Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Accéder aux API à partir de VM avec des adresses IP externes

Une instance de machine virtuelle (VM) ayant une adresse IP externe attribuée à son interface réseau peut se connecter aux API et services Google si les exigences réseau décrites sur cette page sont remplies. Bien que la connexion soit établie à partir de l'adresse IP externe de la VM, le trafic reste à l'intérieur de Google Cloud et ne passe pas par l'Internet public.

Configuration réseau requise

Pour accéder aux API et services Google à partir d'une VM ayant une adresse IP externe, les conditions suivantes doivent être remplie :

  • Si vous souhaitez vous connecter aux API et services Google en utilisant une adresse IPv6, vous devez répondre à ces deux exigences :

  • Si vous utilisez les noms de domaine private.googleapis.com ou restricted.googleapis.com, vous devez créer des enregistrements DNS pour diriger le trafic vers les adresses IP associées à ces domaines. Pour en savoir plus, consultez la section Configuration du réseau.

  • Votre réseau doit comporter des routes appropriées pour les plages d'adresses IP de destination utilisées par les API et les services Google. Ces routes doivent utiliser le saut suivant de la passerelle Internet par défaut. Si vous utilisez les noms de domaine private.googleapis.com ou restricted.googleapis.com, vous n'avez besoin que d'une seule route (par domaine). Sinon, vous devrez créer plusieurs routes. Consultez la section Options de routage pour plus d'informations.

  • Les pare-feu de sortie doivent autoriser le trafic à destination des plages d'adresses IP utilisées par les API et les services Google. La règle de pare-feu implicite d'autorisation du trafic sortant répond à cette exigence. Pour découvrir d'autres moyens permettant de respecter les exigences du pare-feu, consultez la section Configuration du pare-feu.

Configuration du réseau

Cette section décrit la configuration réseau de base requise pour qu'une VM de votre réseau VPC puisse accéder aux API et aux services de Google.

Options de domaine

Choisissez le domaine à utiliser pour accéder aux API et aux services Google.

Les adresses IP virtuelles private.googleapis.com et restricted.googleapis.com n'acceptent que les protocoles basés sur HTTP via TCP (HTTP, HTTPS et HTTP/2). Tous les autres protocoles, y compris MQTT et ICMP, ne sont pas compatibles.

Plages de domaines et d'adresses IP Services compatibles Exemple d'utilisation

Domaines par défaut.

Tous les noms de domaine des API et services Google, à l'exception de private.googleapis.com et restricted.googleapis.com.

Différentes plages d'adresses IP : vous pouvez déterminer un ensemble de plages d'adresses IP contenant les adresses possibles utilisées par les domaines par défaut en faisant référence aux adresses IP des domaines par défaut.

Autorise l'accès API à la plupart des API et services Google, qu'ils soient ou non compatibles avec VPC Service Controls. Inclut l'accès API à Google Maps, Google Ads et Google Cloud. Inclut Google Workspace et d'autres applications Web.

Les domaines par défaut sont utilisés lorsque vous ne configurez pas d'enregistrements DNS pour private.googleapis.com et restricted.googleapis.com.

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64 (bêta)

Autorise l'accès API à la plupart des API et services Google, qu'ils soient ou non compatibles avec VPC Service Controls. Inclut l'accès API à Google Maps, Google Ads, Google Cloud et à la plupart des autres API Google, y compris la liste suivante. Non compatible avec les applications Web Google Workspace. Non compatible avec les sites Web interactifs.

Noms de domaine correspondant à :

  • accounts.google.com (uniquement les chemins d'accès nécessaires à l'authentification OAuth)
  • appengine.google.com
  • *.appspot.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io ou *.gcr.io
  • *.googleadapis.com
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev ou *.pkg.dev
  • pki.goog ou *.pki.goog
  • *.run.app
  • source.developers.google.com

Utilisez private.googleapis.com pour accéder aux API et services Google à l'aide d'un ensemble d'adresses IP routables seulement depuis Google Cloud.

