Configurez l'accès privé à Google pour les hôtes sur site.

L'Accès privé à Google pour les hôtes sur site permet aux systèmes sur site de se connecter aux API et services Google en acheminant le trafic via un tunnel Cloud VPN ou un rattachement de VLAN pour Cloud Interconnect. L'Accès privé à Google pour les hôtes sur site est une alternative à la connexion aux API et services Google via Internet.

Ce document explique comment activer l'Accès privé à Google pour les hôtes sur site.

Spécifications et exigences

L'Accès privé à Google pour les hôtes sur site présente les exigences suivantes :

  • L'Accès privé à Google n'active pas automatiquement les API. Vous devez activer séparément les API Google dont vous avez besoin via la page API et services de la console Google Cloud.

  • Vous devez diriger le trafic des API et services Google envoyé par les systèmes sur site vers les adresses IP associées aux noms de domaine spéciaux private.googleapis.com ou restricted.googleapis.com. Pour plus d'informations sur les services accessibles sur chaque domaine, consultez la section Options de domaine.

  • Votre réseau sur site doit être connecté à un réseau VPC à l'aide de tunnels Cloud VPN ou de rattachements de VLAN.

  • Le réseau VPC auquel votre réseau sur site est connecté doit disposer de routes appropriées pour les plages d'adresses IP de destination private.googleapis.com ou restricted.googleapis.com. Pour plus d'informations, consultez la section Routage du réseau VPC.

  • Le réseau VPC auquel votre réseau sur site est connecté doit disposer de routes appropriées pour atteindre le réseau sur site. Les tunnels Cloud VPN ou rattachements de VLAN définis pour le saut suivant, qui se connectent à votre réseau sur site pour ces routes, doivent se trouver dans la même région que celle où a été émise la requête. Si le saut suivant se trouve dans une région différente de celle d'où provient la requête d'Accès privé à Google, la réponse de l'Accès privé à Google ne va pas atteindre le réseau sur site.

  • Votre réseau sur site doit disposer de routes pour les plages d'adresses IP de destination private.googleapis.com ou restricted.googleapis.com. Ces routes doivent diriger le trafic vers le tunnel Cloud VPN ou le rattachement de VLAN approprié qui se connecte à votre réseau VPC. Pour plus d'informations, consultez la section Routage sur site avec Cloud Router.

  • Pour permettre aux clients IPv6 de votre environnement sur site d'accéder aux API Google à l'aide de private.googleapis.com ou de restricted.googleapis.com, vous devez configurer la connexion à votre réseau VPC afin qu'elle prenne en charge le protocole IPv6. Pour en savoir plus, consultez les pages suivantes :

  • Les clients sur site peuvent envoyer des requêtes à partir de n'importe quelle adresse IPv6 GUA ou ULA, à l'exception de la plage ULA fda3:e722:ac3:cc00::/64, qui est réservée à un usage interne.

Autorisations

Les propriétaires de projet, les collaborateurs et les entités principales IAM dotées du rôle d'administrateur réseau peuvent créer ou mettre à jour des sous-réseaux et attribuer des adresses IP.

Pour en savoir plus sur les rôles, consultez la documentation sur les rôles IAM.

Configuration du réseau

L'Accès privé à Google pour les hôtes sur site impose des exigences réseau spécifiques pour les systèmes sur site et pour le réseau VPC utilisé par les systèmes sur site pour envoyer du trafic aux API et services Google.

Options de domaine

L'Accès privé à Google pour les hôtes sur site nécessite que vous dirigiez les services vers l'un des domaines spéciaux suivants. Le domaine spécial que vous choisissez détermine les services auxquels vous pouvez accéder.

Les adresses IP virtuelles private.googleapis.com et restricted.googleapis.com n'acceptent que les protocoles basés sur HTTP via TCP (HTTP, HTTPS et HTTP/2). Tous les autres protocoles, y compris MQTT et ICMP, ne sont pas compatibles.

Plages de domaines et d'adresses IP Services compatibles Exemple d'utilisation

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64

Autorise l'accès API à la plupart des API et services Google, qu'ils soient ou non compatibles avec VPC Service Controls. Inclut l'accès API à Google Maps, Google Ads, Google Cloud et à la plupart des autres API Google, y compris la liste suivante. Non compatible avec les applications Web Google Workspace, telles que Gmail et Google Docs. Non compatible avec les sites Web interactifs.

