Mengonfigurasi Akses Google Pribadi untuk host lokal
Akses Google Pribadi untuk host lokal menyediakan cara untuk sistem lokal agar terhubung keGoogle API dan layanan Google dengan mengarahkan traffic melalui Cloud VPN tunnel atau lampiran VLAN untuk Cloud Interconnect. Akses Google Pribadi untuk host lokal adalah cara alternatif untuk terhubung ke Google API dan layanan Google melalui internet.
Dokumen ini menjelaskan cara mengaktifkan Akses Google Pribadi untuk host lokal.
jika Anda mengaktifkan mesin Solusi Bare Metal untuk terhubung ke internet.Spesifikasi dan persyaratan
Akses Google Pribadi untuk host lokal memiliki persyaratan berikut:
Akses Google Pribadi tidak secara otomatis mengaktifkan API apa pun. Anda harus mengaktifkan Google API secara terpisah dari halaman API & Layanan di konsol Google Cloud.
Anda harus mengarahkan traffic Google API dan layanan yang dikirim oleh sistem lokal ke alamat IP terkait dengan nama domain khusus
private.googleapis.com
ataurestricted.googleapis.com
. Untuk mengetahui detail tentang layanan yang dapat diakses di setiap domain, lihat Opsi domain.Jaringan lokal Anda harus terhubung ke jaringan VPC menggunakan tunnel Cloud VPN atau lampiran VLAN.
Jaringan VPC yang terhubung ke jaringan lokal Anda harus memiliki rute yang sesuai untuk rentang IP tujuan
private.googleapis.com
ataurestricted.googleapis.com
. Untuk mengetahui detailnya, lihat Perutean jaringan VPC.Jaringan VPC yang terhubung ke jaringan lokal Anda harus memiliki rute yang sesuai untuk menjangkau jaringan lokal. Next Hop tunnel Cloud VPN atau lampiran VLAN yang terhubung ke jaringan lokal untuk rute ini, harus berada dalam region yang sama dengan tempat permintaan berasal. Jika next hop berada di region yang berbeda dengan tempat permintaan ke Akses Google Pribadi berasal, Akses Google Pribadi tidak akan menjangkau jaringan lokal.
Jaringan lokal Anda harus memiliki rute untuk rentang IP tujuan
private.googleapis.com
ataurestricted.googleapis.com
. Rute ini harus mengarahkan traffic ke tunnel Cloud VPN atau lampiran VLAN yang sesuai, yang terhubung ke jaringan VPC Anda. Untuk mengetahui detailnya, lihat pemilihan rute lokal dengan Cloud Router.Agar klien IPv6 di lingkungan lokal Anda dapat mengakses Google API menggunakan
private.googleapis.com
ataurestricted.googleapis.com
, Anda harus mengonfigurasi koneksi ke jaringan VPC untuk mendukung IPv6. Untuk informasi lebih lanjut, lihat halaman berikut:Klien lokal dapat mengirim permintaan dari alamat IPv6 GUA atau ULA mana pun, kecuali untuk rentang ULA
fda3:e722:ac3:cc00::/64
, yang dicadangkan untuk penggunaan internal.
Izin
Pemilik project, editor, dan akun utama IAM dengan peran Admin Jaringan dapat membuat atau memperbarui subnet dan menetapkan alamat IP.
Untuk mengetahui informasi selengkapnya tentang peran, baca dokumentasi peran IAM.
Konfigurasi jaringan
Akses Google Pribadi untuk host lokal memilikipersyaratan jaringan yang spesifik untuk sistem lokal dan jaringan VPC yang digunakan sistem lokal untuk mengirimkan traffic ke Google API dan layanan Google.
Opsi domain
Akses Google Pribadi untuk host lokal mengharuskan Anda mengarahkan layanan ke salah satu domain khusus berikut ini. Domain khusus yang Anda pilih menentukan layanan mana yang dapat Anda akses.
VIP private.googleapis.com
dan restricted.googleapis.com
hanya mendukung
protokol berbasis HTTP melalui TCP (HTTP, HTTPS, dan HTTP/2). Semua protokol lain, termasuk MQTT
dan ICMP, tidak didukung.
