Accesso privato Google con controlli di servizio VPC

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

L'accesso privato Google offre connettività privata agli host in una rete VPC o on-premise che utilizza indirizzi IP privati per accedere alle API e ai servizi Google. Puoi estendere un perimetro di servizio Controlli di servizio VPC agli host di tali reti per controllare l'accesso alle risorse protette.

Gli host in una rete VPC devono avere solo un indirizzo IP privato (nessun indirizzo IP pubblico) e trovarsi in una subnet con l'accesso privato Google abilitato.

Affinché gli host on-premise possano raggiungere i servizi limitati dell'API Google, le richieste alle API Google devono essere inviate tramite una rete VPC, tramite un tunnel Cloud VPN o Cloud Interconnect.

In entrambi i casi, ti consigliamo di inviare tutte le richieste alle API e ai servizi Google a un intervallo di indirizzi IP virtuali (VIP) 199.36.153.4/30 (restricted.googleapis.com). L'intervallo di indirizzi IP non viene annunciato a Internet. Il traffico inviato al VIP viene mantenuto solo nella rete di Google.

Esempio di rete VPC

Nell'esempio seguente, il perimetro di servizio contiene due progetti: uno con una rete VPC autorizzata e un'altra con la risorsa protetta di Cloud Storage. Nella rete VPC, le istanze VM devono trovarsi in una subnet con accesso privato Google abilitato e richiedere l'accesso solo ai servizi limitati dei Controlli di servizio VPC. Le query alle API e ai servizi Google dalle istanze VM nella rete VPC autorizzata si riferiscono a restricted.googleapis.com e possono accedere alla risorsa protetta.

Accesso privato Google con controlli di servizio VPC (fai clic per ingrandire)
Accesso privato Google con controlli di servizio VPC (fai clic per ingrandire)
  • Il DNS è stato configurato nella rete VPC per mappare le richieste *.googleapis.com su restricted.googleapis.com, che restituisce 199.36.153.4/30.
  • È stata aggiunta una route statica personalizzata alla rete VPC che indirizza il traffico con la destinazione 199.36.153.4/30 al default-internet-gateway come hop successivo. Anche se viene utilizzato default-internet-gateway come hop successivo, il traffico viene instradato in privato tramite la rete Google all'API o al servizio appropriato.
  • La rete VPC è stata autorizzata ad accedere al My-authorized-gcs-project perché entrambi i progetti si trovano nello stesso perimetro di servizio.

Esempio di rete on-premise

Puoi utilizzare il routing statico semplicemente configurando una route statica nel router on-premise o annunciando l'intervallo di indirizzi dell'API Google limitato tramite il protocollo BGP (Border gateway Protocol) da Cloud Router.

Per utilizzare l'accesso privato Google per gli host on-premise con i Controlli di servizio VPC, configura la connettività privata per gli host on-premise, quindi configura i Controlli di servizio VPC. Definisci un perimetro di servizio per il progetto che contiene la rete VPC connessa alla tua rete on-premise.

Nel seguente scenario, è possibile accedere ai bucket di archiviazione nel progetto sensitive-buckets solo dalle istanze VM nel progetto main-project e dalle applicazioni on-premise connesse. Gli host on-premise possono accedere ai bucket di archiviazione nel progetto sensitive-buckets perché il traffico passa attraverso una rete VPC all'interno dello stesso perimetro di servizio di sensitive-buckets.

  • La configurazione DNS on-premise mappa le richieste *.googleapis.com su restricted.googleapis.com, che restituisce 199.36.153.4/30.
  • Il router Cloud è stato configurato per pubblicizzare l'intervallo di indirizzi IP 199.36.153.4/30 tramite il tunnel VPN. Il traffico diretto alle API di Google viene instradato attraverso il tunnel alla rete VPC.
  • È stata aggiunta una rete statica personalizzata alla rete VPC che indirizza il traffico con la destinazione 199.36.153.4/30 al default-internet-gateway come hop successivo. Anche se viene utilizzato default-internet-gateway come hop successivo, il traffico viene instradato in privato tramite la rete Google all'API o al servizio appropriato.
  • La rete VPC è stata autorizzata ad accedere ai progetti sensitive-buckets e gli host on-premise hanno lo stesso accesso.
  • Gli host on-premise non possono accedere ad altre risorse esterne al perimetro di servizio.

Per raggiungere le risorse limitate, il progetto che si connette alla rete on-premise deve essere membro del perimetro di servizio. L'accesso on-premise funziona anche se i progetti pertinenti sono collegati da un bridge del perimetro.

Passaggi successivi