Configurez l'accès privé à Google pour les hôtes sur site.
L'Accès privé à Google pour les hôtes sur site permet aux systèmes sur site de se connecter aux API et services Google en acheminant le trafic via un tunnel Cloud VPN ou un rattachement de VLAN pour Cloud Interconnect. L'Accès privé à Google pour les hôtes sur site est une alternative à la connexion aux API et services Google via Internet.
Ce document explique comment activer l'Accès privé à Google pour les hôtes sur site.
Spécifications et exigences
L'Accès privé à Google pour les hôtes sur site présente les exigences suivantes :
L'Accès privé à Google n'active pas automatiquement les API. Vous devez activer séparément les API Google dont vous avez besoin via la page API et services de la console Google Cloud.
Vous devez diriger le trafic des API et services Google envoyé par les systèmes sur site vers les adresses IP associées aux noms de domaine spéciaux
private.googleapis.com
ourestricted.googleapis.com
. Pour plus d'informations sur les services accessibles sur chaque domaine, consultez la section Options de domaine.Votre réseau sur site doit être connecté à un réseau VPC à l'aide de tunnels Cloud VPN ou de rattachements de VLAN.
Le réseau VPC auquel votre réseau sur site est connecté doit disposer de routes appropriées pour les plages d'adresses IP de destination
private.googleapis.com
ourestricted.googleapis.com
. Pour plus d'informations, consultez la section Routage du réseau VPC.Le réseau VPC auquel votre réseau sur site est connecté doit disposer de routes appropriées pour atteindre le réseau sur site. Les tunnels Cloud VPN ou rattachements de VLAN définis pour le saut suivant, qui se connectent à votre réseau sur site pour ces routes, doivent se trouver dans la même région que celle où a été émise la requête. Si le saut suivant se trouve dans une région différente de celle d'où provient la requête d'Accès privé à Google, la réponse de l'Accès privé à Google ne va pas atteindre le réseau sur site.
Votre réseau sur site doit disposer de routes pour les plages d'adresses IP de destination
private.googleapis.com
ourestricted.googleapis.com
. Ces routes doivent diriger le trafic vers le tunnel Cloud VPN ou le rattachement de VLAN approprié qui se connecte à votre réseau VPC. Pour plus d'informations, consultez la section Routage sur site avec Cloud Router.Pour permettre aux clients IPv6 de votre environnement sur site d'accéder aux API Google à l'aide de
private.googleapis.com
ou derestricted.googleapis.com
, vous devez configurer la connexion à votre réseau VPC afin qu'elle prenne en charge le protocole IPv6. Pour en savoir plus, consultez les pages suivantes :Les clients sur site peuvent envoyer des requêtes à partir de n'importe quelle adresse IPv6 GUA ou ULA, à l'exception de la plage ULA
fda3:e722:ac3:cc00::/64
, qui est réservée à un usage interne.
Autorisations
Les propriétaires de projet, les collaborateurs et les entités principales IAM dotées du rôle d'administrateur réseau peuvent créer ou mettre à jour des sous-réseaux et attribuer des adresses IP.
Pour en savoir plus sur les rôles, consultez la documentation sur les rôles IAM.
Configuration du réseau
L'Accès privé à Google pour les hôtes sur site impose des exigences réseau spécifiques pour les systèmes sur site et pour le réseau VPC utilisé par les systèmes sur site pour envoyer du trafic aux API et services Google.
Options de domaine
L'Accès privé à Google pour les hôtes sur site nécessite que vous dirigiez les services vers l'un des domaines spéciaux suivants. Le domaine spécial que vous choisissez détermine les services auxquels vous pouvez accéder.
Les adresses IP virtuelles private.googleapis.com
et restricted.googleapis.com
n'acceptent que les protocoles basés sur HTTP via TCP (HTTP, HTTPS et HTTP/2). Tous les autres protocoles, y compris MQTT et ICMP, ne sont pas compatibles.
