Privaten Google-Zugriff für lokale Hosts konfigurieren

Mit privatem Google-Zugriff für lokale Hosts können lokale Systeme eine Verbindung zu Google APIs und Google-Diensten herstellen, indem der Traffic über einen Cloud VPN-Tunnel oder Cloud Interconnect-Anhang (VLAN) weitergeleitet wird. Der private Google-Zugriff für lokale Hosts ist eine Alternative zum Herstellen einer Verbindung zu Google APIs und Google-Diensten über das Internet.

In diesem Dokument wird beschrieben, wie Sie privaten Google-Zugriff für lokale Hosts aktivieren.

Diese Anleitung gilt auch für Hostcomputer in der Regionserweiterung Bare-Metal-Lösung. Außer in Bezug auf die Nameserver im Abschnitt DNS-Konfiguration ist der Begriff Lokal in dieser Anleitung gleichbedeutend mit Bare-Metal-Lösung. Bei DNS-Nameservern kann der von Ihnen verwendete DNS-Nameserver Ihr eigener Unternehmensserver in Ihrer lokalen Umgebung, ein DNS-Nameserver in Google Cloud oder ein öffentlicher DNS-Nameserver sein, wenn Sie Ihre Computer mit Bare-Metal-Lösung zum Herstellen einer Verbindung mit dem Internet aktivieren.

Spezifikationen und Anforderungen

Für den privaten Google-Zugriff für lokale Hosts gelten folgende Anforderungen:

  • Durch den privaten Google-Zugriff werden APIs nicht automatisch aktiviert. Sie müssen die benötigten Google APIs separat aktivieren. Dies erfolgt über die Seite „APIs & Dienste” in der Google Cloud Console.

  • Sie müssen Traffic von Google APIs und Google-Diensten, die von lokalen Systemen gesendet werden, an die IP-Adressen senden, die mit den speziellen Domainnamen private.googleapis.com oder restricted.googleapis.com verknüpft sind. Unter Domainoptionen finden Sie weitere Informationen dazu, auf welche Dienste in den einzelnen Domains zugegriffen werden kann.

  • Ihr lokales Netzwerk muss über Cloud VPN-Tunnel oder Cloud Interconnect-Anhänge (VLANs) mit einem VPC-Netzwerk verbunden sein.

  • Ihre lokalen Systeme müssen IPv4-Adressen verwenden, um eine Verbindung zu Google APIs und Google-Diensten herzustellen.

    Die Verbindung mit Google APIs und Google-Diensten über IPv6-Adressen wird derzeit nicht unterstützt. Dies führt zu einer destination unreachable-ICMP-Antwort. Die meisten Anwendungen werden transparent auf IPv4 zurückgesetzt.

  • Das VPC-Netzwerk, mit dem Ihr lokales Netzwerk verbunden ist, muss entsprechende Routen für die Ziel-IP-Bereiche private.googleapis.com oder restricted.googleapis.com haben. Weitere Informationen finden Sie unter VPC-Netzwerkrouting.

  • Ihr lokales Netzwerk muss Routen für die Ziel-IP-Bereiche private.googleapis.com oder restricted.googleapis.com haben. Diese Routen müssen Traffic an den entsprechenden Cloud VPN-Tunnel oder Cloud Interconnect-Anhang (VLAN) weiterleiten, der eine Verbindung zu Ihrem VPC-Netzwerk herstellt. Weitere Informationen finden Sie unter Lokales Routing mit Cloud Router.

Berechtigungen

Projektinhaber, -bearbeiter und IAM-Hauptkonten mit der Rolle Netzwerkadministrator können Subnetze erstellen oder aktualisieren und IP-Adressen zuweisen.

Weitere Informationen zu Rollen finden Sie in der Dokumentation zu IAM-Rollen.

Netzwerkkonfiguration

Der private Google-Zugriff für lokale Hosts hat bestimmte Netzwerkanforderungen für lokale Systeme und das VPC-Netzwerk, über welches die lokalen Systeme Traffic an Google APIs und Google-Dienste senden.

