Mengonfigurasi Akses Google Pribadi untuk host lokal

Akses Google Pribadi untuk host lokal menyediakan cara untuk sistem lokal agar terhubung keGoogle API dan layanan Google dengan mengarahkan traffic melalui Cloud VPN tunnel atau lampiran VLAN untuk Cloud Interconnect. Akses Google Pribadi untuk host lokal adalah cara alternatif untuk terhubung ke Google API dan layanan Google melalui internet.

Dokumen ini menjelaskan cara mengaktifkan Akses Google Pribadi untuk host lokal.

jika Anda mengaktifkan mesin Solusi Bare Metal untuk terhubung ke internet.

Spesifikasi dan persyaratan

Akses Google Pribadi untuk host lokal memiliki persyaratan berikut:

  • Akses Google Pribadi tidak secara otomatis mengaktifkan API apa pun. Anda harus mengaktifkan Google API secara terpisah dari halaman API & Layanan di konsol Google Cloud.

  • Anda harus mengarahkan traffic Google API dan layanan yang dikirim oleh sistem lokal ke alamat IP terkait dengan nama domain khusus private.googleapis.com atau restricted.googleapis.com. Untuk mengetahui detail tentang layanan yang dapat diakses di setiap domain, lihat Opsi domain.

  • Jaringan lokal Anda harus terhubung ke jaringan VPC menggunakan tunnel Cloud VPN atau lampiran VLAN.

  • Jaringan VPC yang terhubung ke jaringan lokal Anda harus memiliki rute yang sesuai untuk rentang IP tujuan private.googleapis.com atau restricted.googleapis.com. Untuk mengetahui detailnya, lihat Perutean jaringan VPC.

  • Jaringan VPC yang terhubung ke jaringan lokal Anda harus memiliki rute yang sesuai untuk menjangkau jaringan lokal. Next Hop tunnel Cloud VPN atau lampiran VLAN yang terhubung ke jaringan lokal untuk rute ini, harus berada dalam region yang sama dengan tempat permintaan berasal. Jika next hop berada di region yang berbeda dengan tempat permintaan ke Akses Google Pribadi berasal, Akses Google Pribadi tidak akan menjangkau jaringan lokal.

  • Jaringan lokal Anda harus memiliki rute untuk rentang IP tujuan private.googleapis.com atau restricted.googleapis.com. Rute ini harus mengarahkan traffic ke tunnel Cloud VPN atau lampiran VLAN yang sesuai, yang terhubung ke jaringan VPC Anda. Untuk mengetahui detailnya, lihat pemilihan rute lokal dengan Cloud Router.

  • Agar klien IPv6 di lingkungan lokal Anda dapat mengakses Google API menggunakan private.googleapis.com atau restricted.googleapis.com, Anda harus mengonfigurasi koneksi ke jaringan VPC untuk mendukung IPv6. Untuk informasi lebih lanjut, lihat halaman berikut:

  • Klien lokal dapat mengirim permintaan dari alamat IPv6 GUA atau ULA mana pun, kecuali untuk rentang ULA fda3:e722:ac3:cc00::/64, yang dicadangkan untuk penggunaan internal.

Izin

Pemilik project, editor, dan akun utama IAM dengan peran Admin Jaringan dapat membuat atau memperbarui subnet dan menetapkan alamat IP.

Untuk mengetahui informasi selengkapnya tentang peran, baca dokumentasi peran IAM.

Konfigurasi jaringan

Akses Google Pribadi untuk host lokal memilikipersyaratan jaringan yang spesifik untuk sistem lokal dan jaringan VPC yang digunakan sistem lokal untuk mengirimkan traffic ke Google API dan layanan Google.

Opsi domain

Akses Google Pribadi untuk host lokal mengharuskan Anda mengarahkan layanan ke salah satu domain khusus berikut ini. Domain khusus yang Anda pilih menentukan layanan mana yang dapat Anda akses.

