Configurazione dell'accesso privato Google per gli host on-premise

L'accesso privato Google per gli host on-premise fornisce un modo per gli host on-premise per la connessione alle API di Google mediante il routing del traffico tramite un tunnel Cloud VPN o un collegamento VLAN per Cloud Interconnect. L'accesso privato Google per gli host on-premise è un'alternativa all' e la connessione alle API e ai servizi Google tramite internet.

Questo documento descrive come abilitare l'accesso privato Google per gli ambienti on-premise .

Specifiche e requisiti

L'accesso privato Google per gli host on-premise prevede i seguenti requisiti:

  • L'accesso privato Google non abilita automaticamente nessuna API. Devi attiva separatamente la funzionalità le API che devi utilizzare dalla scheda API e Servizi nella console Google Cloud.

  • Devi indirizzare il traffico delle API e dei servizi Google inviato da sistemi on-premise. agli indirizzi IP associati a private.googleapis.com o restricted.googleapis.com nomi di dominio speciali. Per i dettagli sui servizi disponibili a cui si accede in ciascun dominio, vedi Opzioni dominio.

  • La rete on-premise deve essere connessa a un VPC utilizzando i tunnel Cloud VPN Collegamenti VLAN.

  • La rete VPC a cui è connessa la rete on-premise devono disporre di route appropriate per private.googleapis.com o restricted.googleapis.com intervalli IP di destinazione. Per maggiori dettagli, vedi Routing di rete VPC.

  • La rete VPC a cui è connessa la rete on-premise devono disporre di route appropriate per raggiungere la rete on-premise. L'hop successivo I tunnel Cloud VPN o i collegamenti VLAN che connettiti alla rete on-premise per queste route devono trovarsi all'interno della stessa regione da cui ha avuto origine la richiesta. Se l'hop successivo si trova in una regione diversa da quella in cui ha avuto origine la richiesta all'accesso privato Google, la risposta L'accesso privato Google non raggiungerà la rete on-premise.

  • La rete on-premise deve avere route per Intervalli IP di destinazione private.googleapis.com o restricted.googleapis.com. Queste route devono indirizzare il traffico al tunnel Cloud VPN appropriato o un collegamento VLAN che si connette rete VPC. Per maggiori dettagli, vedi Routing on-premise con router Cloud.

  • Per consentire ai client IPv6 nel tuo ambiente on-premise di accedere alle API di Google utilizzando private.googleapis.com o restricted.googleapis.com, devi configurare la connessione al tuo VPC per supportare l'IPv6. Per ulteriori informazioni, consulta le seguenti pagine:

  • I client on-premise possono inviare richieste da qualsiasi indirizzo IPv6 GUA o ULA, ad eccezione dell'intervallo ULA fda3:e722:ac3:cc00::/64, riservata per uso interno.

Autorizzazioni

Proprietari del progetto, editor e entità IAM con la rete Il ruolo Amministratore può creare o aggiornare e assegnare gli indirizzi IP.

Per ulteriori informazioni sui ruoli, consulta documentazione sui ruoli IAM.

Configurazione di rete

L'accesso privato Google per gli host on-premise ha una rete specifica requisiti per i sistemi on-premise e per il VPC rete attraverso la quale i sistemi on-premise inviano il traffico alle API di Google i servizi di machine learning.

Opzioni dominio

L'accesso privato Google per gli host on-premise richiede di indirizzare i servizi a uno dei seguenti domini speciali. Il dominio speciale che scegli determina a quali servizi puoi accedere.

Assistenza VIP di private.googleapis.com e restricted.googleapis.com solo protocolli basati su HTTP su TCP (HTTP, HTTPS e HTTP/2). Tutti gli altri protocolli, incluso MQTT e ICMP, non sono supportati.

Intervalli di indirizzi IP e di dominio Servizi supportati Esempio di utilizzo

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64

Abilita l'accesso API alla maggior parte delle API e dei servizi Google indipendentemente da se sono supportate dai Controlli di servizio VPC. Include l'accesso API a Google Maps, Google Ads, Google Cloud e la maggior parte delle altre API di Google, tra cui l'elenco che segue. Non supporta Google Workspace per il web applicazioni come Gmail e Documenti Google. Non supporta nessuna siti web interattivi.

Nomi di dominio corrispondenti:

  • accounts.google.com (solo i percorsi necessari per l'autenticazione OAuth)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io o *.gcr.io
  • *.googleapis.com
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev o *.pkg.dev
  • pki.goog o *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Usa private.googleapis.com per accedere alle API e ai servizi Google utilizzando un insieme di indirizzi IP instradabili solo dall'interno di Google Cloud.

