Configura el Acceso privado a Google para hosts locales
El Acceso privado a Google para hosts locales proporciona una forma de conectar sistemas locales a los servicios y las APIs de Google mediante el enrutamiento del tráfico a través de un túnel de Cloud VPN o un adjunto de VLAN para Cloud Interconnect. El Acceso privado a Google para hosts locales es una alternativa para conectarse a los servicios y a la API de Google a través de Internet.
En este documento, se describe cómo habilitar el Acceso privado a Google para hosts locales.
Especificaciones y requisitos
El Acceso privado a Google para hosts locales tiene los siguientes requisitos:
El Acceso privado a Google no habilita de forma automática ninguna API. Debes habilitar por separado las APIs de Google que pecesitas mediante la página de APIs y servicios en la consola de Google Cloud.
Debes dirigir el tráfico de los servicios y las API de Google que envían los sistemas locales a las direcciones IP asociadas con los nombres de dominio especiales
private.googleapis.com
orestricted.googleapis.com
. Para obtener detalles sobre a qué servicios se puede acceder en cada dominio, consulta Opciones de dominio.Tu red local debe estar conectada a una red de VPC mediante túneles de Cloud VPN o adjuntos de VLAN.
La red de VPC a la que está conectada tu red local debe tener rutas adecuadas para los rangos de IP de destino
private.googleapis.com
orestricted.googleapis.com
. Para obtener más detalles, consulta Enrutamiento de red de VPC.La red de VPC a la que está conectada tu red local debe tener rutas adecuadas para llegar a la red local. Los túneles de Cloud VPN o los adjuntos de VLAN de siguiente salto que se conectan a la red local para estas rutas deben estar dentro de la misma región en la que se originó la solicitud. Si el siguiente salto se encuentra en una región diferente de donde se originó la solicitud al Acceso privado a Google, la respuesta del Acceso privado a Google no llegará a la red local.
Tu red local debe tener rutas para los rangos de IP de destino
private.googleapis.com
orestricted.googleapis.com
. Estas rutas deben dirigir el tráfico al túnel de Cloud VPN o al adjunto de VLAN apropiado que se conecta a tu red de VPC. Para obtener más detalles, consulta Enrutamiento local con Cloud Router.Para permitir que los clientes IPv6 de tu entorno local accedan a las APIs de Google mediante
private.googleapis.com
orestricted.googleapis.com
, debes configurar la conexión a la red de VPC para que sea compatible con IPv6. Si deseas obtener más información, consulta las siguientes páginas:Los clientes locales pueden enviar solicitudes desde cualquier dirección IPv6 GUA o ULA, excepto el rango ULA
fda3:e722:ac3:cc00::/64
, que está reservado para uso interno.
Permisos
Los propietarios del proyecto, los editores y los principales de IAM con la función de administrador de red pueden crear o actualizar las subredes y asignar direcciones IP.
Para obtener más información sobre los roles, consulta la documentación sobre los roles de IAM.
Configuración de red
El Acceso privado a Google para hosts locales tiene requisitos de red específicos de los sistemas locales y la red de VPC mediante la cual los sistemas locales envían tráfico a los servicios y las API de Google.
Opciones de dominio
El Acceso privado a Google para hosts locales requiere que dirijas los servicios a uno de los siguientes dominios especiales. El dominio especial que elijas determina a qué servicios puedes acceder.
Las VIP private.googleapis.com
y restricted.googleapis.com
solo admiten protocolos basados en HTTP en TCP (HTTP, HTTPS y HTTP/2). No se admite ningún otro protocolo, incluidos ICMP y MQTT.
Rangos de direcciones IP y de dominio | Servicios compatibles | Ejemplo de uso |
---|---|---|
|
Habilita el acceso a la mayoría de los servicios y las APIs de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Google Maps, Google Ads, Google Cloud y la mayoría de las otras APIs de Google, incluida la siguiente lista. Es compatible con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google. No es compatible con ningún sitio web interactivo. Nombres de dominio que coinciden:
|
Usa Elige
|
|
Habilita el acceso a la API a los servicios y las APIs de Google que son compatibles con los Controles del servicio de VPC. Bloquea el acceso a los servicios y a las APIs de Google que son incompatibles con los Controles del servicio de VPC. Es incompatible con las API de Google Workspace y con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google. |
Usa Elige El dominio |
restricted.googleapis.com
, ya que proporciona una mitigación de riesgos adicional para el
robo de datos. Usar restricted.googleapis.com
rechaza el acceso a los servicios y a las APIs de Google que no son compatibles con los Controles del servicio de VPC. Consulta Configura una conectividad privada en la documentación de los Controles del servicio de VPC para obtener más información.