Choisissez private.googleapis.com dans les cas suivants :

  • Vous n'utilisez pas VPC Service Controls.
  • Vous utilisez VPC Service Controls, mais vous devez également accéder aux API et services Google qui ne sont pas compatibles avec VPC Service Controls.1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64 (bêta)

Autorise l'accès API aux API et services Google compatibles avec VPC Service Controls.

Bloque l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Non compatible avec les applications Web Google Workspace ni avec les API Google Workspace.

Utilisez restricted.googleapis.com pour accéder aux API et services Google à l'aide d'un ensemble d'adresses IP routables seulement depuis Google Cloud.

Choisissez restricted.googleapis.com si vous devez exclusivement accéder aux API et services Google compatibles avec VPC Service Controls.

Le domaine restricted.googleapis.com n'autorise pas l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls.1

1 Si vous devez limiter les utilisateurs aux API et services Google compatibles avec VPC Service Controls, utilisez restricted.googleapis.com. Bien que VPC Service Controls s'applique aux services compatibles et configurés, quel que soit le domaine que vous utilisez, restricted.googleapis.com offre une atténuation des risques supplémentaire pour l'exfiltration de données. Utiliser restricted.googleapis.com permet de refuser l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Pour en savoir plus, consultez la page Configurer une connectivité privée dans la documentation VPC Service Controls.

Compatibilité IPv6 pour private.googleapis.com et restricted.googleapis.com

Les plages d'adresses IPv6 suivantes peuvent être utilisées pour diriger le trafic des clients IPv6 vers les API et les services Google :

  • private.googleapis.com : 2600:2d00:0002:2000::/64
  • restricted.googleapis.com : 2600:2d00:0002:1000::/64

Envisagez de configurer les adresses IPv6 si vous souhaitez utiliser le domaine private.googleapis.com ou restricted.googleapis.com, et que vos clients utilisent des adresses IPv6. Les clients IPv6 dont les adresses IPv4 sont également configurées peuvent atteindre les API et services Google à l'aide des adresses IPv4. Tous les services n'acceptent pas le trafic provenant de clients IPv6.

Configuration DNS

Pour la connectivité aux API et services Google, vous pouvez choisir d'envoyer des paquets aux adresses IP associées à l'adresse IP virtuelle private.googleapis.com ou restricted.googleapis.com. Pour utiliser une adresse IP virtuelle, vous devez configurer un DNS de sorte que les VM de votre réseau VPC résolvent les requêtes vers *.googleapis.com et vers tous les autres domaines auxquels vous devez accéder. Par exemple, si vous utilisez Google Kubernetes Engine (GKE), vous devez également configurer *.gcr.io et *.pkg.dev.

La section suivante décrit comment utiliser des zones DNS pour envoyer des paquets aux adresses IP associées à l'adresse IP virtuelle choisie. Si vous souhaitez configurer des entrées DNS pour certaines API uniquement, vous pouvez utiliser des stratégies de réponse. Pour obtenir des exemples de configurations, consultez les cas d'utilisation.

Créez une zone et des enregistrements DNS pour *.googleapis.com :

  1. Créez une zone DNS privée pour googleapis.com. Envisagez de créer une zone privée Cloud DNS à cette fin.
  2. Dans la zone googleapis.com, créez les enregistrements DNS suivants pour private.googleapis.com ou pour restricted.googleapis.com, selon le domaine que vous avez choisi d'utiliser. N'incluez aucune adresse IP supplémentaire dans l'enregistrement A ou combinez les adresses des domaines private.googleapis.com et restricted.googleapis.com. Cela peut entraîner des défaillances intermittentes, car les services proposés diffèrent selon la destination d'un paquet.