Domain dan rentang alamat IP | Layanan yang didukung | Contoh penggunaan |
---|---|---|
|
Memungkinkan akses API ke sebagian besar Google API dan layanan Google terlepas dari apakah keduanya didukung oleh Kontrol Layanan VPC. Mencakup akses API ke Google Maps, Google Ads, Google Cloud, dan sebagian besar Google API lainnya, termasuk di daftar berikut. Tidak mendukung aplikasi web Google Workspace seperti Gmail dan Google Dokumen. Tidak mendukung situs interaktif apa pun. Nama domain yang cocok:
|
Gunakan Pilih
|
|
Mengaktifkan akses API ke Google API dan layanan Google yang didukung oleh Kontrol Layanan VPC. Memblokir akses ke Google API dan layanan Google yang tidak mendukung Kontrol Layanan VPC. Tidak mendukung API Google Workspace atau aplikasi web Google Workspace, seperti Gmail dan Google Docs. |
Gunakan Pilih Domain |
restricted.googleapis.com
, karena menyediakan mitigasi risiko tambahan untuk pemindahan data yang tidak sah. Penggunaan restricted.googleapis.com
akan menolak akses ke
Google API dan layanan Google yang tidak didukung oleh Kontrol Layanan VPC. Lihat
Menyiapkan konektivitas
pribadi dalam dokumentasi Kontrol Layanan VPC untuk mengetahui detail selengkapnya.
Dukungan IPv6 untuk private.googleapis.com
dan restricted.googleapis.com
Rentang alamat IP IPv6 berikut dapat digunakan untuk mengarahkan traffic dari klien IPv6 ke Google API dan layanan Google:
private.googleapis.com
:2600:2d00:0002:2000::/64
restricted.googleapis.com
:2600:2d00:0002:1000::/64
Pertimbangkan untuk mengonfigurasi alamat IPv6 jika Anda ingin menggunakan domain private.googleapis.com
atau restricted.googleapis.com
, dan Anda
memiliki klien yang menggunakan alamat IPv6 juga. Klien IPv6 yang juga telah mengonfigurasi alamat IPv4 dapat menjangkau Google API dan layanan Google menggunakan alamat IPv4. Tidak semua layanan menerima traffic dari
klien IPv6.
Konfigurasi DNS
Jaringan lokal Anda harus memiliki zona dan data DNS yang telah dikonfigurasi sehingga
nama domain Google menghasilkan kumpulan alamat IP untuk
private.googleapis.com
atau restricted.googleapis.com
. Anda dapat membuat
zona pribadi Cloud DNS terkelola dan menggunakan kebijakan server masuk
Cloud DNS, atau Anda juga dapat mengonfigurasi server nama lokal. Misalnya, Anda
dapat menggunakan
BIND atau Microsoft
Active Directory
DNS.
Bagian berikut menjelaskan cara menggunakan zona DNS untuk mengirim paket ke alamat IP yang terkait dengan VIP yang Anda pilih. Ikuti petunjuk untuk semua skenario yang berlaku untuk Anda:
- Jika Anda menggunakan layanan yang memiliki nama domain
*.googleapis.com
, lihat Mengonfigurasi DNS untukgoogleapis.com
. Jika Anda menggunakan layanan yang memiliki nama domain lain, lihat Mengonfigurasi DNS untuk domain lain.
Misalnya, jika menggunakan Google Kubernetes Engine (GKE), Anda juga perlu mengonfigurasi
*.gcr.io
dan*.pkg.dev
, atau jika menggunakan Cloud Run, Anda perlu mengonfigurasi*.run.app
.Jika Anda menggunakan bucket Cloud Storage, dan mengirim permintaan ke nama domain kustom Cloud Storage, lihat Mengonfigurasi DNS untuk nama domain kustom Cloud Storage.
Jika Anda menerapkan konfigurasi DNS menggunakan Cloud DNS, lihat Mengonfigurasi DNS untuk sistem lokal.