Domainoptionen

Für den privaten Google-Zugriff für lokale Hosts müssen Sie Dienste an eine der folgenden speziellen Domains weiterleiten. Die ausgewählte spezielle Domain bestimmt, auf welche Dienste Sie zugreifen können:

  • private.googleapis.com (199.36.153.8/30) bietet Zugriff auf die meisten Google APIs und Google-Dienste, einschließlich Cloud und Developer APIs mit Unterstützung für VPC Service Controls und solche, die VPC Service Controls nicht unterstützen. VPC Service Controls wird erzwungen, wenn Sie einen Dienstperimeter konfigurieren.

  • restricted.googleapis.com (199.36.153.4/30) bietet nur Zugriff auf Cloud und Developer APIs, die VPC Service Controls unterstützen. VPC Service Controls wird für diese Dienste erzwungen, wenn Sie einen Dienstperimeter konfiguriert haben. Der Zugriff auf Google APIs oder Google-Dienste, die VPC Service Controls nicht unterstützen, ist unzulässig.

Die VIPs private.googleapis.com und restricted.googleapis.com unterstützen nur HTTP-basierte Protokolle über TCP (HTTP, HTTPS und HTTP/2). Alle anderen Protokolle, einschließlich MQTT und ICMP, werden nicht unterstützt.

Domains und IP-Adressbereiche Unterstützte Dienste Nutzungsbeispiel
private.googleapis.com

199.36.153.8/30		 Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Maps, Google Ads, die Google Cloud Platform und die meisten anderen Google APIs, einschließlich der Listen unten. Unterstützt keine Google Workspace-Webanwendungen. Interaktive Websites werden nicht unterstützt.

Domainnamen, die übereinstimmen:
  • accounts.google.com (nur die für die OAuth-Authentifizierung benötigten Pfade)
  • appengine.google.com
  • *.appspot.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • dl.google.com
  • gcr.io oder *.gcr.io
  • *.googleadapis.com
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev oder *.pkg.dev
  • pki.goog oder *.pki.goog
  • *.run.app
  • source.developers.google.com

Mit private.googleapis.com können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen.

Wählen Sie unter folgenden Umständen private.googleapis.com aus:

  • Sie verwenden VPC Service Controls nicht.
  • Sie verwenden VPC Service Controls, müssen aber auch auf Google APIs und Google-Dienste zugreifen, die von VPC Service Controls nicht unterstützt werden.
restricted.googleapis.com

199.36.153.4/30		 Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden.

Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Unterstützt keine Google Workspace-Webanwendungen oder Google Workspace-APIs.

Mit restricted.googleapis.com können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen.

Wählen Sie restricted.googleapis.com aus, wenn Sie nur Zugriff auf Google APIs und Google-Dienste benötigen, die von VPC Service Controls unterstützt werden. restricted.googleapis.com erlaubt keinen Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen.

DNS-Konfiguration

In Ihrem lokalen Netzwerk müssen DNS-Zonen und -Einträge konfiguriert sein, damit Google-Domainnamen in den Satz von IP-Adressen für private.googleapis.com oder restricted.googleapis.com aufgelöst werden. Sie können von Cloud DNS verwaltete private Zonen erstellen und eine Cloud DNS-Richtlinie für eingehenden Server verwenden oder lokale Nameserver konfigurieren. Beispielsweise können Sie BIND oder Microsoft Active Directory DNS verwenden.

Erstellen Sie eine DNS-Zone und -Einträge für *.googleapis.com:

  1. Erstellen Sie eine DNS-Zone für googleapis.com. Ziehen Sie zu diesem Zweck in Betracht, eine private Cloud DNS-Zone zu erstellen.

  2. Erstellen Sie in der Zone googleapis.com abhängig von der ausgewählten Domain einen der folgenden A-Einträge:

    • Einen A-Eintrag für private.googleapis.com, der auf die folgenden IP-Adressen verweist: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11
    • Einen A-Eintrag für restricted.googleapis.com, der auf die folgenden IP-Adressen verweist: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

    Wenn Sie Cloud DNS verwenden, fügen Sie die Einträge der privaten Zone googleapis.com hinzu.

  3. Erstellen Sie in der Zone googleapis.com einen CNAME-Eintrag für *.googleapis.com, der auf den A-Datensatz verweist, den Sie im vorherigen Schritt erstellt haben.

