Acesso privado do Google com o VPC Service Controls

O Acesso privado do Google oferece conectividade particular a hosts em uma rede VPC ou rede local que usa endereços IP particulares para acessar APIs e serviços do Google. É possível estender um perímetro de serviço do VPC Service Controls para hosts nessas redes para controlar o acesso a recursos protegidos.

Para hosts em uma rede VPC, eles precisam ter apenas um endereço IP particular (sem endereço IP público) e estar em uma sub-rede com o Acesso privado do Google ativado.

Para os hosts locais alcançarem serviços de API restritos do Google, é preciso que as solicitações para APIs do Google sejam enviadas através de uma rede VPC, por um túnel do Cloud VPN ou uma conexão do Cloud Interconnect.

Em ambos os casos, recomendamos que você envie todas as solicitações para APIs e serviços do Google para os intervalos de endereços IP virtuais (VIP) da restricted.googleapis.com. Os intervalos de endereços IP não são anunciados para a Internet. O tráfego enviado para o VIP permanece apenas na rede do Google.

Para mais informações sobre os VIPs private.googleapis.com e restricted.googleapis.com, consulte Configurar o Acesso privado do Google.

Intervalos de endereços IP de restricted.googleapis.com

Há dois intervalos de endereços IP associados ao domínio restricted.googleapis.com:

  • Intervalo IPv4: 199.36.153.4/30
  • Intervalo IPv6: 2600:2d00:0002:1000::/64

Para mais informações sobre como usar o intervalo IPv6 para acessar as APIs do Google, consulte Suporte a IPv6.

Exemplo de rede VPC

No exemplo a seguir, o perímetro de serviço contém dois projetos: um com uma rede VPC autorizada e outro com o recurso protegido do Cloud Storage. Na rede VPC, as instâncias de VM precisam estar em uma sub-rede com o Acesso privado do Google ativado e só exigem acesso a serviços restritos do VPC Service Controls. Consultas a APIs e serviços do Google a partir de instâncias de VM na rede VPC autorizada são resolvidas para restricted.googleapis.com e podem acessar o recurso protegido.

Acesso privado do Google com o VPC Service
                                  Controls (clique para ampliar)
Acesso privado do Google com o VPC Service Controls (clique para ampliar)
  • O DNS foi configurado na rede VPC para mapear solicitações *.googleapis.com para restricted.googleapis.com, que é resolvido para 199.36.153.4/30.
  • Uma rota estática personalizada foi adicionada à rede VPC, que direciona o tráfego com o destino 199.36.153.4/30 para o default-internet-gateway como o próximo salto. Mesmo que default-internet-gateway seja usado como o próximo salto, o tráfego é roteado de forma particular através da rede do Google até a API ou o serviço apropriado.
  • A rede VPC foi autorizada a acessar My-authorized-gcs-project porque os dois projetos estão no mesmo perímetro de serviço.

Exemplo de rede local

Para usar o roteamento estático, basta configurar uma rota estática no roteador local ou anunciar o intervalo restrito de endereços da API Google por meio do protocolo de gateway de borda (BGP, na sigla em inglês) do Cloud Router.

Para usar o Acesso privado do Google para hosts locais com o VPC Service Controls, defina a conectividade particular para hosts locais e configure o VPC Service Controls. Defina um perímetro de serviço para o projeto que contém a rede VPC conectada à sua rede local.

No cenário a seguir, os buckets de armazenamento no projeto sensitive-buckets só podem ser acessados por instâncias de VM no projeto main-project e aplicativos locais conectados. Os hosts locais podem acessar os buckets de armazenamento no projeto sensitive-buckets porque o tráfego passa por uma rede VPC que está dentro do mesmo perímetro de serviço que sensitive-buckets.

  • A configuração de DNS local mapeia as solicitações *.googleapis.com para restricted.googleapis.com, que são resolvidas para 199.36.153.4/30.
  • O Cloud Router foi configurado para divulgar o intervalo de endereços IP 199.36.153.4/30 por meio do túnel da VPN. O tráfego encaminhado para as APIs do Google é roteado pelo túnel até a rede VPC.
  • Uma rota estática personalizada foi adicionada à rede VPC que direciona o tráfego com o 199.36.153.4/30 de destino para o default-internet-gateway como o próximo salto. Mesmo que default-internet-gateway seja usado como o próximo salto, o tráfego é roteado de forma particular através da rede do Google até a API ou o serviço apropriado.
  • A rede VPC foi autorizada a acessar os projetos sensitive-buckets, e os hosts locais têm o mesmo acesso.
  • Os hosts locais não podem acessar outros recursos que estão fora do perímetro de serviço.

O projeto que se conecta à sua rede local precisa ser um membro do perímetro de serviço para alcançar recursos restritos. O acesso local também funciona quando os projetos relevantes estão conectados por uma ponte de perímetro.

A seguir