VIP private.googleapis.com dan restricted.googleapis.com hanya mendukung protokol berbasis HTTP melalui TCP (HTTP, HTTPS, dan HTTP/2). Semua protokol lain, termasuk MQTT dan ICMP, tidak didukung.

Domain dan rentang alamat IP Layanan yang didukung Contoh penggunaan

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64

Memungkinkan akses API ke sebagian besar Google API dan layanan Google terlepas dari apakah keduanya didukung oleh Kontrol Layanan VPC. Mencakup akses API ke Google Maps, Google Ads, Google Cloud, dan sebagian besar Google API lainnya, termasuk di daftar berikut. Tidak mendukung aplikasi web Google Workspace seperti Gmail dan Google Dokumen. Tidak mendukung situs interaktif apa pun.

Nama domain yang cocok:

  • accounts.google.com (hanya jalur yang diperlukan untuk autentikasi OAuth)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io atau *.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev atau *.pkg.dev
  • pki.goog atau *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Gunakan private.googleapis.com untuk mengakses Google API dan layanan Google menggunakan kumpulan alamat IP yang hanya dapat dirutekan dari dalam Google Cloud.

Pilih private.googleapis.com dalam situasi berikut:

  • Anda tidak menggunakan Kontrol Layanan VPC.
  • Meskipun menggunakan Kontrol Layanan VPC, tetapi Anda juga perlu mengakses Google API dan layanan Google yang tidak didukung oleh Kontrol Layanan VPC. 1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64

Mengaktifkan akses API ke Google API dan layanan Google yang didukung oleh Kontrol Layanan VPC.

Memblokir akses ke Google API dan layanan Google yang tidak mendukung Kontrol Layanan VPC. Tidak mendukung API Google Workspace atau aplikasi web Google Workspace, seperti Gmail dan Google Docs.

Gunakan restricted.googleapis.com untuk mengakses Google API dan layanan Google menggunakan kumpulan alamat IP yang hanya dapat dirutekan dari dalam Google Cloud.

Pilih restricted.googleapis.com saat Anda hanya memerlukan akses ke Google API dan layanan Google yangdidukung oleh Kontrol Layanan VPC.

Domain restricted.googleapis.com tidak mengizinkan akses ke Google API dan layanan Google yang tidak mendukung Kontrol Layanan VPC. 1

1 Jika Anda harus membatasi pengguna hanya ke Google API dan layanan Google yang mendukung Kontrol Layanan VPC, gunakan restricted.googleapis.com, karena menyediakan mitigasi risiko tambahan untuk pemindahan data yang tidak sah. Penggunaan restricted.googleapis.com akan menolak akses ke Google API dan layanan Google yang tidak didukung oleh Kontrol Layanan VPC. Lihat Menyiapkan konektivitas pribadi dalam dokumentasi Kontrol Layanan VPC untuk mengetahui detail selengkapnya.

Dukungan IPv6 untuk private.googleapis.com dan restricted.googleapis.com

Rentang alamat IP IPv6 berikut dapat digunakan untuk mengarahkan traffic dari klien IPv6 ke Google API dan layanan Google:

  • private.googleapis.com: 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 2600:2d00:0002:1000::/64

Pertimbangkan untuk mengonfigurasi alamat IPv6 jika Anda ingin menggunakan domain private.googleapis.com atau restricted.googleapis.com, dan Anda memiliki klien yang menggunakan alamat IPv6 juga. Klien IPv6 yang juga telah mengonfigurasi alamat IPv4 dapat menjangkau Google API dan layanan Google menggunakan alamat IPv4. Tidak semua layanan menerima traffic dari klien IPv6.

Konfigurasi DNS

Jaringan lokal Anda harus memiliki zona dan data DNS yang telah dikonfigurasi sehingga nama domain Google menghasilkan kumpulan alamat IP untuk private.googleapis.com atau restricted.googleapis.com. Anda dapat membuat zona pribadi Cloud DNS terkelola dan menggunakan kebijakan server masuk Cloud DNS, atau Anda juga dapat mengonfigurasi server nama lokal. Misalnya, Anda dapat menggunakan BIND atau Microsoft Active Directory DNS.