Compatibilidad con IPv6 para private.googleapis.com
y restricted.googleapis.com
Los siguientes rangos de direcciones IPv6 se pueden usar para dirigir el tráfico de los clientes IPv6 a los servicios y las APIs de Google:
private.googleapis.com
:2600:2d00:0002:2000::/64
restricted.googleapis.com
:2600:2d00:0002:1000::/64
Considera configurar las direcciones IPv6 si deseas usar el dominio private.googleapis.com
o restricted.googleapis.com
y tienes clientes que usan direcciones IPv6. Los clientes IPv6 que también tienen direcciones IPv4 configuradas pueden acceder a los servicios y las APIs de Google mediante las direcciones IPv4. No todos los servicios aceptan tráfico de
clientes IPv6.
Configuración del DNS
Tu red local debe tener las zonas de DNS y los registros configurados para que los nombres de dominio de Google se resuelvan en el conjunto de direcciones IP de private.googleapis.com
o restricted.googleapis.com
. Puedes crear zonas privadas administradas de Cloud DNS y usar una política de servidor entrante de Cloud DNS, o configurar servidores de nombres locales. Por ejemplo, puedes usar BIND o Microsoft Active Directory DNS (DNS de Active Directory de Microsoft).
En las siguientes secciones se describe cómo usar las zonas del DNS para enviar paquetes a las direcciones IP asociadas con la VIP elegida. Sigue las instrucciones para todas las situaciones que se aplican a tu caso:
- Si usas servicios que tienen nombres de dominio
*.googleapis.com
, consulta Configura el DNS paragoogleapis.com
. Si usas servicios que tienen otros nombres de dominio, consulta Configura el DNS para otros dominios.
Por ejemplo, si usas Google Kubernetes Engine (GKE), también debes configurar
*.gcr.io
y*.pkg.dev
, o si usas Cloud Run, debes configurar*.run.app
.Si usas buckets de Cloud Storage y envías solicitudes a un nombre de dominio personalizado de Cloud Storage, consulta Configura DNS para nombres de dominio personalizados de Cloud Storage.
Si implementas la configuración de DNS con Cloud DNS, consulta Configura DNS para sistemas locales.
Cuando configures los registros DNS para VIPs, usa solo las direcciones IP que se describen en los siguientes pasos. No mezcles direcciones de los VIP
private.googleapis.com
y restricted.googleapis.com
. Esto puede
causan fallas intermitentes, porque los servicios que se ofrecen difieren
según el destino del paquete.
Configura el DNS para googleapis.com
Crea una zona de DNS y registros para googleapis.com
:
- Crea una zona de DNS privada para
googleapis.com
. Se recomienda crear una zona privada de Cloud DNS para este propósito. En la zona
googleapis.com
, crea los siguientes registros DNS privados paraprivate.googleapis.com
orestricted.googleapis.com
, según el dominio que elijas usar.Para
private.googleapis.com
:Crea un registro
A
paraprivate.googleapis.com
que apunte a las siguientes direcciones IP:199.36.153.8
,199.36.153.9
,199.36.153.10
y199.36.153.11
.Si deseas conectarte a las APIs mediante direcciones IPv6, también configura un registro
AAAA
paraprivate.googleapis.com
que apunte a2600:2d00:0002:2000::
.
Para
restricted.googleapis.com
:Crea un registro
A
pararestricted.googleapis.com
que apunte a las siguientes direcciones IP:199.36.153.4
,199.36.153.5
,199.36.153.6
y199.36.153.7
.Si deseas conectarte a las APIs mediante direcciones IPv6, también debes crear un registro
AAAA
pararestricted.googleapis.com
que apunte a2600:2d00:0002:1000::
.
Para crear registros DNS privados en Cloud DNS, consulta Agrega un registro.
En la zona
googleapis.com
, crea un registroCNAME
para*.googleapis.com
que dirija al dominio que configuraste:private.googleapis.com
orestricted.googleapis.com
.