Saat mengonfigurasi data DNS untuk VIP, hanya gunakan alamat IP yang
dijelaskan pada langkah berikut. Jangan mencampur alamat dari
VIP private.googleapis.com
dan restricted.googleapis.com
. Hal ini dapat
menyebabkan kegagalan berkala karena layanan yang ditawarkan berbeda
berdasarkan tujuan paket.
Mengonfigurasi DNS untuk googleapis.com
Membuat zona dan data DNS untuk googleapis.com
:
- Membuat zona DNS pribadi untuk
googleapis.com
. Pertimbangkan untuk membuat zona pribadi Cloud DNS untuk tujuan ini. Di zona
googleapis.com
, buat data DNS pribadi berikut untukprivate.googleapis.com
ataurestricted.googleapis.com
, bergantung pada domain yang Anda pilih untuk digunakan.Untuk
private.googleapis.com
:Buat data
A
untukprivate.googleapis.com
yang mengarah ke alamat IP berikut:199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
.Untuk terhubung ke API menggunakan alamat IPv6, konfigurasikan juga data
AAAA
untukprivate.googleapis.com
yang mengarah ke2600:2d00:0002:2000::
.
Untuk
restricted.googleapis.com
:Buat data
A
untukrestricted.googleapis.com
yang mengarah ke alamat IP berikut:199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
.Agar terhubung ke API menggunakan alamat IPv6, buat juga data
AAAA
untukrestricted.googleapis.com
yang mengarah ke2600:2d00:0002:1000::
.
Untuk membuat data DNS pribadi di Cloud DNS, lihat menambahkan data.
Di zona
googleapis.com
, buat dataCNAME
untuk*.googleapis.com
yang mengarah ke domain yang telah Anda konfigurasi:private.googleapis.com
ataurestricted.googleapis.com
.
Mengonfigurasi DNS untuk domain lain
Beberapa Google API dan layanan Google disediakan menggunakan nama domain tambahan,
termasuk *.gcr.io
, *.gstatic.com
, *.pkg.dev
, pki.goog
, dan *.run.app
.
Lihat tabel domain dan rentang alamat IP di Opsi domain
untuk menentukan apakah layanan domain tambahan dapat diakses menggunakan private.googleapis.com
atau restricted.googleapis.com
. Kemudian, untuk setiap domain tambahan:
Buat zona DNS untuk
DOMAIN
(misalnya,gcr.io
). Jika Anda menggunakan Cloud DNS, pastikan zona ini berada di project yang sama dengangoogleapis.com
zona pribadi Anda.Di zona DNS ini, buat data DNS pribadi berikut untuk baik
private.googleapis.com
maupunrestricted.googleapis.com
, bergantung pada domain yang Anda pilih untuk digunakan.Untuk
private.googleapis.com
:Buat data
A
untukDOMAIN
yang mengarah ke alamat IP berikut:199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
.Agar terhubung ke API menggunakan alamat IPv6, buat juga data
AAAA
untukDOMAIN
yang mengarah ke2600:2d00:0002:2000::
.
Untuk
restricted.googleapis.com
:Buat data
A
untukDOMAIN
yang mengarah ke alamat IP berikut:199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
.Agar terhubung ke API menggunakan alamat IPv6, buat juga data
AAAA
untukrestricted.googleapis.com
yang mengarah ke2600:2d00:0002:1000::
.
Di zona
DOMAIN
, buat dataCNAME
untuk*.DOMAIN
yang mengarah keDOMAIN
. Misalnya, buat dataCNAME
untuk*.gcr.io
yang mengarah kegcr.io
.
Mengonfigurasi DNS untuk nama domain kustom Cloud Storage
Jika Anda menggunakan bucket Cloud Storage, dan mengirim permintaan ke
nama domain kustom Cloud Storage,
konfigurasi data DNS untuk nama domain kustom Cloud Storage agar mengarah
ke alamat IP untuk private.googleapis.com
atau restricted.googleapis.com
tidak
cukup untuk mengizinkan akses ke bucket Cloud Storage.
Jika ingin mengirim permintaan ke nama domain kustom Cloud Storage, Anda juga harus secara eksplisit
menetapkan header Host dan TLS SNI permintaan HTTP ke storage.googleapis.com
Alamat
IP untuk private.googleapis.com
dan restricted.googleapis.com
tidak
mendukung nama host Cloud Storage kustom di header Host permintaan HTTP dan TLS
SNI.
