Privaten Google-Zugriff für lokale Hosts konfigurieren

Mit privatem Google-Zugriff für lokale Hosts können sich lokale Systeme mit Google APIs und Diensten verbinden, indem der Traffic durch einen Cloud VPN-Tunnel oder VLAN-Anhang für Cloud Interconnect geleitet wird. Der private Google-Zugriff für lokale Hosts ist eine Alternative zum Herstellen einer Verbindung zu Google APIs und Google-Diensten über das Internet.

In diesem Dokument wird beschrieben, wie Sie privaten Google-Zugriff für lokale Hosts aktivieren.

Spezifikationen und Anforderungen

Für den privaten Google-Zugriff für lokale Hosts gelten folgende Anforderungen:

  • Durch den privaten Google-Zugriff werden APIs nicht automatisch aktiviert. Sie müssen die benötigten Google APIs separat aktivieren. Dies erfolgt über die Seite „APIs & Dienste” in der Google Cloud Console.

  • Sie müssen Traffic von Google APIs und Google-Diensten, der von lokalen Systemen gesendet wird, an die IP-Adressen senden, die mit den speziellen Domainnamen private.googleapis.com oder restricted.googleapis.com verknüpft sind. Weitere Informationen dazu, auf welche Dienste in den einzelnen Domains zugegriffen werden kann, finden Sie unter Domainoptionen.

  • Ihr lokales Netzwerk muss über Cloud VPN-Tunnel oder VLAN-Anhänge mit einem VPC-Netzwerk verbunden sein.

  • Das VPC-Netzwerk, mit dem Ihr lokales Netzwerk verbunden ist, muss geeignete Routen für die Ziel-IP-Bereiche private.googleapis.com oder restricted.googleapis.com haben. Weitere Informationen finden Sie unter VPC-Netzwerkrouting.

  • Das VPC-Netzwerk, mit dem Ihr lokales Netzwerk verbunden ist, muss geeignete Routen haben, um das lokale Netzwerk zu erreichen. Die Cloud VPN-Tunnel oder VLAN-Anhänge, die als Nächstes mit Ihrem lokalen Netzwerk verbunden sind, müssen sich in derselben Region befinden, aus der die Anfrage stammt. Wenn sich der nächste Hop in einer anderen Region als der der Anfrage an den privaten Google-Zugriff befindet, erreicht die Antwort vom privaten Google-Zugriff das lokale Netzwerk nicht.

  • Ihr lokales Netzwerk muss Routen für die Ziel-IP-Bereiche private.googleapis.com oder restricted.googleapis.com haben. Diese Routen müssen Traffic an den entsprechenden Cloud VPN-Tunnel oder VLAN-Anhang weiterleiten, der eine Verbindung zu Ihrem VPC-Netzwerk herstellt. Weitere Informationen finden Sie unter Lokales Routing mit Cloud Router.

  • Damit IPv6-Clients in Ihrer lokalen Umgebung über private.googleapis.com oder restricted.googleapis.com auf Google APIs zugreifen können, müssen Sie die Verbindung zu Ihrem VPC-Netzwerk so konfigurieren, dass sie IPv6 unterstützt. Weitere Informationen finden Sie auf den folgenden Seiten:

  • Lokale Clients können Anfragen von beliebigen GUA-IPv6-oder ULA-IPv6-Adressen senden, mit Ausnahme des ULA-Bereichs fda3:e722:ac3:cc00::/64, der für die interne Verwendung reserviert ist.

Berechtigungen

Projektinhaber, -bearbeiter und IAM-Hauptkonten mit der Rolle Netzwerkadministrator können Subnetze erstellen oder aktualisieren und IP-Adressen zuweisen.

Weitere Informationen zu Rollen finden Sie in der Dokumentation zu IAM-Rollen.

Netzwerkkonfiguration

Der private Google-Zugriff für lokale Hosts hat bestimmte Netzwerkanforderungen für lokale Systeme und das VPC-Netzwerk, über welches die lokalen Systeme Traffic an Google APIs und Google-Dienste senden.