Configura DNS para otros dominios
Algunos servicios y APIs de Google se proporcionan a través de nombres de dominio adicionales, incluidos *.gcr.io
, *.gstatic.com
, *.pkg.dev
, pki.goog
, y *.run.app
Consulta la tabla de rangos de direcciones IP y dominios en Opciones de dominio para determinar si se puede acceder a los servicios del dominio adicional mediante private.googleapis.com
o restricted.googleapis.com
. Luego, para cada uno de los dominios adicionales, sigue estos pasos:
Crea una zona de DNS para
DOMAIN
(por ejemplo,gcr.io
). Si usas Cloud DNS, asegúrate de que esta zona se encuentre en el mismo proyecto que la zona privadagoogleapis.com
.En esta zona de DNS, crea los siguientes registros DNS para
private.googleapis.com
orestricted.googleapis.com
, según el dominio que elijas.Para
private.googleapis.com
:Crea un registro
A
paraDOMAIN
que apunte a las siguientes direcciones IP:199.36.153.8
,199.36.153.9
,199.36.153.10
y199.36.153.11
.Si deseas conectarte a las APIs mediante direcciones IPv6, también debes crear un registro
AAAA
paraDOMAIN
que apunte a2600:2d00:0002:2000::
.
Para
restricted.googleapis.com
:Crea un registro
A
paraDOMAIN
que apunte a las siguientes direcciones IP:199.36.153.4
,199.36.153.5
,199.36.153.6
y199.36.153.7
.Si deseas conectarte a las APIs mediante direcciones IPv6, también debes crear un registro
AAAA
pararestricted.googleapis.com
que apunte a2600:2d00:0002:1000::
.
En la zona
DOMAIN
, crea un registroCNAME
para*.DOMAIN
que apunte aDOMAIN
. Por ejemplo, crea un registroCNAME
para*.gcr.io
que apunte agcr.io
.
Configura DNS para los nombres de dominio personalizados de Cloud Storage
Si usas buckets de Cloud Storage y envías solicitudes a un nombre de dominio personalizado de Cloud Storage, no es suficiente configurar los registros DNS para que el nombre de dominio personalizado de Cloud Storage apunte a las direcciones IP de private.googleapis.com
o restricted.googleapis.com
para permitir el acceso a los buckets de Cloud Storage.
Si deseas enviar solicitudes a un nombre de dominio personalizado de Cloud Storage, también debes establecer de manera explícita el encabezado del host de la solicitud HTTP y la SNI de TLS en storage.googleapis.com
Las direcciones IP deprivate.googleapis.com
y restricted.googleapis.com
no admiten nombres de host personalizados de Cloud Storage en los encabezados del host de la solicitud HTTP ni en las SNI de TLS.
Configura DNS para sistemas locales
Si implementaste la configuración de DNS mediante Cloud DNS, deberás configurar los sistemas locales para que puedan realizar consultas en tus zonas privadas administradas de Cloud DNS:
- Crea una política del servidor de entrada en la red de VPC a la que se conecta tu red local.
- Identifica los puntos de entrada de reenvío entrantes, en las regiones en las que se encuentran los túneles de Cloud VPN y los adjuntos de VLAN, en la red de VPC a la que tu red local se conecta.
- Configura los sistemas locales y los servidores de nombres de DNS locales para reenviar
googleapis.com
y cualquiera de los nombres de dominio adicionales a un punto de entrada de reenvío entrante en la misma región que el túnel de Cloud VPN o el adjunto de VLAN que se conecta a la red de VPC.
Enrutamiento de la red de VPC
La red de VPC a la que se conecta tu red local debe tener rutas para los rangos de direcciones IP que usan private.googleapis.com
o restricted.googleapis.com
. Estas rutas deben usar el siguiente salto de puerta de enlace de Internet predeterminado.
Google no publica rutas en Internet para los rangos de direcciones IP que usan los dominios private.googleapis.com
o restricted.googleapis.com
.
En consecuencia, aunque las rutas en la red de VPC envían tráfico al siguiente salto de la puerta de enlace de Internet predeterminada, los paquetes enviados a esos rangos de direcciones IP permanecen dentro de la red de Google.
Si la red de VPC a la que se conecta tu red local contiene una ruta predeterminada, cuyo siguiente salto es la puerta de enlace de Internet predeterminada, esa ruta cumple con los requisitos de enrutamiento del Acceso privado a Google para hosts locales.
Enrutamiento personalizado de la red de VPC
Si reemplazaste o cambiaste la ruta predeterminada, asegúrate de tener las rutas estáticas personalizadas configuradas para los rangos de IP de destino que usan private.googleapis.com
o restricted.googleapis.com
. A fin de verificar la configuración de las rutas personalizadas para las API y los servicios de Google en una red determinada, sigue estas instrucciones.
Console
En la consola de Google Cloud, ve a la página Supervisión.