Plages de domaines et d'adresses IP | Services compatibles | Exemple d'utilisation |
---|---|---|
|
Autorise l'accès API à la plupart des API et services Google, qu'ils soient ou non compatibles avec VPC Service Controls. Inclut l'accès API à Google Maps, Google Ads, Google Cloud et à la plupart des autres API Google, y compris la liste suivante. Non compatible avec les applications Web Google Workspace, telles que Gmail et Google Docs. Non compatible avec les sites Web interactifs. Noms de domaine correspondant à :
|
Utilisez Choisissez
|
|
Autorise l'accès API aux API et services Google compatibles avec VPC Service Controls. Bloque l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Non compatible avec les API Google Workspace ni avec les applications Web Google Workspace telles que Gmail et Google Docs. |
Utilisez Choisissez Le domaine |
restricted.googleapis.com
. Bien que VPC Service Controls s'applique aux services compatibles et configurés, quel que soit le domaine que vous utilisez, restricted.googleapis.com
offre une atténuation des risques supplémentaire pour l'exfiltration de données. Utiliser restricted.googleapis.com
permet de refuser l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Pour en savoir plus, consultez la page Configurer une connectivité privée dans la documentation VPC Service Controls.
Prise en charge IPv6 pour private.googleapis.com
et restricted.googleapis.com
Les plages d'adresses IPv6 suivantes peuvent être utilisées pour diriger le trafic des clients IPv6 vers les API et les services Google :
private.googleapis.com
:2600:2d00:0002:2000::/64
restricted.googleapis.com
:2600:2d00:0002:1000::/64
Envisagez de configurer les adresses IPv6 si vous souhaitez utiliser les domaines private.googleapis.com
ou restricted.googleapis.com
, et que vous indiquez à vos clients d'utiliser des adresses IPv6. Les clients IPv6 disposant également d'adresses IPv4 configurées peuvent accéder aux API et services Google à l'aide des adresses IPv4. Certains services n'acceptent pas le trafic provenant de clients IPv6.
Configuration DNS
Votre réseau sur site doit comporter des zones et enregistrements DNS configurés pour que les noms de domaine Google correspondent à l'ensemble d'adresses IP de private.googleapis.com
ou de restricted.googleapis.com
. Vous pouvez créer des zones gérées privées de Cloud DNS et utiliser une règle de serveur entrant Cloud DNS, ou configurer des serveurs de noms sur site. Par exemple, vous pouvez utiliser BIND ou le système DNS dans Microsoft Active Directory.
La section suivante décrit comment utiliser des zones DNS pour envoyer des paquets aux adresses IP associées à l'adresse IP virtuelle choisie. Suivez les instructions pour tous les scénarios qui vous concernent :
- Si vous utilisez des services dont les noms de domaine sont
*.googleapis.com
, consultez la section Configurer le DNS pourgoogleapis.com
. Si vous utilisez des services avec d'autres noms de domaine, consultez la section Configurer le DNS pour d'autres domaines.
Par exemple, si vous utilisez Google Kubernetes Engine (GKE), vous devez également configurer
*.gcr.io
et*.pkg.dev
. Si vous utilisez Cloud Run, vous devez configurer*.run.app
.Si vous utilisez des buckets Cloud Storage et que vous envoyez des requêtes à un nom de domaine personnalisé Cloud Storage, consultez la page Configurer le DNS pour les noms de domaine personnalisés Cloud Storage.
Si vous mettez en œuvre la configuration DNS à l'aide de Cloud DNS, consultez la section Configurer le DNS pour les systèmes sur site.
Lorsque vous configurez des enregistrements DNS pour les adresses IP virtuelles, utilisez uniquement les adresses IP décrites dans les étapes suivantes. Ne combinez pas les adresses des adresses IP virtuelles private.googleapis.com
et restricted.googleapis.com
. Cela peut entraîner des défaillances intermittentes, car les services proposés diffèrent en fonction de la destination d'un paquet.