Noms de domaine correspondant à :

  • accounts.google.com (uniquement les chemins d'accès nécessaires à l'authentification OAuth)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io ou *.gcr.io
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev ou *.pkg.dev
  • pki.goog ou *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Utilisez private.googleapis.com pour accéder aux API et services Google à l'aide d'un ensemble d'adresses IP routables seulement depuis Google Cloud.

Choisissez private.googleapis.com dans les cas suivants :

  • Vous n'utilisez pas VPC Service Controls.
  • Vous utilisez VPC Service Controls, mais vous devez également accéder à des API et services Google qui ne sont pas compatibles avec VPC Service Controls. 1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64

Autorise l'accès API aux API et services Google compatibles avec VPC Service Controls.

Bloque l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Non compatible avec les API Google Workspace ni avec les applications Web Google Workspace telles que Gmail et Google Docs.

Utilisez restricted.googleapis.com pour accéder aux API et services Google à l'aide d'un ensemble d'adresses IP routables seulement depuis Google Cloud.

Choisissez restricted.googleapis.com si vous devez exclusivement accéder aux API et services Google compatibles avec VPC Service Controls.

Le domaine restricted.googleapis.com n'autorise pas l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. 1
1 Si vous devez limiter les utilisateurs aux API et services Google compatibles avec VPC Service Controls, utilisez restricted.googleapis.com. Bien que VPC Service Controls s'applique aux services compatibles et configurés, quel que soit le domaine que vous utilisez, restricted.googleapis.com offre une atténuation des risques supplémentaire pour l'exfiltration de données. Utiliser restricted.googleapis.com permet de refuser l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Pour en savoir plus, consultez la page Configurer une connectivité privée dans la documentation VPC Service Controls.

Prise en charge IPv6 pour private.googleapis.com et restricted.googleapis.com

Les plages d'adresses IPv6 suivantes peuvent être utilisées pour diriger le trafic des clients IPv6 vers les API et les services Google :

  • private.googleapis.com : 2600:2d00:0002:2000::/64
  • restricted.googleapis.com : 2600:2d00:0002:1000::/64

Envisagez de configurer les adresses IPv6 si vous souhaitez utiliser les domaines private.googleapis.com ou restricted.googleapis.com, et que vous indiquez à vos clients d'utiliser des adresses IPv6. Les clients IPv6 disposant également d'adresses IPv4 configurées peuvent accéder aux API et services Google à l'aide des adresses IPv4. Certains services n'acceptent pas le trafic provenant de clients IPv6.

Configuration DNS

Votre réseau sur site doit comporter des zones et enregistrements DNS configurés pour que les noms de domaine Google correspondent à l'ensemble d'adresses IP de private.googleapis.com ou de restricted.googleapis.com. Vous pouvez créer des zones gérées privées de Cloud DNS et utiliser une règle de serveur entrant Cloud DNS, ou configurer des serveurs de noms sur site. Par exemple, vous pouvez utiliser BIND ou le système DNS dans Microsoft Active Directory.

La section suivante décrit comment utiliser des zones DNS pour envoyer des paquets aux adresses IP associées à l'adresse IP virtuelle choisie.

Lorsque vous configurez des enregistrements DNS pour les adresses IP virtuelles, utilisez uniquement les adresses IP décrites dans les étapes suivantes. Ne combinez pas les adresses des adresses IP virtuelles private.googleapis.com et restricted.googleapis.com. Cela peut entraîner des défaillances intermittentes, car les services proposés diffèrent en fonction de la destination d'un paquet.

Créez une zone et des enregistrements DNS pour googleapis.com :

  1. Créez une zone DNS privée pour googleapis.com. Envisagez de créer une zone privée Cloud DNS à cette fin.

  2. Dans la zone googleapis.com, créez les enregistrements DNS suivants pour private.googleapis.com ou pour restricted.googleapis.com, selon le domaine que vous avez choisi d'utiliser.

    • Pour private.googleapis.com :

      1. Créez un enregistrement A pour private.googleapis.com pointant vers les adresses IP suivantes : 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Pour vous connecter à des API à l'aide d'adresses IPv6, configurez également pour private.googleapis.com un enregistrement AAAA qui pointe vers 2600:2d00:0002:2000::.

