Configurazione dell'accesso privato Google per gli host on-premise

L'accesso privato Google per gli host on-premise consente ai sistemi on-premise di connettersi alle API e ai servizi Google instradando il traffico tramite un tunnel Cloud VPN o un collegamento VLAN per Cloud Interconnect. L'accesso privato Google per gli host on-premise è un'alternativa alla connessione alle API e ai servizi Google su internet.

Questo documento descrive come attivare l'accesso privato Google per gli host on-premise.

Specifiche e requisiti

L'accesso privato Google per gli host on-premise presenta i seguenti requisiti:

  • Devi indirizzare il traffico delle API e dei servizi Google inviato dai sistemi on-premise agli indirizzi IP associati ai nomi di dominio speciali private.googleapis.com o restricted.googleapis.com. Per informazioni dettagliate sui servizi a cui è possibile accedere su ciascun dominio, vedi Opzioni di dominio.

  • La tua rete on-premise deve essere connessa a una rete VPC utilizzando tunnel Cloud VPN o collegamenti VLAN.

  • La rete VPC a cui è connessa la rete on-premise deve disporre di route appropriati per gli intervalli IP di destinazione private.googleapis.com o restricted.googleapis.com. Per i dettagli, vedi Routing di rete VPC.

  • La rete VPC a cui è connessa la rete on-premise deve avere route appropriati per raggiungere la rete on-premise. I tunnel Cloud VPN o i collegamenti VLAN che si connettono alla tua rete on-premise per queste route devono trovarsi nella stessa regione da cui ha avuto origine la richiesta. Se l'hop successivo si trova in una regione diversa da quella in cui è stata generata la richiesta di accesso privato Google, la risposta dell'accesso privato Google non raggiungerà la rete on-premise.

  • La tua rete on-premise deve avere route per gli intervalli IP di destinazione private.googleapis.com o restricted.googleapis.com. Queste route devono indirizzare il traffico al tunnel Cloud VPN o al collegamento VLAN appropriato che si connette alla tua rete VPC. Per i dettagli, vedi routing on-premise con Cloud Router.

  • Per consentire ai client IPv6 nel tuo ambiente on-premise di accedere alle API di Google utilizzando private.googleapis.com o restricted.googleapis.com, devi configurare la connessione alla tua rete VPC in modo che supporti IPv6. Per maggiori informazioni, consulta le seguenti pagine:

  • I client on-premise possono inviare richieste da qualsiasi indirizzo IPv6 GUA o ULA, ad eccezione dell'intervallo ULA fda3:e722:ac3:cc00::/64, riservato all'uso interno.

  • Se il tuo progetto fornisce l'accesso alle API di Google solo per gli host on-premise, non devi abilitare le API di Google per il progetto.

    Tuttavia, se le risorse all'interno del progetto devono accedere alle API di Google, potresti dover abilitare le API separatamente per i servizi a cui devono accedere. Per saperne di più sull'utilizzo dell'accesso privato Google per le risorse all'interno di un progetto, consulta Configurare l'accesso privato Google.

Autorizzazioni

I proprietari, gli editor e le entità IAM del progetto con il ruolo Amministratore di rete possono creare o aggiornare subnet e assegnare indirizzi IP.

Per saperne di più sui ruoli, consulta la documentazione relativa ai ruoli IAM.

Configurazione di rete

L'accesso privato Google per gli host on-premise ha requisiti di rete specifici per i sistemi on-premise e per la rete VPC tramite cui i sistemi on-premise inviano traffico alle API e ai servizi Google.

Opzioni del dominio

L'accesso privato Google per gli host on-premise richiede di indirizzare i servizi a uno dei seguenti domini speciali. Il dominio speciale che scegli determina i servizi a cui puoi accedere.

I VIP private.googleapis.com e restricted.googleapis.com supportano solo i protocolli basati su HTTP su TCP (HTTP, HTTPS e HTTP/2). Tutti gli altri protocolli, inclusi MQTT e ICMP, non sono supportati.

Intervalli di indirizzi IP e domini Servizi supportati Esempio di utilizzo

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64

Consente l'accesso API alla maggior parte delle API e dei servizi Google, indipendentemente dal fatto che siano supportati dai Controlli di servizio VPC. Include l'accesso API a Google Maps, Google Ads, Google Cloude alla maggior parte delle altre API di Google, incluso l'elenco seguente. Non supporta le applicazioni web di Google Workspace come Gmail e Documenti Google. Non supporta siti web interattivi.