Configurer le DNS pour googleapis.com
Créez une zone et des enregistrements DNS pour googleapis.com
:
- Créez une zone DNS privée pour
googleapis.com
. Envisagez de créer une zone privée Cloud DNS à cette fin. Dans la zone
googleapis.com
, créez les enregistrements DNS privés suivants pourprivate.googleapis.com
ou pourrestricted.googleapis.com
, selon le domaine que vous avez choisi d'utiliser.Pour
private.googleapis.com
:Créez un enregistrement
A
pourprivate.googleapis.com
pointant vers les adresses IP suivantes :199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
.Pour vous connecter à des API à l'aide d'adresses IPv6, configurez également pour
private.googleapis.com
un enregistrementAAAA
qui pointe vers2600:2d00:0002:2000::
.
Pour
restricted.googleapis.com
:Créez un enregistrement
A
pourrestricted.googleapis.com
pointant vers les adresses IP suivantes :199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
.Pour vous connecter à des API à l'aide d'adresses IPv6, créez également pour
restricted.googleapis.com
un enregistrementAAAA
qui pointe vers2600:2d00:0002:1000::
.
Pour créer des enregistrements DNS privés dans Cloud DNS, consultez la section Ajouter un enregistrement.
Dans la zone
googleapis.com
, créez un enregistrementCNAME
pour*.googleapis.com
qui pointe vers le domaine que vous avez configuré :private.googleapis.com
ourestricted.googleapis.com
.
Configurer le DNS pour les autres domaines
Certains services et API Google sont fournis à l'aide de noms de domaine supplémentaires, parmi lesquels *.gcr.io
, *.gstatic.com
, *.pkg.dev
, pki.goog
et *.run.app
.
Reportez-vous au tableau des domaines et plages d'adresses IP dans la section Options de domaine pour déterminer si les services du domaine supplémentaire sont accessibles via private.googleapis.com
ou restricted.googleapis.com
. Ensuite, procédez comme suit pour chacun des domaines supplémentaires :
Créez une zone DNS pour
DOMAIN
(par exemple,gcr.io
). Si vous utilisez Cloud DNS, assurez-vous que cette zone se trouve dans le même projet que votre zone privéegoogleapis.com
.Dans cette zone DNS, créez les enregistrements DNS suivants pour
private.googleapis.com
ou pourrestricted.googleapis.com
, selon le domaine que vous avez choisi d'utiliser.Pour
private.googleapis.com
:Créez un enregistrement
A
pourDOMAIN
pointant vers les adresses IP suivantes :199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
.Pour vous connecter à des API à l'aide d'adresses IPv6, créez également pour
DOMAIN
un enregistrementAAAA
qui pointe vers2600:2d00:0002:2000::
.
Pour
restricted.googleapis.com
:Créez un enregistrement
A
pourDOMAIN
pointant vers les adresses IP suivantes :199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
.Pour vous connecter à des API à l'aide d'adresses IPv6, créez également pour
restricted.googleapis.com
un enregistrementAAAA
qui pointe vers2600:2d00:0002:1000::
.
Dans la zone
DOMAIN
, créez pour*.DOMAIN
un enregistrementCNAME
qui pointe versDOMAIN
. Par exemple, créez pour*.gcr.io
un enregistrementCNAME
qui pointe versgcr.io
.
Configurer le DNS pour les noms de domaine personnalisés Cloud Storage
Si vous utilisez des buckets Cloud Storage et que vous envoyez des requêtes à un nom de domaine personnalisé Cloud Storage, le fait de configurer les enregistrements DNS de sorte que le nom de domaine Cloud Storage personnalisé pointe vers les adresses IP de private.googleapis.com
ou restricted.googleapis.com
ne suffit pas à autoriser l'accès aux buckets Cloud Storage.
Si vous souhaitez envoyer des requêtes à un nom de domaine personnalisé Cloud Storage, vous devez également définir explicitement l'en-tête d'hôte et le SNI TLS de la requête HTTP sur storage.googleapis.com
. Les adresses IP de private.googleapis.com
et de restricted.googleapis.com
ne sont pas compatibles avec les noms d'hôte Cloud Storage personnalisés dans les en-têtes d'hôte et les SNI TLS des requêtes HTTP.
