オンプレミス ホスト用の限定公開の Google アクセスの構成

オンプレミス ホスト用の限定公開の Google アクセスを使用すると、Cloud VPN トンネルまたは Cloud Interconnect アタッチメント(VLAN)を経由してトラフィックをルーティングすることにより、オンプレミス システムから Google API とサービスに接続できます。オンプレミス ホスト用の限定公開の Google アクセスは、インターネット経由で Google API とサービスに接続するための代替手段として使用できます。

このドキュメントでは、オンプレミス ホストの限定公開の Google アクセスを有効にする方法について説明します。

ここで説明する手順は、Bare Metal Solution のリージョン拡張のホストマシンにも適用されます。この手順の説明では、DNS 構成セクションでのネームサーバーに関連する場合を除いて、オンプレミスという言葉は Bare Metal Solution と同じ意味で使用しています。DNS ネームサーバーの場合、使用する DNS ネームサーバーは、実際のオンプレミス環境にある独自の企業サーバーか、Google Cloud の DNS ネームサーバー、またはインターネットへの接続に Bare Metal Solution マシンを有効にしている場合は、一般公開の DNS ネームサーバーの可能性があります。

仕様と要件

オンプレミス ホスト用の限定公開の Google アクセスには、次の要件があります。

  • 限定公開の Google アクセスでは API は自動的に有効になりません。Google Cloud コンソールの [API とサービス] ページから、使用する Google API を個別に有効にする必要があります。

  • オンプレミス システムから送信される Google API とサービス トラフィックを、private.googleapis.com または restricted.googleapis.com という特別なドメイン名のいずれかに関連付けられた IP アドレスに転送する必要があります。各ドメインでアクセスできるサービスの詳細については、ドメイン オプションをご覧ください。

  • オンプレミス ネットワークは、Cloud VPN トンネルまたは Cloud Interconnect アタッチメント(VLAN)を使用して VPC ネットワークに接続されている必要があります。

  • オンプレミス システムは、IPv4 アドレスを使用して Google API とサービスに接続する必要があります。

  • オンプレミス ネットワークが接続されている VPC ネットワークには、private.googleapis.com または restricted.googleapis.com の宛先 IP 範囲の適切なルートが必要です。詳細については、VPC ネットワーク ルーティングをご覧ください。

  • オンプレミス ネットワークには、private.googleapis.com または restricted.googleapis.com の宛先 IP 範囲のルートが必要です。これらのルートによって、VPC ネットワークに接続する適切な Cloud VPN トンネルまたは Cloud Interconnect アタッチメント(VLAN)にトラフィックが転送される必要があります。詳しくは、Cloud Router を使用したオンプレミス ルーティングをご覧ください。

権限

プロジェクト オーナー、編集者、ネットワーク管理者のロールを持つ IAM プリンシパルがサブネットを作成または更新し、IP アドレスを割り当てることができます。

ロールの詳細については、IAM ロールのドキュメントをご覧ください。

ネットワークの構成

オンプレミス ホスト用の限定公開の Google アクセスには、オンプレミス システムが Google API とサービスにトラフィックを送信する際に経由するオンプレミス システムと VPC ネットワークに固有のネットワーク要件があります。

ドメイン オプション

オンプレミス ホスト用の限定公開の Google アクセスでは、次のいずれかの特別なドメインにサービスを転送する必要があります。選択した特別なドメインによって、アクセスできるサービスが決定されます。

private.googleapis.com VIP と restricted.googleapis.com VIP は、TCP 上の HTTP ベースのプロトコル(HTTP、HTTPS、HTTP/2)のみをサポートします。MQTT や ICMP などの他のプロトコルはサポートされていません。

ドメインと IP アドレス範囲 サポート対象のサービス 使用例

private.googleapis.com

199.36.153.8/30

 VPC Service Controls でサポートされているかどうかにかかわらず、ほとんどの Google API とサービスへの API アクセスを有効にします。マップ、Google 広告、Google Cloud、以下のリストを含むその他のほとんどの Google API への API アクセスが含まれます。Google Workspace ウェブ アプリケーションはサポートされていません。インタラクティブなウェブサイトには対応していません。

一致するドメイン名:
  • accounts.google.com(OAuth 認証に必要なパスのみ)
  • appengine.google.com
  • *.appspot.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • dl.google.com
  • gcr.io または *.gcr.io
  • *.googleadapis.com
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev または *.pkg.dev
  • pki.goog または *.pki.goog
  • *.run.app
  • source.developers.google.com

private.googleapis.com を使用して、Google Cloud 内からのみルーティング可能な一連の IP アドレスを使用して Google API とサービスにアクセスします。

