Acceso privado a Google con Controles del servicio de VPC

El Acceso privado a Google ofrece conectividad privada a los hosts en una red de VPC o en una red local que usa direcciones IP privadas para acceder a los servicios y las API de Google. Puedes extender un perímetro de servicio de Controles del servicio de VPC a hosts en esas redes para controlar el acceso a los recursos protegidos.

Los hosts en una red de VPC deben tener solo una dirección IP privada (no una dirección IP pública) y estar en una subred con el Acceso privado a Google habilitado.

Para que los hosts locales alcancen servicios restringidos de las API de Google, las solicitudes a las API de Google deben enviarse a través de una red de VPC, ya sea a través de un túnel de Cloud VPN o una conexión de Cloud Interconnect.

En ambos casos, te recomendamos que envíes todas las solicitudes a los servicios y las API de Google a los rangos de direcciones de IP virtual (VIP) para restricted.googleapis.com. Los rangos de direcciones IP no se anuncian en Internet. El tráfico enviado a la VIP permanece solo en la red de Google.

Para obtener más información sobre las VIP de private.googleapis.com y restricted.googleapis.com, consulta Configura el Acceso privado a Google.

Rangos de direcciones IP de restricted.googleapis.com

Hay dos rangos de direcciones IP asociados con el dominio restricted.googleapis.com:

  • Rango IPv4: 199.36.153.4/30
  • Rango de IPv6: 2600:2d00:0002:1000::/64

Si deseas obtener información sobre el uso del rango IPv6 para acceder a las API de Google, consulta Compatibilidad con IPv6.

Ejemplo de red de VPC

En el siguiente ejemplo, el perímetro de servicio contiene dos proyectos: uno que tiene una red de VPC autorizada y otro con el recurso de Cloud Storage protegido. En la red de VPC, las instancias de VM deben estar en una subred con el Acceso privado a Google habilitado y solo requieren acceso a los servicios restringidos de los Controles del servicio de VPC. Las consultas a los servicios y a las API de Google desde las instancias de VM en la red de VPC autorizada se resuelven en restricted.googleapis.com y pueden acceder al recurso protegido.

Acceso privado a Google con Controles del servicio de VPC (haz clic para ampliar)
Acceso privado a Google con Controles del servicio de VPC (haz clic para ampliar)
  • El DNS se configuró en la red de VPC para mapear solicitudes de *.googleapis.com a restricted.googleapis.com, que se resuelve como 199.36.153.4/30.
  • Se agregó una ruta estática personalizada a la red de VPC que dirige el tráfico con el destino 199.36.153.4/30 a default-internet-gateway como siguiente salto. Aunque default-internet-gateway se usa como el siguiente salto, el tráfico se enruta de forma privada a la API o el servicio adecuado a través de la red de Google.
  • La red de VPC tiene autorización para acceder al My-authorized-gcs-project porque ambos proyectos se encuentran en el mismo perímetro de servicio.

Ejemplo de red local

Puedes usar el enrutamiento estático si configuras una ruta estática en el router local o si anuncias el rango de direcciones restringido de la API de Google mediante el protocolo de puerta de enlace fronteriza (BGP) desde Cloud Router.

Si quieres usar el Acceso privado a Google en los hosts locales con los Controles del servicio de VPC, configura la conectividad privada para los hosts locales y, luego, los Controles del servicio de VPC. Define un perímetro de servicio para el proyecto que contiene la red de VPC conectada a tu red local.

En el siguiente caso, solo se puede acceder a los depósitos de almacenamiento en el proyecto sensitive-buckets desde las instancias de VM en el proyecto main-project y desde las aplicaciones locales conectadas. Los hosts locales pueden acceder a los buckets de almacenamiento en el proyecto sensitive-buckets porque el tráfico pasa por una red de VPC que se encuentra dentro del mismo perímetro de servicio que sensitive-buckets.

  • La configuración de DNS local mapea solicitudes *.googleapis.com a restricted.googleapis.com, que se resuelve en 199.36.153.4/30.
  • El Cloud Router se configuró para anunciar el rango de direcciones IP 199.36.153.4/30 a través del túnel VPN. El tráfico que se dirige a las API de Google se enruta a través del túnel a la red de VPC.
  • Se agregó una ruta estática personalizada a la red de VPC que dirige el tráfico con el destino 199.36.153.4/30 a default-internet-gateway como siguiente salto. Aunque default-internet-gateway se usa como el siguiente salto, el tráfico se enruta de forma privada a la API o el servicio adecuado a través de la red de Google.
  • La red de VPC tiene autorización para acceder a los proyectos sensitive-buckets, y los hosts locales tienen el mismo acceso.
  • Los hosts locales no pueden acceder a otros recursos que están fuera del perímetro de servicio.

El proyecto que se conecta a la red local debe ser miembro del perímetro de servicio para alcanzar los recursos restringidos. El acceso local también funciona si los proyectos pertinentes se conectan por un puente perimetral.

¿Qué sigue?