Privater Google-Zugriff mit VPC Service Controls

Der private Google-Zugriff bietet eine private Verbindung zu Hosts entweder in einem VPC-Netzwerk oder einem lokalen Netzwerk, das private IP-Adressen für den Zugriff auf Google-APIs und -Dienste verwendet. Sie können einen VPC Service Controls-Perimeter auf Hosts in diesen Netzwerken erweitern, um den Zugriff auf geschützte Ressourcen zu steuern.

Für Hosts in einem VPC-Netzwerk dürfen sie nur eine private IP-Adresse haben (keine öffentliche IP-Adresse) und sich in einem Subnetz befinden, in dem Privater Google-Zugriff aktiviert ist.

Damit lokale Hosts eingeschränkte Google API-Dienste erreichen können, müssen Anfragen an Google APIs über ein VPC-Netzwerk gesendet werden, entweder über eine Cloud VPN-Tunnel oder eine Cloud Interconnect-Verbindung.

In beiden Fällen müssen alle Anfragen an Google-APIs und -Dienste an einen virtuellen IP-Adressbereich (VIP) 199.36.153.4/30 (restricted.googleapis.com) gesendet werden. Der IP-Adressbereich wird nicht für das Internet freigegeben. An den VIP gesendeter Traffic bleibt im Google-Netzwerk.

Beispiel für ein VPC-Netzwerk

Im folgenden Beispiel enthält der Dienstperimeter zwei Projekte: eins mit einem autorisierten VPC-Netzwerk und ein weiteres mit der geschützten Cloud Storage-Ressource. Im VPC-Netzwerk müssen sich VM-Instanzen in einem Subnetz mit aktiviertem privatem Google-Zugriff befinden und benötigen nur Zugriff auf eingeschränkte VPC Service Controls-Dienste. Anfragen an Google-APIs und -Dienste von VM-Instanzen im autorisierten VPC-Netzwerk werden zu restricted.googleapis.com zugeordnet und können auf die geschützte Ressource zugreifen.

Privater Google-Zugriff mit VPC Service Controls (zum Vergrößern klicken)
Privater Google-Zugriff mit VPC Service Controls (zum Vergrößern klicken)
  • DNS wurde im VPC-Netzwerk so konfiguriert, dass *.googleapis.com-Anfragen zu restricted.googleapis.com zugeordnet werden, was zu 199.36.153.4/30 führt.
  • Eine benutzerdefinierte statische Route wurde zum VPC-Netzwerk hinzugefügt, das den Traffic mit dem Ziel leitet 199.36.153.4/30 an default-internet-gateway als nächster Hop leitet. Auch wenn default-internet-gateway als nächster Hop verwendet wird, wird der Traffic privat über das Google-Netzwerk an die entsprechende API oder den entsprechenden Dienst weitergeleitet.
  • Das VPC-Netzwerk wurde für den Zugriff auf My-authorized-gcs-project autorisiert, da sich beide Projekte im selben Dienstperimeter befinden.

Beispiel für lokales Netzwerk

Sie können einfach eine statische Route im lokalen Router konfigurieren, um statisches Routing zu nutzen, oder den eingeschränkten Google API-Adressbereich über das BGP (Border Gateway Protocol) von Cloud Router bekanntgeben.

Zur Verwendung des privaten Google-Zugriffs für lokale Hosts mit VPC Service Controls richten Sie eine private Verbindung für lokale Hosts und anschließend VPC Service Controls ein. Legen Sie einen Dienstperimeter für das Projekt mit dem VPC-Netzwerk fest, das mit Ihrem lokalen Netzwerk verbunden ist.

Im folgenden Szenario können die Storage-Buckets im Projekt sensitive-buckets nur über VM-Instanzen im Projekt main-project aufgerufen werden und aus verbundenen lokalen Anwendungen. Lokale Hosts können auf Speicher-Buckets im Projekt sensitive-buckets zugreifen, da der Traffic ein VPC-Netzwerk durchquert, das sich innerhalb desselben Dienstperimeters wie sensitive-buckets befindet.

  • Die lokale DNS-Konfiguration ordnet *.googleapis.com-Anfragen an restricted.googleapis.com zu, die in 199.36.153.4/30 aufgelöst werden.
  • Der Cloud Router wurde so konfiguriert, dass er über den VPN-Tunnel ein Advertising des IP-Adressbereich 199.36.153.4/30 durchführen kann. Traffic an Google APIs wird über den Tunnel an das VPC-Netzwerk weitergeleitet.
  • Eine benutzerdefinierte statische Route wurde zu dem VPC-Netzwerk hinzugefügt, das den Traffic mit dem Ziel 199.36.153.4/30 an default-internet-gateway als nächster Hop leitet. Auch wenn default-internet-gateway als nächster Hop verwendet wird, wird der Traffic privat über das Google-Netzwerk an die entsprechende API oder den entsprechenden Dienst weitergeleitet.
  • Das VPC-Netzwerk wurde für den Zugriff auf die sensitive-buckets Projekte autorisiert und die lokalen Hosts haben denselben Zugriff.
  • Lokale Hosts können nicht auf Ressourcen zugreifen, die sich außerhalb des Dienstperimeters befinden.

Das Projekt, das eine Verbindung zu Ihrem lokalen Netzwerk herstellt, muss Mitglied des Dienstperimeters sein, um eingeschränkte Ressourcen aufzurufen. Der lokale Zugriff funktioniert auch, wenn die relevanten Projekte über eine Perimeterbrücke verbunden sind.

Nächste Schritte