Privater Google-Zugriff mit VPC Service Controls

Der private Google-Zugriff ermöglicht private Verbindungen zu Hosts, entweder in einem VPC-Netzwerk oder in einem lokalen Netzwerk, das private IP-Adressen für den Zugriff auf Google APIs und Google-Dienste verwendet. Sie können einen Dienstperimeter von VPC Service Controls auf Hosts in diesen Netzwerken erweitern, um den Zugriff auf geschützte Ressourcen zu steuern.

Hosts in einem VPC-Netzwerk dürfen lediglich eine private IP-Adresse (keine öffentliche IP-Adresse) haben und müssen sich in einem Subnetz befinden, in dem privater Google-Zugriff aktiviert ist.

Damit lokale Hosts eingeschränkte Google API-Dienste erreichen können, müssen Anfragen an Google APIs über ein VPC-Netzwerk gesendet werden, entweder über einen Cloud VPN-Tunnel oder über eine Cloud Interconnect-Verbindung.

In beiden Fällen empfehlen wir, alle Anfragen an Google APIs und Google-Dienste an die virtuellen IP-Adressbereiche (VIP) für restricted.googleapis.com zu senden. Die IP-Adressbereiche werden nicht im Internet bekanntgegeben. An die VIP gesendeter Traffic bleibt im Google-Netzwerk.

Weitere Informationen zu den VIPs private.googleapis.com und restricted.googleapis.com finden Sie unter Privaten Google-Zugriff konfigurieren.

IP-Adressbereiche für restricted.googleapis.com

Mit der Domain restricted.googleapis.com sind zwei IP-Adressbereiche verknüpft:

  • IPv6-Bereich: 199.36.153.4/30
  • IPv6-Bereich: 2600:2d00:0002:1000::/64

Informationen zur Verwendung des IPv6-Bereichs für den Zugriff auf Google APIs finden Sie unter IPv6-Unterstützung.

Beispiel für ein VPC-Netzwerk

Im folgenden Beispiel enthält der Dienstperimeter zwei Projekte: eins mit einem autorisierten VPC-Netzwerk und ein weiteres mit der geschützten Cloud Storage-Ressource. Im VPC-Netzwerk müssen sich VM-Instanzen in einem Subnetz befinden, in dem privater Google-Zugriff aktiviert ist, und benötigen nur Zugriff auf eingeschränkte Dienste von VPC Service Controls. Anfragen an Google APIs und Google-Dienste von VM-Instanzen im autorisierten VPC-Netzwerk werden restricted.googleapis.com zugeordnet und können auf die geschützte Ressource zugreifen.

Diagramm: Privater Google-Zugriff mit VPC Service Controls (zum Vergrößern klicken)
Privater Google-Zugriff mit VPC Service Controls (zum Vergrößern klicken)
  • DNS wurde im VPC-Netzwerk so konfiguriert, dass *.googleapis.com-Anfragen restricted.googleapis.com zugeordnet werden, was zu 199.36.153.4/30 führt.
  • Dem VPC-Netzwerk wurde eine benutzerdefinierte statische Route hinzugefügt, die Traffic mit dem Ziel 199.36.153.4/30 an default-internet-gateway als nächsten Hop weiterleitet. Obwohl default-internet-gateway als nächster Hop verwendet wird, wird der Traffic privat über das Google-Netzwerk an die entsprechende API oder den entsprechenden Dienst weitergeleitet.
  • Das VPC-Netzwerk wurde für den Zugriff auf My-authorized-gcs-project autorisiert, da sich beide Projekte im selben Dienstperimeter befinden.

Beispiel für ein lokales Netzwerk

Sie können einfach eine statische Route im lokalen Router konfigurieren, um statisches Routing zu nutzen, oder den eingeschränkten Google API-Adressbereich über das BGP (Border Gateway Protocol) von Cloud Router bekanntgeben.

Zur Verwendung des privaten Google-Zugriffs für lokale Hosts mit VPC Service Controls richten Sie eine private Verbindung für lokale Hosts ein und konfigurieren anschließend VPC Service Controls. Legen Sie einen Dienstperimeter für das Projekt mit dem VPC-Netzwerk fest, das mit Ihrem lokalen Netzwerk verbunden ist.

Im folgenden Szenario ist der Zugriff auf die Storage-Buckets im Projekt sensitive-buckets nur über VM-Instanzen im Projekt main-project und über verbundene lokale Anwendungen möglich. Lokale Hosts können auf Speicher-Buckets im Projekt sensitive-buckets zugreifen, da der Traffic über ein VPC-Netzwerk geleitet wird, das sich im selben Dienstperimeter wie sensitive-buckets befindet.

  • Die lokale DNS-Konfiguration ordnet *.googleapis.com Anfragen an restricted.googleapis.com zu, die in 199.36.153.4/30 aufgelöst werden.
  • Der Cloud Router wurde so konfiguriert, dass er über den VPN-Tunnel ein Advertising des IP-Adressbereichs 199.36.153.4/30 durchführen kann. Traffic an Google APIs wird über den Tunnel an das VPC-Netzwerk weitergeleitet.
  • Dem VPC-Netzwerk wurde eine benutzerdefinierte statische Route hinzugefügt, die Traffic mit dem Ziel 199.36.153.4/30 an default-internet-gateway als nächsten Hop weiterleitet. Obwohl default-internet-gateway als nächster Hop verwendet wird, wird der Traffic privat über das Google-Netzwerk an die entsprechende API oder den entsprechenden Dienst weitergeleitet.
  • Das VPC-Netzwerk wurde für den Zugriff auf die sensitive-buckets-Projekte autorisiert und lokale Hosts haben denselben Zugriff.
  • Lokale Hosts können nicht auf Ressourcen zugreifen, die sich außerhalb des Dienstperimeters befinden.

Das Projekt, das eine Verbindung zu Ihrem lokalen Netzwerk herstellt, muss Mitglied des Dienstperimeters sein, um eingeschränkte Ressourcen zu erreichen. Der lokale Zugriff funktioniert auch, wenn die entsprechenden Projekte über eine Perimeter-Bridge verbunden sind.

Nächste Schritte