    • Pour restricted.googleapis.com :

      1. Créez un enregistrement A pour restricted.googleapis.com pointant vers les adresses IP suivantes : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Pour vous connecter à des API à l'aide d'adresses IPv6, créez également pour restricted.googleapis.com un enregistrement AAAA qui pointe vers 2600:2d00:0002:1000::.

    Si vous utilisez Cloud DNS, ajoutez les enregistrements à la zone privée googleapis.com.

  3. Dans la zone googleapis.com, créez un enregistrement CNAME pour *.googleapis.com qui pointe vers le domaine que vous avez configuré : private.googleapis.com ou restricted.googleapis.com.

Certains services et API Google sont fournis à l'aide de noms de domaine supplémentaires, parmi lesquels *.gcr.io, *.gstatic.com, *.pkg.dev, pki.goog et *.run.app. Reportez-vous au tableau des domaines et plages d'adresses IP dans la section Options de domaine pour déterminer si les services du domaine supplémentaire sont accessibles via private.googleapis.com ou restricted.googleapis.com. Ensuite, procédez comme suit pour chacun des domaines supplémentaires :

  1. Créez une zone DNS pour DOMAIN (par exemple, gcr.io). Si vous utilisez Cloud DNS, assurez-vous que cette zone se trouve dans le même projet que votre zone privée googleapis.com.

  2. Dans cette zone DNS, créez les enregistrements DNS suivants pour private.googleapis.com ou pour restricted.googleapis.com, selon le domaine que vous avez choisi d'utiliser :

    • Pour private.googleapis.com :

      1. Créez un enregistrement A pour DOMAIN pointant vers les adresses IP suivantes : 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Pour vous connecter à des API à l'aide d'adresses IPv6, créez également pour DOMAIN un enregistrement AAAA qui pointe vers 2600:2d00:0002:2000::.

    • Pour restricted.googleapis.com :

      1. Créez un enregistrement A pour DOMAIN pointant vers les adresses IP suivantes : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Pour vous connecter à des API à l'aide d'adresses IPv6, créez également pour restricted.googleapis.com un enregistrement AAAA qui pointe vers 2600:2d00:0002:1000::.

  3. Dans la zone DOMAIN, créez pour *.DOMAIN un enregistrement CNAME qui pointe vers DOMAIN. Par exemple, créez pour *.gcr.io un enregistrement CNAME qui pointe vers gcr.io.

Si vous avez mis en œuvre la configuration DNS à l'aide de Cloud DNS, vous devez configurer des systèmes sur site pour qu'ils puissent envoyer des requêtes à vos zones gérées privées Cloud DNS :

  • Créez une règle de serveur entrant dans le réseau VPC auquel votre réseau sur site se connecte.
  • Identifiez les points d'entrée du système de transfert entrant dans la ou les régions où se trouvent vos tunnels Cloud VPN et vos rattachements de VLAN, dans le réseau VPC auquel votre réseau sur site se connecte.
  • Configurez des systèmes sur site et des serveurs de noms DNS sur site pour transférer googleapis.com et tous les noms de domaine supplémentaires vers un point d'entrée du système de transfert entrant, situé dans la même région que le tunnel Cloud VPN ou le rattachement de VLAN qui se connecte au réseau VPC.

Routage du réseau VPC

Le réseau VPC auquel votre réseau sur site se connecte doit disposer de routes pour les plages d'adresses IP utilisées par private.googleapis.com ou restricted.googleapis.com. Ces routes doivent utiliser le saut suivant de la passerelle Internet par défaut.

Google ne publie pas de routes sur Internet pour les plages d'adresses IP utilisées par les domaines private.googleapis.com ou restricted.googleapis.com. Par conséquent, même si les routes du réseau VPC envoient du trafic vers la passerelle Internet par défaut en tant que prochain saut, les paquets envoyés à ces plages d'adresses IP restent dans le réseau de Google.

Si le réseau VPC auquel votre réseau sur site se connecte contient une route par défaut dont le saut suivant est la passerelle Internet par défaut, cette route répond aux exigences de routage de l'Accès privé à Google pour les hôtes sur site.