Configurer le DNS pour les systèmes sur site
Si vous avez mis en œuvre la configuration DNS à l'aide de Cloud DNS, vous devez configurer des systèmes sur site pour qu'ils puissent envoyer des requêtes à vos zones gérées privées Cloud DNS :
- Créez une règle de serveur entrant dans le réseau VPC auquel votre réseau sur site se connecte.
- Identifiez les points d'entrée du système de transfert entrant dans la ou les régions où se trouvent vos tunnels Cloud VPN et vos rattachements de VLAN, dans le réseau VPC auquel votre réseau sur site se connecte.
- Configurez des systèmes sur site et des serveurs de noms DNS sur site pour transférer
googleapis.com
et tous les noms de domaine supplémentaires vers un point d'entrée du système de transfert entrant, situé dans la même région que le tunnel Cloud VPN ou le rattachement de VLAN qui se connecte au réseau VPC.
Routage du réseau VPC
Le réseau VPC auquel votre réseau sur site se connecte doit disposer de routes pour les plages d'adresses IP utilisées par private.googleapis.com
ou restricted.googleapis.com
. Ces routes doivent utiliser le saut suivant de la passerelle Internet par défaut.
Google ne publie pas de routes sur Internet pour les plages d'adresses IP utilisées par les domaines private.googleapis.com
ou restricted.googleapis.com
.
Par conséquent, même si les routes du réseau VPC envoient du trafic vers la passerelle Internet par défaut en tant que prochain saut, les paquets envoyés à ces plages d'adresses IP restent dans le réseau de Google.
Si le réseau VPC auquel votre réseau sur site se connecte contient une route par défaut dont le saut suivant est la passerelle Internet par défaut, cette route répond aux exigences de routage de l'Accès privé à Google pour les hôtes sur site.
Routage personnalisé du réseau VPC
Si vous avez remplacé ou modifié votre route par défaut, assurez-vous d'avoir configuré des routes statiques personnalisées pour les plages d'adresses IP de destination utilisées par private.googleapis.com
ou restricted.googleapis.com
. Suivez ces instructions pour vérifier la configuration des routes personnalisées pour les API et services Google d'un réseau donné.
Console
Dans la console Google Cloud, accédez à la page Routes.
Utilisez le champ de texte Filtrer le tableau pour filtrer la liste des routes à l'aide des critères suivants, en remplaçant
NETWORK_NAME
par le nom du réseau VPC auquel votre réseau sur site se connecte :- Réseau :
NETWORK_NAME
- Type du saut suivant :
default internet gateway
- Réseau :
Examinez la colonne Plage d'adresses IP de destination pour chaque route. Recherchez une route dont la plage de destination correspond à :
199.36.153.8/30
si vous avez choisiprivate.googleapis.com
199.36.153.4/30
si vous avez choisirestricted.googleapis.com
gcloud
Utilisez la commande gcloud
suivante, en remplaçant NETWORK_NAME
par le nom du réseau VPC auquel votre réseau sur site se connecte :
gcloud compute routes list \ --filter="default-internet-gateway NETWORK_NAME"
Les routes sont répertoriées sous forme de tableau, sauf si vous personnalisez la commande avec l'option --format
. Dans la colonne DEST_RANGE
, recherchez une route dont la plage de destination correspond à :
199.36.153.8/30
si vous avez choisiprivate.googleapis.com
199.36.153.4/30
si vous avez choisirestricted.googleapis.com
Si vous devez créer des routes dans votre réseau VPC, consultez la section Ajouter une route statique.
Effectuer un routage sur site avec Cloud Router
Les routes de votre réseau sur site doivent être configurées pour diriger le trafic des plages d'adresses IP utilisées par les domaines private.googleapis.com
ou restricted.googleapis.com
vers les tunnels Cloud VPN ou les rattachements de VLAN de saut suivant qui se connectent à votre réseau VPC.
Vous pouvez utiliser des annonces de routage personnalisées Cloud Router pour annoncer des routes pour les plages d'adresses IP utilisées par les domaines private.googleapis.com
et restricted.googleapis.com
.
Les routes IPv6 ne sont annoncées que dans les sessions BGP où IPv6 est activé.
