Privater Google-Zugriff mit VPC Service Controls

Der private Google-Zugriff bietet private Verbindungen zu Hosts in einem VPC- oder lokalen Netzwerk, die private IP-Adressen für den Zugriff auf Google APIs und Google-Dienste verwenden. Sie können einen VPC Service Controls-Dienstperimeter auf Hosts in diesen Netzwerken erweitern, um den Zugriff auf geschützte Ressourcen zu steuern.

Hosts in einem VPC-Netzwerk dürfen nur eine private IP-Adresse (keine öffentliche IP-Adresse) haben und müssen sich in einem Subnetz befinden, in dem Privater Google-Zugriff aktiviert ist.

Damit lokale Hosts eingeschränkte Google API-Dienste erreichen können, müssen Anfragen an Google APIs über ein VPC-Netzwerk gesendet werden, entweder über einen Cloud VPN-Tunnel oder über eine Cloud Interconnect-Verbindung.

In beiden Fällen müssen alle Anfragen an Google-APIs und -Dienste an einen virtuellen IP-Adressbereich (VIP) 199.36.153.4/30 (restricted.googleapis.com) gesendet werden. Der IP-Adressbereich wird nicht für das Internet freigegeben. An den VIP gesendeter Traffic bleibt im Google-Netzwerk.

Beispiel für ein VPC-Netzwerk

Im folgenden Beispiel enthält der Dienstperimeter zwei Projekte: eins mit einem autorisierten VPC-Netzwerk und ein weiteres mit der geschützten Cloud Storage-Ressource. Im VPC-Netzwerk müssen sich VM-Instanzen in einem Subnetz mit aktivierter Option Privater Google-Zugriff befinden und benötigen nur Zugriff auf eingeschränkte VPC Service Controls-Dienste. Anfragen an Google-APIs und -Dienste von VM-Instanzen im autorisierten VPC-Netzwerk werden restricted.googleapis.com zugeordnet und können auf die geschützte Ressource zugreifen.

Privater Google-Zugriff mit VPC Service Controls (zum Vergrößern klicken)
Privater Google-Zugriff mit VPC Service Controls (zum Vergrößern klicken)
  • DNS wurde im VPC-Netzwerk so konfiguriert, dass *.googleapis.com-Anfragen restricted.googleapis.com zugeordnet werden, was zu 199.36.153.4/30 führt.
  • Dem VPC-Netzwerk wurde eine benutzerdefinierte statische Route hinzugefügt, die den Traffic mit dem Ziel 199.36.153.4/30 als nächsten Hop an das default-internet-gateway weiterleitet. Obwohl default-internet-gateway als nächster Hop verwendet wird, wird der Traffic privat über das Google-Netzwerk an die entsprechende API oder den entsprechenden Dienst weitergeleitet.
  • Das VPC-Netzwerk wurde für den Zugriff auf das My-authorized-gcs-project autorisiert, da sich beide Projekte im selben Dienstperimeter befinden.

Beispiel für ein lokales Netzwerk

Sie können einfach eine statische Route im lokalen Router konfigurieren, um statisches Routing zu nutzen, oder den eingeschränkten Google API-Adressbereich über das BGP (Border Gateway Protocol) von Cloud Router bekanntgeben.

Zur Verwendung des privaten Google-Zugriffs für lokale Hosts mit VPC Service Controls richten Sie eine private Verbindung für lokale Hosts und anschließend VPC Service Controls ein. Legen Sie einen Dienstperimeter für das Projekt mit dem VPC-Netzwerk fest, das mit Ihrem lokalen Netzwerk verbunden ist.

Im folgenden Szenario kann auf die Storage-Buckets im Projekt sensitive-buckets nur von VM-Instanzen im Projekt main-project und von verbundenen lokalen Anwendungen zugegriffen werden. Lokale Hosts können auf Storage-Buckets im Projekt sensitive-buckets zugreifen, da der Traffic über ein VPC-Netzwerk geleitet wird, das sich im selben Dienstperimeter befindet wie sensitive-buckets.

  • Die lokale DNS-Konfiguration ordnet *.googleapis.com Anfragen an restricted.googleapis.com zu, die in 199.36.153.4/30 aufgelöst werden.
  • Der Cloud Router wurde so konfiguriert, dass er über den VPN-Tunnel ein Advertising des IP-Adressbereichs 199.36.153.4/30 durchführen kann. Traffic an Google APIs wird über den Tunnel an das VPC-Netzwerk weitergeleitet.
  • Dem VPC-Netzwerk wurde eine benutzerdefinierte statische Route hinzugefügt, die Traffic mit dem Ziel 199.36.153.4/30 als nächsten Hop an das default-internet-gateway weiterleitet. Obwohl default-internet-gateway als nächster Hop verwendet wird, wird der Traffic privat über das Google-Netzwerk an die entsprechende API oder den entsprechenden Dienst weitergeleitet.
  • Das VPC-Netzwerk wurde für den Zugriff auf die sensitive-buckets-Projekte autorisiert und lokale Hosts haben denselben Zugriff.
  • Lokale Hosts können nicht auf Ressourcen zugreifen, die sich außerhalb des Dienstperimeters befinden.

Das Projekt, das eine Verbindung zu Ihrem lokalen Netzwerk herstellt, muss Mitglied des Dienstperimeters sein, um eingeschränkte Ressourcen aufzurufen. Der lokale Zugriff funktioniert auch, wenn die relevanten Projekte über eine Perimeter-Bridge verbunden sind.

Nächste Schritte