Usa el texto Filtrar tabla para filtrar la lista de rutas en función de los siguientes criterios, pero reemplaza
NETWORK_NAME
por el nombre de la red de VPC a la que se conecta tu red local:- Red:
NETWORK_NAME
- Tipo de salto siguiente:
default internet gateway
- Red:
Observa la columna Rango de IP de destino para cada ruta. Busca una ruta cuyo rango de destino coincida:
199.36.153.8/30
si elegisteprivate.googleapis.com
199.36.153.4/30
si elegisterestricted.googleapis.com
gcloud
Usa el siguiente comando de gcloud
y reemplaza NETWORK_NAME
por el nombre de la red de VPC a la que se conecta tu red local:
gcloud compute routes list \ --filter="default-internet-gateway NETWORK_NAME"
Las rutas se enumeran en el formato de la tabla, a menos que personalices el comando con la marca --format
. Busca en la columna DEST_RANGE
una ruta cuyo rango de destino coincida:
199.36.153.8/30
si elegisteprivate.googleapis.com
199.36.153.4/30
si elegisterestricted.googleapis.com
Si necesitas crear rutas en tu red de VPC, consulta Agrega una ruta estática.
Enrutamiento local con Cloud Router
Las rutas en tu red local deben configurarse para dirigir el tráfico de los rangos de direcciones IP que usan los dominios private.googleapis.com
o restricted.googleapis.com
a los túneles de Cloud VPN o los adjuntos de VLAN del siguiente salto que se conectan a la red de VPC.
Puedes usar los anuncios de ruta personalizados de Cloud Router para anunciar rutas para los rangos de IP que usan los dominios private.googleapis.com
y restricted.googleapis.com
.
Las rutas IPv6 solo se anuncian en las sesiones de BGP en las que IPv6 está habilitado.
Console
A fin de actualizar el modo de anuncio de ruta para todas las sesiones de BGP en un Cloud Router, excepto las sesiones de BGP que usan anuncios BGP personalizados, sigue estos pasos:
En la consola de Google Cloud, ve a la página Cloud Routers.
Selecciona el Cloud Router que administra las sesiones de BGP para los túneles de Cloud VPN o los adjuntos de VLAN que conectan tu red local a tu red de VPC.
En la página de detalles de Cloud Router, haz clic en Editar.
Expande la sección Rutas anunciadas.
En Rutas, selecciona Crear rutas personalizadas.
Si quieres anunciar todas las rutas de subredes disponibles para Cloud Router, selecciona Anuncia todas las subredes visibles para Cloud Router. Esta configuración replica la predeterminada en tu configuración personalizada.
Para cada ruta anunciada que quieras agregar, haz lo siguiente:
- Selecciona Add custom route.
- En Fuente, selecciona Rango de IP personalizado.
- En Rango de direcciones IP, ingresa uno de los rangos que quieras usar:
- Si usas
private.googleapis.com
:- Para la conectividad IPv4:
199.36.153.8/30
- Para la conectividad IPv6:
2600:2d00:0002:2000::/64
- Para la conectividad IPv4:
- Si usas
restricted.googleapis.com
:- Para la conectividad IPv4:
199.36.153.4/30
- Para la conectividad IPv6:
2600:2d00:0002:1000::/64
- Para la conectividad IPv4:
- Si usas
- Haz clic en Listo.
Cuando termines de agregar las rutas, selecciona Guardar.
Para actualizar el modo de anuncio de ruta para una sesión de BGP en particular, haz lo siguiente:
En la consola de Google Cloud, ve a la página Cloud Routers.
Selecciona el Cloud Router que administra la sesión de BGP para un túnel de Cloud VPN o un adjunto de VLAN que conecta tu red local a tu red de VPC.
En la página de detalles de Cloud Router, selecciona la sesión de BGP que quieres actualizar.
En la página de detalles de la sesión de BGP, haz clic en Editar.
En Rutas, selecciona Crear rutas personalizadas.
Selecciona Anunciar todas las subredes visibles para Cloud Router a fin de anunciar todas las rutas de las subredes disponibles en Cloud Router si deseas el provocar el comportamiento predeterminado de Cloud Router.
Para cada ruta anunciada que quieras agregar, haz lo siguiente:
- Selecciona Add custom route.
- En Fuente, selecciona Rango de IP personalizado.