Mengonfigurasi DNS untuk sistem lokal
Jika Anda telah menerapkan konfigurasi DNS menggunakan Cloud DNS, Anda harus mengonfigurasi sistem lokal agar sistem tersebut dapat membuat kueri ke zona pribadi terkelola Cloud DNS Anda:
- Buat kebijakan server masuk di jaringan VPC yang terhubung dengan jaringan lokal Anda.
- Identifikasi titik entri forwarder masuk, di region tempat tunnel Cloud VPN dan lampiran VLAN Anda berada, dan di jaringan VPC tempat infrastruktur lokal Anda berada koneksi jaringan.
- Konfigurasi sistem lokal dan server nama DNS lokal untuk meneruskan
googleapis.com
dan setiap nama domain tambahan masuk ke titik entri forwarderdi region yang sama dengan tunnel Cloud VPN atau lampiran VLAN yang terhubung ke jaringan VPC.
Pemilihan rute jaringan VPC
Jaringan VPC yang terhubung ke jaringan lokal Anda harus
memiliki rute untuk rentang alamat IP yang digunakan oleh private.googleapis.com
atau
restricted.googleapis.com
. Rute ini harus menggunakan next hop
gateway internet default.
Google tidak memublikasikan rute di internet untuk rentang alamat IP yang digunakan
oleh domain private.googleapis.com
atau restricted.googleapis.com
.
Akibatnya, paket yang dikirim ke rentang alamat IP tersebut
tetap berada dalam jaringan Google, meskipun rute di jaringan VPC mengirim
traffic ke next hop gateway internet default
Jika jaringan VPC yang terhubung ke jaringan lokal Anda berisi rute default yang next hopnya adalah gateway internet default, rute tersebut memenuhi persyaratan perutean Akses Google Pribadi untuk host lokal.
Pemilihan rute kustom jaringan VPC
Jika Anda telah mengganti atau mengubah rute default, pastikan rute statis kustom
telah dikonfigurasi untuk rentang IP tujuan yang digunakan oleh
private.googleapis.com
atau restricted.googleapis.com
. Untuk memeriksa
konfigurasi rute kustom Google API dan layanan Google dalam jaringan tertentu,
ikuti petunjuk berikut.
Konsol
Di Konsol Google Cloud, buka halaman Routes.
GunakanTabel filter bidang teks untuk memfilter daftar rute menggunakan kriteria berikut, menggantikan
NETWORK_NAME
dengan nama jaringan VPC yang terhubung ke jaringan lokal Anda:- Jaringan:
NETWORK_NAME
- Jenis next hop:
default internet gateway
- Jaringan:
Lihat kolom Rentang IP tujuan untuk setiap rute. Cari rute yang rentang tujuannya cocok:
199.36.153.8/30
jika Anda memilihprivate.googleapis.com
199.36.153.4/30
jika Anda memilihrestricted.googleapis.com
gcloud
Gunakan perintah gcloud
berikut, yang mengganti NETWORK_NAME
dengan
nama jaringan VPC yang terhubung ke jaringan lokal
Anda:
gcloud compute routes list \ --filter="default-internet-gateway NETWORK_NAME"
Rute dicantumkan dalam format tabel kecuali jika Anda menyesuaikan perintah dengan
flag --format
. Lihat di kolom DEST_RANGE
untuk rute yang
memiliki rentang tujuan cocok:
199.36.153.8/30
jika Anda memilihprivate.googleapis.com
199.36.153.4/30
jika Anda memilihrestricted.googleapis.com
Jika Anda perlu membuat rute di jaringan VPC, lihat Menambahkan rute statis.
Pemilihan rute lokal dengan Cloud Router
Rute di jaringan lokal harus dikonfigurasi untuk mengarahkan traffic
rentang alamat IP yang digunakan oleh domain private.googleapis.com
atau
restricted.googleapis.com
, ke tunnel Cloud VPN next hop
atau lampiran VLAN yang terhubung ke jaringan VPC Anda.
