Accesso privato Google con controlli di servizio VPC

L'accesso privato Google offre connettività privata agli host in un Una rete VPC o una rete on-premise che utilizza indirizzi IP privati per accedere alle API e ai servizi Google. Puoi estendere un Perimetro di servizio Controlli di servizio VPC agli host in quelle reti per controllare l'accesso alle risorse protette.

Gli host in una rete VPC devono avere un indirizzo IP privato (nessun indirizzo IP pubblico) e trovarsi in una subnet con accesso privato Google in un bucket con il controllo delle versioni attivo.

Affinché gli host on-premise possano raggiungere i servizi API di Google con limitazioni, le richieste alle API di Google devono essere inviate tramite una rete VPC, tramite un tunnel Cloud VPN o una connessione Cloud Interconnect.

In entrambi i casi, ti consigliamo di inviare tutte le richieste alle API di Google e ai servizi intervalli di indirizzi IP virtuali (VIP) per restricted.googleapis.com. Gli intervalli di indirizzi IP non vengono annunciati su internet. Il traffico inviato al VIP rimane solo all'interno della rete di Google.

Per ulteriori informazioni sui VIP private.googleapis.com e restricted.googleapis.com, consulta Configurare l'accesso privato Google.

Intervalli di indirizzi IP per restricted.googleapis.com

Esistono due intervalli di indirizzi IP associati al dominio restricted.googleapis.com:

  • Intervallo IPv4: 199.36.153.4/30
  • Intervallo IPv6: 2600:2d00:0002:1000::/64

Per informazioni sull'uso dell'intervallo IPv6 per accedere alle API di Google, consulta il Supporto IPv6.

Esempio di rete VPC

Nell'esempio seguente, il perimetro di servizio contiene due progetti: uno dispone di una rete VPC autorizzata e un'altra risorsa di Cloud Storage. Nella rete VPC, le istanze VM devono trovarsi in una subnet con l'accesso privato Google abilitato e richiedere solo l'accesso ai servizi con limitazioni di VPC Service Controls. Le query alle API e ai servizi Google dalle istanze VM nella rete VPC autorizzata risolvono in restricted.googleapis.com e possono accedere alla risorsa protetta.

Accesso privato Google con il servizio VPC Controlli (fai clic per ingrandire)
Accesso privato a Google con Controlli di servizio VPC (fai clic per ingrandire)
  • Il DNS è stato configurato nella rete VPC per mappare le richieste *.googleapis.com a restricted.googleapis.com, che si risolve in 199.36.153.4/30.
  • Alla rete VPC è stata aggiunta una route statica personalizzata che indirizza il traffico con la destinazione 199.36.153.4/30 alla default-internet-gateway come hop successivo. Anche se default-internet-gateway viene utilizzato come hop successivo, il traffico viene instradato privatamente attraverso la rete Google all'API o al servizio appropriato.
  • La rete VPC è stata autorizzata ad accedere a My-authorized-gcs-project perché entrambi i progetti si trovano nello stesso perimetro di servizio.

Esempio di rete on-premise

È possibile utilizzare il routing statico semplicemente configurando una route statica nella router on-premise o annunciando l'intervallo di indirizzi dell'API di Google limitato mediante il protocollo BGP (Border Gateway Protocol) del router Cloud.

Per utilizzare l'accesso privato Google per gli host on-premise con i Controlli di servizio VPC, configura la connettività privata per gli host on-premise e poi configura i Controlli di servizio VPC. Definisci un perimetro di servizio per il progetto contiene la rete VPC connessa ai server on-premise in ogni rete.

Nel seguente scenario, i bucket di archiviazione nel progetto sensitive-buckets è accessibile solo dalle istanze VM nel progetto main-project e delle applicazioni on-premise connesse. Gli host on-premise possono accedere ai bucket di archiviazione nel progetto sensitive-buckets perché il traffico passa attraverso una rete VPC che si trova nello stesso perimetro di servizio di sensitive-buckets.

  • La configurazione DNS on-premise mappa le richieste *.googleapis.com a restricted.googleapis.com, che risolve in 199.36.153.4/30.
  • Il router Cloud è stato configurato per annunciare l'intervallo di indirizzi IP 199.36.153.4/30 tramite il tunnel VPN. Il traffico diretto alle API di Google viene instradato tramite il tunnel alla rete VPC.
  • È stata aggiunta una route statica personalizzata alla rete VPC che indirizza il traffico con la destinazione 199.36.153.4/30 verso default-internet-gateway come hop successivo. Anche se default-internet-gateway viene utilizzato come hop successivo, il traffico viene instradato privatamente attraverso la rete Google all'API o al servizio appropriato.
  • La rete VPC è stata autorizzata ad accedere ai progettisensitive-buckets e gli host on-premise hanno lo stesso accesso.
  • Gli host on-premise non possono accedere ad altre risorse esterne al perimetro del servizio.

Il progetto che si connette alla tua rete on-premise deve essere un membro del perimetro di servizio per raggiungere le risorse con limitazioni. Anche l'accesso on-premise funziona se i progetti pertinenti sono collegati da un bridge del perimetro.

Passaggi successivi