O acesso privado à Google oferece conetividade privada a anfitriões numa rede VPC ou numa rede no local que usa endereços IP privados para aceder às APIs e aos serviços Google. Pode estender um perímetro de serviço dos VPC Service Controls a anfitriões nessas redes para controlar o acesso a recursos protegidos.
Os anfitriões numa rede VPC têm de ter apenas um endereço IP privado (sem endereço IP público) e estar numa sub-rede com o acesso privado à Google ativado.
Para que os anfitriões no local alcancem os serviços de API Google restritos, os pedidos às APIs Google têm de ser enviados através de uma rede VPC, seja através de um túnel Cloud VPN ou de uma ligação Cloud Interconnect.
Em ambos os casos, recomendamos que envie todos os pedidos para as APIs Google e os serviços para os intervalos de endereços IP virtuais (VIP) para restricted.googleapis.com. Os intervalos de endereços IP não são anunciados na Internet. O tráfego enviado para o IP virtual permanece apenas na rede da Google.
Para mais informações sobre os private.googleapis.com e os restricted.googleapis.com VIPs, consulte o artigo Configure o acesso privado da Google.
Intervalos de endereços IP para restricted.googleapis.com
Existem dois intervalos de endereços IP associados ao domínio restricted.googleapis.com:
- Intervalo de IPv4:
199.36.153.4/30 - Intervalo de IPv6:
2600:2d00:0002:1000::/64
Para obter informações sobre a utilização do intervalo IPv6 para aceder às APIs Google, consulte o artigo Suporte de IPv6.
Exemplo de rede da VPC
No exemplo seguinte, o perímetro de serviço contém dois projetos: um que tem uma rede VPC autorizada e outro com o recurso do Cloud Storage protegido. Na rede VPC, as instâncias de VMs têm de estar numa sub-rede com o acesso privado à Google ativado e só precisam de acesso aos serviços restritos dos VPC Service Controls. As consultas às APIs Google e aos serviços a partir de instâncias de VMs na rede VPC autorizada são resolvidas para restricted.googleapis.com e podem aceder ao recurso protegido.
- O DNS foi configurado na rede VPC para mapear
*.googleapis.compedidos pararestricted.googleapis.com, que é resolvido para199.36.153.4/30. - Foi adicionada uma rota estática personalizada à rede VPC que direciona o tráfego com o destino
199.36.153.4/30para odefault-internet-gatewaycomo o salto seguinte. Emboradefault-internet-gatewayseja usado como o próximo salto, o tráfego é encaminhado privadamente através da rede da Google para a API ou o serviço adequado. - A rede VPC foi autorizada a aceder ao
My-authorized-gcs-projectporque ambos os projetos estão no mesmo perímetro de serviço.
Exemplo de rede no local
Pode usar o encaminhamento estático, configurando simplesmente uma rota estática no router no local, ou anunciando o intervalo de endereços da API Google restrito através do protocolo de gateway de fronteira (BGP) a partir do Cloud Router.
Para usar o acesso privado à Google para anfitriões no local com os VPC Service Controls, configure a conetividade privada para anfitriões no local e, em seguida, configure os VPC Service Controls. Defina um perímetro de serviço para o projeto que contém a rede VPC ligada à sua rede nas instalações.
No seguinte cenário, só é possível aceder aos contentores de armazenamento no projeto sensitive-buckets a partir de instâncias de VM no projeto main-project e de aplicações no local ligadas. Os anfitriões no local podem aceder a contentores de armazenamento
no projeto sensitive-buckets porque o tráfego passa por uma
rede VPC que está dentro do mesmo perímetro de serviço que
sensitive-buckets.
- A configuração de DNS no local mapeia os pedidos
*.googleapis.compararestricted.googleapis.com, que é resolvido para199.36.153.4/30. - O Cloud Router foi configurado para anunciar o intervalo de endereços IP
199.36.153.4/30através do túnel VPN. O tráfego que se destina às APIs Google é encaminhado através do túnel para a rede VPC. - Foi adicionada uma rota estática personalizada à rede VPC que direciona o tráfego com o destino
199.36.153.4/30paradefault-internet-gatewaycomo o salto seguinte. Emboradefault-internet-gatewayseja usado como o próximo salto, o tráfego é encaminhado privadamente através da rede da Google para a API ou o serviço adequado. - A rede VPC foi autorizada a aceder aos projetos
sensitive-buckets, e os anfitriões no local têm o mesmo acesso. - Os anfitriões no local não podem aceder a outros recursos que estejam fora do perímetro do serviço.
O projeto que se liga à sua rede no local tem de ser membro do perímetro de serviço para alcançar recursos restritos. O acesso no local também funciona se os projetos relevantes estiverem ligados por uma ponte de perímetro.
O que se segue?
- Para configurar a conetividade privada, consulte o artigo Configurar a conetividade privada.