Domainoptionen

Für den privaten Google-Zugriff für lokale Hosts müssen Sie Dienste an eine der folgenden speziellen Domains weiterleiten. Die ausgewählte spezielle Domain bestimmt, auf welche Dienste Sie zugreifen können:

Die VIPs private.googleapis.com und restricted.googleapis.com unterstützen nur HTTP-basierte Protokolle über TCP (HTTP, HTTPS und HTTP/2). Alle anderen Protokolle, einschließlich MQTT und ICMP, werden nicht unterstützt.

Domains und IP-Adressbereiche Unterstützte Dienste Nutzungsbeispiel

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64

Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Google Maps, Google Ads, Google Cloud und die meisten anderen Google APIs, einschließlich der folgenden Liste. Unterstützt keine Google Workspace-Webanwendungen wie Gmail und Google Docs. Interaktive Websites werden nicht unterstützt.

Domainnamen, die übereinstimmen:

  • accounts.google.com (nur die für die OAuth-Authentifizierung benötigten Pfade)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io oder *.gcr.io
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev oder *.pkg.dev
  • pki.goog oder *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Mit private.googleapis.com können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen.

Wählen Sie unter folgenden Umständen private.googleapis.com aus:

  • Sie verwenden VPC Service Controls nicht.
  • Sie verwenden VPC Service Controls, müssen aber auch auf Google APIs und Google-Dienste zugreifen, die von VPC Service Controls nicht unterstützt werden. 1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64

Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden.

Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Unterstützt keine Google Workspace APIs oder Google Workspace-Webanwendungen wie Gmail und Google Docs.

Mit restricted.googleapis.com können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen.

Wählen Sie restricted.googleapis.com aus, wenn Sie nur Zugriff auf Google APIs und Google-Dienste benötigen, die von VPC Service Controls unterstützt werden.

Die Domain restricted.googleapis.com erlaubt keinen Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. 1
1Hinweis: Wenn Sie Nutzer auf die Google APIs und Google-Dienste beschränken müssen, die VPC Service Controls unterstützen, verwenden Sie restricted.googleapis.com. Obwohl VPC Service Controls unabhängig von der verwendeten Domain für kompatible und konfigurierte Dienste erzwungen wird, bietet restricted.googleapis.com eine zusätzliche Risikominderung bei der Daten-Exfiltration. Die Verwendung von restricted.googleapis.com verweigert den Zugriff auf Google APIs und Google-Dienste, die nicht von VPC Service Controls unterstützt werden. Weitere Informationen finden Sie in der Dokumentation zu VPC Service Controls unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

IPv6-Unterstützung für private.googleapis.com und restricted.googleapis.com

Die folgenden IPv6-Adressbereiche können verwendet werden, um Traffic von IPv6-Clients an Google APIs und Dienste weiterzuleiten:

  • private.googleapis.com: 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 2600:2d00:0002:1000::/64

Erwägen Sie die Konfiguration der IPv6-Adressen, wenn Sie die Domain private.googleapis.com oder restricted.googleapis.com verwenden möchten, und wenn Sie Clients haben, die IPv6-Adressen verwenden. IPv6-Clients, die auch IPv4-Adressen konfiguriert haben, können mithilfe der IPv4-Adressen Google APIs und Google-Dienste erreichen. Nicht alle Dienste akzeptieren Traffic von IPv6-Clients.

DNS-Konfiguration

In Ihrem lokalen Netzwerk müssen DNS-Zonen und -Einträge konfiguriert sein, damit Google-Domainnamen in den Satz von IP-Adressen für private.googleapis.com oder restricted.googleapis.com aufgelöst werden. Sie können von Cloud DNS verwaltete private Zonen erstellen und eine Cloud DNS-Richtlinie für eingehenden Server verwenden oder lokale Nameserver konfigurieren. Beispielsweise können Sie BIND oder Microsoft Active Directory DNS verwenden.

Im folgenden Abschnitt wird beschrieben, wie Sie mithilfe von DNS-Zonen Pakete an die IP-Adressen senden, die der ausgewählten VIP zugeordnet sind.

Verwenden Sie beim Konfigurieren von DNS-Einträgen für die VIPs nur die in den folgenden Schritten beschriebenen IP-Adressen. Mischen Sie keine Adressen aus den VIPs von private.googleapis.com und restricted.googleapis.com. Dies kann zu gelegentlichen Fehlern führen, da die angebotenen Dienste je nach Ziel des Pakets unterschiedlich sind.