次の状況では private.googleapis.com を選択します。

  • VPC Service Controls を使用しない。
  • VPC Service Controls を使用するものの、VPC Service Controls でサポートされていない Google API とサービスにもアクセスする必要がある。 1

restricted.googleapis.com

199.36.153.4/30

 VPC Service Controls でサポートされている Google API およびサービスへの API アクセスを有効にします。

VPC Service Controls をサポートしていない Google API とサービスへのアクセスをブロックします。Google Workspace ウェブ アプリケーションと Google Workspace API はサポートされていません。

restricted.googleapis.com を使用して、Google Cloud 内からのみルーティング可能な一連の IP アドレスを使用して Google API とサービスにアクセスします。

VPC Service Controls でサポートされている Google API とサービスにアクセスする必要がある場合にのみ restricted.googleapis.com を選択します。restricted.googleapis.com は VPC Service Controls をサポートしていない Google API とサービスへのアクセスを許可しません。 1
1 ユーザーがアクセスできる対象を VPC Service Controls をサポートする Google API とサービスのみに制限する必要がある場合は、restricted.googleapis.com を使用します。VPC Service Controls は、使用するドメインに関係なく互換性のある構成済みのサービスに適用されますが、restricted.googleapis.com を使用するとデータの引き出しに関するリスクをさらに軽減できます。restricted.googleapis.com の使用は、VPC Service Controls でサポートされていない Google API とサービスへのアクセスを拒否します。詳細については、VPC Service Controls に関するドキュメントのプライベート接続の設定をご覧ください。

DNS 構成

オンプレミス ネットワークには、Google ドメイン名が private.googleapis.com または restricted.googleapis.com のいずれかの IP アドレスのセットに解決されるように構成された DNS ゾーンとレコードが必要です。Cloud DNS の限定公開マネージド ゾーンを作成して、Cloud DNS 受信サーバー ポリシーを使用できます。また、オンプレミスのネームサーバーを構成することもできます。たとえば、BINDMicrosoft Active Directory DNS を使用できます。

*.googleapis.com の DNS ゾーンとレコードを作成します。

  1. googleapis.com の限定公開 DNS ゾーンを作成します。その場合は、Cloud DNS 限定公開ゾーンの作成を検討してください。

  2. 選択したドメインに応じて、googleapis.com ゾーンで次のいずれかの A レコードを作成します。

    • 次の IP アドレスを指す private.googleapis.comA レコード: 199.36.153.8199.36.153.9199.36.153.10199.36.153.11

    • 次の IP アドレスを指す restricted.googleapis.comA レコード: 199.36.153.4199.36.153.5199.36.153.6199.36.153.7

    Cloud DNS を使用している場合は、googleapis.com 限定公開ゾーンにレコードを追加します。

  3. googleapis.com ゾーンで、前の手順で作成した A レコードを指す *.googleapis.comCNAME レコードを作成します。

一部の Google API とサービスは、*.gcr.io*.gstatic.com*.pkg.devpki.goog などの追加ドメイン名を使用して提供されます。追加のドメインのサービスに private.googleapis.com または restricted.googleapis.com を使用してアクセスできるかどうかを判断するため、ドメイン オプションのドメインと IP アドレス範囲の表を参照します。それぞれの追加ドメインについて、次の作業を行います。

  1. 追加のドメインの DNS ゾーンを作成します(例: gcr.io)。Cloud DNS を使用している場合は、このゾーンが googleapis.com 限定公開ゾーンと同じプロジェクトにあることを確認してください。
  2. この DNS ゾーンで次のことを行います。
    • ドメイン(ゾーン)名自体の A レコード(例: gcr.io)を作成します。この A レコードが、選択したカスタム ドメイン名(private.googleapis.com または restricted.googleapis.com)の 4 つの同じ IP アドレスを指すようにします。
    • アスタリスクとドットに続くドメイン(ゾーン)名を使用して、可能性のあるすべての追加ドメインのホスト名に対する CNAME レコードを作成します(例: *.gcr.io)。この CNAME レコードが、同じゾーンの A レコードを指すようにします。たとえば、*.gcr.iogcr.io を指します。

Cloud DNS を使用して DNS 構成を実装した場合は、Cloud DNS の限定公開マネージド ゾーンに対してクエリを行えるように、オンプレミス システムを構成する必要があります。