Anda dapat menggunakan Pemberitahuan Rute Kustom Cloud
Router
untuk mengumumkan rute rentang IP yang digunakan oleh
domain private.googleapis.com
dan restricted.googleapis.com
.
Rute IPv6 hanya diiklankan dalam sesi BGP tempat IPv6 diaktifkan.
Konsol
Cara untuk memperbarui mode pemberitahuan rute bagi semua sesi BGP di Cloud Router, terkecuali sesi BGP yang menggunakan pemberitahuan BGP kustomnya:
Di konsol Google Cloud, buka halaman Cloud Router.
Pilih Cloud Router yang mengelola sesi BGP untuk tunnel Cloud VPN atau lampiran VLAN, yang menghubungkan jaringan lokal ke jaringan VPC Anda.
Di halaman detail Cloud Router, pilih Edit.
Luaskan bagian Rute yang diiklankan.
Untuk Rute, pilih Membuat rute kustom.
Jika Anda ingin mengiklankan semua rute subnet yang tersedia untuk Cloud Router, pilih Pemberitahuan semua subnet yang terlihat oleh Cloud Router. Setelan ini mereplikasi konfigurasi default ke konfigurasi kustom Anda.
Untuk menambahkan setiap rute yang diiklankan, lakukan hal berikut:
- Pilih Tambahkan rute kustom.
- Untuk Sumber, pilih Rentang IP kustom.
- Untuk rentang alamat IP, masukkan salah satu rentang yang ingin Anda gunakan:
- Jika Anda menggunakan
private.googleapis.com
:- Untuk konektivitas IPv4:
199.36.153.8/30
- Untuk konektivitas IPv6:
2600:2d00:0002:2000::/64
- Untuk konektivitas IPv4:
- Jika Anda menggunakan
restricted.googleapis.com
:- Untuk konektivitas IPv4:
199.36.153.4/30
- Untuk konektivitas IPv6:
2600:2d00:0002:1000::/64
- Untuk konektivitas IPv4:
- Jika Anda menggunakan
- Klik Selesai.
Setelah menambahkan rute, pilih Simpan.
Untuk memperbarui mode pemberitahuan rute untuk sesi BGP tertentu:
Di konsol Google Cloud, buka halaman Cloud Router.
Pilih Cloud Router yang mengelola sesi BGP untuk tunnel Cloud VPN atau lampiran VLAN yang menghubungkan jaringan lokal ke jaringan VPC Anda.
Di halaman detail Cloud Router, pilih sesi BGP yang akan diupdate.
Di halaman detail sesi BGP, klik Edit.
Untuk Rute, pilih Membuat rute kustom.
Pilih Pemberitahuan semua subnet yang terlihat oleh Cloud Router untuk mengiklankan semua rute subnet yang tersedia untuk Cloud Router, jika Anda menginginkan perilaku default Cloud Router.
Untuk menambahkan setiap rute yang diiklankan, lakukan hal berikut:
- Pilih Tambahkan rute kustom.
- Untuk Sumber, pilih Rentang IP kustom.
- Untuk rentang alamat IP, masukkan salah satu rentang yang ingin Anda gunakan:
- Jika Anda menggunakan
private.googleapis.com
:- Untuk konektivitas IPv4:
199.36.153.8/30
- Untuk konektivitas IPv6:
2600:2d00:0002:2000::/64
- Untuk konektivitas IPv4:
- Jika Anda menggunakan
restricted.googleapis.com
:- Untuk konektivitas IPv4:
199.36.153.4/30
- Untuk konektivitas IPv6:
2600:2d00:0002:1000::/64
- Untuk konektivitas IPv4:
- Jika Anda menggunakan
- Klik Selesai.
Setelah menambahkan rute, pilih Simpan.
gcloud
Identifikasi nama dan region Cloud Router yang mengelola sesi BGP di tunnel Cloud VPN atau lampiran VLAN, yang menghubungkan jaringan lokal Anda ke jaringan VPC.