    • Pour private.googleapis.com :

      1. Créez un enregistrement A pour private.googleapis.com pointant vers les adresses IP suivantes : 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Pour vous connecter aux API à l'aide d'adresses IPv6, configurez également un enregistrement AAAA pour private.googleapis.com pointant vers 2600:2d00:0002:2000::.

    • Pour restricted.googleapis.com :

      1. Créez un enregistrement A pour restricted.googleapis.com pointant vers les adresses IP suivantes : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Pour vous connecter aux API à l'aide d'adresses IPv6, créez également un enregistrement AAAA pour restricted.googleapis.com pointant vers 2600:2d00:0002:1000::.

    Si vous utilisez Cloud DNS, ajoutez les enregistrements à la zone privée googleapis.com.

  3. Dans la zone googleapis.com, créez un enregistrement CNAME pour *.googleapis.com qui pointe vers le domaine que vous avez configuré : private.googleapis.com ou restricted.googleapis.com.

Certains services et API Google sont fournis à l'aide de noms de domaine supplémentaires, parmi lesquels *.gcr.io, *.gstatic.com, *.pkg.dev et pki.goog. Reportez-vous au tableau des domaines et plages d'adresses IP dans la section Options de domaine pour déterminer si les services du domaine supplémentaire sont accessibles via private.googleapis.com ou restricted.googleapis.com. Ensuite, procédez comme suit pour chacun des domaines supplémentaires :

  1. Créez une zone DNS pour DOMAIN (par exemple, gcr.io). Si vous utilisez Cloud DNS, assurez-vous que cette zone se trouve dans le même projet que votre zone privée googleapis.com.

  2. Dans cette zone DNS, créez les enregistrements DNS suivants pour private.googleapis.com ou pour restricted.googleapis.com, selon le domaine que vous avez choisi d'utiliser :

    • Pour private.googleapis.com :

      1. Créez un enregistrement A pour DOMAIN pointant vers les adresses IP suivantes : 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Pour vous connecter aux API à l'aide d'adresses IPv6, créez également un enregistrement AAAA pour DOMAIN pointant vers 2600:2d00:0002:2000::.

    • Pour restricted.googleapis.com :

      1. Créez un enregistrement A pour restricted.googleapis.com pointant vers les adresses IP suivantes : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Pour vous connecter aux API à l'aide d'adresses IPv6, créez également un enregistrement AAAA pour restricted.googleapis.com pointant vers 2600:2d00:0002:1000::.

  3. Dans la zone DOMAIN, créez un enregistrement CNAME pour *.DOMAIN qui pointe vers DOMAIN. Par exemple, créez un enregistrement CNAME pour *.gcr.io qui pointe vers gcr.io.

Options de routage

Votre réseau VPC doit disposer de routes appropriées dont les sauts suivants correspondent à la passerelle Internet par défaut. Google Cloud n'est pas compatible avec le routage du trafic vers les API et les services Google via d'autres instances de VM ou des sauts suivants personnalisés. Bien que ces sauts suivants soient considérés comme une passerelle Internet par défaut, les paquets envoyés depuis les VM de votre réseau VPC aux API et services Google restent au sein du réseau de Google.

  • Si vous sélectionnez les domaines par défaut, vos instances de VM se connectent aux API et services Google à l'aide d'un sous-ensemble d'adresses IP externes de Google. Ces adresses IP sont routables publiquement, mais le chemin d'une VM d'un réseau VPC vers ces adresses reste au sein du réseau de Google.

  • Google ne publie pas de routes sur Internet vers les adresses IP utilisées par les domaines private.googleapis.com ou restricted.googleapis.com. Par conséquent, ces domaines ne sont accessibles que par les VM d'un réseau VPC ou de systèmes sur site connectés à un réseau VPC.

Si votre réseau VPC contient une route par défaut dont le saut suivant est la passerelle Internet par défaut, vous pouvez utiliser cette route pour accéder aux API et aux services Google sans avoir besoin de créer des routes personnalisées. Pour plus d'informations, consultez la section Routage avec une route par défaut.

