Configurazione dell'accesso privato Google per gli host on-premise
L'accesso privato Google per gli host on-premise fornisce un modo per gli host on-premise per la connessione alle API di Google mediante il routing del traffico tramite un tunnel Cloud VPN o un collegamento VLAN per Cloud Interconnect. L'accesso privato Google per gli host on-premise è un'alternativa all' e la connessione alle API e ai servizi Google tramite internet.
Questo documento descrive come abilitare l'accesso privato Google per gli ambienti on-premise .
Specifiche e requisiti
L'accesso privato Google per gli host on-premise prevede i seguenti requisiti:
L'accesso privato Google non abilita automaticamente nessuna API. Devi attiva separatamente la funzionalità le API che devi utilizzare dalla scheda API e Servizi nella console Google Cloud.
Devi indirizzare il traffico delle API e dei servizi Google inviato da sistemi on-premise. agli indirizzi IP associati a
private.googleapis.com
orestricted.googleapis.com
nomi di dominio speciali. Per i dettagli sui servizi disponibili a cui si accede in ciascun dominio, vedi Opzioni dominio.La rete on-premise deve essere connessa a un VPC utilizzando i tunnel Cloud VPN Collegamenti VLAN.
La rete VPC a cui è connessa la rete on-premise devono disporre di route appropriate per
private.googleapis.com
orestricted.googleapis.com
intervalli IP di destinazione. Per maggiori dettagli, vedi Routing di rete VPC.La rete VPC a cui è connessa la rete on-premise devono disporre di route appropriate per raggiungere la rete on-premise. L'hop successivo I tunnel Cloud VPN o i collegamenti VLAN che connettiti alla rete on-premise per queste route devono trovarsi all'interno della stessa regione da cui ha avuto origine la richiesta. Se l'hop successivo si trova in una regione diversa da quella in cui ha avuto origine la richiesta all'accesso privato Google, la risposta L'accesso privato Google non raggiungerà la rete on-premise.
La rete on-premise deve avere route per Intervalli IP di destinazione
private.googleapis.com
orestricted.googleapis.com
. Queste route devono indirizzare il traffico al tunnel Cloud VPN appropriato o un collegamento VLAN che si connette rete VPC. Per maggiori dettagli, vedi Routing on-premise con router Cloud.Per consentire ai client IPv6 nel tuo ambiente on-premise di accedere alle API di Google utilizzando
private.googleapis.com
orestricted.googleapis.com
, devi configurare la connessione al tuo VPC per supportare l'IPv6. Per ulteriori informazioni, consulta le seguenti pagine:I client on-premise possono inviare richieste da qualsiasi indirizzo IPv6 GUA o ULA, ad eccezione dell'intervallo ULA
fda3:e722:ac3:cc00::/64
, riservata per uso interno.
Autorizzazioni
Proprietari del progetto, editor e entità IAM con la rete Il ruolo Amministratore può creare o aggiornare e assegnare gli indirizzi IP.
Per ulteriori informazioni sui ruoli, consulta documentazione sui ruoli IAM.
Configurazione di rete
L'accesso privato Google per gli host on-premise ha una rete specifica requisiti per i sistemi on-premise e per il VPC rete attraverso la quale i sistemi on-premise inviano il traffico alle API di Google i servizi di machine learning.
Opzioni dominio
L'accesso privato Google per gli host on-premise richiede di indirizzare i servizi a uno dei seguenti domini speciali. Il dominio speciale che scegli determina a quali servizi puoi accedere.
Assistenza VIP di private.googleapis.com
e restricted.googleapis.com
solo protocolli basati su HTTP su TCP (HTTP, HTTPS e HTTP/2). Tutti gli altri protocolli, incluso MQTT
e ICMP, non sono supportati.
Intervalli di indirizzi IP e di dominio | Servizi supportati | Esempio di utilizzo |
---|---|---|
|
Abilita l'accesso API alla maggior parte delle API e dei servizi Google indipendentemente da se sono supportate dai Controlli di servizio VPC. Include l'accesso API a Google Maps, Google Ads, Google Cloud e la maggior parte delle altre API di Google, tra cui l'elenco che segue. Non supporta Google Workspace per il web applicazioni come Gmail e Documenti Google. Non supporta nessuna siti web interattivi. Nomi di dominio corrispondenti:
|
Usa Scegli
|
|
Abilita l'accesso API a API di Google e supportati dai Controlli di servizio VPC. Blocca l'accesso alle API e ai servizi Google che non supportano Controlli di servizio VPC. Non supporta le API Google Workspace o le applicazioni web di Google Workspace come Gmail e Documenti Google. |
Usa Scegli Il dominio |
restricted.googleapis.com
, in quanto fornisce ulteriore mitigazione del rischio per i dati
l'esfiltrazione dei dati. L'uso di restricted.googleapis.com
nega l'accesso a
API e servizi Google non supportati dai Controlli di servizio VPC. Consulta
Impostazione di impostazioni private
connettività nella documentazione Controlli di servizio VPC per ulteriori dettagli.