Bagian berikut menjelaskan cara menggunakan zona DNS untuk mengirim paket ke alamat IP yang terkait dengan VIP yang Anda pilih. Ikuti petunjuk untuk semua skenario yang berlaku untuk Anda:

Saat mengonfigurasi data DNS untuk VIP, hanya gunakan alamat IP yang dijelaskan pada langkah berikut. Jangan mencampur alamat dari VIP private.googleapis.com dan restricted.googleapis.com. Hal ini dapat menyebabkan kegagalan berkala karena layanan yang ditawarkan berbeda berdasarkan tujuan paket.

Mengonfigurasi DNS untuk googleapis.com

Membuat zona dan data DNS untuk googleapis.com:

  1. Membuat zona DNS pribadi untuk googleapis.com. Pertimbangkan untuk membuat zona pribadi Cloud DNS untuk tujuan ini.
  2. Di zona googleapis.com, buat data DNS pribadi berikut untuk private.googleapis.com atau restricted.googleapis.com, bergantung pada domain yang Anda pilih untuk digunakan.

    • Untuk private.googleapis.com:

      1. Buat data A untuk private.googleapis.com yang mengarah ke alamat IP berikut: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Untuk terhubung ke API menggunakan alamat IPv6, konfigurasikan juga data AAAA untuk private.googleapis.com yang mengarah ke 2600:2d00:0002:2000::.

    • Untuk restricted.googleapis.com:

      1. Buat data A untuk restricted.googleapis.com yang mengarah ke alamat IP berikut: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Agar terhubung ke API menggunakan alamat IPv6, buat juga data AAAA untuk restricted.googleapis.com yang mengarah ke 2600:2d00:0002:1000::.

    Untuk membuat data DNS pribadi di Cloud DNS, lihat menambahkan data.

  3. Di zona googleapis.com, buat data CNAME untuk *.googleapis.com yang mengarah ke domain yang telah Anda konfigurasi: private.googleapis.com atau restricted.googleapis.com.

Mengonfigurasi DNS untuk domain lain

Beberapa Google API dan layanan Google disediakan menggunakan nama domain tambahan, termasuk *.gcr.io, *.gstatic.com, *.pkg.dev, pki.goog, dan *.run.app. Lihat tabel domain dan rentang alamat IP di Opsi domain untuk menentukan apakah layanan domain tambahan dapat diakses menggunakan private.googleapis.com atau restricted.googleapis.com. Kemudian, untuk setiap domain tambahan:

  1. Buat zona DNS untuk DOMAIN (misalnya, gcr.io). Jika Anda menggunakan Cloud DNS, pastikan zona ini berada di project yang sama dengan googleapis.com zona pribadi Anda.

  2. Di zona DNS ini, buat data DNS pribadi berikut untuk baik private.googleapis.com maupun restricted.googleapis.com, bergantung pada domain yang Anda pilih untuk digunakan.

    • Untuk private.googleapis.com:

      1. Buat data A untuk DOMAIN yang mengarah ke alamat IP berikut: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Agar terhubung ke API menggunakan alamat IPv6, buat juga data AAAA untuk DOMAIN yang mengarah ke 2600:2d00:0002:2000::.

    • Untuk restricted.googleapis.com:

      1. Buat data A untuk DOMAIN yang mengarah ke alamat IP berikut: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Agar terhubung ke API menggunakan alamat IPv6, buat juga data AAAA untuk restricted.googleapis.com yang mengarah ke 2600:2d00:0002:1000::.

  3. Di zona DOMAIN, buat data CNAME untuk *.DOMAIN yang mengarah ke DOMAIN. Misalnya, buat data CNAME untuk *.gcr.io yang mengarah ke gcr.io.