Nomi di dominio corrispondenti:

  • accounts.google.com (supporta solo i percorsi necessari per l'autenticazione OAuth degli account di servizio; l'autenticazione dell'account utente è interattiva e non supportata)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io o *.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev o *.pkg.dev
  • pki.goog o *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Utilizza private.googleapis.com per accedere alle API e ai servizi Google utilizzando un insieme di indirizzi IP instradabili solo da Google Cloud.

Scegli private.googleapis.com in queste circostanze:

  • Non utilizzi Controlli di servizio VPC.
  • Utilizzi i Controlli di servizio VPC, ma devi anche accedere alle API e ai servizi Google che non sono supportati dai Controlli di servizio VPC. 1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64

Consente l'accesso alle API alle API e ai servizi di Google supportati dai Controlli di servizio VPC.

Blocca l'accesso alle API e ai servizi di Google che non supportano i Controlli di servizio VPC. Non supporta le API Google Workspace o le applicazioni web Google Workspace come Gmail e Documenti Google.

Utilizza restricted.googleapis.com per accedere alle API e ai servizi Google utilizzando un insieme di indirizzi IP instradabili solo da Google Cloud.

Scegli restricted.googleapis.com quando solo hai bisogno dell'accesso alle API e ai servizi di Google supportati dai Controlli di servizio VPC.

Il dominio restricted.googleapis.com non consente l'accesso alle API e ai servizi di Google che non supportano i Controlli di servizio VPC. 1
1 Se devi limitare gli utenti solo alle API e ai servizi Google che supportano i Controlli di servizio VPC, utilizza restricted.googleapis.com, in quanto fornisce un'ulteriore mitigazione dei rischi per l'esfiltrazione di dati. L'utilizzo di restricted.googleapis.com nega l'accesso alle API e ai servizi di Google non supportati dai Controlli di servizio VPC. Per ulteriori dettagli, consulta la sezione Configurazione della connettività privata nella documentazione dei Controlli di servizio VPC.

Supporto IPv6 per private.googleapis.com e restricted.googleapis.com

I seguenti intervalli di indirizzi IPv6 possono essere utilizzati per indirizzare il traffico dai client IPv6 ad API e servizi Google:

  • private.googleapis.com: 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 2600:2d00:0002:1000::/64

Valuta la possibilità di configurare gli indirizzi IPv6 se vuoi utilizzare il dominio private.googleapis.com o restricted.googleapis.com e hai client che utilizzano indirizzi IPv6. I client IPv6 che hanno configurato anche indirizzi IPv4 possono raggiungere le API e i servizi Google utilizzando gli indirizzi IPv4. Non tutti i servizi accettano il traffico proveniente da client IPv6.

Configurazione DNS

La tua rete on-premise deve avere zone e record DNS configurati in modo che i nomi di dominio Google vengano risolti nel set di indirizzi IP per private.googleapis.com o restricted.googleapis.com. Puoi creare zone private gestite di Cloud DNS e utilizzare una policy del server in entrata di Cloud DNS oppure configurare i server dei nomi on-premise. Ad esempio, puoi utilizzare BIND o Microsoft Active Directory DNS.

Le sezioni seguenti descrivono come utilizzare le zone DNS per inviare pacchetti agli indirizzi IP associati al VIP scelto. Segui le istruzioni per tutti gli scenari che ti riguardano:

Quando configuri i record DNS per i VIP, utilizza solo gli indirizzi IP descritti nei passaggi seguenti. Non combinare indirizzi VIP private.googleapis.com e restricted.googleapis.com. Ciò può causare errori intermittenti perché i servizi offerti differiscono in base alla destinazione di un pacchetto.

Configura il DNS per googleapis.com

Crea una zona DNS e record per googleapis.com:

  1. Crea una zona DNS privata per googleapis.com. Valuta la possibilità di creare una zona privata di Cloud DNS a questo scopo.

  2. Nella zona googleapis.com, crea i seguenti record DNS privati per private.googleapis.com o restricted.googleapis.com, a seconda del dominio che hai scelto di utilizzare.