Supporto IPv6 per private.googleapis.com
e restricted.googleapis.com
I seguenti intervalli di indirizzi IPv6 possono essere utilizzati per indirizzare il traffico da IPv6 alle API e ai servizi Google:
private.googleapis.com
:2600:2d00:0002:2000::/64
restricted.googleapis.com
:2600:2d00:0002:1000::/64
Valuta la possibilità di configurare gli indirizzi IPv6 se vuoi utilizzare il dominio private.googleapis.com
o restricted.googleapis.com
e
hanno client che utilizzano indirizzi IPv6. I client IPv6 per cui sono configurati indirizzi IPv4 possono
raggiungere le API e i servizi Google utilizzando gli indirizzi IPv4. Non tutti i servizi accettano traffico da
client IPv6.
Configurazione DNS
La rete on-premise deve avere zone e record DNS configurati in modo da
I nomi di dominio di Google si risolvono nell'insieme di indirizzi IP per
private.googleapis.com
o restricted.googleapis.com
. Puoi creare
sono le zone private gestite di Cloud DNS e utilizzano una connessione Cloud DNS in entrata
o puoi configurare i server dei nomi on-premise. Ad esempio,
è possibile usare
BIND o Microsoft
Directory attiva
DNS.
Le sezioni seguenti descrivono come utilizzare le zone DNS per inviare pacchetti all'IP indirizzi IP associati al VIP scelto. Segui le istruzioni per tutti gli scenari che ti riguardano:
- Se utilizzi servizi che hanno
*.googleapis.com
nomi di dominio, vedi Configura il DNS pergoogleapis.com
. Se utilizzi servizi che hanno altri nomi di dominio, vedi Configura il DNS per altri domini.
Ad esempio, se utilizzi Google Kubernetes Engine (GKE), devi configurare anche
*.gcr.io
e*.pkg.dev
; oppure, se utilizzi Cloud Run, devi configurare*.run.app
.Se utilizzi i bucket Cloud Storage e invii richieste a un il nome di dominio personalizzato di Cloud Storage, vedi Configura il DNS per i nomi di dominio personalizzati di Cloud Storage.
Se implementi la configurazione DNS utilizzando Cloud DNS, consulta Configurare il DNS per i sistemi on-premise.
Quando configuri i record DNS per i VIP, utilizza solo gli indirizzi IP
descritti nei passaggi successivi. Non combinare indirizzi da
private.googleapis.com
e restricted.googleapis.com
VIP. Questo può
possono causare errori intermittenti perché i servizi offerti sono diversi
in base alla destinazione
di un pacchetto.
Configura il DNS per googleapis.com
Crea una zona e dei record DNS per googleapis.com
:
- Crea una zona DNS privata per
googleapis.com
. Prendi in considerazione la creazione di un zona privata di Cloud DNS che non ha uno scopo specifico. Nella zona
googleapis.com
, crea i seguenti record DNS privati per unoprivate.googleapis.com
orestricted.googleapis.com
, a seconda di quale che hai scelto di utilizzare.Per
private.googleapis.com
:Crea un record
A
perprivate.googleapis.com
che rimandi a seguenti indirizzi IP:199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
.Per connetterti alle API utilizzando indirizzi IPv6, configura anche un
AAAA
record perprivate.googleapis.com
che punta a2600:2d00:0002:2000::
.
Per
restricted.googleapis.com
:Crea un record
A
perrestricted.googleapis.com
che rimandi a seguenti indirizzi IP:199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
.Per connetterti alle API utilizzando indirizzi IPv6, crea anche un'
AAAA
record perrestricted.googleapis.com
che punta a2600:2d00:0002:1000::
.
Per creare record DNS privati in Cloud DNS, consulta aggiungi un record.
Nella zona
googleapis.com
, crea un recordCNAME
per*.googleapis.com
che rimanda al dominio che hai configurato:private.googleapis.com
oppurerestricted.googleapis.com
.
Configura il DNS per altri domini
Alcune API e alcuni servizi Google vengono forniti utilizzando nomi di dominio aggiuntivi,
tra cui *.gcr.io
, *.gstatic.com
, *.pkg.dev
, pki.goog
e *.run.app
.
