Akses Google Pribadi dengan Kontrol Layanan VPC

Akses Google Pribadi menawarkan konektivitas pribadi ke host di jaringan VPC atau jaringan lokal yang menggunakan alamat IP pribadi untuk mengakses Google API dan layanan. Anda dapat memperluas perimeter layanan Kontrol Layanan VPC ke host di jaringan tersebut untuk mengontrol akses ke resource yang dilindungi.

Host di jaringan VPC hanya boleh memiliki alamat IP pribadi (tidak boleh alamat IP publik) dan berada di subnet dengan Akses Google Pribadi yang diaktifkan.

Agar host lokal dapat menjangkau layanan Google API yang dibatasi, permintaan ke Google API harus dikirim melalui jaringan VPC, baik melalui tunnel Cloud VPN atau koneksi Cloud Interconnect.

Dalam kedua kasus tersebut, sebaiknya Anda mengirim semua permintaan ke Google API dan layanan Google ke rentang alamat IP virtual (VIP) untuk restricted.googleapis.com. Rentang alamat IP tidak diumumkan ke internet. Traffic yang dikirim ke VIP hanya tetap berada dalam jaringan Google.

Untuk informasi selengkapnya tentang VIP private.googleapis.com dan restricted.googleapis.com, lihat Mengonfigurasi Akses Google Pribadi.

Rentang alamat IP untuk restricted.googleapis.com

Ada dua rentang alamat IP yang terkait dengan domain restricted.googleapis.com:

  • Rentang IPv4: 199.36.153.4/30
  • Rentang IPv6: 2600:2d00:0002:1000::/64

Untuk informasi tentang cara menggunakan rentang IPv6 untuk mengakses Google API, lihat dukungan IPv6.

Contoh jaringan VPC

Pada contoh berikut, perimeter layanan berisi dua project: satu project yang memiliki jaringan VPC resmi dan project lain dengan resource Cloud Storage yang dilindungi. Di jaringan VPC, instance VM harus berada di subnet dengan Akses Google Pribadi diaktifkan dan hanya memerlukan akses ke layanan yang dibatasi oleh Kontrol Layanan VPC. Kueri ke API dan layanan Google dari instance VM di jaringan VPC resmi di-resolve ke restricted.googleapis.com dan dapat mengakses resource yang dilindungi.

Akses Google Pribadi dengan Kontrol Layanan VPC (klik untuk memperbesar)
Akses Google Pribadi dengan Kontrol Layanan VPC (klik untuk memperbesar)
  • DNS dikonfigurasi di jaringan VPC untuk memetakan permintaan *.googleapis.com ke restricted.googleapis.com, yang di-resolve ke 199.36.153.4/30.
  • Rute statis kustom telah ditambahkan ke jaringan VPC yang mengarahkan traffic dengan tujuan 199.36.153.4/30 ke default-internet-gateway sebagai next hop. Meskipun default-internet-gateway digunakan sebagai next hop, traffic dirutekan secara pribadi melalui jaringan Google ke API atau layanan yang sesuai.
  • Jaringan VPC diberi otorisasi untuk mengakses My-authorized-gcs-project karena kedua project berada dalam perimeter layanan yang sama.

Contoh jaringan lokal

Anda dapat menggunakan pemilihan rute statis, cukup dengan mengonfigurasi rute statis di router lokal, atau dengan mengumumkan rentang alamat Google API yang dibatasi melalui border gateway protocol (BGP) dari Cloud Router.

Untuk menggunakan Akses Google Pribadi untuk host lokal dengan Kontrol Layanan VPC, siapkan konektivitas pribadi untuk host lokal, lalu konfigurasikan Kontrol Layanan VPC. Tentukan perimeter layanan untuk project yang berisi jaringan VPC yang terhubung ke jaringan lokal Anda.

Dalam skenario berikut, bucket penyimpanan di project sensitive-buckets hanya dapat diakses dari instance VM di project main-project dan dari aplikasi lokal yang terhubung. Host lokal dapat mengakses bucket penyimpanan dalam project sensitive-buckets karena traffic melewati jaringan VPC yang berada di dalam perimeter layanan yang sama dengan sensitive-buckets.

  • Konfigurasi DNS lokal memetakan permintaan *.googleapis.com ke restricted.googleapis.com, yang di-resolve ke 199.36.153.4/30.
  • Cloud Router dikonfigurasi untuk memberitahukan rentang alamat IP 199.36.153.4/30 melalui tunnel VPN. Traffic yang menuju ke Google API dirutekan melalui tunnel ke jaringan VPC.
  • Rute statis kustom telah ditambahkan ke jaringan VPC yang mengarahkan traffic dengan tujuan 199.36.153.4/30 ke default-internet-gateway sebagai next hop. Meskipun default-internet-gateway digunakan sebagai next hop, traffic dirutekan secara pribadi melalui jaringan Google ke API atau layanan yang sesuai.
  • Jaringan VPC diberi otorisasi untuk mengakses project sensitive-buckets, dan host lokal memiliki akses yang sama.
  • Host lokal tidak dapat mengakses resource lain yang berada di luar perimeter layanan.

Project yang terhubung ke jaringan lokal Anda harus menjadi anggota perimeter layanan untuk menjangkau resource yang dibatasi. Akses lokal juga berfungsi jika project yang relevan terhubung oleh jembatan perimeter.

Langkah selanjutnya