Configurer une connectivité privée aux API et services Google

Ce document explique comment configurer une connectivité privée entre les hôtes d'un réseau VPC ou d'un réseau sur site et les API et services Google compatibles avec VPC Service Controls.

Avant de lire ce document, nous vous recommandons de vous familiariser avec les concepts d'Accès privé à Google, les spécifications et la configuration du réseau. Consultez des exemples de schémas de topologie pour l'utilisation de l'accès privé à Google avec VPC Service Controls.

Avant de commencer

  • Vous devez activer les API auxquelles vous souhaitez accéder via la page API et services de Google Cloud Console.
  • Assurez-vous de disposer du rôle requis pour créer ou mettre à jour des sous-réseaux. Les propriétaires de projet, les collaborateurs et les entités principales IAM dotées du rôle d'administrateur réseau peuvent créer ou mettre à jour des sous-réseaux et attribuer des adresses IP. Pour en savoir plus sur les rôles, consultez la documentation sur les rôles IAM.
  • Vérifiez qu'un réseau VPC est configuré pour l'accès privé à Google et l'accès privé à Google pour les hôtes sur site. Les réseaux VPC en mode automatique et en mode personnalisé sont tous les deux compatibles. Les anciens réseaux ne sont pas compatibles.
  • Assurez-vous que les instances de VM d'un réseau VPC disposent d'une adresse IP privée (et non d'une adresse IP publique) et qu'elles se trouvent dans un sous-réseau sur lequel l'accès privé à Google est activé.
  • Pour les hôtes sur site, assurez-vous de disposer d'un tunnel Cloud VPN existant ou d'une connexion Cloud Interconnect sur votre réseau VPC.

Présentation de la procédure

Pour configurer la connectivité privée, procédez comme suit :

  • Configurez des routes pour la destination 199.36.153.4/30. Pour en savoir plus, consultez la section Configurer des routes.
  • Configurez des règles de pare-feu pour autoriser le trafic approprié vers la plage d'adresses IP des API Google limitées. Pour en savoir plus, consultez la section Configurer les règles de pare-feu.
  • Configurez le service DNS de sorte que le trafic vers les API Google pointe vers la plage d'adresses IP des API Google limitées. Pour en savoir plus, consultez la section Configurer le DNS.

Configurer des routes vers restricted.googleapis.com

Utilisez restricted.googleapis.com pour fournir un accès aux API Cloud et Developer compatibles avec VPC Service Controls. Le domaine restricted.googleapis.com se résout en une plage d'adresses IP virtuelles 199.36.153.4/30. Cette plage d'adresses IP n'est pas accessible par Internet.

Bien que VPC Service Controls s'applique aux services compatibles et configurés, quel que soit le domaine que vous utilisez, restricted.googleapis.com offre une atténuation des risques supplémentaire pour l'exfiltration de données. restricted.googleapis.com refuse l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls.

Pour l'accès privé à Google et l'accès privé à Google pour les hôtes sur site, votre réseau VPC doit inclure une route ayant pour destination 199.36.153.4/30 et dont le saut suivant correspond à la passerelle Internet par défaut. Même si le saut suivant est une passerelle Internet par défaut, le trafic envoyé à 199.36.153.4/30 reste au sein du réseau de Google.

Si votre réseau VPC ne possède pas de route par défaut dont le saut suivant est la passerelle Internet par défaut, vous pouvez créer une route statique personnalisée dont la destination est 199.36.153.4/30 et dont le saut suivant est la passerelle Internet par défaut. Lorsque vous disposez d'une route statique personnalisée avec 199.36.153.4/30 comme destination, vous devez supprimer les autres routes dont le saut suivant correspond à la passerelle Internet par défaut pour empêcher l'accès à Internet.

Pour plus d'informations sur l'utilisation des routes VPC, consultez la page Utiliser des routes de la documentation sur les VPC.

Configurer une route statique personnalisée dans un réseau VPC

Ajoutez une route statique personnalisée pour activer l'accès aux services gérés de Google compatibles avec VPC Service Controls.

  • Ajoutez une route personnalisée qui n'autorise l'accès qu'aux services gérés par Google et sécurisés par VPC Service Controls.

    gcloud compute routes create ROUTE_NAME \
      --network=NETWORK_NAME \
      --destination-range=199.36.153.4/30 \
      --next-hop-gateway=default-internet-gateway
    

    Remplacez l'élément suivant :

    • ROUTE_NAME : nom de la route personnalisée
    • NETWORK_NAME : nom de votre réseau VPC.