Mengonfigurasi DNS untuk nama domain kustom Cloud Storage

Jika Anda menggunakan bucket Cloud Storage, dan mengirim permintaan ke nama domain kustom Cloud Storage, konfigurasi data DNS untuk nama domain kustom Cloud Storage agar mengarah ke alamat IP untuk private.googleapis.com atau restricted.googleapis.com tidak cukup untuk mengizinkan akses ke bucket Cloud Storage.

Jika ingin mengirim permintaan ke nama domain kustom Cloud Storage, Anda juga harus secara eksplisit menetapkan header Host dan TLS SNI permintaan HTTP ke storage.googleapis.com Alamat IP untuk private.googleapis.com dan restricted.googleapis.com tidak mendukung nama host Cloud Storage kustom di header Host permintaan HTTP dan TLS SNI.

Mengonfigurasi DNS untuk sistem lokal

Jika Anda telah menerapkan konfigurasi DNS menggunakan Cloud DNS, Anda harus mengonfigurasi sistem lokal agar sistem tersebut dapat membuat kueri ke zona pribadi terkelola Cloud DNS Anda:

  • Buat kebijakan server masuk di jaringan VPC yang terhubung dengan jaringan lokal Anda.
  • Identifikasi titik entri forwarder masuk, di region tempat tunnel Cloud VPN dan lampiran VLAN Anda berada, dan di jaringan VPC tempat infrastruktur lokal Anda berada koneksi jaringan.
  • Konfigurasi sistem lokal dan server nama DNS lokal untuk meneruskan googleapis.com dan setiap nama domain tambahan masuk ke titik entri forwarderdi region yang sama dengan tunnel Cloud VPN atau lampiran VLAN yang terhubung ke jaringan VPC.

Pemilihan rute jaringan VPC

Jaringan VPC yang terhubung ke jaringan lokal Anda harus memiliki rute untuk rentang alamat IP yang digunakan oleh private.googleapis.com atau restricted.googleapis.com. Rute ini harus menggunakan next hop gateway internet default.

Google tidak memublikasikan rute di internet untuk rentang alamat IP yang digunakan oleh domain private.googleapis.com atau restricted.googleapis.com. Akibatnya, paket yang dikirim ke rentang alamat IP tersebut tetap berada dalam jaringan Google, meskipun rute di jaringan VPC mengirim traffic ke next hop gateway internet default

Jika jaringan VPC yang terhubung ke jaringan lokal Anda berisi rute default yang next hopnya adalah gateway internet default, rute tersebut memenuhi persyaratan perutean Akses Google Pribadi untuk host lokal.

Pemilihan rute kustom jaringan VPC

Jika Anda telah mengganti atau mengubah rute default, pastikan rute statis kustom telah dikonfigurasi untuk rentang IP tujuan yang digunakan oleh private.googleapis.com atau restricted.googleapis.com. Untuk memeriksa konfigurasi rute kustom Google API dan layanan Google dalam jaringan tertentu, ikuti petunjuk berikut.

Konsol

  1. Di Konsol Google Cloud, buka halaman Routes.

    Buka Rute

  2. GunakanTabel filter bidang teks untuk memfilter daftar rute menggunakan kriteria berikut, menggantikanNETWORK_NAME dengan nama jaringan VPC yang terhubung ke jaringan lokal Anda:

    • Jaringan: NETWORK_NAME
    • Jenis next hop: default internet gateway
  3. Lihat kolom Rentang IP tujuan untuk setiap rute. Cari rute yang rentang tujuannya cocok:

    • 199.36.153.8/30 jika Anda memilih private.googleapis.com
    • 199.36.153.4/30 jika Anda memilih restricted.googleapis.com

gcloud

Gunakan perintah gcloud berikut, yang mengganti NETWORK_NAME dengan nama jaringan VPC yang terhubung ke jaringan lokal Anda:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Rute dicantumkan dalam format tabel kecuali jika Anda menyesuaikan perintah dengan flag --format. Lihat di kolom DEST_RANGE untuk rute yang memiliki rentang tujuan cocok:

  • 199.36.153.8/30 jika Anda memilih private.googleapis.com
  • 199.36.153.4/30 jika Anda memilih restricted.googleapis.com

Jika Anda perlu membuat rute di jaringan VPC, lihat Menambahkan rute statis.