Erstellen Sie eine DNS-Zone und -Einträge für googleapis.com:

  1. Erstellen Sie eine private DNS-Zone für googleapis.com. Ziehen Sie zu diesem Zweck in Betracht, eine private Cloud DNS-Zone zu erstellen.

  2. Erstellen Sie in der Zone googleapis.com je nach ausgewählter Domain die folgenden DNS-Einträge für entweder private.googleapis.com oder restricted.googleapis.com.

    • Für private.googleapis.com:

      1. Erstellen Sie einen A-Eintrag für private.googleapis.com, der auf die folgenden IP-Adressen verweist: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11

      2. Konfigurieren Sie auch eine AAAA-Verbindung für private.googleapis.com, die auf 2600:2d00:0002:2000:: verweist, um eine Verbindung zu APIs über IPv6-Adressen herzustellen.

    • Für restricted.googleapis.com:

      1. Erstellen Sie einen A-Eintrag für restricted.googleapis.com, der auf die folgenden IP-Adressen verweist: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

      2. Erstellen Sie außerdem einen AAAA-Eintrag für restricted.googleapis.com, der auf 2600:2d00:0002:1000:: verweist, um eine Verbindung zu APIs über IPv6-Adressen herzustellen.

    Wenn Sie Cloud DNS verwenden, fügen Sie die Einträge der privaten Zone googleapis.com hinzu.

  3. Erstellen Sie in der Zone googleapis.com einen CNAME-Eintrag für *.googleapis.com, der auf die von Ihnen konfigurierte Domain verweist: private.googleapis.com oder restricted.googleapis.com.

Einige Google APIs und Google-Dienste werden mit zusätzlichen Domainnamen bereitgestellt, darunter *.gcr.io, *.gstatic.com, *.pkg.dev, pki.goog und *.run.app. In der Tabelle der Domain- und IP-Adressbereiche in den Domainoptionen erfahren Sie, ob die Dienste der zusätzlichen Domain über private.googleapis.com oder restricted.googleapis.com aufgerufen werden können. Gehen Sie anschließend für jede der zusätzlichen Domains so vor:

  1. Erstellen Sie eine DNS-Zone für DOMAIN (z. B. gcr.io). Wenn Sie Cloud DNS verwenden, muss sich diese Zone im selben Projekt wie Ihre private Zone googleapis.com befinden.

  2. Erstellen Sie in der Zone je nach ausgewählter Domain die folgenden DNS-Einträge für entwederprivate.googleapis.com oder restricted.googleapis.com.

    • Für private.googleapis.com:

      1. Erstellen Sie einen A-Eintrag für DOMAIN, der auf die folgenden IP-Adressen verweist: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11

      2. Erstellen Sie außerdem einen AAAA-Eintrag für DOMAIN, der auf 2600:2d00:0002:2000:: verweist, um eine Verbindung zu APIs über IPv6-Adressen herzustellen.

    • Für restricted.googleapis.com:

      1. Erstellen Sie einen A-Eintrag für DOMAIN, der auf die folgenden IP-Adressen verweist: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

      2. Erstellen Sie außerdem einen AAAA-Eintrag für restricted.googleapis.com, der auf 2600:2d00:0002:1000:: verweist, um eine Verbindung zu APIs über IPv6-Adressen herzustellen.

  3. Erstellen Sie in der Zone DOMAIN einen CNAME-Eintrag für *.DOMAIN, der auf DOMAIN verweist. Erstellen Sie beispielsweise einen CNAME-Eintrag für *.gcr.io, der auf gcr.io verweist.

Wenn Sie die DNS-Konfiguration mithilfe von Cloud DNS implementiert haben, müssen Sie lokale Systeme konfigurieren, damit sie Abfragen an Ihre von Cloud DNS verwalteten privaten Zonen senden können:

  • Erstellen Sie eine Serverrichtlinie für eingehenden Traffic in dem VPC-Netzwerk, zu dem Ihr lokales Netzwerk eine Verbindung herstellt.
  • Identifizieren Sie die Weiterleitungs-Einstiegspunkte für eingehenden Traffic in den Regionen, in denen sich Ihre Cloud VPN-Tunnel und VLAN-Anhänge befinden, in dem VPC-Netzwerk, mit dem sich Ihr lokales Netzwerk verbindet.
  • Konfigurieren Sie lokale Systeme und lokale DNS-Nameserver für die Weiterleitung von googleapis.com und aller zusätzlichen Domainnamen an einen Weiterleitungs-Einstiegspunkt für eingehenden Traffic in derselben Region wie der Cloud VPN-Tunnel oder VLAN-Anhang, der eine Verbindung zum VPC-Netzwerk herstellt.