Annoncer la route restreinte aux hôtes d'un réseau sur site

Si vous utilisez l'accès privé à Google pour les hôtes sur site, configurez les routes de sorte que le trafic des API Google transite par votre connexion Cloud VPN ou Cloud Interconnect. Pour annoncer la plage restreinte d'adresses IP virtuelles (199.36.153.4/30) à votre réseau sur site, utilisez l'annonce de routage personnalisée de Cloud Router. Cette plage d'adresses IP n'est accessible qu'aux hôtes sur site qui peuvent atteindre votre réseau VPC via des adresses IP privées.

Vous pouvez ajouter cette annonce de routage personnalisée à un routeur cloud (pour toutes les sessions BGP sur le routeur) ou à une session BGP sélectionnée (pour un tunnel Cloud VPN ou un rattachement de VLAN).

Pour créer une annonce de routage personnalisée pour la plage restreinte sur toutes les sessions BGP d'un routeur cloud existant, procédez comme suit :

Console


  1. Dans Google Cloud Console, accédez à la page Cloud Router.
    Accéder à Cloud Router
  2. Sélectionnez le routeur Cloud Router à mettre à jour.
  3. Sur la page d'informations du routeur Cloud Router, sélectionnez Modifier.
  4. Développez la section Routages annoncés.
  5. Dans le champ Routes, sélectionnez Créer des routages personnalisés.
  6. Pour continuer à diffuser les sous-réseaux disponibles dans Cloud Router, sélectionnez Diffuser tous les sous-réseaux visibles par Cloud Router. Cette option imite le comportement par défaut du routeur cloud.
  7. Pour ajouter une route annoncée, sélectionnez Ajouter une route personnalisée.
  8. Configurez l'annonce du routage.
    • Source : sélectionnez Plage d'adresses IP personnalisée.
    • Plage d'adresses IP : spécifiez 199.36.153.4/30.
    • Description : ajoutez cette description : Restricted Google APIs IPs.
  9. Après avoir ajouté des routes, sélectionnez Enregistrer.

gcloud


Exécutez la commande update en utilisant l'option --set-advertisement-ranges ou --add-advertisement-ranges pour spécifier les plages d'adresses IP personnalisées :

  • Pour définir des plages d'adresses IP personnalisées, utilisez l'option --set-advertisement-ranges. Toute annonce personnalisée existante est remplacée. L'exemple suivant met à jour le routeur cloud my-router pour annoncer tous les sous-réseaux et la plage d'adresses IP limitées des API Google 199.36.153.4/30 :

    gcloud compute routers update my-router \
        --advertisement-mode CUSTOM \
        --set-advertisement-groups ALL_SUBNETS \
        --set-advertisement-ranges 199.36.153.4/30
    
  • Pour ajouter des plages d'adresses IP personnalisées à une annonce existante, utilisez l'indicateur --add-advertisement-ranges. Notez que cet indicateur nécessite que le mode d'annonce du routeur cloud soit déjà défini sur custom. L'exemple suivant ajoute la plage d'adresses IP personnalisée Restricted Google APIs IPs aux annonces du routeur cloud :

    gcloud compute routers update my-router \
        --add-advertisement-ranges 199.36.153.4/30
    

Pour créer une annonce de routage personnalisée pour la plage restreinte sur une session BGP spécifique d'un routeur cloud existant, procédez comme suit :

Console


  1. Dans Google Cloud Console, accédez à la page Cloud Router.
    Accéder à Cloud Router
  2. Sélectionnez le routeur cloud qui contient la session BGP à mettre à jour.
  3. Sur la page d'informations du routeur cloud, sélectionnez la session BGP à mettre à jour.
  4. Sur la page d'informations de la session BGP, sélectionnez Modifier.
  5. Dans le champ Routages, sélectionnez Créer des routages personnalisés.
  6. Sélectionnez Diffuser tous les sous-réseaux visibles par le routeur cloud pour continuer à annoncer les sous-réseaux disponibles pour le routeur cloud. Cette option imite le comportement par défaut du routeur cloud.
  7. Sélectionnez Ajouter un routage personnalisé pour ajouter un routage diffusé.
  8. Configurez l'annonce du routage.
    • Source : sélectionnez Plage d'adresses IP personnalisée pour spécifier une plage d'adresses IP personnalisée.
    • Plage d'adresses IP : spécifiez 199.36.153.4/30.
    • Description : ajoutez cette description : Restricted Google APIs IPs.
  9. Après avoir ajouté les routes, sélectionnez Enregistrer.

gcloud


Exécutez la commande update-bgp-peer en utilisant l'option --set-advertisement-ranges ou --add-advertisement-ranges pour spécifier les plages d'adresses IP personnalisées.