Scegli private.googleapis.com in queste circostanze:

  • Non utilizzi Controlli di servizio VPC.
  • Usi i Controlli di servizio VPC, ma devi anche accedere alle API di Google e servizi non supportati dai Controlli di servizio VPC. 1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64

Abilita l'accesso API a API di Google e supportati dai Controlli di servizio VPC.

Blocca l'accesso alle API e ai servizi Google che non supportano Controlli di servizio VPC. Non supporta le API Google Workspace o le applicazioni web di Google Workspace come Gmail e Documenti Google.

Usa restricted.googleapis.com per accedere alle API e ai servizi Google utilizzando un insieme di indirizzi IP instradabili solo dall'interno di Google Cloud.

Scegli restricted.googleapis.com quando solo richiedono l'accesso alle API e ai servizi Google che sono supportati Controlli di servizio VPC.

Il dominio restricted.googleapis.com non consente accesso alle API e ai servizi Google che non supportano i Controlli di servizio VPC. 1
1 Se devi limitare gli utenti solo alle API e ai servizi Google che supportano i Controlli di servizio VPC, restricted.googleapis.com, in quanto fornisce ulteriore mitigazione del rischio per i dati l'esfiltrazione dei dati. L'uso di restricted.googleapis.com nega l'accesso a API e servizi Google non supportati dai Controlli di servizio VPC. Consulta Impostazione di impostazioni private connettività nella documentazione Controlli di servizio VPC per ulteriori dettagli.

Supporto IPv6 per private.googleapis.com e restricted.googleapis.com

I seguenti intervalli di indirizzi IPv6 possono essere utilizzati per indirizzare il traffico da IPv6 alle API e ai servizi Google:

  • private.googleapis.com: 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 2600:2d00:0002:1000::/64

Valuta la possibilità di configurare gli indirizzi IPv6 se vuoi utilizzare il dominio private.googleapis.com o restricted.googleapis.com e hanno client che utilizzano indirizzi IPv6. I client IPv6 per cui sono configurati indirizzi IPv4 possono raggiungere le API e i servizi Google utilizzando gli indirizzi IPv4. Non tutti i servizi accettano traffico da client IPv6.

Configurazione DNS

La rete on-premise deve avere zone e record DNS configurati in modo da I nomi di dominio di Google si risolvono nell'insieme di indirizzi IP per private.googleapis.com o restricted.googleapis.com. Puoi creare sono le zone private gestite di Cloud DNS e utilizzano una connessione Cloud DNS in entrata o puoi configurare i server dei nomi on-premise. Ad esempio, è possibile usare BIND o Microsoft Directory attiva DNS.

Le sezioni seguenti descrivono come utilizzare le zone DNS per inviare pacchetti all'IP indirizzi IP associati al VIP scelto. Segui le istruzioni per tutti gli scenari che ti riguardano:

Quando configuri i record DNS per i VIP, utilizza solo gli indirizzi IP descritti nei passaggi successivi. Non combinare indirizzi da private.googleapis.com e restricted.googleapis.com VIP. Questo può possono causare errori intermittenti perché i servizi offerti sono diversi in base alla destinazione di un pacchetto.

Configura il DNS per googleapis.com

Crea una zona e dei record DNS per googleapis.com:

  1. Crea una zona DNS privata per googleapis.com. Prendi in considerazione la creazione di un zona privata di Cloud DNS che non ha uno scopo specifico.

  2. Nella zona googleapis.com, crea i seguenti record DNS privati per uno private.googleapis.com o restricted.googleapis.com, a seconda di quale che hai scelto di utilizzare.

    • Per private.googleapis.com:

      1. Crea un record A per private.googleapis.com che rimandi a seguenti indirizzi IP: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Per connetterti alle API utilizzando indirizzi IPv6, configura anche un AAAA record per private.googleapis.com che punta a 2600:2d00:0002:2000::.

    • Per restricted.googleapis.com:

      1. Crea un record A per restricted.googleapis.com che rimandi a seguenti indirizzi IP: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Per connetterti alle API utilizzando indirizzi IPv6, crea anche un'AAAA record per restricted.googleapis.com che punta a 2600:2d00:0002:1000::.

    Per creare record DNS privati in Cloud DNS, consulta aggiungi un record.