VPC-Netzwerkrouting

Das VPC-Netzwerk, mit dem Ihr lokales Netzwerk eine Verbindung herstellt, muss Routen für die IP-Adressbereiche haben, die von private.googleapis.com oder restricted.googleapis.com verwendet werden. Für diese Routen muss der nächste Hop des Standard-Internetgateways verwendet werden.

Google veröffentlicht im Internet keine Routen für die IP-Adressbereiche, die von den Domains private.googleapis.com oder restricted.googleapis.com verwendet werden. Obwohl die Routen im VPC-Netzwerk Traffic an den Standard-Internetgateway als nächsten Hop senden, bleiben an diese IP-Adressbereiche gesendete Pakete im Google-Netzwerk.

Wenn das VPC-Netzwerk, mit dem sich Ihr lokales Netzwerk verbindet, eine Standardroute enthält, deren nächster Hop das Standard-Internetgateway ist, erfüllt diese Route die Routinganforderungen für den privaten Google-Zugriff für lokale Hosts.

Benutzerdefiniertes VPC-Netzwerkrouting

Wenn Sie die Standardroute ersetzt oder geändert haben, müssen Sie benutzerdefinierte statische Routen für die von private.googleapis.com oder restricted.googleapis.com verwendeten Ziel-IP-Bereiche konfiguriert haben. Führen Sie die folgenden Schritte aus, um die Konfiguration von benutzerdefinierten Routen für Google APIs und Google-Dienste in einem bestimmten Netzwerk zu prüfen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Routen auf.

    Zur Seite „Routes“

  2. Verwenden Sie das Textfeld Tabelle filtern, um die Liste der Routen anhand der folgenden Kriterien zu filtern. Ersetzen Sie dabei NETWORK_NAME durch den Namen des VPC-Netzwerks, mit dem sich Ihr lokales Netzwerk verbindet:

    • Netzwerk: NETWORK_NAME
    • Nächster Hop-Typ: default internet gateway

  3. Sehen Sie sich für jede Route die Spalte Ziel-IP-Bereich an. Suchen Sie nach einer Route, deren Zielbereich folgenden Werten entspricht:

    • 199.36.153.8/30, wenn Sie private.googleapis.com ausgewählt haben
    • 199.36.153.4/30, wenn Sie restricted.googleapis.com ausgewählt haben

gcloud

Verwenden Sie den folgenden gcloud-Befehl und ersetzen Sie dabei NETWORK_NAME durch den Namen des VPC-Netzwerks, mit dem Ihr lokales Netzwerk eine Verbindung herstellt:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Routen werden im Tabellenformat aufgelistet, sofern Sie den Befehl nicht mit dem Flag --format anpassen. Suchen Sie in der Spalte DEST_RANGE nach einer Route, deren Zielbereich folgenden Werten entspricht:

  • 199.36.153.8/30, wenn Sie private.googleapis.com ausgewählt haben
  • 199.36.153.4/30, wenn Sie restricted.googleapis.com ausgewählt haben

Informationen zum Erstellen von Routen in Ihrem VPC-Netzwerk finden Sie unter Statische Route hinzufügen.

Lokales Routing mit Cloud Router

Routen in Ihrem lokalen Netzwerk müssen so konfiguriert sein, dass der Traffic für die IP-Adressbereiche der Domains private.googleapis.com oder restricted.googleapis.com an die nächsten Hop-Cloud VPN-Tunnel oder VLAN-Anhänge, die eine Verbindung zu Ihrem VPC-Netzwerk herstellen, weitergeleitet wird.

Sie können die Cloud Router-Funktion „Custom Route Advertisement” verwenden, um Routen für die IP-Bereiche anzukündigen, die von den Domains private.googleapis.com und restricted.googleapis.com verwendet werden.