  • Pour définir des plages d'adresses IP personnalisées, utilisez l'option --set-advertisement-ranges. Toute annonce personnalisée existante est remplacée. L'exemple suivant met à jour la session BGP my-bgp-session sur le routeur cloud my-router pour annoncer tous les sous-réseaux et la plage d'adresses IP personnalisée 199.36.153.4/30 :

    gcloud compute routers update-bgp-peer my-router \
        --peer-name my-bgp-session \
        --advertisement-mode CUSTOM \
        --set-advertisement-groups ALL_SUBNETS \
        --set-advertisement-ranges 199.36.153.4/30
    
  • Pour ajouter des plages d'adresses IP personnalisées à des plages existantes, utilisez l'indicateur --add-advertisement-ranges. Notez que cet indicateur nécessite que le mode d'annonce du routeur cloud soit déjà défini sur custom. L'exemple suivant ajoute la plage d'adresses IP des API Google limitées 199.36.153.4/30 aux annonces du routeur cloud :

    gcloud compute routers update-bgp-peer my-router \
        --peer-name my-bgp-session \
        --add-advertisement-ranges 199.36.153.4/30
    

    Pour en savoir plus sur les annonces personnalisées, consultez la page Annonces de routage personnalisées.

Configurer des règles de pare-feu

Pour l'accès privé à Google, les instances de VM utilisent des adresses IP internes et n'ont pas besoin d'adresses IP externes pour atteindre les ressources d'API Google protégées. Les instances de VM peuvent toutefois disposer d'adresses IP externes ou répondre aux conditions d'accès à Internet. En plus des routes personnalisées, vous pouvez restreindre le trafic de sortie provenant des instances de VM de votre réseau VPC en créant des règles de pare-feu.

Par défaut, la règle implicite d'autorisation pour le trafic sortant autorise les instances de VM à envoyer du trafic vers n'importe quelle destination s'il existe une route applicable. Vous pouvez créer une règle de refus du trafic sortant pour bloquer tout le trafic sortant, puis créer des règles d'autorisation du trafic sortant de priorité supérieure vers des destinations sélectionnées de votre réseau VPC et vers la plage d'adresses IP 199.36.153.4/30 (restricted.googleapis.com). Toutes les communications vers restricted.googleapis.com s'effectuent sur le port TCP 443.

Pour plus d'informations sur l'utilisation des règles de pare-feu VPC, consultez la page Utiliser des règles de pare-feu de la documentation sur les VPC.

Configurez vos règles de pare-feu sur site pour autoriser le trafic provenant de vos hôtes sur site à accéder à 199.36.153.4/30.

Configurer les paramètres DNS

Pour une utilisation générale de VPC Service Controls, il est recommandé d'utiliser des stratégies de réponse Cloud DNS afin de configurer un DNS pour vos réseaux VPC. Lorsque vous utilisez Cloud DNS, vous n'avez pas besoin de créer une zone privée gérée pour configurer le DNS. Une stratégie de réponse utilise le comportement passthru pour permettre aux noms, tels que www.googleapis.com, d'être autorisés après le nom générique dans l'exemple *.googleapis.com. Pour en savoir plus, consultez la page Gérer les règles et les stratégies relatives aux réponses.

Vous pouvez également utiliser des zones privées gérées pour vos réseaux VPC. Les zones DNS privées de Cloud DNS vous permettent d'héberger une zone DNS accessible à partir de réseaux VPC autorisés. Pour configurer le transfert à partir de certains serveurs de noms sur site, vous pouvez utiliser les adresses IP des API Google limitées. Vous pouvez ensuite créer une zone privée pour googleapis.com avec un enregistrement A DNS qui mappe restricted.googleapis.com et les enregistrements CNAME appropriés pour chaque nom *.googleapis.com. Pour en savoir plus, consultez la page Gérer les zones.