  3. Nella zona googleapis.com, crea un record CNAME per *.googleapis.com che rimanda al dominio che hai configurato: private.googleapis.com oppure restricted.googleapis.com.

Configura il DNS per altri domini

Alcune API e alcuni servizi Google vengono forniti utilizzando nomi di dominio aggiuntivi, tra cui *.gcr.io, *.gstatic.com, *.pkg.dev, pki.goog e *.run.app. Fai riferimento alla tabella degli intervalli di indirizzi IP e domini in Opzioni di dominio per determinare se è possibile accedere ai servizi del dominio aggiuntivo utilizzando private.googleapis.com o restricted.googleapis.com. Quindi, per ciascuno dei domini aggiuntivi:

  1. Crea una zona DNS per DOMAIN (ad esempio, gcr.io). Se utilizzi Cloud DNS, assicurati che la zona si trovi nella zona nello stesso progetto della zona privata googleapis.com.

  2. In questa zona DNS, crea i seguenti record DNS privati per uno private.googleapis.com o restricted.googleapis.com, a seconda di quale che hai scelto di utilizzare.

    • Per private.googleapis.com:

      1. Crea un record A per DOMAIN che rimandi a quanto segue Indirizzi IP: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Per connetterti alle API utilizzando indirizzi IPv6, crea anche un'AAAA record per DOMAIN che punta a 2600:2d00:0002:2000::.

    • Per restricted.googleapis.com:

      1. Crea un record A per DOMAIN che rimandi a quanto segue Indirizzi IP: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Per connetterti alle API utilizzando indirizzi IPv6, crea anche un'AAAA record per restricted.googleapis.com che punta a 2600:2d00:0002:1000::.

  3. Nella zona DOMAIN, crea un record CNAME per *.DOMAIN che punta a DOMAIN. Ad esempio, crea un record CNAME per *.gcr.io che rimandi a gcr.io.

Configura il DNS per i nomi di dominio personalizzati di Cloud Storage

Se utilizzi bucket Cloud Storage e invii richieste a un Nome di dominio personalizzato di Cloud Storage, configurazione dei record DNS per il nome di dominio Cloud Storage personalizzato verso cui puntare gli indirizzi IP per private.googleapis.com o restricted.googleapis.com sono non è sufficiente per consentire l'accesso ai bucket Cloud Storage.

Se vuoi inviare richieste a un nome di dominio personalizzato Cloud Storage, devi anche imposta l'intestazione Host della richiesta HTTP e l'SNI TLS su storage.googleapis.com Gli indirizzi IP per private.googleapis.com e restricted.googleapis.com non supportare nomi host Cloud Storage personalizzati nelle intestazioni host delle richieste HTTP e TLS SNI

Configura DNS per sistemi on-premise

Se hai implementato la configurazione DNS utilizzando Cloud DNS, configurare sistemi on-premise in modo che possano eseguire query Zone private gestite di Cloud DNS:

  • Crea un criterio del server in entrata Rete VPC a cui si connette la rete on-premise.
  • Identifica la voce del server di inoltro in entrata nelle regioni in cui Tunnel Cloud VPN e collegamenti VLAN nella rete VPC a cui si trovano i tuoi dati si connette automaticamente.
  • Configura sistemi on-premise e server dei nomi DNS on-premise per l'inoltro googleapis.com ed eventuali nomi di dominio aggiuntivi a una richiesta in entrata punto di ingresso del forwarding nella stessa regione di Cloud VPN tunnel o collegamento VLAN che si connette rete VPC,

Routing di rete VPC

La rete VPC a cui si connette la rete on-premise deve avere route per gli intervalli di indirizzi IP usati da private.googleapis.com o restricted.googleapis.com. Queste route devono utilizzare il gateway internet predefinito nell'hop successivo.

Google non pubblica su internet route per gli intervalli di indirizzi IP utilizzati dai domini private.googleapis.com o restricted.googleapis.com. Di conseguenza, anche se le route nella rete VPC inviano traffico verso l'hop successivo del gateway internet predefinito, i pacchetti inviati a quell'IP che rimangono all'interno della rete Google.

Se la rete VPC a cui si connette la rete on-premise contiene una route predefinita il cui hop successivo è il gateway internet predefinito, la route soddisfa i requisiti di routing per Accesso privato Google per gli host on-premise.

Routing personalizzato della rete VPC

Se hai sostituito o modificato la route predefinita, assicurati di disporre di route statiche configurate per gli intervalli IP di destinazione utilizzati private.googleapis.com o restricted.googleapis.com. Per controllare configurazione di route personalizzate per le API e i servizi Google in una data rete, segui queste istruzioni.