Pemilihan rute lokal dengan Cloud Router

Rute di jaringan lokal harus dikonfigurasi untuk mengarahkan traffic rentang alamat IP yang digunakan oleh domain private.googleapis.com atau restricted.googleapis.com, ke tunnel Cloud VPN next hop atau lampiran VLAN yang terhubung ke jaringan VPC Anda.

Anda dapat menggunakan Pemberitahuan Rute Kustom Cloud Router untuk mengumumkan rute rentang IP yang digunakan oleh domain private.googleapis.com dan restricted.googleapis.com.

Rute IPv6 hanya diiklankan dalam sesi BGP tempat IPv6 diaktifkan.

Konsol

Cara untuk memperbarui mode pemberitahuan rute bagi semua sesi BGP di Cloud Router, terkecuali sesi BGP yang menggunakan pemberitahuan BGP kustomnya:

  1. Di konsol Google Cloud, buka halaman Cloud Router.

    Buka Cloud Router

  2. Pilih Cloud Router yang mengelola sesi BGP untuk tunnel Cloud VPN atau lampiran VLAN, yang menghubungkan jaringan lokal ke jaringan VPC Anda.

  3. Di halaman detail Cloud Router, pilih Edit.

  4. Luaskan bagian Rute yang diiklankan.

  5. Untuk Rute, pilih Membuat rute kustom.

  6. Jika Anda ingin mengiklankan semua rute subnet yang tersedia untuk Cloud Router, pilih Pemberitahuan semua subnet yang terlihat oleh Cloud Router. Setelan ini mereplikasi konfigurasi default ke konfigurasi kustom Anda.

  7. Untuk menambahkan setiap rute yang diiklankan, lakukan hal berikut:

    1. Pilih Tambahkan rute kustom.
    2. Untuk Sumber, pilih Rentang IP kustom.
    3. Untuk rentang alamat IP, masukkan salah satu rentang yang ingin Anda gunakan:
      • Jika Anda menggunakan private.googleapis.com:
        • Untuk konektivitas IPv4: 199.36.153.8/30
        • Untuk konektivitas IPv6: 2600:2d00:0002:2000::/64
      • Jika Anda menggunakan restricted.googleapis.com:
        • Untuk konektivitas IPv4: 199.36.153.4/30
        • Untuk konektivitas IPv6: 2600:2d00:0002:1000::/64
    4. Klik Selesai.
  8. Setelah menambahkan rute, pilih Simpan.

Untuk memperbarui mode pemberitahuan rute untuk sesi BGP tertentu:

  1. Di konsol Google Cloud, buka halaman Cloud Router.

    Buka Cloud Router

  2. Pilih Cloud Router yang mengelola sesi BGP untuk tunnel Cloud VPN atau lampiran VLAN yang menghubungkan jaringan lokal ke jaringan VPC Anda.

  3. Di halaman detail Cloud Router, pilih sesi BGP yang akan diupdate.

  4. Di halaman detail sesi BGP, klik Edit.

  5. Untuk Rute, pilih Membuat rute kustom.

  6. Pilih Pemberitahuan semua subnet yang terlihat oleh Cloud Router untuk mengiklankan semua rute subnet yang tersedia untuk Cloud Router, jika Anda menginginkan perilaku default Cloud Router.

  7. Untuk menambahkan setiap rute yang diiklankan, lakukan hal berikut:

    1. Pilih Tambahkan rute kustom.
    2. Untuk Sumber, pilih Rentang IP kustom.
    3. Untuk rentang alamat IP, masukkan salah satu rentang yang ingin Anda gunakan:
      • Jika Anda menggunakan private.googleapis.com:
        • Untuk konektivitas IPv4: 199.36.153.8/30
        • Untuk konektivitas IPv6: 2600:2d00:0002:2000::/64
      • Jika Anda menggunakan restricted.googleapis.com:
        • Untuk konektivitas IPv4: 199.36.153.4/30
        • Untuk konektivitas IPv6: 2600:2d00:0002:1000::/64
    4. Klik Selesai.
  8. Setelah menambahkan rute, pilih Simpan.

gcloud

  1. Identifikasi nama dan region Cloud Router yang mengelola sesi BGP di tunnel Cloud VPN atau lampiran VLAN, yang menghubungkan jaringan lokal Anda ke jaringan VPC.