Pour l'accès sur site, vous pouvez configurer une règle de transfert entrant Cloud DNS pour permettre aux serveurs de noms sur site d'interroger une zone privée gérée Cloud DNS. Vous pouvez également configurer un serveur de noms sur site, tel que BIND :

Configurer le DNS avec Cloud DNS

Pour activer la résolution DNS pour les instances de VM de votre réseau VPC, les hôtes sur un réseau sur site ou les deux, utilisez Cloud DNS. Si vous utilisez un VPC partagé, consultez la section Zones privées et VPC partagé dans la documentation de Cloud DNS. En outre, si vous utilisez un VPC partagé, assurez-vous que le projet hôte sur le réseau VPC partagé est inclus dans le même périmètre de service que les projets qui se connectent au réseau.

Vous pouvez configurer un DNS avec Cloud DNS à l'aide de stratégies de réponse ou de zones privées.

Configurer Cloud DNS à l'aide de stratégies de réponse

Diriger des noms spécifiques vers les adresses IP virtuelles limitées

Vous pouvez configurer une stratégie de réponse contenant des données CNAME locales pour chaque zone afin de traduire les requêtes de l'API Google en API Google limitées. Les noms qui ne sont pas spécifiés sont toujours résolus à l'aide du DNS standard.

Par exemple, vous pouvez créer une stratégie de réponse pour pubsub.googleapis.com, qui contient des données CNAME locales pour une zone, afin de traduire les requêtes de l'API Google en restricted.googleapis.com. En attendant, www.googleapis.com, qui n'est pas spécifié, est toujours résolu à l'aide d'un DNS standard.

Dans l'exemple de configuration suivant, vous allez créer une stratégie, puis l'appliquer à un réseau VPC spécifique.

gcloud

  1. Pour créer une règle de réponse, exécutez la commande gcloud beta dns response-policies create :

    gcloud beta dns response-policies create RESPONSE_POLICY_NAME \
        --networks=NETWORK \
        --description=DESCRIPTION
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse que vous souhaitez supprimer, par exemple myresponsepolicy
    • NETWORK : liste de noms de réseaux séparés par une virgule à associer à la stratégie de réponse, par exemple network1,network2
    • DESCRIPTION : description de la stratégie de réponse, par exemple My new response policy
  2. Pour ajouter une règle à la règle, exécutez la commande gcloud beta dns response-policies rules create :

    gcloud beta dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
        --response-policy=RESPONSE_POLICY_NAME \
        --dns-name=pubsub.googleapis.com. \
        --local-data=name="pubsub.googleapis.com.",type="A",ttl=300,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_RULE_NAME : nom de la règle de la stratégie de réponse que vous souhaitez créer, par exemple myresponsepolicyrule
    • RESPONSE_POLICY_NAME : nom de la stratégie de réponse, par exemple myresponsepolicy

API

  1. Créez une stratégie de réponse par URL :

    {
      kind: "dns#responsePolicy",
      response_policy_name: RESPONSE_POLICY_NAME,
      description: RESPONSE_POLICY_DESCRIPTION,
      networks: [
        {
          network_url: URL_TO_NETWORK;
        }
      ]
    }
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_NAME : nom de la stratégie de réponse
    • RESPONSE_POLICY_DESCRIPTION : description de la stratégie de réponse
    • URL_TO_NETWORK : l'URL pour laquelle vous créez la stratégie de réponse

  2. Ajoutez une règle à la stratégie :

    {
      kind: "dns#responsePolicyRules",
      rule_name: RULE_NAME,
      dns_name: DNS_NAME,
      local_data: [
        {
          name: "pubsub.googleapis.com.",
          type: "A",
          ttl: 300,
          rrdata: ["199.36.153.4", "199.36.153.5", "199.36.153.6", "199.36.153.7"]
        }
      ]
    }
    

    Remplacez l'élément suivant :

    • RULE_NAME : nom de la règle que vous créez, par exemple pubsub
    • DNS_NAME : nom DNS pour lequel vous créez la règle, par exemple pubsub.googleapis.com. (notez le point final)

Rediriger tous les noms, sauf certains vers des adresses IP virtuelles limitées

Vous pouvez définir des règles pour exclure certaines réponses DNS d'une règle de stratégie couvrant un domaine entier ou un bloc d'adresses IP volumineux. Ce concept est appelé comportement passthru. Avec le comportement passthru, vous pouvez autoriser les noms qui ne sont pas compatibles avec les contrôles de service après le nom générique.