Si vous avez remplacé une route IPv4 par défaut (destination 0.0.0.0/0) par une route personnalisée dont le saut suivant ne correspond pas à la passerelle Internet par défaut, vous pouvez satisfaire les exigences de routage des API et services Google en utilisant le routage personnalisé.

Si votre réseau VPC ne possède pas de route IPv6 par défaut, vous ne disposez pas d'une connectivité IPv6 aux API et services Google. Ajoutez une route IPv6 par défaut pour autoriser la connectivité IPv6.

Routage avec une route par défaut

Chaque réseau VPC contient une route IPv4 par défaut (0.0.0.0/0) lors de sa création. Si vous activez des adresses IPv6 externes sur un sous-réseau, une route IPv6 par défaut générée par le système (::/0) est ajoutée à ce réseau VPC.

Les routes par défaut fournissent un chemin d'accès aux adresses IP des destinations suivantes :

  • Les domaines par défaut

  • private.googleapis.com: 199.36.153.8/30 et 2600:2d00:0002:2000::/64.

  • restricted.googleapis.com: 199.36.153.4/30 et 2600:2d00:0002:1000::/64.

Pour vérifier la configuration d'une route par défaut dans un réseau donné, procédez comme suit :

Console

  1. Dans Google Cloud Console, accédez à la page Routes.

    Accéder à la page Routes

  2. Filtrez la liste des routes pour afficher uniquement les routes du réseau que vous devez inspecter.

  3. Recherchez une route qui a pour destination 0.0.0.0/0 pour le trafic IPv4 ou ::/0 pour le trafic IPv6, et dont le saut suivant est la passerelle Internet par défaut.

gcloud

Exécutez la commande gcloud suivante, en remplaçant NETWORK_NAME par le nom du réseau à inspecter :

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Si vous devez créer une route IPv4 de remplacement par défaut, consultez la section Ajouter une route statique.

Si vous devez créer une route IPv6 de remplacement par défaut, consultez la section Ajouter une route IPv6 par défaut.

Routage personnalisé

À la place d'une route par défaut pour le trafic IPv4, vous pouvez utiliser des routes statiques personnalisées, chacune ayant une destination plus spécifique et utilisant le saut suivant de la passerelle Internet par défaut. Le nombre de routes dont vous avez besoin et leurs adresses IP de destination dépendent du domaine que vous choisissez.

Suivez ces instructions pour vérifier la configuration des routes personnalisées pour les API et les services Google d'un réseau donné.

Console

  1. Dans Google Cloud Console, accédez à la page Routes.

    Accéder à la page Routes

  2. Utilisez le champ de texte Table de filtrage pour filtrer la liste des routes en utilisant les critères suivants, en remplaçant NETWORK_NAME par le nom de votre réseau VPC.

    • Réseau : NETWORK_NAME
    • Type du saut suivant : default internet gateway
  3. Examinez la colonne Plage d'adresses IP de destination pour chaque route. Si vous avez choisi les domaines par défaut, recherchez plusieurs routes statiques personnalisées, une pour chaque plage d'adresses IP utilisée par le domaine par défaut. Si vous avez choisi private.googleapis.com ou restricted.googleapis.com, recherchez la plage d'adresses IP de ce domaine.

gcloud

Exécutez la commande gcloud suivante, en remplaçant NETWORK_NAME par le nom du réseau à inspecter :

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Les routes sont répertoriées sous forme de tableau, sauf si vous personnalisez la commande avec l'option --format. Recherchez la destination de chaque route dans la colonne DEST_RANGE. Si vous avez choisi les domaines par défaut, recherchez plusieurs routes statiques personnalisées, une pour chaque plage d'adresses IP utilisée par le domaine par défaut. Si vous avez choisi private.googleapis.com ou restricted.googleapis.com, recherchez la plage d'adresses IP de ce domaine.