  2. Gunakan compute routers update untuk mengupdate mode pemberitahuan rute di semua sesi BGP Cloud Router, kecuali untuk sesi BGP yang menggunakan iklan BGP kustomnya:

    gcloud compute routers update ROUTER_NAME \
        --region=REGION \
        --advertisement-mode=CUSTOM \
        --set-advertisement-groups=ALL_SUBNETS \
        --set-advertisement-ranges=CUSTOM_RANGES
    

    Anda dapat menambahkan rentang iklan baru jika sudah menggunakan mode pemberitahuan CUSTOM untuk Cloud Router. Hal ini akan memperbarui mode pemberitahuan rute di semua sesi BGP Cloud Router, kecuali untuk sesi BGP yang menggunakan iklan BGP kustomnya:

    gcloud compute routers update ROUTER_NAME \
        --region=REGION \
        --add-advertisement-ranges=CUSTOM_RANGES
    
  3. Bisa juga, gunakan compute routers update-bgp-peer untuk mengonfigurasi peer BGP tertentu di Cloud Router:

    Jika Anda menambahkan rentang kustom IPv6 dan traffic IPv6 dinonaktifkan untuk sesi BGP, Anda dapat mengaktifkannya kembali dengan flag --enable-ipv6.

    gcloud compute routers update-bgp-peer ROUTER_NAME \
        --region=REGION \
        --peer-name=PEER_NAME \
        --advertisement-mode=CUSTOM \
        --set-advertisement-groups=ALL_SUBNETS \
        --set-advertisement-ranges=CUSTOM_RANGES
    

    Anda dapat menambahkan rentang iklan baru jika sudah menggunakan mode pemberitahuan CUSTOM untuk sesi BGP di Cloud Router

    Jika Anda menambahkan rentang kustom IPv6 dan traffic IPv6 dinonaktifkan untuk sesi BGP, Anda dapat mengaktifkannya kembali dengan flag --enable-ipv6.

    gcloud compute routers update-bgp-peer ROUTER_NAME \
        --region=REGION \
        --peer-name=PEER_NAME \
        --add-advertisement-ranges=CUSTOM_RANGES
    

    Berdasarkan perintah di atas, ganti berikut ini dengan nilai yang valid:

Pertimbangan firewall

Aturan firewall Google Cloud di jaringan VPC yang terhubung dengan jaringan lokal Anda, tidak berpengaruh pada hal berikut:

  • Paket yang dikirim melalui tunnel Cloud VPN yang terhubung ke jaringan VPC
  • Paket yang dikirim melalui lampiran VLAN yang terhubung ke jaringan VPC
  • Paket masuk ke alamat IP forwarder Cloud DNS internal di jaringan VPC

Anda harus memastikan bahwa konfigurasi firewall sistem lokal, dapat memungkinkan traffic keluar dan respons yang ditetapkan dari alamat IP telah sesuai:

  • Jika Anda menggunakan private.googleapis.com:
    • Untuk konektivitas IPv4: 199.36.153.8/30
    • Untuk konektivitas IPv6: 2600:2d00:0002:2000::/64
  • Jika Anda menggunakan restricted.googleapis.com:
    • Untuk konektivitas IPv4: 199.36.153.4/30
    • Untuk konektivitas IPv6: 2600:2d00:0002:1000::/64
  • Semua Cloud DNS masuk ke alamat IP, jika Anda menggunakan Cloud DNS untuk konfigurasi DNS

Langkah berikutnya