Console
Pour mettre à jour le mode d'annonce de routage pour toutes les sessions BGP sur un routeur cloud, à l'exception des sessions BGP utilisant des annonces BGP personnalisées, procédez comme suit :
Dans Google Cloud Console, accédez à la page Routeurs cloud.
Sélectionnez le routeur cloud qui gère les sessions BGP pour les tunnels Cloud VPN ou les rattachements de VLAN qui connectent votre réseau sur site à votre réseau VPC.
Sur la page d'informations du routeur cloud, sélectionnez Modifier.
Développez la section Routages annoncés.
Dans le champ Routes, sélectionnez Créer des routages personnalisés.
Si vous souhaitez annoncer toutes les routes de sous-réseau disponibles pour le routeur Cloud Router, sélectionnez Diffuser tous les sous-réseaux visibles pour le routeur Cloud Router. Ce paramètre réplique la configuration par défaut sur votre configuration personnalisée.
Pour chaque route annoncée que vous souhaitez ajouter, procédez comme suit :
- Sélectionnez Ajouter une route personnalisée.
- Dans Source, sélectionnez Plage d'adresses IP personnalisée.
- Pour Plage d'adresses IP, saisissez l'une des plages que vous souhaitez utiliser :
- Si vous utilisez
private.googleapis.com
:- Pour la connectivité IPv4 :
199.36.153.8/30
- Pour la connectivité IPv6 :
2600:2d00:0002:2000::/64
- Pour la connectivité IPv4 :
- Si vous utilisez
restricted.googleapis.com
:- Pour la connectivité IPv4 :
199.36.153.4/30
- Pour la connectivité IPv6 :
2600:2d00:0002:1000::/64
- Pour la connectivité IPv4 :
- Si vous utilisez
- Cliquez sur OK.
Après avoir ajouté les routages, sélectionnez Enregistrer.
Pour mettre à jour le mode d'annonce de routage pour une session BGP particulière, procédez comme suit :
Dans Google Cloud Console, accédez à la page Routeurs cloud.
Sélectionnez le routeur cloud qui gère la session BGP pour un tunnel Cloud VPN ou un rattachement de VLAN qui connecte votre réseau sur site à votre réseau VPC.
Sur la page d'informations du routeur cloud, sélectionnez la session BGP à mettre à jour.
Sur la page d'informations de la session BGP, cliquez sur Modifier.
Dans le champ Routes, sélectionnez Créer des routes personnalisées.
Sélectionnez Diffuser tous les sous-réseaux visibles par Cloud Router pour annoncer toutes les routes de sous-réseau disponibles pour le routeur cloud (si vous souhaitez définir le comportement par défaut du routeur cloud).
Pour chaque route annoncée que vous souhaitez ajouter, procédez comme suit :
- Sélectionnez Ajouter une route personnalisée.
- Dans Source, sélectionnez Plage d'adresses IP personnalisée.
- Pour Plage d'adresses IP, saisissez l'une des plages que vous souhaitez utiliser :
- Si vous utilisez
private.googleapis.com
:- Pour la connectivité IPv4 :
199.36.153.8/30
- Pour la connectivité IPv6 :
2600:2d00:0002:2000::/64
- Pour la connectivité IPv4 :
- Si vous utilisez
restricted.googleapis.com
:- Pour la connectivité IPv4 :
199.36.153.4/30
- Pour la connectivité IPv6 :
2600:2d00:0002:1000::/64
- Pour la connectivité IPv4 :
- Si vous utilisez
- Cliquez sur OK.
Après avoir ajouté les routages, sélectionnez Enregistrer.
gcloud
Identifiez le nom et la région du routeur cloud qui gère les sessions BGP sur les tunnels Cloud VPN ou les rattachements de VLAN qui connectent votre réseau sur site à votre réseau VPC.
