Privater Google-Zugriff mit VPC Service Controls

Der private Google-Zugriff bietet private Verbindungen zu Hosts entweder in einem VPC-Netzwerk oder einem lokalen Netzwerk, die private IP-Adressen für den Zugriff auf Google APIs und Google-Dienste verwenden. Sie können einen Dienstperimeter von VPC Service Controls auf Hosts in diesen Netzwerken erweitern, um den Zugriff auf geschützte Ressourcen zu steuern.

Hosts in einem VPC-Netzwerk dürfen lediglich eine private IP-Adresse (keine öffentliche IP-Adresse) haben und müssen sich in einem Subnetz befinden, in dem Privater Google-Zugriff aktiviert ist.

Damit lokale Hosts eingeschränkte Google API-Dienste erreichen können, müssen Anfragen an Google APIs über ein VPC-Netzwerk gesendet werden, entweder über einen Cloud VPN-Tunnel oder über eine Cloud Interconnect-Verbindung.

In beiden Fällen müssen alle Anfragen an Google APIs und Google-Dienste an einen virtuellen IP-Adressbereich (VIP) 199.36.153.4/30 (restricted.googleapis.com) gesendet werden. Dieser IP-Adressbereich wird nicht für das Internet freigegeben. An die VIP gesendeter Traffic bleibt im Google-Netzwerk.

Beispiel für ein VPC-Netzwerk

Im folgenden Beispiel enthält der Dienstperimeter zwei Projekte: eins mit einem autorisierten VPC-Netzwerk und ein weiteres mit der geschützten Cloud Storage-Ressource. Im VPC-Netzwerk müssen sich VM-Instanzen in einem Subnetz befinden, in dem privater Google-Zugriff aktiviert ist, und benötigen nur Zugriff auf eingeschränkte Dienste von VPC Service Controls. Anfragen an Google APIs und Google-Dienste von VM-Instanzen im autorisierten VPC-Netzwerk werden restricted.googleapis.com zugeordnet und können auf die geschützte Ressource zugreifen.

Diagramm: Privater Google-Zugriff mit VPC Service Controls (zum Vergrößern klicken)
Privater Google-Zugriff mit VPC Service Controls (zum Vergrößern klicken)
  • DNS wurde im VPC-Netzwerk so konfiguriert, dass *.googleapis.com-Anfragen restricted.googleapis.com zugeordnet werden, was zu 199.36.153.4/30 führt.
  • Dem VPC-Netzwerk wurde eine benutzerdefinierte statische Route hinzugefügt, die Traffic mit dem Ziel 199.36.153.4/30 an default-internet-gateway als nächsten Hop weiterleitet. Obwohl default-internet-gateway als nächster Hop verwendet wird, wird der Traffic privat über das Google-Netzwerk an die entsprechende API oder den entsprechenden Dienst weitergeleitet.
  • Das VPC-Netzwerk wurde für den Zugriff auf My-authorized-gcs-project autorisiert, da sich beide Projekte im selben Dienstperimeter befinden.

Beispiel für ein lokales Netzwerk

Sie können einfach eine statische Route im lokalen Router konfigurieren, um statisches Routing zu nutzen, oder den eingeschränkten Google API-Adressbereich über das BGP (Border Gateway Protocol) von Cloud Router bekanntgeben.

Zur Verwendung des privaten Google-Zugriffs für lokale Hosts mit VPC Service Controls richten Sie eine private Verbindung für lokale Hosts ein und konfigurieren anschließend VPC Service Controls. Legen Sie einen Dienstperimeter für das Projekt mit dem VPC-Netzwerk fest, das mit Ihrem lokalen Netzwerk verbunden ist.

Im folgenden Szenario ist der Zugriff auf die Storage-Buckets im Projekt sensitive-buckets nur über VM-Instanzen im Projekt main-project und über verbundene lokale Anwendungen möglich. Lokale Hosts können auf Speicher-Buckets im Projekt sensitive-buckets zugreifen, da der Traffic über ein VPC-Netzwerk geleitet wird, das sich im selben Dienstperimeter wie sensitive-buckets befindet.

  • Die lokale DNS-Konfiguration ordnet *.googleapis.com Anfragen an restricted.googleapis.com zu, die in 199.36.153.4/30 aufgelöst werden.
  • Der Cloud Router wurde so konfiguriert, dass er über den VPN-Tunnel ein Advertising des IP-Adressbereichs 199.36.153.4/30 durchführen kann. Traffic an Google APIs wird über den Tunnel an das VPC-Netzwerk weitergeleitet.
  • Dem VPC-Netzwerk wurde eine benutzerdefinierte statische Route hinzugefügt, die Traffic mit dem Ziel 199.36.153.4/30 an default-internet-gateway als nächsten Hop weiterleitet. Obwohl default-internet-gateway als nächster Hop verwendet wird, wird der Traffic privat über das Google-Netzwerk an die entsprechende API oder den entsprechenden Dienst weitergeleitet.
  • Das VPC-Netzwerk wurde für den Zugriff auf die sensitive-buckets-Projekte autorisiert und lokale Hosts haben denselben Zugriff.
  • Lokale Hosts können nicht auf Ressourcen zugreifen, die sich außerhalb des Dienstperimeters befinden.

Das Projekt, das eine Verbindung zu Ihrem lokalen Netzwerk herstellt, muss Mitglied des Dienstperimeters sein, um eingeschränkte Ressourcen zu erreichen. Der lokale Zugriff funktioniert auch, wenn die entsprechenden Projekte über eine Perimeter-Bridge verbunden sind.

Weitere Informationen