Si vous devez créer des routes, consultez la section Ajouter une route statique.

Configuration du pare-feu

La configuration de pare-feu de votre réseau VPC doit autoriser l'accès des VM aux adresses IP utilisées par les API et les services Google. La règle implicite allow egress répond à cette exigence.

Dans certaines configurations de pare-feu, vous devez créer des règles d'autorisation de sortie spécifiques. Par exemple, supposons que vous ayez créé une règle de refus du trafic sortant qui bloque le trafic vers toutes les destinations (0.0.0.0 pour IPv4 ou ::/0 pour IPv6). Dans ce cas, vous devez créer une règle de pare-feu autorisant la sortie avec une priorité supérieure à celle de la règle de refus de sortie pour chaque plage d'adresses IP utilisée par le domaine choisi pour les API et services Google.

Pour créer des règles de pare-feu, consultez la page Créer des règles de pare-feu. Vous pouvez limiter les VM auxquelles les règles de pare-feu s'appliquent lorsque vous définissez la cible de chaque règle d'autorisation du trafic sortant.

Adresses IP pour les domaines par défaut

Cette section explique comment créer une liste de plages d'adresses IP de domaine par défaut utilisées par les API et les services Google, tels que *.googleapis.com et *.gcr.io. Ces plages sont allouées de manière dynamique et changent souvent. Il n'est donc pas possible de définir des plages d'adresses IP spécifiques pour des services ou des API individuels. Pour maintenir la précision de la liste, configurez l'automatisation afin d'exécuter le script tous les jours. Comme solutions alternatives à l'utilisation d'une liste de plages d'adresses IP, envisagez d'utiliser l'adresse IP virtuelle private.googleapis.com ou Private Service Connect.

  • Google publie la liste complète des plages d'adresses IP mises à la disposition des utilisateurs sur Internet dans le fichier goog.json.

  • Google publie également une liste de plages d'adresses IP externes globales et régionales disponibles pour les ressources Google Cloud des clients dans le fichier cloud.json.

Les adresses IP utilisées par les domaines par défaut des API et des services Google correspondent à la liste des plages calculées en supprimant toutes les plages de cloud.json par rapport à celles de goog.json. Ces listes sont mises à jour fréquemment.

Vous pouvez utiliser le script Python suivant pour créer une liste de plages d'adresses IP, incluant les plages utilisées par les domaines par défaut pour les API et les services Google.

Pour en savoir plus sur l'exécution de ce script, consultez la page Exécuter.

from __future__ import print_function

import json

try:
    from urllib import urlopen
except ImportError:
    from urllib.request import urlopen
    from urllib.error import HTTPError

import netaddr

IPRANGE_URLS = {
    "goog": "https://www.gstatic.com/ipranges/goog.json",
    "cloud": "https://www.gstatic.com/ipranges/cloud.json",
}

def read_url(url):
    try:
        return json.loads(urlopen(url).read())
    except (IOError, HTTPError):
        print("ERROR: Invalid HTTP response from %s" % url)
    except json.decoder.JSONDecodeError:
        print("ERROR: Could not parse HTTP response from %s" % url)

def get_data(link):
    data = read_url(link)
    if data:
        print("{} published: {}".format(link, data.get("creationTime")))
        cidrs = netaddr.IPSet()
        for e in data["prefixes"]:
            if "ipv4Prefix" in e:
                cidrs.add(e.get("ipv4Prefix"))
            if "ipv6Prefix" in e:
                cidrs.add(e.get("ipv6Prefix"))
        return cidrs

def main():
    cidrs = {group: get_data(link) for group, link in IPRANGE_URLS.items()}
    if len(cidrs) != 2:
        raise ValueError("ERROR: Could process data from Google")
    print("IP ranges for Google APIs and services default domains:")
    for ip in (cidrs["goog"] - cidrs["cloud"]).iter_cidrs():
        print(ip)

if __name__ == "__main__":
    main()
.