Par exemple, vous pouvez autoriser www.googleapis.com après le nom générique de l'exemple *.googleapis.com. La correspondance exacte pour www est prioritaire sur le caractère générique *.

Dans l'exemple de configuration suivant, vous allez créer une stratégie avec un nom spécifique et vous allez l'appliquer à un réseau VPC spécifique. La règle permet à www.googleapis.com de contourner le caractère générique *.googleapis.com.

gcloud

  1. Pour créer une règle de réponse, exécutez la commande gcloud beta dns response-policies create :

    gcloud beta dns response-policies create RESPONSE_POLICY_NAME \
        --networks=NETWORK \
        --description=DESCRIPTION
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_NAME : nom ou ID de la stratégie de réponse que vous souhaitez supprimer, par exemple myresponsepolicy
    • NETWORK : liste de noms de réseaux séparés par une virgule à associer à la stratégie de réponse, par exemple network1,network2
    • DESCRIPTION : description de la stratégie de réponse, par exemple My new response policy
  2. Pour ajouter une règle de contournement à la stratégie, exécutez la commande gcloud beta dns response-policies rules create, puis définissez l'option --behavior sur bypassResponsePolicy :

    gcloud beta dns response-policies rules create RESPONSE_POLICY_RULE_NAME \
        --response-policy=RESPONSE_POLICY_NAME \
        --dns-name=DNS_NAME \
        --behavior=bypassResponsePolicy
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_RULE_NAME : nom de la règle de la stratégie de réponse que vous souhaitez créer, par exemple myresponsepolicyrule
    • RESPONSE_POLICY_NAME : nom de la stratégie de réponse, par exemple myresponsepolicy
    • DNS_NAME : le DNS ou le nom de domaine, par exemple www.googleapis.com

API

  1. Créez une stratégie de réponse :

    {
      kind: "dns#responsePolicy",
      response_policy_name: RESPONSE_POLICY_NAME,
      description: RESPONSE_POLICY_DESCRIPTION,
      networks: [
        {
          network_url: URL_TO_NETWORK;
        }
      ]
    }
    

    Remplacez l'élément suivant :

    • RESPONSE_POLICY_NAME : nom de la stratégie de réponse, telle que my-response-policy
    • RESPONSE_POLICY_DESCRIPTION : description de la stratégie de réponse, telle que my response policy
    • URL_TO_NETWORK : l'URL pour laquelle vous créez la stratégie de réponse
  2. Ajoutez une règle à la stratégie :

    {
      kind: "dns#responsePolicyRules",
      rule_name: RULE_NAME,
      dns_name: DNS_NAME,
      local_data: [
        {
          name: "*.googleapis.com.",
          type: "A",
          ttl: 300,
          rrdata: ["restricted.googleapis.com."]
        }
      ]
    }
    {
      kind: "dns#responsePolicyRules",
      rule_name: "www-passthru",
      dns_name: "www.googleapis.com.",
      behavior: BYPASS_RESPONSE_POLICY
    }
    

    Remplacez l'élément suivant :

    • RULE_NAME : nom de la règle que vous créez, par exemple googleapis
    • DNS_NAME : nom DNS générique pour lequel vous créez la règle, par exemple *.googleapis.com.. notez le point final

Configurer Cloud DNS à l'aide de zones privées

Pour configurer Cloud DNS lorsque vous ne pouvez pas utiliser de stratégies de réponse, utilisez des zones privées.

  1. Créez une zone privée gérée pour votre réseau VPC.

    gcloud beta dns managed-zones create ZONE_NAME \
     --visibility=private \
     --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
     --description=DESCRIPTION \
     --dns-name=googleapis.com
    

    Remplacez l'élément suivant :

    • ZONE_NAME : nom de la zone que vous créez. Exemple :vpc Ce nom est utilisé dans chacune des étapes suivantes.
    • PROJECT_ID : ID du projet contenant votre réseau VPC
    • NETWORK_NAME : nom de votre réseau VPC.
    • DESCRIPTION : une description lisible et facultative de la zone gérée
  2. Lancez une transaction.

    gcloud dns record-sets transaction start --zone=ZONE_NAME
    

    Remplacez ZONE_NAME par le nom de la zone que vous avez créée à la première étape.