Utilisez
compute routers update
pour mettre à jour le mode d'annonce de routage sur toutes les sessions BGP du routeur cloud, à l'exception des sessions BGP utilisant des annonces BGP personnalisées :gcloud compute routers update ROUTER_NAME \ --region=REGION \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
Vous pouvez ajouter de nouvelles plages d'annonces si vous utilisez déjà le mode d'annonce
CUSTOM
pour le routeur cloud. Cela permet de mettre à jour le mode d'annonce de routage sur toutes les sessions BGP du routeur cloud, à l'exception des sessions BGP utilisant des annonces BGP personnalisées :gcloud compute routers update ROUTER_NAME \ --region=REGION \ --add-advertisement-ranges=CUSTOM_RANGES
Vous pouvez également utiliser
compute routers update-bgp-peer
pour configurer un pair BGP spécifique sur le routeur cloud :Si vous ajoutez des plages personnalisées IPv6 et que le trafic IPv6 est désactivé pour la session BGP, vous pouvez l'activer avec l'option
--enable-ipv6
.gcloud compute routers update-bgp-peer ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
Vous pouvez ajouter de nouvelles plages d'annonces si vous utilisez déjà le mode d'annonce
CUSTOM
pour une session BGP sur un routeur cloud.Si vous ajoutez des plages personnalisées IPv6 et que le trafic IPv6 est désactivé pour la session BGP, vous pouvez l'activer avec l'option
--enable-ipv6
.gcloud compute routers update-bgp-peer ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --add-advertisement-ranges=CUSTOM_RANGES
Dans les commandes ci-dessus, remplacez les éléments suivants par des valeurs valides :
ROUTER_NAME
: nom du routeur cloudREGION
: région du routeur cloudPEER_NAME
: nom du pair BGP configuré lorsque vous créez un rattachement de VLAN pour Dedicated Interconnect, lorsque vous créez un rattachement de VLAN pour Partner Interconnect, lorsque vous créez un tunnel VPN haute disponibilité ou lorsque vous créez un tunnel VPN classique à l'aide du routage dynamique.- Laissez
--set-advertisement-groups=ALL_SUBNETS
vide afin d'annoncer toutes les routes de sous-réseau disponibles pour le routeur cloud. Il s'agit du comportement par défaut du routeur cloud. CUSTOM_RANGES
: liste de plages personnalisées à annoncer, séparées par des virgules.- Pour
private.googleapis.com
:- Pour la connectivité IPv4 :
199.36.153.8/30
- Pour la connectivité IPv4 et IPv6 :
199.36.153.8/30,2600:2d00:0002:2000::/64
- Pour la connectivité IPv4 :
- Pour
restricted.googleapis.com
:- Pour la connectivité IPv4 :
199.36.153.4/30
- Pour la connectivité IPv4 et IPv6 :
199.36.153.4/30,2600:2d00:0002:1000::/64
- Pour la connectivité IPv4 :
- Pour
Considérations concernant le pare-feu
Les règles de pare-feu Google Cloud du réseau VPC auquel votre réseau sur site se connecte n'ont aucun effet sur les éléments suivants :
- Paquets envoyés via un tunnel Cloud VPN connecté au réseau VPC
- Paquets envoyés via un rattachement de VLAN connecté au réseau VPC
- Paquets entrants vers les adresses IP du système de transfert entrant Cloud DNS dans le réseau VPC
Vous devez vous assurer que la configuration du pare-feu des systèmes sur site autorise le trafic sortant vers les adresses IP appropriées et les réponses établies :
- Si vous utilisez
private.googleapis.com
:- Pour la connectivité IPv4 :
199.36.153.8/30
- Pour la connectivité IPv6 :
2600:2d00:0002:2000::/64
- Pour la connectivité IPv4 :
- Si vous utilisez
restricted.googleapis.com
:- Pour la connectivité IPv4 :
199.36.153.4/30
- Pour la connectivité IPv6 :
2600:2d00:0002:1000::/64
- Pour la connectivité IPv4 :
- Toutes les adresses IP du système de transfert entrant Cloud DNS, si vous utilisez Cloud DNS pour la configuration DNS
Étapes suivantes
- Si vous avez besoin de VM dans votre réseau VPC Google Cloud pour accéder aux API et services Google, consultez la page Configurer l'accès privé à Google pour le VPC.