Einige Google APIs und Google-Dienste werden mit zusätzlichen Domainnamen bereitgestellt, darunter *.gcr.io, *.gstatic.com, *.pkg.dev und pki.goog. In der Tabelle der Domain- und IP-Adressbereiche in den Netzwerkanforderungen erfahren Sie, ob die Dienste der zusätzlichen Domain über private.googleapis.com oder restricted.googleapis.com aufgerufen werden können. Gehen Sie anschließend für jede der zusätzlichen Domains so vor:

  1. Erstellen Sie eine DNS-Zone für die zusätzliche Domain (z. B. gcr.io). Wenn Sie Cloud DNS verwenden, muss sich diese Zone im selben Projekt wie Ihre private Zone googleapis.com befinden.
  2. In dieser DNS-Zone:
    • Erstellen Sie einen A-Eintrag für den Domainnamen (Zone) selbst. Beispiel: gcr.io. Verweisen Sie mit dem A-Eintrag auf die gleichen vier IP-Adressen für den von Ihnen ausgewählten benutzerdefinierten Domainnamen (private.googleapis.com oder restricted.googleapis.com).
    • Erstellen Sie einen CNAME-Eintrag für alle möglichen Hostnamen der zusätzlichen Domain. Verwenden Sie dazu ein Sternchen und einen Punkt, gefolgt vom Domainnamen (Zone), z. B. *.gcr.io. Verweisen Sie in diesem CNAME-Eintrag auf den A-Eintrag in derselben Zone. Verweisen Sie beispielsweise von *.gcr.io auf gcr.io.

Wenn Sie die DNS-Konfiguration mithilfe von Cloud DNS implementiert haben, müssen Sie lokale Systeme konfigurieren, damit sie Abfragen an Ihre von Cloud DNS verwalteten privaten Zonen senden können:

  • Erstellen Sie eine Serverrichtlinie für eingehenden Traffic in dem VPC-Netzwerk, zu dem Ihr lokales Netzwerk eine Verbindung herstellt.
  • Identifizieren Sie die Weiterleitungs-Einstiegspunkte für eingehenden Traffic in den Regionen, in denen sich Ihre Cloud VPN-Tunnel und Cloud Interconnect-Anhänge (VLANs) befinden, in dem VPC-Netzwerk, mit dem sich Ihr lokales Netzwerk verbindet.
  • Konfigurieren Sie lokale Systeme und lokale DNS-Nameserver für die Weiterleitung von googleapis.com und aller zusätzlichen Domainnamen an einen Weiterleitungs-Einstiegspunkt für eingehenden Traffic in derselben Region wie der Cloud VPN-Tunnel oder Cloud Interconnect-Anhang (VLAN), der eine Verbindung zum VPC-Netzwerk herstellt.

VPC-Netzwerkrouting

Das VPC-Netzwerk, mit dem Ihr lokales Netzwerk eine Verbindung herstellt, muss Routen für die IP-Adressbereiche haben, die von private.googleapis.com oder restricted.googleapis.com verwendet werden. Für diese Routen muss der nächste Hop des Standard-Internetgateways verwendet werden.

Google veröffentlicht im Internet keine Routen für die IP-Adressbereiche, die von den Domains private.googleapis.com oder restricted.googleapis.com verwendet werden. Obwohl die Routen im VPC-Netzwerk Traffic an den Standard-Internetgateway als nächsten Hop senden, bleiben an 199.36.153.8/30 und 199.36.153.4/30 gesendete Pakete im Google-Netzwerk.

Wenn das VPC-Netzwerk, mit dem sich Ihr lokales Netzwerk verbindet, eine Standardroute enthält, deren nächster Hop das Standard-Internetgateway ist, erfüllt diese Route die Routinganforderungen für den privaten Google-Zugriff für lokale Hosts.