Console

  1. Nella console Google Cloud, vai alla pagina Route.

    Vai a Routes

  2. Utilizza il campo di testo Filtra tabella per filtrare l'elenco delle route utilizzando i seguenti criteri, sostituendo NETWORK_NAME con il nome della rete VPC a cui la rete on-premise connette:

    • Rete: NETWORK_NAME
    • Tipo di hop successivo: default internet gateway

  3. Esamina la colonna Intervallo IP di destinazione per ogni route. Cerca un percorso il cui intervallo di destinazione corrisponde:

    • 199.36.153.8/30 se hai scelto private.googleapis.com
    • 199.36.153.4/30 se hai scelto restricted.googleapis.com

gcloud

Usa il seguente comando gcloud, sostituendo NETWORK_NAME con il nome della rete VPC a cui la rete on-premise connette:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Le route sono elencate in formato tabella, a meno che non personalizzi il comando con --format flag. Cerca nella colonna DEST_RANGE una route la cui intervallo di destinazione corrisponde a:

  • 199.36.153.8/30 se hai scelto private.googleapis.com
  • 199.36.153.4/30 se hai scelto restricted.googleapis.com

Se devi creare route nella tua rete VPC, consulta la sezione Aggiunta di una una route statica.

Routing on-premise con il router Cloud

Le route nella rete on-premise devono essere configurate in modo da indirizzare il traffico verso gli intervalli di indirizzi IP usati dall'private.googleapis.com o restricted.googleapis.com domini ai tunnel Cloud VPN dell'hop successivo o collegamenti VLAN che si connettono alla tua rete VPC.

Puoi utilizzare una route personalizzata del router Cloud Pubblicità per annunciare le route per gli intervalli IP utilizzati private.googleapis.com e restricted.googleapis.com.

Le route IPv6 sono annunciate solo nelle sessioni BGP in cui IPv6 è abilitato.

Console

Per aggiornare la modalità di annuncio di route per tutte le sessioni BGP su un Router Cloud, fatta eccezione per le sessioni BGP che utilizzano una sessione BGP personalizzata gli stessi annunci:

  1. Nella console Google Cloud, vai alla pagina Router Cloud.

    Vai a Router Cloud

  2. Seleziona il router Cloud che gestisce le sessioni BGP per l'account Tunnel Cloud VPN o collegamenti VLAN che connettono la tua rete on-premise al VPC in ogni rete.

  3. Nella pagina dei dettagli del router Cloud, seleziona Modifica.

  4. Espandi la sezione Route annunciate.

  5. Per Route, seleziona Crea route personalizzate.

  6. Se vuoi pubblicizzare tutte le route di subnet disponibili Router Cloud, seleziona Annuncia tutte le subnet visibili al router Cloud. Questo replica la configurazione predefinita nella tua configurazione personalizzata.

  7. Per ogni route pubblicizzata che vuoi aggiungere:

    1. Seleziona Aggiungi route personalizzata.
    2. Per Origine, seleziona Intervallo IP personalizzato.
    3. In Intervallo di indirizzi IP, inserisci uno degli intervalli che vuoi utilizzare:
        .
      • Se utilizzi private.googleapis.com:
        • Per la connettività IPv4: 199.36.153.8/30
        • Per la connettività IPv6: 2600:2d00:0002:2000::/64
      • Se utilizzi restricted.googleapis.com:
        • Per la connettività IPv4: 199.36.153.4/30
        • Per la connettività IPv6: 2600:2d00:0002:1000::/64
    4. Fai clic su Fine.

  8. Dopo aver aggiunto i percorsi, seleziona Salva.

Per aggiornare la modalità di annuncio di route per una determinata sessione BGP:

  1. Nella console Google Cloud, vai alla pagina Router Cloud.

    Vai a Router Cloud

  2. Seleziona il router Cloud che gestisce la sessione BGP per un Tunnel Cloud VPN o collegamento VLAN che connette la rete on-premise al VPC in ogni rete.

  3. Nella pagina dei dettagli del router Cloud, seleziona la sessione BGP aggiornamento.

  4. Nella pagina dei dettagli della sessione BGP, fai clic su Modifica.

  5. Per Route, seleziona Crea route personalizzate.

  6. Seleziona Pubblicizza tutte le subnet visibili al router Cloud per annuncia tutte le route di subnet disponibili per il router Cloud il comportamento predefinito del router Cloud.