- En Rango de direcciones IP, ingresa uno de los rangos que quieras usar:
- Si usas
private.googleapis.com
:- Para la conectividad IPv4:
199.36.153.8/30
- Para la conectividad IPv6:
2600:2d00:0002:2000::/64
- Para la conectividad IPv4:
- Si usas
restricted.googleapis.com
:- Para la conectividad IPv4:
199.36.153.4/30
- Para la conectividad IPv6:
2600:2d00:0002:1000::/64
- Para la conectividad IPv4:
- Si usas
- Haz clic en Listo.
Cuando termines de agregar las rutas, selecciona Guardar.
gcloud
Identifica el nombre y la región del Cloud Router que administra las sesiones de BGP en los túneles de Cloud VPN o los adjuntos de VLAN que conectan tu red local a la red de VPC.
Usa
compute routers update
para actualizar el modo de anuncio de ruta en todas las sesiones de BGP de Cloud Router, excepto en las sesiones de BGP que usan anuncios de BGP personalizados:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
Puedes agregar nuevos rangos de anuncios si ya usas el modo de anuncio
CUSTOM
para el Cloud Router. De esta forma, se actualiza el modo de anuncio de ruta en todas las sesiones de BGP de Cloud Router, excepto en las sesiones de BGP que usan anuncios BGP personalizados:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --add-advertisement-ranges=CUSTOM_RANGES
Como alternativa, usa
compute routers update-bgp-peer
para configurar un par de BGP específico en Cloud Router:Si agregas rangos personalizados IPv6, y si el tráfico IPv6 está inhabilitado para la sesión de BGP, puedes habilitarlo con la marca
--enable-ipv6
.gcloud compute routers update-bgp-peer ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
Puedes agregar nuevos rangos de anuncios si ya usas el modo de anuncio
CUSTOM
para una sesión de BGP en un Cloud Router.Si agregas rangos personalizados IPv6, y si el tráfico IPv6 está inhabilitado para la sesión de BGP, puedes habilitarlo con la marca
--enable-ipv6
.gcloud compute routers update-bgp-peer ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --add-advertisement-ranges=CUSTOM_RANGES
En los comandos anteriores, reemplaza esta información por valores válidos:
ROUTER_NAME
: Es el nombre del Cloud Router.REGION
: Es la región del Cloud Router.PEER_NAME
: Es el nombre del par de BGP que se configura cuando creas un adjunto de VLAN para una interconexión dedicada o una interconexión de socio, cuando creas un túnel VPN con alta disponibilidad o cuando creas un túnel de VPN clásica mediante el enrutamiento dinámico.- Deja
--set-advertisement-groups=ALL_SUBNETS
a fin de anunciar todas las rutas de subredes disponibles para Cloud Router. Este es el comportamiento predeterminado de Cloud Router. CUSTOM_RANGES
: Una lista delimitada por comas de rangos personalizados para anunciar.- Para
private.googleapis.com
:- Para la conectividad IPv4:
199.36.153.8/30
- Para la conectividad IPv4 e IPv6:
199.36.153.8/30,2600:2d00:0002:2000::/64
- Para la conectividad IPv4:
- Para
restricted.googleapis.com
:- Para la conectividad IPv4:
199.36.153.4/30
- Para la conectividad IPv4 e IPv6:
199.36.153.4/30,2600:2d00:0002:1000::/64
- Para la conectividad IPv4:
- Para
Consideraciones del firewall
Las reglas de firewall de Google Cloud en la red de VPC a las que se conecta tu red local no afectan a lo siguiente:
- Paquetes enviados mediante un túnel de Cloud VPN conectado a la red de VPC
- Paquetes enviados mediante un adjunto de VLAN conectado a la red de VPC
- Paquetes entrantes a direcciones IP de reenvío entrantes de Cloud DNS en la red de VPC
Debes asegurarte de que la configuración de firewall de los sistemas locales permita el tráfico saliente y las respuestas establecidas desde las direcciones IP adecuadas:
- Si usas
private.googleapis.com
:- Para la conectividad IPv4:
199.36.153.8/30
- Para la conectividad IPv6:
2600:2d00:0002:2000::/64
- Para la conectividad IPv4:
- Si usas
restricted.googleapis.com
:- Para la conectividad IPv4:
199.36.153.4/30
- Para la conectividad IPv6:
2600:2d00:0002:1000::/64
- Para la conectividad IPv4:
- Cualquier dirección IP de reenvío entrante de Cloud DNS, si usas Cloud DNS para la configuración de DNS
¿Qué sigue?
- Si necesitas VMs en tu red de VPC de Google Cloud a fin de acceder a los servicios y las APIs de Google, consulta Configura el Acceso privado a Google para VPC.