Fai riferimento alla tabella degli intervalli di indirizzi IP e domini in Opzioni di dominio
per determinare se è possibile accedere ai servizi del dominio aggiuntivo utilizzando private.googleapis.com
o restricted.googleapis.com
. Quindi, per ciascuno dei domini aggiuntivi:
Crea una zona DNS per
DOMAIN
(ad esempio,gcr.io
). Se utilizzi Cloud DNS, assicurati che la zona si trovi nella zona nello stesso progetto della zona privatagoogleapis.com
.In questa zona DNS, crea i seguenti record DNS privati per uno
private.googleapis.com
orestricted.googleapis.com
, a seconda di quale che hai scelto di utilizzare.Per
private.googleapis.com
:Crea un record
A
perDOMAIN
che rimandi a quanto segue Indirizzi IP:199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
.Per connetterti alle API utilizzando indirizzi IPv6, crea anche un'
AAAA
record perDOMAIN
che punta a2600:2d00:0002:2000::
.
Per
restricted.googleapis.com
:Crea un record
A
perDOMAIN
che rimandi a quanto segue Indirizzi IP:199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
.Per connetterti alle API utilizzando indirizzi IPv6, crea anche un'
AAAA
record perrestricted.googleapis.com
che punta a2600:2d00:0002:1000::
.
Nella zona
DOMAIN
, crea un recordCNAME
per*.DOMAIN
che punta aDOMAIN
. Ad esempio, crea un recordCNAME
per*.gcr.io
che rimandi agcr.io
.
Configura il DNS per i nomi di dominio personalizzati di Cloud Storage
Se utilizzi bucket Cloud Storage e invii richieste a un
Nome di dominio personalizzato di Cloud Storage,
configurazione dei record DNS per il nome di dominio Cloud Storage personalizzato verso cui puntare
gli indirizzi IP per private.googleapis.com
o restricted.googleapis.com
sono
non è sufficiente per
consentire l'accesso ai bucket Cloud Storage.
Se vuoi inviare richieste a un nome di dominio personalizzato Cloud Storage, devi anche
imposta l'intestazione Host della richiesta HTTP e l'SNI TLS su storage.googleapis.com
Gli indirizzi IP per private.googleapis.com
e restricted.googleapis.com
non
supportare nomi host Cloud Storage personalizzati nelle intestazioni host delle richieste HTTP e TLS
SNI
Configura DNS per sistemi on-premise
Se hai implementato la configurazione DNS utilizzando Cloud DNS, configurare sistemi on-premise in modo che possano eseguire query Zone private gestite di Cloud DNS:
- Crea un criterio del server in entrata Rete VPC a cui si connette la rete on-premise.
- Identifica la voce del server di inoltro in entrata nelle regioni in cui Tunnel Cloud VPN e collegamenti VLAN nella rete VPC a cui si trovano i tuoi dati si connette automaticamente.
- Configura sistemi on-premise e server dei nomi DNS on-premise per l'inoltro
googleapis.com
ed eventuali nomi di dominio aggiuntivi a una richiesta in entrata punto di ingresso del forwarding nella stessa regione di Cloud VPN tunnel o collegamento VLAN che si connette rete VPC,
Routing di rete VPC
La rete VPC a cui si connette la rete on-premise deve
avere route per gli intervalli di indirizzi IP usati da private.googleapis.com
o
restricted.googleapis.com
. Queste route devono utilizzare il gateway internet predefinito
nell'hop successivo.
Google non pubblica su internet route per gli intervalli di indirizzi IP utilizzati
dai domini private.googleapis.com
o restricted.googleapis.com
.
Di conseguenza, anche se le route nella rete VPC inviano
traffico verso l'hop successivo del gateway internet predefinito, i pacchetti inviati a quell'IP
che rimangono all'interno della rete Google.
Se la rete VPC a cui si connette la rete on-premise contiene una route predefinita il cui hop successivo è il gateway internet predefinito, la route soddisfa i requisiti di routing per Accesso privato Google per gli host on-premise.
Routing personalizzato della rete VPC
Se hai sostituito o modificato la route predefinita, assicurati di disporre di
route statiche configurate per gli intervalli IP di destinazione utilizzati
private.googleapis.com
o restricted.googleapis.com
. Per controllare
configurazione di route personalizzate per le API e i servizi Google in una data rete,
segui queste istruzioni.
Console
Nella console Google Cloud, vai alla pagina Route.
