O Acesso privado do Google oferece conectividade particular a hosts em uma rede VPC ou rede local que usam endereços IP particulares para acessar APIs e serviços do Google. É possível estender um perímetro de serviço do VPC Service Controls para hosts nessas redes para controlar o acesso a recursos protegidos.
Para hosts em uma rede VPC, eles precisam ter apenas um endereço IP particular (sem endereço IP público) e estar em uma sub-rede com o Acesso privado do Google ativado.
Para os hosts locais alcançarem serviços de API restritos do Google, é preciso que as solicitações para APIs do Google sejam enviadas através de uma rede VPC, por um túnel do Cloud VPN ou uma conexão do Cloud Interconnect.
Em ambos os casos, todas as solicitações para APIs e serviços do Google precisam ser enviadas para um
intervalo de endereços IP virtuais (VIP) 199.36.153.4/30 (restricted.googleapis.com).
O intervalo de endereços IP não é divulgado para a Internet. O tráfego enviado para o VIP
permanece apenas na rede do Google.
Exemplo de rede VPC
No exemplo a seguir, o perímetro de serviço contém dois projetos: um com uma
rede VPC autorizada e outro com o recurso protegido
do Cloud Storage. Na rede VPC, as instâncias de VM
precisam estar em uma sub-rede com o Acesso privado do Google ativado e só exigem
acesso a serviços restritos do VPC Service Controls. Consultas a APIs e
serviços do Google a partir de instâncias de VM na rede VPC autorizada são resolvidas
para restricted.googleapis.com e podem acessar o recurso protegido.
- O DNS foi configurado na rede VPC para mapear solicitações
*.googleapis.compararestricted.googleapis.com, que é resolvido para199.36.153.4/30. - Uma rota estática personalizada foi adicionada à rede VPC, que
direciona o tráfego com o destino
199.36.153.4/30para odefault-internet-gatewaycomo o próximo salto. Mesmo quedefault-internet-gatewayseja usado como o próximo salto, o tráfego é roteado de forma particular através da rede do Google até a API ou o serviço apropriado. - A rede VPC foi autorizada a acessar
My-authorized-gcs-projectporque os dois projetos estão no mesmo perímetro de serviço.
Exemplo de rede local
Para usar o roteamento estático, basta configurar uma rota estática no roteador local ou anunciar o intervalo restrito de endereços da API Google por meio do protocolo de gateway de borda (BGP, na sigla em inglês) do Cloud Router.
Para usar o Acesso privado do Google para hosts locais com o VPC Service Controls, defina a conectividade particular para hosts locais e configure o VPC Service Controls. Defina um perímetro de serviço para o projeto que contém a rede VPC conectada à sua rede local.
No cenário a seguir, os buckets de armazenamento no projeto sensitive-buckets
só podem ser acessados por instâncias de VM no projeto main-project e
aplicativos locais conectados. Os hosts locais podem acessar os buckets de armazenamento
no projeto sensitive-buckets porque o tráfego passa por uma
rede VPC que está dentro do mesmo perímetro de serviço que
sensitive-buckets.
- A configuração de DNS local mapeia as solicitações
*.googleapis.compararestricted.googleapis.com, que são resolvidas para199.36.153.4/30. - O Cloud Router foi configurado para divulgar o intervalo de
endereços IP
199.36.153.4/30por meio do túnel da VPN. O tráfego encaminhado para as APIs do Google é roteado pelo túnel até a rede VPC. - Uma rota estática personalizada foi adicionada à rede VPC que direciona
o tráfego com o
199.36.153.4/30de destino para odefault-internet-gatewaycomo o próximo salto. Mesmo quedefault-internet-gatewayseja usado como o próximo salto, o tráfego é roteado de forma particular através da rede do Google até a API ou o serviço apropriado. - A rede VPC foi autorizada a acessar os
projetos
sensitive-buckets, e os hosts locais têm o mesmo acesso. - Os hosts locais não podem acessar outros recursos que estão fora do perímetro de serviço.
O projeto que se conecta à sua rede local precisa ser um membro do perímetro de serviço para alcançar recursos restritos. O acesso local também funciona quando os projetos relevantes estão conectados por uma ponte de perímetro.
A seguir
- Para configurar a conectividade privada, consulte Como configurar a conectividade privada.