  3. Ajoutez des enregistrements DNS.

    gcloud dns record-sets transaction add --name=*.googleapis.com. \
        --type=CNAME restricted.googleapis.com. \
        --zone=ZONE_NAME \
        --ttl=300
    

    Remplacez ZONE_NAME par le nom de la zone que vous avez créée à la première étape.

    gcloud dns record-sets transaction add --name=restricted.googleapis.com. \
        --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
        --zone=ZONE_NAME \
        --ttl=300
    

    Remplacez ZONE_NAME par le nom de la zone que vous avez créée à la première étape.

  4. Exécutez la transaction.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME
    

    Remplacez ZONE_NAME par le nom de la zone que vous avez créée à la première étape.

  5. Facultatif. Pour que les hôtes sur site atteignent la plage restreinte d'adresses IP virtuelles, effectuez les opérations suivantes :

    1. Créez une règle DNS et activez le transfert DNS entrant pour rendre les services de résolution de noms du réseau VPC accessibles en externe aux systèmes situés sur les réseaux sur site.

      gcloud beta dns policies create POLICY_NAME \
       --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
       --enable-inbound-forwarding \
       --description=DESCRIPTION
      

      Remplacez l'élément suivant :

      • POLICY_NAME : nom de la zone que vous créez. Exemple :apipolicy
      • PROJECT_ID : ID du projet contenant votre réseau VPC
      • NETWORK_NAME : nom de votre réseau VPC.
      • DESCRIPTION : une description lisible et facultative de la zone gérée
    2. Sur votre réseau sur site, faites pointer le DNS sur site vers l'adresse IP du système de transfert Cloud DNS. Pour trouver l'adresse IP du système de transfert, utilisez la commande compute addresses list :

      gcloud compute addresses list --filter='name ~ ^dns-forwarding.*' \
       --format='csv[no-heading](address, subnetwork)'
      

Configurer le DNS avec BIND

Si vous utilisez BIND pour la résolution DNS, vous pouvez le configurer pour résoudre les requêtes d'API Google vers les API Google limitées. Servez-vous de l'exemple de configuration BIND suivant, qui exploite les zones de stratégie de réponse (RPZ) pour obtenir ce comportement :

  1. Ajoutez les lignes suivantes à /etc/bind/named.conf :

    include "/etc/bind/named.conf.options";
    include "/etc/bind/named.conf.local";
    
  2. Ajoutez les lignes suivantes à /etc/bind/named.conf.options :

    options {
      directory "/var/cache/bind";
    
      dnssec-validation no;
    
      auth-nxdomain no;    # conform to RFC 1035
      listen-on-v6 { any; };
      listen-on { any; };
      response-policy { zone "googleapis.zone"; };
      allow-query { any;};
    };
    
  3. Ajoutez les lignes suivantes à /etc/bind/named.conf.local :

    include "/etc/bind/named.conf.default-zones";

    zone "googleapis.zone" { type master; file "/etc/bind/db.googleapis.zone"; allow-query {none;}; };

  4. Ajoutez les lignes suivantes à /etc/bind/db.googleapis.zone :

    $TTL 1H
    @                       SOA LOCALHOST. noreply.localhost(1 1h 15m 30d 2h)
                            NS  LOCALHOST.

    *.googleapis.com CNAME restricted.googleapis.com. restricted.googleapis.com CNAME rpz-passthru.

Configurer le DNS dans des cas particuliers

Lorsque vous devez configurer un DNS dans certains cas particuliers, gardez à l'esprit les points suivants :

  • Les configurations BIND personnalisées ne sont pas compatibles avec Dataflow. Pour personnaliser la résolution DNS lors de l'utilisation de Dataflow avec VPC Service Controls, exploitez des zones privées Cloud DNS au lieu d'utiliser des serveurs BIND personnalisés. Pour utiliser votre propre résolution DNS sur site, envisagez d'employer une méthode de transfert DNS Google Cloud.
  • Vous devrez peut-être également configurer un DNS pour gcr.io si, par exemple, vous utilisez Google Kubernetes Engine (GKE). Pour en savoir plus, consultez la page Configurer Container Registry pour des clusters privés GKE.