Utilizza il campo di testo Filtra tabella per filtrare l'elenco delle route utilizzando i seguenti criteri, sostituendo
NETWORK_NAME
con il nome della rete VPC a cui la rete on-premise connette:- Rete:
NETWORK_NAME
- Tipo di hop successivo:
default internet gateway
- Rete:
Esamina la colonna Intervallo IP di destinazione per ogni route. Cerca un percorso il cui intervallo di destinazione corrisponde:
199.36.153.8/30
se hai sceltoprivate.googleapis.com
199.36.153.4/30
se hai sceltorestricted.googleapis.com
gcloud
Usa il seguente comando gcloud
, sostituendo NETWORK_NAME
con
il nome della rete VPC a cui la rete on-premise
connette:
gcloud compute routes list \ --filter="default-internet-gateway NETWORK_NAME"
Le route sono elencate in formato tabella, a meno che non personalizzi il comando con
--format
flag. Cerca nella colonna DEST_RANGE
una route la cui
intervallo di destinazione corrisponde a:
199.36.153.8/30
se hai sceltoprivate.googleapis.com
199.36.153.4/30
se hai sceltorestricted.googleapis.com
Se devi creare route nella tua rete VPC, consulta la sezione Aggiunta di una una route statica.
Routing on-premise con il router Cloud
Le route nella rete on-premise devono essere configurate in modo da indirizzare il traffico verso
gli intervalli di indirizzi IP usati dall'private.googleapis.com
o
restricted.googleapis.com
domini ai tunnel Cloud VPN dell'hop successivo
o collegamenti VLAN che si connettono alla tua rete VPC.
Puoi utilizzare una route personalizzata del router Cloud
Pubblicità
per annunciare le route per gli intervalli IP utilizzati
private.googleapis.com
e restricted.googleapis.com
.
Le route IPv6 sono annunciate solo nelle sessioni BGP in cui IPv6 è abilitato.
Console
Per aggiornare la modalità di annuncio di route per tutte le sessioni BGP su un Router Cloud, fatta eccezione per le sessioni BGP che utilizzano una sessione BGP personalizzata gli stessi annunci:
Nella console Google Cloud, vai alla pagina Router Cloud.
Seleziona il router Cloud che gestisce le sessioni BGP per l'account Tunnel Cloud VPN o collegamenti VLAN che connettono la tua rete on-premise al VPC in ogni rete.
Nella pagina dei dettagli del router Cloud, seleziona Modifica.
Espandi la sezione Route annunciate.
Per Route, seleziona Crea route personalizzate.
Se vuoi pubblicizzare tutte le route di subnet disponibili Router Cloud, seleziona Annuncia tutte le subnet visibili al router Cloud. Questo replica la configurazione predefinita nella tua configurazione personalizzata.
Per ogni route pubblicizzata che vuoi aggiungere:
- Seleziona Aggiungi route personalizzata.
- Per Origine, seleziona Intervallo IP personalizzato.
- In Intervallo di indirizzi IP, inserisci uno degli intervalli che vuoi utilizzare:
- .
- Se utilizzi
private.googleapis.com
:- Per la connettività IPv4:
199.36.153.8/30
- Per la connettività IPv6:
2600:2d00:0002:2000::/64
- Per la connettività IPv4:
- Se utilizzi
restricted.googleapis.com
:- Per la connettività IPv4:
199.36.153.4/30
- Per la connettività IPv6:
2600:2d00:0002:1000::/64
- Per la connettività IPv4:
- Se utilizzi
- Fai clic su Fine.
Dopo aver aggiunto i percorsi, seleziona Salva.
Per aggiornare la modalità di annuncio di route per una determinata sessione BGP:
Nella console Google Cloud, vai alla pagina Router Cloud.
Seleziona il router Cloud che gestisce la sessione BGP per un Tunnel Cloud VPN o collegamento VLAN che connette la rete on-premise al VPC in ogni rete.
Nella pagina dei dettagli del router Cloud, seleziona la sessione BGP aggiornamento.
Nella pagina dei dettagli della sessione BGP, fai clic su Modifica.
Per Route, seleziona Crea route personalizzate.
Seleziona Pubblicizza tutte le subnet visibili al router Cloud per annuncia tutte le route di subnet disponibili per il router Cloud il comportamento predefinito del router Cloud.
Per ogni route pubblicizzata che vuoi aggiungere:
- Seleziona Aggiungi route personalizzata.
- Per Origine, seleziona Intervallo IP personalizzato.
- In Intervallo di indirizzi IP, inserisci uno degli intervalli che vuoi utilizzare:
- .