Gunakan
compute routers update
untuk mengupdate mode pemberitahuan rute di semua sesi BGP Cloud Router, kecuali untuk sesi BGP yang menggunakan iklan BGP kustomnya:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
Anda dapat menambahkan rentang iklan baru jika sudah menggunakan mode pemberitahuan
CUSTOM
untuk Cloud Router. Hal ini akan memperbarui mode pemberitahuan rute di semua sesi BGP Cloud Router, kecuali untuk sesi BGP yang menggunakan iklan BGP kustomnya:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --add-advertisement-ranges=CUSTOM_RANGES
Bisa juga, gunakan
compute routers update-bgp-peer
untuk mengonfigurasi peer BGP tertentu di Cloud Router:Jika Anda menambahkan rentang kustom IPv6 dan traffic IPv6 dinonaktifkan untuk sesi BGP, Anda dapat mengaktifkannya kembali dengan flag
--enable-ipv6
.gcloud compute routers update-bgp-peer ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
Anda dapat menambahkan rentang iklan baru jika sudah menggunakan mode pemberitahuan
CUSTOM
untuk sesi BGP di Cloud RouterJika Anda menambahkan rentang kustom IPv6 dan traffic IPv6 dinonaktifkan untuk sesi BGP, Anda dapat mengaktifkannya kembali dengan flag
--enable-ipv6
.gcloud compute routers update-bgp-peer ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --add-advertisement-ranges=CUSTOM_RANGES
Berdasarkan perintah di atas, ganti berikut ini dengan nilai yang valid:
ROUTER_NAME
: Nama Cloud RouterREGION
: Region Cloud RouterPEER_NAME
: Nama peer BGP yang dikonfigurasi saat Anda membuat lampiran VLAN untuk Dedicated Interconnect, saat Andamembuat lampiran VLAN untuk Partner Interconnect, saat Andamembuat tunnel VPN dengan ketersediaan tinggi (HA), atau saat Andamembuat tunnel VPN Klasik menggunakan perutean dinamis.- Keluar dari
--set-advertisement-groups=ALL_SUBNETS
untuk mengiklankan semua rute subnet yang tersedia untuk Cloud Router. Ini adalah perilaku default Cloud Router. CUSTOM_RANGES
: Daftar rentang kustom yang dipisahkan koma untuk beriklan.- Untuk
private.googleapis.com
:- Untuk konektivitas IPv4:
199.36.153.8/30
- Untuk konektivitas IPv4 dan IPv6:
199.36.153.8/30,2600:2d00:0002:2000::/64
- Untuk konektivitas IPv4:
- Untuk
restricted.googleapis.com
:- Untuk konektivitas IPv4:
199.36.153.4/30
- Untuk konektivitas IPv4 dan IPv6:
199.36.153.4/30,2600:2d00:0002:1000::/64
- Untuk konektivitas IPv4:
- Untuk
Pertimbangan firewall
Aturan firewall Google Cloud di jaringan VPC yang terhubung dengan jaringan lokal Anda, tidak berpengaruh pada hal berikut:
- Paket yang dikirim melalui tunnel Cloud VPN yang terhubung ke jaringan VPC
- Paket yang dikirim melalui lampiran VLAN yang terhubung ke jaringan VPC
- Paket masuk ke alamat IP forwarder Cloud DNS internal di jaringan VPC
Anda harus memastikan bahwa konfigurasi firewall sistem lokal, dapat memungkinkan traffic keluar dan respons yang ditetapkan dari alamat IP telah sesuai:
- Jika Anda menggunakan
private.googleapis.com
:- Untuk konektivitas IPv4:
199.36.153.8/30
- Untuk konektivitas IPv6:
2600:2d00:0002:2000::/64
- Untuk konektivitas IPv4:
- Jika Anda menggunakan
restricted.googleapis.com
:- Untuk konektivitas IPv4:
199.36.153.4/30
- Untuk konektivitas IPv6:
2600:2d00:0002:1000::/64
- Untuk konektivitas IPv4:
- Semua Cloud DNS masuk ke alamat IP, jika Anda menggunakan Cloud DNS untuk konfigurasi DNS
Langkah berikutnya
- Jika Anda memerlukan VM di jaringan VPC Google Cloud untuk mengakses API dan layanan Google, lihat Mengonfigurasi Akses Google Pribadi untuk VPC.