IPv6-Routen werden nur in BGP-Sitzungen beworben, in denen IPv6 aktiviert ist.

Console

So aktualisieren Sie den Route Advertisement-Modus für alle BGP-Sitzungen auf einem Cloud Router, außer in den BGP-Sitzungen, die benutzerdefiniertes BGP-Advertising verwenden:

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Routers.

    Zu "Cloud Router"

  2. Wählen Sie den Cloud Router aus, der BGP-Sitzungen für die Cloud VPN-Tunnel oder VLAN-Anhänge verwaltet, die Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbinden.

  3. Wählen Sie auf der Detailseite des Cloud Routers Bearbeiten aus.

  4. Erweitern Sie den Abschnitt Beworbene Routen.

  5. Wählen Sie für Routen die Option Benutzerdefinierte Routen erstellen aus.

  6. Wenn Sie alle für den Cloud Router verfügbaren Subnetzrouten anbieten möchten, wählen Sie Alle für den Cloud Router sichtbaren Subnetze anbieten aus. Mit dieser Einstellung wird die Standardkonfiguration in Ihre benutzerdefinierte Konfiguration repliziert.

  7. Gehen Sie für jede angebotene Route, die Sie hinzufügen möchten, so vor:

    1. Wählen Sie Benutzerdefinierte Route hinzufügen aus.
    2. Wählen Sie unter Quelle die Option Benutzerdefinierter IP-Bereich aus.
    3. Geben Sie unter IP-Adressbereich einen der Bereiche ein, die Sie verwenden möchten:
      • Wenn Sie private.googleapis.com verwenden:
        • Für IPv4-Verbindungen: 199.36.153.8/30
        • Für IPv6-Verbindungen: 2600:2d00:0002:2000::/64
      • Wenn Sie restricted.googleapis.com verwenden:
        • Für IPv4-Verbindungen: 199.36.153.4/30
        • Für IPv6-Verbindungen: 2600:2d00:0002:1000::/64
    4. Klicken Sie auf Fertig.

  8. Wenn Sie keine weiteren Routen hinzufügen möchten, klicken Sie auf Speichern.

So aktualisieren Sie den Route Advertisement-Modus für eine bestimmte BGP-Sitzung:

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Routers.

    Zu "Cloud Router"

  2. Wählen Sie den Cloud Router aus, der die BGP-Sitzung für einen Cloud VPN-Tunnel oder einen VLAN-Anhang verwaltet, der Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbindet.

  3. Klicken Sie auf der Detailseite des Cloud Routers auf die zu aktualisierende BGP-Sitzung.

  4. Klicken Sie auf der Seite mit den BGP-Sitzungsdetails auf Bearbeiten.

  5. Wählen Sie für Routen die Option Benutzerdefinierte Routen erstellen aus.

  6. Wählen Sie Alle für den Cloud Router sichtbaren Subnetze anbieten aus, um alle für den Cloud Router verfügbaren Subnetzrouten anzubieten, wenn Sie das Standardverhalten des Cloud Routers wünschen.

  7. Gehen Sie für jede angebotene Route, die Sie hinzufügen möchten, so vor:

    1. Wählen Sie Benutzerdefinierte Route hinzufügen aus.
    2. Wählen Sie unter Quelle die Option Benutzerdefinierter IP-Bereich aus.
    3. Geben Sie unter IP-Adressbereich einen der Bereiche ein, die Sie verwenden möchten:
      • Wenn Sie private.googleapis.com verwenden:
        • Für IPv4-Verbindungen: 199.36.153.8/30
        • Für IPv6-Verbindungen: 2600:2d00:0002:2000::/64
      • Wenn Sie restricted.googleapis.com verwenden:
        • Für IPv4-Verbindungen: 199.36.153.4/30
        • Für IPv6-Verbindungen: 2600:2d00:0002:1000::/64
    4. Klicken Sie auf Fertig.

  8. Wenn Sie keine weiteren Routen hinzufügen möchten, klicken Sie auf Speichern.

gcloud

  1. Ermitteln Sie den Namen und die Region des Cloud Routers, der BGP-Sitzungen in den Cloud VPN-Tunneln oder VLAN-Anhängen verwaltet, die Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbinden.

