Acesso privado do Google com VPC Service Controls

O Acesso privado do Google oferece conectividade particular a hosts em uma rede VPC ou rede local que usam endereços IP particulares para acessar APIs e serviços do Google. É possível estender um perímetro de serviço do VPC Service Controls para hosts nessas redes para controlar o acesso a recursos protegidos.

Para hosts em uma rede VPC, eles precisam ter apenas um endereço IP particular (sem endereço IP público) e estar em uma sub-rede com o Acesso privado do Google ativado.

Para os hosts locais alcançarem serviços de API restritos do Google, é preciso que as solicitações para APIs do Google sejam enviadas por meio de uma rede VPC, por um túnel do Cloud VPN ou conexão do Cloud Interconnect.

Em ambos os casos, todas as solicitações para APIs e serviços do Google precisam ser enviadas para um intervalo de endereços IP virtuais (VIP) 199.36.153.4/30 (restricted.googleapis.com). O intervalo de endereços IP não é divulgado para a Internet. O tráfego enviado para o VIP permanece apenas na rede do Google.

Exemplo de rede VPC

No exemplo a seguir, o perímetro de serviço contém dois projetos: um com uma rede VPC autorizada e outro com o recurso protegido do Cloud Storage. Na rede VPC, as instâncias de VM precisam estar em uma sub-rede com o Acesso privado do Google ativado e só precisam ter acesso a serviços restritos do VPC Service Controls. Consultas a APIs e serviços do Google a partir de instâncias de VM na rede VPC autorizada são determinadas como restricted.googleapis.com e podem acessar o recurso protegido.

Acesso privado do Google com VPC Service
                                  Controls (clique para ampliar)
Acesso privado do Google com VPC Service Controls (clique para ampliar)
  • O DNS foi configurado na rede VPC para mapear solicitações *.googleapis.com para restricted.googleapis.com, o que é determinado como 199.36.153.4/30.
  • Uma rota estática personalizada foi adicionada à rede VPC, que direciona o tráfego com o destino 199.36.153.4/30 para o default-internet-gateway como o próximo salto. Mesmo que default-internet-gateway seja usado como o próximo salto, o tráfego é roteado de forma particular através da rede do Google para a API ou o serviço apropriado.
  • A rede VPC foi autorizada a acessar o My-authorized-gcs-project porque os dois projetos estão no mesmo perímetro de serviço.

Exemplo de rede local

Para usar o roteamento estático, basta configurar uma rota estática no roteador local ou anunciar o intervalo restrito de endereços da API Google por meio do protocolo de gateway de borda (BGP, na sigla em inglês) do Cloud Router.

Para usar o Acesso privado do Google para hosts locais com VPC Service Controls, configure a conectividade particular para hosts locais e configure o VPC Service Controls. Defina um perímetro de serviço para o projeto que contém a rede VPC conectada à sua rede local.

No cenário a seguir, os buckets de armazenamento no projeto sensitive-buckets só podem ser acessados a partir de instâncias de VM no projeto main-project e de aplicativos locais conectados. Os hosts locais podem acessar os buckets de armazenamento no projeto sensitive-buckets porque o tráfego passa por uma rede VPC que está dentro do mesmo perímetro de serviço que sensitive-buckets.

  • A configuração de DNS local mapeia as solicitações *.googleapis.com para restricted.googleapis.com, que são resolvidas para 199.36.153.4/30.
  • O Cloud Router foi configurado para divulgar o intervalo de endereços IP 199.36.153.4/30 por meio do túnel da VPN. O tráfego encaminhado para as APIs do Google é roteado pelo túnel até a rede VPC.
  • Uma rota estática personalizada foi adicionada à rede VPC, que direciona o tráfego com o destino 199.36.153.4/30 para o default-internet-gateway como o próximo salto. Mesmo que default-internet-gateway seja usado como o próximo salto, o tráfego é roteado de forma particular através da rede do Google para a API ou o serviço apropriado.
  • A rede VPC foi autorizada a acessar os projetos sensitive-buckets, e os hosts locais têm o mesmo acesso.
  • Os hosts locais não podem acessar outros recursos que estão fora do perímetro de serviço.

O projeto que se conecta à sua rede local precisa ser um membro do perímetro de serviço para alcançar recursos restritos. O acesso local também funciona quando os projetos relevantes estão conectados por uma ponte de perímetro.

A seguir