  7. Per ogni route pubblicizzata che vuoi aggiungere:

    1. Seleziona Aggiungi route personalizzata.
    2. Per Origine, seleziona Intervallo IP personalizzato.
    3. In Intervallo di indirizzi IP, inserisci uno degli intervalli che vuoi utilizzare:
        .
      • Se utilizzi private.googleapis.com:
        • Per la connettività IPv4: 199.36.153.8/30
        • Per la connettività IPv6: 2600:2d00:0002:2000::/64
      • Se utilizzi restricted.googleapis.com:
        • Per la connettività IPv4: 199.36.153.4/30
        • Per la connettività IPv6: 2600:2d00:0002:1000::/64
    4. Fai clic su Fine.

  8. Dopo aver aggiunto i percorsi, seleziona Salva.

gcloud

  1. Identifica il nome e la regione del router Cloud che gestisce sessioni BGP sui tunnel Cloud VPN Collegamenti VLAN che collegano dalla rete on-premise alla rete VPC.

  2. Utilizza compute routers update per aggiornare modalità di annuncio di route su tutte le sessioni BGP del router Cloud, tranne le sessioni BGP che utilizzano gli annunci BGP personalizzati le seguenti opzioni:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Puoi aggiungere nuovi intervalli pubblicitari se stai già utilizzando il Modalità pubblicitaria CUSTOM per il router Cloud. Questo aggiornamento la modalità di annuncio di route su tutte le istanze BGP del router Cloud sessioni, tranne le sessioni BGP che utilizzano BGP personalizzate gli stessi annunci:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES

  3. In alternativa, utilizza compute routers update-bgp-peer per configurare un peer BGP specifico sul router Cloud:

    Se aggiungi intervalli personalizzati IPv6 e il traffico IPv6 è disabilitato per sessione BGP, puoi abilitarla con il flag --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Puoi aggiungere nuovi intervalli pubblicitari se stai già utilizzando il CUSTOM modalità pubblicità per una sessione BGP su un router Cloud

    Se aggiungi intervalli personalizzati IPv6 e il traffico IPv6 è disabilitato per sessione BGP, puoi abilitarla con il flag --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES

    Nei comandi precedenti, sostituisci quanto segue con valori validi:

    • ROUTER_NAME: il nome del router Cloud
    • REGION: la regione del router Cloud
    • PEER_NAME: il nome del peer BGP configurato quando crea un collegamento VLAN Dedicated Interconnect, quando devi creare un collegamento VLAN Partner Interconnect, quando crei un VPN ad alta disponibilità tunnel o quando crei un tunnel VPN classica usando di routing.
    • Esci da --set-advertisement-groups=ALL_SUBNETS per fare pubblicità tutte le route di subnet disponibili per il router Cloud. Questo è il Comportamento predefinito del router Cloud.
    • CUSTOM_RANGES: un elenco di intervalli personalizzati delimitato da virgole da fai pubblicità.
      • Per private.googleapis.com:
        • Per la connettività IPv4: 199.36.153.8/30
        • Per la connettività IPv4 e IPv6: 199.36.153.8/30,2600:2d00:0002:2000::/64
      • Per restricted.googleapis.com:
        • Per la connettività IPv4: 199.36.153.4/30
        • Per la connettività IPv4 e IPv6: 199.36.153.4/30,2600:2d00:0002:1000::/64

Considerazioni sul firewall

le regole firewall di Google Cloud nella rete VPC a cui le connessioni della rete on-premise non hanno effetto su:

  • Pacchetti inviati attraverso un tunnel Cloud VPN connesso Rete VPC
  • Pacchetti inviati tramite un collegamento VLAN connesso alla rete VPC
  • Pacchetti in entrata negli indirizzi IP del forwarding in entrata di Cloud DNS in la rete VPC

Devi assicurarti che la configurazione del firewall dei sistemi on-premise consenta il traffico in uscita verso e le risposte stabilite dagli indirizzi IP appropriati:

  • Se utilizzi private.googleapis.com:
    • Per la connettività IPv4: 199.36.153.8/30
    • Per la connettività IPv6: 2600:2d00:0002:2000::/64
  • Se utilizzi restricted.googleapis.com:
    • Per la connettività IPv4: 199.36.153.4/30
    • Per la connettività IPv6: 2600:2d00:0002:1000::/64
  • Qualsiasi indirizzo IP del server di forwarding in entrata di Cloud DNS, se utilizzi Cloud DNS per la configurazione DNS

Passaggi successivi