Benutzerdefiniertes VPC-Netzwerkrouting

Wenn Sie die Standardroute ersetzt oder geändert haben, müssen Sie benutzerdefinierte statische Routen für die von private.googleapis.com oder restricted.googleapis.com verwendeten Ziel-IP-Bereiche konfiguriert haben. Führen Sie die folgenden Schritte aus, um die Konfiguration von benutzerdefinierten Routen für Google APIs und Google-Dienste in einem bestimmten Netzwerk zu prüfen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Routen“ auf.
    Zur Seite „Routen”
  2. Verwenden Sie das Textfeld Tabelle filtern, um die Liste der Routen anhand der folgenden Kriterien zu filtern. Ersetzen Sie dabei NETWORK_NAME durch den Namen des VPC-Netzwerks, mit dem sich Ihr lokales Netzwerk verbindet:
    • Netzwerk: NETWORK_NAME
    • Nächster Hop-Typ: default internet gateway
  3. Sehen Sie sich für jede Route die Spalte Ziel-IP-Bereich an. Suchen Sie nach einer Route, deren Zielbereich folgenden Werten entspricht:
    • 199.36.153.8/30, wenn Sie private.googleapis.com ausgewählt haben
    • 199.36.153.4/30, wenn Sie restricted.googleapis.com ausgewählt haben

gcloud

Verwenden Sie den folgenden gcloud-Befehl und ersetzen Sie dabei NETWORK_NAME durch den Namen des VPC-Netzwerks, mit dem Ihr lokales Netzwerk eine Verbindung herstellt:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Routen werden im Tabellenformat aufgelistet, sofern Sie den Befehl nicht mit dem Flag --format anpassen. Suchen Sie in der Spalte DEST_RANGE nach einer Route, deren Zielbereich folgenden Werten entspricht:

  • 199.36.153.8/30, wenn Sie private.googleapis.com ausgewählt haben
  • 199.36.153.4/30, wenn Sie restricted.googleapis.com ausgewählt haben

Informationen zum Erstellen von Routen in Ihrem VPC-Netzwerk finden Sie unter Statische Route hinzufügen.

Lokales Routing mit Cloud Router

Routen in Ihrem lokalen Netzwerk müssen so konfiguriert sein, dass der Traffic für die IP-Adressbereiche der Domains private.googleapis.com oder restricted.googleapis.com an die nächsten Hop-Cloud VPN-Tunnel oder Cloud Interconnect-Anhänge, die eine Verbindung zu Ihrem VPC-Netzwerk herstellen, weitergeleitet wird.

Sie können das benutzerdefinierte Route Advertisement von Cloud Router verwenden, um Routen für die folgenden Ziele anzukündigen:

  • 199.36.153.8/30, wenn Sie private.googleapis.com ausgewählt haben
  • 199.36.153.4/30, wenn Sie restricted.googleapis.com ausgewählt haben

Console

So aktualisieren Sie den Route Advertisement-Modus für alle BGP-Sitzungen auf einem Cloud Router, außer in den BGP-Sitzungen, die benutzerdefiniertes BGP-Advertising verwenden:

  1. Rufen Sie in der Google Cloud Console die Seite „Cloud Router” auf.
    Zur Liste der Cloud Router
  2. Wählen Sie den Cloud Router aus, der BGP-Sitzungen für die Cloud VPN-Tunnel oder Cloud Interconnect-Anhänge (VLANs) verwaltet, die Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbinden.
  3. Wählen Sie auf der Detailseite des Cloud Routers Bearbeiten aus.
  4. Erweitern Sie den Abschnitt Beworbene Routen.
  5. Wählen Sie für Routen die Option Benutzerdefinierte Routen erstellen aus.
  6. Wählen Sie Alle für den Cloud Router sichtbaren Subnetze anbieten aus, um alle für den Cloud Router verfügbaren Subnetzrouten anzubieten, wenn Sie das Standardverhalten des Cloud Routers wünschen.
  7. Wählen Sie Benutzerdefinierte Route hinzufügen aus, um eine beworbene Route zu erstellen.
  8. Konfigurieren Sie das Routen-Advertising.
    • Quelle: Wählen Sie Benutzerdefinierter IP-Bereich aus, um einen benutzerdefinierten IP-Bereich anzugeben.
    • IP-Adressbereich: Geben Sie Folgendes an:
      • 199.36.153.8/30, wenn Sie private.googleapis.com ausgewählt haben
      • 199.36.153.4/30, wenn Sie restricted.googleapis.com ausgewählt haben
    • Beschreibung: Fügen Sie eine Beschreibung hinzu.
  9. Wenn Sie keine weiteren Routen hinzufügen wollen, klicken Sie auf Speichern.