- Se utilizzi
private.googleapis.com
:- Per la connettività IPv4:
199.36.153.8/30
- Per la connettività IPv6:
2600:2d00:0002:2000::/64
- Per la connettività IPv4:
- Se utilizzi
restricted.googleapis.com
:- Per la connettività IPv4:
199.36.153.4/30
- Per la connettività IPv6:
2600:2d00:0002:1000::/64
- Per la connettività IPv4:
- Se utilizzi
- Fai clic su Fine.
Dopo aver aggiunto i percorsi, seleziona Salva.
gcloud
Identifica il nome e la regione del router Cloud che gestisce sessioni BGP sui tunnel Cloud VPN Collegamenti VLAN che collegano dalla rete on-premise alla rete VPC.
Utilizza
compute routers update
per aggiornare modalità di annuncio di route su tutte le sessioni BGP del router Cloud, tranne le sessioni BGP che utilizzano gli annunci BGP personalizzati le seguenti opzioni:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
Puoi aggiungere nuovi intervalli pubblicitari se stai già utilizzando il Modalità pubblicitaria
CUSTOM
per il router Cloud. Questo aggiornamento la modalità di annuncio di route su tutte le istanze BGP del router Cloud sessioni, tranne le sessioni BGP che utilizzano BGP personalizzate gli stessi annunci:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --add-advertisement-ranges=CUSTOM_RANGES
In alternativa, utilizza
compute routers update-bgp-peer
per configurare un peer BGP specifico sul router Cloud:Se aggiungi intervalli personalizzati IPv6 e il traffico IPv6 è disabilitato per sessione BGP, puoi abilitarla con il flag
--enable-ipv6
.gcloud compute routers update-bgp-peer ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
Puoi aggiungere nuovi intervalli pubblicitari se stai già utilizzando il
CUSTOM
modalità pubblicità per una sessione BGP su un router CloudSe aggiungi intervalli personalizzati IPv6 e il traffico IPv6 è disabilitato per sessione BGP, puoi abilitarla con il flag
--enable-ipv6
.gcloud compute routers update-bgp-peer ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --add-advertisement-ranges=CUSTOM_RANGES
Nei comandi precedenti, sostituisci quanto segue con valori validi:
ROUTER_NAME
: il nome del router CloudREGION
: la regione del router CloudPEER_NAME
: il nome del peer BGP configurato quando crea un collegamento VLAN Dedicated Interconnect, quando devi creare un collegamento VLAN Partner Interconnect, quando crei un VPN ad alta disponibilità tunnel o quando crei un tunnel VPN classica usando di routing.- Esci da
--set-advertisement-groups=ALL_SUBNETS
per fare pubblicità tutte le route di subnet disponibili per il router Cloud. Questo è il Comportamento predefinito del router Cloud. CUSTOM_RANGES
: un elenco di intervalli personalizzati delimitato da virgole da fai pubblicità.- Per
private.googleapis.com
:- Per la connettività IPv4:
199.36.153.8/30
- Per la connettività IPv4 e IPv6:
199.36.153.8/30,2600:2d00:0002:2000::/64
- Per la connettività IPv4:
- Per
restricted.googleapis.com
:- Per la connettività IPv4:
199.36.153.4/30
- Per la connettività IPv4 e IPv6:
199.36.153.4/30,2600:2d00:0002:1000::/64
- Per la connettività IPv4:
- Per
Considerazioni sul firewall
le regole firewall di Google Cloud nella rete VPC a cui le connessioni della rete on-premise non hanno effetto su:
- Pacchetti inviati attraverso un tunnel Cloud VPN connesso Rete VPC
- Pacchetti inviati tramite un collegamento VLAN connesso alla rete VPC
- Pacchetti in entrata negli indirizzi IP del forwarding in entrata di Cloud DNS in la rete VPC
Devi assicurarti che la configurazione del firewall dei sistemi on-premise consenta il traffico in uscita verso e le risposte stabilite dagli indirizzi IP appropriati:
- Se utilizzi
private.googleapis.com
:- Per la connettività IPv4:
199.36.153.8/30
- Per la connettività IPv6:
2600:2d00:0002:2000::/64
- Per la connettività IPv4:
- Se utilizzi
restricted.googleapis.com
:- Per la connettività IPv4:
199.36.153.4/30
- Per la connettività IPv6:
2600:2d00:0002:1000::/64
- Per la connettività IPv4:
- Qualsiasi indirizzo IP del server di forwarding in entrata di Cloud DNS, se utilizzi Cloud DNS per la configurazione DNS
Passaggi successivi
- Se hai bisogno di VM nella tua rete VPC di Google Cloud per accedere alle API di Google consulta Configurare l'accesso privato Google per il VPC.