Routage personnalisé du réseau VPC

Si vous avez remplacé ou modifié votre route par défaut, assurez-vous d'avoir configuré des routes statiques personnalisées pour les plages d'adresses IP de destination utilisées par private.googleapis.com ou restricted.googleapis.com. Suivez ces instructions pour vérifier la configuration des routes personnalisées pour les API et services Google d'un réseau donné.

Console

  1. Dans la console Google Cloud, accédez à la page Routes.

    Accéder à la page Routes

  2. Utilisez le champ de texte Filtrer le tableau pour filtrer la liste des routes à l'aide des critères suivants, en remplaçant NETWORK_NAME par le nom du réseau VPC auquel votre réseau sur site se connecte :

    • Réseau : NETWORK_NAME
    • Type du saut suivant : default internet gateway

  3. Examinez la colonne Plage d'adresses IP de destination pour chaque route. Recherchez une route dont la plage de destination correspond à :

    • 199.36.153.8/30 si vous avez choisi private.googleapis.com
    • 199.36.153.4/30 si vous avez choisi restricted.googleapis.com

gcloud

Utilisez la commande gcloud suivante, en remplaçant NETWORK_NAME par le nom du réseau VPC auquel votre réseau sur site se connecte :

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Les routes sont répertoriées sous forme de tableau, sauf si vous personnalisez la commande avec l'option --format. Dans la colonne DEST_RANGE, recherchez une route dont la plage de destination correspond à :

  • 199.36.153.8/30 si vous avez choisi private.googleapis.com
  • 199.36.153.4/30 si vous avez choisi restricted.googleapis.com

Si vous devez créer des routes dans votre réseau VPC, consultez la section Ajouter une route statique.

Effectuer un routage sur site avec Cloud Router

Les routes de votre réseau sur site doivent être configurées pour diriger le trafic des plages d'adresses IP utilisées par les domaines private.googleapis.com ou restricted.googleapis.com vers les tunnels Cloud VPN ou les rattachements de VLAN de saut suivant qui se connectent à votre réseau VPC.

Vous pouvez utiliser des annonces de routage personnalisées Cloud Router pour annoncer des routes pour les plages d'adresses IP utilisées par les domaines private.googleapis.com et restricted.googleapis.com.

Les routes IPv6 ne sont annoncées que dans les sessions BGP où IPv6 est activé.

Console

Pour mettre à jour le mode d'annonce de routage pour toutes les sessions BGP sur un routeur cloud, à l'exception des sessions BGP utilisant des annonces BGP personnalisées, procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page Routeurs cloud.

    Accéder aux routeurs cloud

  2. Sélectionnez le routeur cloud qui gère les sessions BGP pour les tunnels Cloud VPN ou les rattachements de VLAN qui connectent votre réseau sur site à votre réseau VPC.

  3. Sur la page d'informations du routeur cloud, sélectionnez Modifier.

  4. Développez la section Routages annoncés.

  5. Dans le champ Routes, sélectionnez Créer des routages personnalisés.

  6. Si vous souhaitez annoncer toutes les routes de sous-réseau disponibles pour le routeur Cloud Router, sélectionnez Diffuser tous les sous-réseaux visibles pour le routeur Cloud Router. Ce paramètre réplique la configuration par défaut sur votre configuration personnalisée.

  7. Pour chaque route annoncée que vous souhaitez ajouter, procédez comme suit :

    1. Sélectionnez Ajouter une route personnalisée.
    2. Dans Source, sélectionnez Plage d'adresses IP personnalisée.
    3. Pour Plage d'adresses IP, saisissez l'une des plages que vous souhaitez utiliser :
      • Si vous utilisez private.googleapis.com :
        • Pour la connectivité IPv4 : 199.36.153.8/30
        • Pour la connectivité IPv6 : 2600:2d00:0002:2000::/64
      • Si vous utilisez restricted.googleapis.com :
        • Pour la connectivité IPv4 : 199.36.153.4/30
        • Pour la connectivité IPv6 : 2600:2d00:0002:1000::/64
    4. Cliquez sur OK.

  8. Après avoir ajouté les routages, sélectionnez Enregistrer.

Pour mettre à jour le mode d'annonce de routage pour une session BGP particulière, procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page Routeurs cloud.