  2. Verwenden Sie compute routers update, um den Route Advertisement-Modus in allen BGP-Sitzungen des Cloud Routers zu aktualisieren, außer in den BGP-Sitzungen, die selbst benutzerdefiniertes BGP-Advertising verwenden:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Sie können neue Advertising-Bereiche anhängen, wenn Sie bereits den Advertisement-Modus CUSTOM für den Cloud Router verwenden. Dadurch wird der Route Advertisement-Modus in allen BGP-Sitzungen des Cloud Routers aktualisiert, außer in den BGP-Sitzungen, die selbst benutzerdefiniertes BGP-Advertising verwenden:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES

  3. Alternativ können Sie mit compute routers update-bgp-peer einen bestimmten BGP-Peer auf dem Cloud Router konfigurieren:

    Wenn Sie benutzerdefinierte IPv6-Bereiche hinzufügen und IPv6-Traffic für die BGP-Sitzung deaktiviert ist, können Sie ihn mit dem Flag --enable-ipv6 aktivieren. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Sie können neue Advertising-Bereiche anhängen, wenn Sie bereits den Advertisement-Modus CUSTOM für eine BGP-Sitzung auf einem Cloud Router verwenden.

    Wenn Sie benutzerdefinierte IPv6-Bereiche hinzufügen und IPv6-Traffic für die BGP-Sitzung deaktiviert ist, können Sie ihn mit dem Flag --enable-ipv6 aktivieren. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES

    Ersetzen Sie in den obigen Befehlen Folgendes durch gültige Werte:

    • ROUTER_NAME: Name des Cloud Routers
    • REGION: Region des Cloud Routers
    • PEER_NAME: Name des BGP-Peers, der konfiguriert wurde, wenn Sie einen VLAN-Anhang für Dedicated Interconnect erstellt haben, wenn Sie einen VLAN-Anhang für Partner Interconnect erstellt haben, wenn Sie einen HA VPN-Tunnel erstellt haben oder wenn Sie einen klassischen VPN-Tunnel mit dynamischem Routing erstellt haben.
    • Verlassen Sie --set-advertisement-groups=ALL_SUBNETS, um alle für den Cloud Router verfügbaren Subnetzrouten anzubieten. Dies ist das Standardverhalten des Cloud Routers.
    • CUSTOM_RANGES: Eine durch Kommas getrennte Liste benutzerdefinierter Bereiche, die angeboten werden sollen.
      • Für private.googleapis.com:
        • Für IPv4-Verbindungen: 199.36.153.8/30
        • Sowohl für IPv4- als auch für IPv6-Verbindungen: 199.36.153.8/30,2600:2d00:0002:2000::/64
      • Für restricted.googleapis.com:
        • Für IPv4-Verbindungen: 199.36.153.4/30
        • Sowohl für IPv4- als auch für IPv6-Verbindungen: 199.36.153.4/30,2600:2d00:0002:1000::/64

Hinweise zur Firewall

Google Cloud-Firewallregeln im VPC-Netzwerk, mit dem Ihr lokales Netzwerk eine Verbindung herstellt, haben keine Auswirkungen auf Folgendes:

  • Pakete, die über einen Cloud VPN-Tunnel gesendet werden, der mit dem VPC-Netzwerk verbunden ist
  • Pakete, die über einen VLAN-Anhang gesendet werden, der mit dem VPC-Netzwerk verbunden ist
  • Eingehende Pakete an Cloud DNS-Weiterleitungs-IP-Adressen für eingehenden Traffic im VPC-Netzwerk

Sie sollten dafür sorgen, dass die Firewallkonfiguration lokaler Systeme ausgehenden Traffic und eingehende Antworten von den entsprechenden IP-Adressen zulässt:

  • Wenn Sie private.googleapis.com verwenden:
    • Für IPv4-Verbindungen: 199.36.153.8/30
    • Für IPv6-Verbindungen: 2600:2d00:0002:2000::/64
  • Wenn Sie restricted.googleapis.com verwenden:
    • Für IPv4-Verbindungen: 199.36.153.4/30
    • Für IPv6-Verbindungen: 2600:2d00:0002:1000::/64
  • Alle Cloud DNS-Weiterleitungs-IP-Adressen für eingehenden Traffic, wenn Sie Cloud DNS für die DNS-Konfiguration verwenden

Nächste Schritte