So aktualisieren Sie den Route Advertisement-Modus für eine bestimmte BGP-Sitzung:

  1. Rufen Sie in der Google Cloud Console die Seite „Cloud Router” auf.
    Zur Liste der Cloud Router
  2. Wählen Sie den Cloud Router aus, der die BGP-Sitzung für einen Cloud VPN-Tunnel oder einen Cloud Interconnect-Anhang (VLAN) verwaltet, der Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbindet.
  3. Klicken Sie auf der Detailseite des Cloud Routers auf die zu aktualisierende BGP-Sitzung.
  4. Klicken Sie auf der Seite mit den BGP-Sitzungsdetails auf Bearbeiten.
  5. Wählen Sie für Routen die Option Benutzerdefinierte Routen erstellen aus.
  6. Wählen Sie Alle für den Cloud Router sichtbaren Subnetze anbieten aus, um alle für den Cloud Router verfügbaren Subnetzrouten anzubieten, wenn Sie das Standardverhalten des Cloud Routers wünschen.
  7. Wählen Sie Benutzerdefinierte Route hinzufügen aus, um eine beworbene Route zu erstellen.
  8. Konfigurieren Sie das Routen-Advertising.
    • Quelle: Wählen Sie Benutzerdefinierter IP-Bereich aus, um einen benutzerdefinierten IP-Bereich anzugeben.
    • IP-Adressbereich: Geben Sie Folgendes an:
      • 199.36.153.8/30, wenn Sie private.googleapis.com ausgewählt haben
      • 199.36.153.4/30, wenn Sie restricted.googleapis.com ausgewählt haben
    • Beschreibung: Fügen Sie eine Beschreibung hinzu.
  9. Wenn Sie keine weiteren Routen hinzufügen wollen, klicken Sie auf Speichern.

gcloud

  1. Ermitteln Sie den Namen und die Region des Cloud Routers, der BGP-Sitzungen in den Cloud VPN-Tunneln oder Cloud Interconnect-Anhängen (VLANs) verwaltet, die Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbinden.

  2. Verwenden Sie compute routers update, um den Route Advertisement-Modus in allen BGP-Sitzungen des Cloud Routers zu aktualisieren, außer in den BGP-Sitzungen, die selbst benutzerdefiniertes BGP-Advertising verwenden:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Sie können neue Advertising-Bereiche anhängen, wenn Sie bereits den Advertisement-Modus CUSTOM für den Cloud Router verwenden. Dadurch wird der Route Advertisement-Modus in allen BGP-Sitzungen des Cloud Routers aktualisiert, außer in den BGP-Sitzungen, die selbst benutzerdefiniertes BGP-Advertising verwenden:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES

  3. Alternativ können Sie mit compute routers update-bgp-peer einen bestimmten BGP-Peer auf dem Cloud Router konfigurieren:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Sie können neue Advertising-Bereiche anhängen, wenn Sie bereits den Advertisement-Modus CUSTOM für eine BGP-Sitzung auf einem Cloud Router verwenden.

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES

    Ersetzen Sie in den obigen Befehlen Folgendes durch gültige Werte:

Hinweise zur Firewall

Google Cloud-Firewallregeln im VPC-Netzwerk, mit dem Ihr lokales Netzwerk eine Verbindung herstellt, haben keine Auswirkungen auf Folgendes:

  • Pakete, die über einen Cloud VPN-Tunnel gesendet werden, der mit dem VPC-Netzwerk verbunden ist
  • Pakete, die über einen Cloud Interconnect-Anhang (VLAN) gesendet werden, der mit dem VPC-Netzwerk verbunden ist
  • Eingehende Pakete an Cloud DNS-Weiterleitungs-IP-Adressen für eingehenden Traffic im VPC-Netzwerk

Sie sollten dafür sorgen, dass die Firewallkonfiguration lokaler Systeme ausgehenden Traffic und eingehende Antworten in folgenden Fällen zulässt:

  • 199.36.153.8/30, wenn Sie private.googleapis.com verwenden
  • 199.36.153.4/30, wenn Sie restricted.googleapis.com verwenden
  • Alle Cloud DNS-Weiterleitungs-IP-Adressen für eingehenden Traffic, wenn Sie Cloud DNS für die DNS-Konfiguration verwenden

Weitere Informationen