  • オンプレミス ネットワークが接続する VPC ネットワークに受信サーバー ポリシーを作成します。
  • オンプレミス ネットワークが接続する VPC ネットワークで、Cloud VPN トンネルと Cloud Interconnect アタッチメント(VLAN)が配置されているリージョンの受信フォワーダー エントリ ポイントを特定します。
  • VPC ネットワークに接続する Cloud VPN トンネルまたは Cloud Interconnect アタッチメント(VLAN)と同じリージョン内の受信フォワーダー エントリ ポイントに、googleapis.com と追加のドメイン名を転送するようにオンプレミス システムとオンプレミスの DNS ネームサーバーを構成します。

VPC ネットワーク ルーティング

オンプレミス ネットワークが接続する VPC ネットワークには、private.googleapis.com または restricted.googleapis.com によって使用される IP アドレス範囲のルートが必要です。これらのルートでは、デフォルトのインターネット ゲートウェイのネクストホップを使用する必要があります。

Google では、private.googleapis.com ドメインまたは restricted.googleapis.com ドメインで使用されている IP アドレス範囲のインターネット上のルートを公開していません。したがって、VPC ネットワーク内のルートがデフォルト インターネット ゲートウェイのネクストホップにトラフィックを送信しても、199.36.153.8/30199.36.153.4/30 に送信されたパケットは Google のネットワーク内に残ります。

オンプレミス ネットワークが接続する VPC ネットワークに、ネクストホップがデフォルト インターネット ゲートウェイであるデフォルト ルートが含まれている場合、そのルートはオンプレミス ホストへの限定公開の Google アクセスに関するルーティング要件を満たします。

VPC ネットワークのカスタム ルーティング

デフォルト ルートを置き換えた、または変更した場合は、private.googleapis.comrestricted.googleapis.com で使用される宛先 IP 範囲のために構成されたカスタム静的ルートがあることを確認します。特定のネットワークで Google API とサービスのカスタムルートの構成を確認する方法は次のとおりです。

コンソール

  1. Google Cloud コンソールの [ルート] ページに移動します。
    [ルート] ページに移動
  2. [表をフィルタリング] テキスト フィールドを使用して、次の基準でルートのリストをフィルタリングします。NETWORK_NAME は、オンプレミス ネットワークが接続する VPC ネットワークの名前に置き換えます。
    • ネットワーク: NETWORK_NAME
    • ネクストホップのタイプ: default internet gateway
  3. 各ルートの [宛先 IP の範囲] 列を確認します。宛先の範囲が一致するルートを探します。
    • private.googleapis.com を選択した場合は 199.36.153.8/30
    • restricted.googleapis.com を選択した場合は 199.36.153.4/30

gcloud

次の gcloud コマンドを使用します。NETWORK_NAME は、オンプレミス ネットワークが接続する VPC ネットワークの名前に置き換えます。

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

--format フラグでコマンドをカスタマイズしない限り、ルートはテーブル形式で一覧表示されます。[DEST_RANGE] 列で、宛先の範囲が一致するルートを探します。

  • private.googleapis.com を選択した場合は 199.36.153.8/30
  • restricted.googleapis.com を選択した場合は 199.36.153.4/30

VPC ネットワークにルートを作成する必要がある場合は、静的ルートの追加をご覧ください。

Cloud Router を使用したオンプレミス ルーティング

オンプレミス ネットワークのルートは、private.googleapis.com または restricted.googleapis.com ドメインで使用される IP アドレス範囲のトラフィックを、VPC ネットワークに接続するネクストホップの Cloud VPN トンネルまたは Cloud Interconnect アタッチメント(VLAN)に転送するように構成される必要があります。

Cloud Router のカスタムルート アドバタイズを使用すると、次の宛先のルートを通知できます。

  • private.googleapis.com を選択した場合は 199.36.153.8/30
  • restricted.googleapis.com を選択した場合は 199.36.153.4/30

コンソール

カスタム BGP アドバタイズ自体を使用する BGP セッションを除き、Cloud Router 上のすべての BGP セッションのルート アドバタイズ モードを更新するには:

  1. Google Cloud コンソールの [Cloud Router] ページに移動します。
    Cloud Router リスト
  2. オンプレミス ネットワークを VPC ネットワークに接続する Cloud VPN トンネルまたは Cloud Interconnect アタッチメント(VLAN)の BGP セッションを管理する Cloud Router を選択します。
  3. Cloud Router の詳細ページで [編集] を選択します。
  4. [アドバタイズされたルート] セクションを展開します。
  5. [ルート] で、[カスタムルートの作成] を選択します。
  6. Cloud Router のデフォルトの動作に戻すには、[Cloud Router に表示されるすべてのサブネットをアドバタイズする] を選択して、Cloud Router で使用可能なすべてのサブネット ルートをアドバタイズします。
  7. [カスタムルートの追加] を選択して、アドバタイズされたルートを追加します。
  8. ルート アドバタイズを構成します。
    • ソース - [カスタム IP 範囲] を選択して、カスタム IP 範囲を指定します。
    • IP アドレス範囲 - 次のように指定します。
      • private.googleapis.com を選択した場合は 199.36.153.8/30
      • restricted.googleapis.com を選択した場合は 199.36.153.4/30
    • 説明 - 説明を追加します。
  9. ルートの追加が完了したら、[保存] を選択します。

特定の BGP セッションのルート アドバタイズ モードを更新するには:

  1. Google Cloud コンソールの [Cloud Router] ページに移動します。
    Cloud Router リスト
  2. オンプレミス ネットワークを VPC ネットワークに接続する Cloud VPN トンネルまたは Cloud Interconnect アタッチメント(VLAN)の BGP セッションを管理する Cloud Router を選択します。
  3. Cloud Router の詳細ページで、更新する BGP セッションを選択します。
  4. BGP セッションの詳細ページで、[編集] を選択します。
  5. [ルート] で、[カスタムルートの作成] を選択します。
  6. Cloud Router のデフォルトの動作に戻すには、[Cloud Router に表示されるすべてのサブネットをアドバタイズする] を選択して、Cloud Router で使用可能なすべてのサブネット ルートをアドバタイズします。
  7. [カスタムルートの追加] を選択して、アドバタイズされたルートを追加します。
  8. ルート アドバタイズを構成します。
    • ソース - [カスタム IP 範囲] を選択して、カスタム IP 範囲を指定します。
    • IP アドレス範囲 - 次のように指定します。
      • private.googleapis.com を選択した場合は 199.36.153.8/30
      • restricted.googleapis.com を選択した場合は 199.36.153.4/30
    • 説明 - 説明を追加します。
  9. ルートの追加が完了したら、[保存] を選択します。

gcloud

  1. オンプレミス ネットワークを VPC ネットワークに接続する Cloud VPN トンネルまたは Cloud Interconnect アタッチメント(VLAN)の BGP セッションを管理する Cloud Router の名前とリージョンを特定します。

  2. compute routers update を使用して、カスタム BGP アドバタイズ自体を使用する BGP セッションを除き、すべての Cloud Router の BGP セッションのルート アドバタイズ モードを更新します。

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    すでに Cloud Router の CUSTOM アドバタイズ モードを使用している場合は、新しいアドバタイズ範囲を追加できます。これにより、カスタム BGP アドバタイズ自体を使用する BGP セッションを除き、すべての Cloud Router の BGP セッションでルート アドバタイズ モードが更新されます。

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES

  3. または、compute routers update-bgp-peer を使用して、特定の BGP ピアを Cloud Router で構成します。

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Cloud Router の BGP セッションですでに CUSTOM アドバタイズ モードを使用している場合は、新しいアドバタイズ範囲を追加できます。

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES

    上記のコマンドで、次の値を有効な値に置き換えます。

ファイアウォールに関する考慮事項

オンプレミス ネットワークに接続する VPC ネットワーク内の Google Cloud ファイアウォール ルールは、次のパケットに対しては効果がありません。

  • VPC ネットワークに接続された Cloud VPN トンネル経由で送信されたパケット
  • VPC ネットワークに接続された Cloud Interconnect アタッチメント(VLAN)経由で送信されたパケット
  • VPC ネットワーク内の Cloud DNS 受信フォワーダーの IP アドレスへの受信パケット

オンプレミス システムのファイアウォール構成で、以下の IP アドレスへの送信トラフィックと、以下の IP アドレスからの確立されたレスポンスを確実に許可する必要があります。

  • private.googleapis.com を使用する場合は 199.36.153.8/30
  • restricted.googleapis.com を使用する場合は 199.36.153.4/30
  • DNS 構成に Cloud DNS を使用している場合は、Cloud DNS 受信フォワーダーの IP アドレス

次のステップ