L'accès privé à Google offre une connectivité privée aux hôtes via Réseau VPC ou réseau sur site qui utilise des adresses IP privées pour accéder aux API et services Google. Vous pouvez étendre un périmètre de service VPC Service Controls aux hôtes de ces réseaux afin de contrôler l'accès aux ressources protégées.
Les hôtes d'un réseau VPC doivent avoir une adresse IP privée uniquement (pas d'adresse IP publique) et se trouver dans un sous-réseau avec l'accès privé à Google est activé.
Pour que les hôtes sur site puissent accéder aux services d'API Google restreints, les requêtes aux API Google doivent être envoyés via un réseau VPC, un tunnel Cloud VPN ou Connexion Cloud Interconnect.
Dans les deux cas, nous vous recommandons d'envoyer toutes les requêtes aux API Google et
aux services Google Cloud
plages d'adresses IP virtuelles (VIP) de restricted.googleapis.com
. La
Les plages d'adresses IP ne sont pas annoncées sur Internet. Le trafic envoyé à l'IPV reste à l'intérieur du réseau de Google.
Pour en savoir plus sur les private.googleapis.com
et
pour les adresses IP virtuelles restricted.googleapis.com
, consultez la page Configurer
Accès privé à Google
Plages d'adresses IP pour restricted.googleapis.com
Deux plages d'adresses IP sont associées à restricted.googleapis.com
domaine:
- Plage IPv4:
199.36.153.4/30
- Plage IPv6 :
2600:2d00:0002:1000::/64
Pour en savoir plus sur l'utilisation de la plage IPv6 pour accéder aux API Google, consultez la section Compatibilité IPv6.
Exemple de réseau VPC
Dans l'exemple suivant, le périmètre de service contient deux projets : l'un avec un réseau VPC autorisé et l'autre avec la ressource Cloud Storage protégée. Dans le réseau VPC, les instances de VM doivent se trouver dans un sous-réseau avec l'accès privé à Google activé et ne nécessiter que l'accès aux services restreints de VPC Service Controls. Les requêtes adressées aux API et services Google à partir d'instances de VM du réseau VPC autorisé pointent vers restricted.googleapis.com
et peuvent accéder à la ressource protégée.
- DNS a été configuré dans le réseau VPC pour mapper les requêtes
*.googleapis.com
àrestricted.googleapis.com
, qui pointe vers199.36.153.4/30
. - Une route statique personnalisée a été ajoutée au réseau VPC qui dirige le trafic avec la destination
199.36.153.4/30
vers la passerelledefault-internet-gateway
comme saut suivant. Même si la passerelledefault-internet-gateway
est utilisée comme saut suivant, le trafic est acheminé en mode privé via le réseau de Google vers l'API ou le service approprié. - Le réseau VPC a été autorisé à accéder à
My-authorized-gcs-project
, car les deux projets se trouvent dans le même périmètre de service.
Exemple de réseau sur site
Vous pouvez utiliser le routage statique en configurant simplement une route statique sur le routeur sur site, ou en annonçant la plage d'adresses des API Google restreintes via le protocole BGP (Border Gateway Protocol) de Cloud Router.
Pour utiliser l'accès privé à Google pour les hôtes sur site conjointement avec VPC Service Controls, vous devez d'abord configurer la connectivité privée pour les hôtes sur site, puis VPC Service Controls. Définissez un périmètre de service pour le projet contenant le réseau VPC connecté à votre réseau sur site.
Dans le scénario suivant, les buckets de stockage du projet sensitive-buckets
ne sont accessibles qu'à partir des instances de VM du projet main-project
et des applications sur site connectées. Les hôtes sur site peuvent accéder aux buckets de stockage dans le projet sensitive-buckets
, car le trafic transite par un réseau VPC situé dans le même périmètre de service que sensitive-buckets
.
- La configuration DNS sur site mappe les requêtes
*.googleapis.com
avecrestricted.googleapis.com
, qui pointe vers la plage199.36.153.4/30
. - Cloud Router a été configuré pour exposer la plage d'adresses IP
199.36.153.4/30
via le tunnel VPN. Le trafic envoyé vers les API Google est acheminé via le tunnel vers le réseau VPC. - Une route statique personnalisée a été ajoutée au réseau VPC qui dirige le trafic avec la destination
199.36.153.4/30
vers la passerelledefault-internet-gateway
comme saut suivant. Même si la passerelledefault-internet-gateway
est utilisée comme saut suivant, le trafic est acheminé en mode privé via le réseau de Google vers l'API ou le service approprié. - Le réseau VPC a été autorisé à accéder aux projets
sensitive-buckets
, et les hôtes sur site disposent du même accès. - Les hôtes sur site ne peuvent pas accéder à d'autres ressources situées en dehors du périmètre de service.
Le projet qui se connecte à votre réseau sur site doit faire partie du périmètre de service pour pouvoir accéder à des ressources restreintes. L'accès sur site fonctionne également si les projets concernés sont reliés par une liaison de périmètre.
Étape suivante
- Si vous souhaitez configurer une connectivité privée, reportez-vous à la section Configurer une connectivité privée.