    • Per private.googleapis.com:

      1. Crea un record A per private.googleapis.com che rimandi ai seguenti indirizzi IP: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Per connetterti alle API utilizzando indirizzi IPv6, configura anche un record AAAA per private.googleapis.com che rimandi a 2600:2d00:0002:2000::.

    • Per restricted.googleapis.com:

      1. Crea un record A per restricted.googleapis.com che rimandi ai seguenti indirizzi IP: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record AAAA per restricted.googleapis.com che rimandi a 2600:2d00:0002:1000::.

    Per creare record DNS privati in Cloud DNS, consulta la sezione Aggiungere un record.

  3. Nella zona googleapis.com, crea un record CNAME per *.googleapis.com che punti al dominio che hai configurato: private.googleapis.com o restricted.googleapis.com.

Configurare il DNS per altri domini

Alcuni servizi e API Google vengono forniti utilizzando nomi di dominio aggiuntivi, tra cui *.gcr.io, *.gstatic.com, *.pkg.dev, pki.goog, *.run.app e *.gke.goog. Consulta la tabella degli intervalli di domini e indirizzi IP in Opzioni di dominio per determinare se è possibile accedere ai servizi del dominio aggiuntivo utilizzando private.googleapis.com o restricted.googleapis.com. Poi, per ciascuno dei domini aggiuntivi:

  1. Crea una zona DNS per DOMAIN (ad esempio, gcr.io). Se utilizzi Cloud DNS, assicurati che questa zona si trovi nello stesso progetto della tua zona privata googleapis.com.

  2. In questa zona DNS, crea i seguenti record DNS privati per private.googleapis.com o restricted.googleapis.com, a seconda del dominio che hai scelto di utilizzare.

    • Per private.googleapis.com:

      1. Crea un record A per DOMAIN che rimandi ai seguenti indirizzi IP: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record AAAA per DOMAIN che punta a 2600:2d00:0002:2000::.

    • Per restricted.googleapis.com:

      1. Crea un record A per DOMAIN che rimandi ai seguenti indirizzi IP: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record AAAA per restricted.googleapis.com che rimandi a 2600:2d00:0002:1000::.

  3. Nella zona DOMAIN, crea un record CNAME per *.DOMAIN che punta a DOMAIN. Ad esempio, crea un record CNAME per *.gcr.io che rimanda a gcr.io.

Configurare il DNS per i nomi di dominio personalizzati di Cloud Storage

Se utilizzi bucket Cloud Storage e invii richieste a un nome di dominio personalizzato di Cloud Storage, la configurazione dei record DNS per il nome di dominio personalizzato di Cloud Storage in modo che puntino agli indirizzi IP per private.googleapis.com o restricted.googleapis.com non è sufficiente per consentire l'accesso ai bucket Cloud Storage.

Se vuoi inviare richieste a un nome di dominio personalizzato di Cloud Storage, devi anche impostare esplicitamente l'intestazione Host della richiesta HTTP e l'SNI TLS su storage.googleapis.com Gli indirizzi IP per private.googleapis.com e restricted.googleapis.com non supportano i nomi host personalizzati di Cloud Storage nelle intestazioni Host delle richieste HTTP e negli SNI TLS.

Configura il DNS per i sistemi on-premise

Se hai implementato la configurazione DNS utilizzando Cloud DNS, devi configurare i sistemi on-premise in modo che possano eseguire query nelle zone private gestite di Cloud DNS:

  • Crea un criterio del server in entrata nella rete VPC a cui si connette la tua rete on-premise.
  • Identifica i punti di ingresso del forwarder in entrata, nelle regioni in cui si trovano i tunnel Cloud VPN e i collegamenti VLAN, nella rete VPC a cui si connette la tua rete on-premise.
  • Configura i sistemi on-premise e i server dei nomi DNS on-premise per inoltrare googleapis.com e uno qualsiasi dei nomi di dominio aggiuntivi a un punto di ingresso di inoltro in entrata nella stessa regione del tunnel Cloud VPN o del collegamento VLAN che si connette alla rete VPC.

Routing di rete VPC

La rete VPC a cui si connette la tua rete on-premise deve avere route per gli intervalli di indirizzi IP utilizzati da private.googleapis.com o restricted.googleapis.com. Queste route devono utilizzare l'hop successivo del gateway internet predefinito.

Google non pubblica route su internet per gli intervalli di indirizzi IP utilizzati dai domini private.googleapis.com o restricted.googleapis.com. Di conseguenza, anche se le route nella rete VPC inviano traffico all'hop successivo del gateway internet predefinito, i pacchetti inviati a questi intervalli di indirizzi IP rimangono all'interno della rete di Google.

Se la rete VPC a cui si connette la tua rete on-premise contiene una route predefinita il cui hop successivo è il gateway internet predefinito, questa route soddisfa i requisiti di routing per l'accesso privato Google per gli host on-premise.

Routing personalizzato della rete VPC

Se hai sostituito o modificato la route predefinita, assicurati di aver configurato route statiche personalizzate per gli intervalli IP di destinazione utilizzati da private.googleapis.com o restricted.googleapis.com. Per controllare la configurazione delle route personalizzate per le API e i servizi Google in una determinata rete, segui queste istruzioni.

Console

  1. Nella console Google Cloud , vai alla pagina Route.

    Vai a Route

  2. Utilizza il campo di testo Filtra tabella per filtrare l'elenco delle route utilizzando i seguenti criteri, sostituendo NETWORK_NAME con il nome della rete VPC a cui si connette la tua rete on-premise:

    • Rete: NETWORK_NAME
    • Tipo di hop successivo: default internet gateway

  3. Esamina la colonna Intervallo IP di destinazione per ogni route. Cerca un percorso la cui destinazione corrisponda a:

    • 199.36.153.8/30 se hai scelto private.googleapis.com
    • 199.36.153.4/30 se hai scelto restricted.googleapis.com

gcloud

Utilizza il seguente comando gcloud, sostituendo NETWORK_NAME con il nome della rete VPC a cui si connette la tua rete on-premise:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

I percorsi sono elencati in formato tabella, a meno che tu non personalizzi il comando con il flag --format. Nella colonna DEST_RANGE, cerca un percorso il cui intervallo di destinazione corrisponda a:

  • 199.36.153.8/30 se hai scelto private.googleapis.com
  • 199.36.153.4/30 se hai scelto restricted.googleapis.com

Se devi creare route nella tua rete VPC, consulta Aggiunta di una route statica.

Routing on-premise con router Cloud

Le route nella tua rete on-premise devono essere configurate per indirizzare il traffico per gli intervalli di indirizzi IP utilizzati dai domini private.googleapis.com o restricted.googleapis.com ai tunnel Cloud VPN di hop successivo o ai collegamenti VLAN che si connettono alla tua rete VPC.

Puoi utilizzare gli annunci di route personalizzate del router Cloud per annunciare route per gli intervalli IP utilizzati dai domini private.googleapis.com e restricted.googleapis.com.

Le route IPv6 vengono pubblicizzate solo nelle sessioni BGP in cui IPv6 è abilitato.

Console

Per aggiornare la modalità di annuncio di route per tutte le sessioni BGP su un router Cloud, ad eccezione di quelle che utilizzano annunci BGP personalizzati:

  1. Nella Google Cloud console, vai alla pagina Cloud Router.

    Vai a Router Cloud

  2. Seleziona il router Cloud che gestisce le sessioni BGP per i tunnel Cloud VPN o i collegamenti VLAN che connettono la tua rete on-premise alla tua rete VPC.

  3. Nella pagina dei dettagli del router Cloud, seleziona Modifica.

  4. Espandi la sezione Route annunciate.

  5. Per Route, seleziona Crea route personalizzate.

  6. Se vuoi annunciare tutte le route di subnet disponibili per il router Cloud, seleziona Annuncia tutte le subnet visibili al router Cloud. Questa impostazione replica la configurazione predefinita nella tua configurazione personalizzata.

  7. Per ogni percorso pubblicizzato che vuoi aggiungere, procedi nel seguente modo:

    1. Seleziona Aggiungi percorso personalizzato.
    2. In Origine, seleziona Intervallo IP personalizzato.
    3. Per Intervallo di indirizzi IP, inserisci uno degli intervalli che vuoi utilizzare:
      • Se utilizzi private.googleapis.com:
        • Per la connettività IPv4: 199.36.153.8/30
        • Per la connettività IPv6: 2600:2d00:0002:2000::/64
      • Se utilizzi restricted.googleapis.com:
        • Per la connettività IPv4: 199.36.153.4/30
        • Per la connettività IPv6: 2600:2d00:0002:1000::/64
    4. Fai clic su Fine.

  8. Dopo aver aggiunto le rotte, seleziona Salva.

Per aggiornare la modalità di annuncio di route per una determinata sessione BGP:

  1. Nella Google Cloud console, vai alla pagina Cloud Router.

    Vai a Router Cloud

  2. Seleziona il router Cloud che gestisce la sessione BGP per un tunnel Cloud VPN o un collegamento VLAN che connette la tua rete on-premise alla tua rete VPC.

  3. Nella pagina dei dettagli del router Cloud, seleziona la sessione BGP da aggiornare.

  4. Nella pagina dei dettagli della sessione BGP, fai clic su Modifica.

  5. Per Route, seleziona Crea route personalizzate.

  6. Seleziona Annuncia tutte le subnet visibili al router Cloud per annunciare tutte le route di subnet disponibili per il router Cloud se vuoi il comportamento predefinito del router Cloud.

  7. Per ogni percorso pubblicizzato che vuoi aggiungere, procedi nel seguente modo:

    1. Seleziona Aggiungi percorso personalizzato.
    2. In Origine, seleziona Intervallo IP personalizzato.
    3. Per Intervallo di indirizzi IP, inserisci uno degli intervalli che vuoi utilizzare:
      • Se utilizzi private.googleapis.com:
        • Per la connettività IPv4: 199.36.153.8/30
        • Per la connettività IPv6: 2600:2d00:0002:2000::/64
      • Se utilizzi restricted.googleapis.com:
        • Per la connettività IPv4: 199.36.153.4/30
        • Per la connettività IPv6: 2600:2d00:0002:1000::/64
    4. Fai clic su Fine.

  8. Dopo aver aggiunto le rotte, seleziona Salva.

gcloud

  1. Identifica il nome e la regione del router Cloud che gestisce le sessioni BGP sui tunnel Cloud VPN o sui collegamenti VLAN che connettono la rete on-premise alla rete VPC.

  2. Utilizza compute routers update per aggiornare la modalità di annuncio di route in tutte le sessioni BGP del router Cloud, ad eccezione di quelle che utilizzano annunci BGP personalizzati:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Puoi aggiungere nuovi intervalli di annunci se utilizzi già la modalità di annuncio CUSTOM per il router Cloud. Viene aggiornata la modalità di annuncio di route su tutte le sessioni BGP del router Cloud, ad eccezione di quelle che utilizzano annunci BGP personalizzati:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES

  3. In alternativa, utilizza compute routers update-bgp-peer per configurare un peer BGP specifico sul router Cloud:

    Se stai aggiungendo intervalli personalizzati IPv6 e se il traffico IPv6 è disabilitato per la sessione BGP, puoi abilitarlo con il flag --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Puoi aggiungere nuovi intervalli di annunci se utilizzi già la modalità di annuncio CUSTOM per una sessione BGP su un router Cloud

    Se stai aggiungendo intervalli personalizzati IPv6 e se il traffico IPv6 è disabilitato per la sessione BGP, puoi abilitarlo con il flag --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES

    Nei comandi riportati sopra, sostituisci quanto segue con valori validi:

Considerazioni sul firewall

Le regole firewallGoogle Cloud nella rete VPC a cui si connette la tua rete on-premise non hanno effetto su:

  • Pacchetti inviati tramite un tunnel Cloud VPN connesso alla rete VPC
  • Pacchetti inviati tramite un collegamento VLAN connesso alla rete VPC
  • Pacchetti in entrata agli indirizzi IP del forwarder in entrata Cloud DNS nella rete VPC

Devi assicurarti che la configurazione del firewall dei sistemi on-premise consenta il traffico in uscita e le risposte stabilite dagli indirizzi IP appropriati:

  • Se utilizzi private.googleapis.com:
    • Per la connettività IPv4: 199.36.153.8/30
    • Per la connettività IPv6: 2600:2d00:0002:2000::/64
  • Se utilizzi restricted.googleapis.com:
    • Per la connettività IPv4: 199.36.153.4/30
    • Per la connettività IPv6: 2600:2d00:0002:1000::/64
  • Eventuali indirizzi IP dell'agente di inoltro del traffico in entrata di Cloud DNS, se utilizzi Cloud DNS per la configurazione DNS

Passaggi successivi