    Accéder aux routeurs cloud

  2. Sélectionnez le routeur cloud qui gère la session BGP pour un tunnel Cloud VPN ou un rattachement de VLAN qui connecte votre réseau sur site à votre réseau VPC.

  3. Sur la page d'informations du routeur cloud, sélectionnez la session BGP à mettre à jour.

  4. Sur la page d'informations de la session BGP, cliquez sur Modifier.

  5. Dans le champ Routes, sélectionnez Créer des routes personnalisées.

  6. Sélectionnez Diffuser tous les sous-réseaux visibles par Cloud Router pour annoncer toutes les routes de sous-réseau disponibles pour le routeur cloud (si vous souhaitez définir le comportement par défaut du routeur cloud).

  7. Pour chaque route annoncée que vous souhaitez ajouter, procédez comme suit :

    1. Sélectionnez Ajouter une route personnalisée.
    2. Dans Source, sélectionnez Plage d'adresses IP personnalisée.
    3. Pour Plage d'adresses IP, saisissez l'une des plages que vous souhaitez utiliser :
      • Si vous utilisez private.googleapis.com :
        • Pour la connectivité IPv4 : 199.36.153.8/30
        • Pour la connectivité IPv6 : 2600:2d00:0002:2000::/64
      • Si vous utilisez restricted.googleapis.com :
        • Pour la connectivité IPv4 : 199.36.153.4/30
        • Pour la connectivité IPv6 : 2600:2d00:0002:1000::/64
    4. Cliquez sur OK.

  8. Après avoir ajouté les routages, sélectionnez Enregistrer.

gcloud

  1. Identifiez le nom et la région du routeur cloud qui gère les sessions BGP sur les tunnels Cloud VPN ou les rattachements de VLAN qui connectent votre réseau sur site à votre réseau VPC.

  2. Utilisez compute routers update pour mettre à jour le mode d'annonce de routage sur toutes les sessions BGP du routeur cloud, à l'exception des sessions BGP utilisant des annonces BGP personnalisées :

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Vous pouvez ajouter de nouvelles plages d'annonces si vous utilisez déjà le mode d'annonce CUSTOM pour le routeur cloud. Cela permet de mettre à jour le mode d'annonce de routage sur toutes les sessions BGP du routeur cloud, à l'exception des sessions BGP utilisant des annonces BGP personnalisées :

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES

  3. Vous pouvez également utiliser compute routers update-bgp-peer pour configurer un pair BGP spécifique sur le routeur cloud :

    Si vous ajoutez des plages personnalisées IPv6 et que le trafic IPv6 est désactivé pour la session BGP, vous pouvez l'activer avec l'option --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Vous pouvez ajouter de nouvelles plages d'annonces si vous utilisez déjà le mode d'annonce CUSTOM pour une session BGP sur un routeur cloud.

    Si vous ajoutez des plages personnalisées IPv6 et que le trafic IPv6 est désactivé pour la session BGP, vous pouvez l'activer avec l'option --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES

    Dans les commandes ci-dessus, remplacez les éléments suivants par des valeurs valides :

Considérations concernant le pare-feu

Les règles de pare-feu Google Cloud du réseau VPC auquel votre réseau sur site se connecte n'ont aucun effet sur les éléments suivants :

  • Paquets envoyés via un tunnel Cloud VPN connecté au réseau VPC
  • Paquets envoyés via un rattachement de VLAN connecté au réseau VPC
  • Paquets entrants vers les adresses IP du système de transfert entrant Cloud DNS dans le réseau VPC

Vous devez vous assurer que la configuration du pare-feu des systèmes sur site autorise le trafic sortant vers les adresses IP appropriées et les réponses établies :

  • Si vous utilisez private.googleapis.com :
    • Pour la connectivité IPv4 : 199.36.153.8/30
    • Pour la connectivité IPv6 : 2600:2d00:0002:2000::/64
  • Si vous utilisez restricted.googleapis.com :
    • Pour la connectivité IPv4 : 199.36.153.4/30
    • Pour la connectivité IPv6 : 2600:2d00:0002:1000::/64
  • Toutes les adresses IP du système de transfert entrant Cloud DNS, si vous utilisez Cloud DNS pour la configuration DNS

Étapes suivantes