada.