Privaten Google-Zugriff für lokale Hosts konfigurieren
Mit privatem Google-Zugriff für lokale Hosts können lokale Systeme eine Verbindung zu Google APIs und Google-Diensten herstellen, indem der Traffic über einen Cloud VPN-Tunnel oder Cloud Interconnect-Anhang (VLAN) weitergeleitet wird. Der private Google-Zugriff für lokale Hosts ist eine Alternative zum Herstellen einer Verbindung zu Google APIs und Google-Diensten über das Internet.
In diesem Dokument wird beschrieben, wie Sie privaten Google-Zugriff für lokale Hosts aktivieren.
Diese Anleitung gilt auch für Hostcomputer in der Regionserweiterung Bare-Metal-Lösung. Außer in Bezug auf die Nameserver im Abschnitt DNS-Konfiguration ist der Begriff Lokal in dieser Anleitung gleichbedeutend mit Bare-Metal-Lösung. Bei DNS-Nameservern kann der von Ihnen verwendete DNS-Nameserver Ihr eigener Unternehmensserver in Ihrer lokalen Umgebung, ein DNS-Nameserver in Google Cloud oder ein öffentlicher DNS-Nameserver sein, wenn Sie Ihre Computer mit Bare-Metal-Lösung zum Herstellen einer Verbindung mit dem Internet aktivieren.
Spezifikationen und Anforderungen
Für den privaten Google-Zugriff für lokale Hosts gelten folgende Anforderungen:
Durch den privaten Google-Zugriff werden APIs nicht automatisch aktiviert. Sie müssen die benötigten Google APIs separat aktivieren. Dies erfolgt über die Seite „APIs & Dienste” in der Google Cloud Console.
Sie müssen Traffic von Google APIs und Google-Diensten, die von lokalen Systemen gesendet werden, an die IP-Adressen senden, die mit den speziellen Domainnamen private.googleapis.com oder restricted.googleapis.com verknüpft sind. Unter Domainoptionen finden Sie weitere Informationen dazu, auf welche Dienste in den einzelnen Domains zugegriffen werden kann.
Ihr lokales Netzwerk muss über Cloud VPN-Tunnel oder Cloud Interconnect-Anhänge (VLANs) mit einem VPC-Netzwerk verbunden sein.
Ihre lokalen Systeme müssen IPv4-Adressen verwenden, um eine Verbindung zu Google APIs und Google-Diensten herzustellen.
Die Verbindung mit Google APIs und Google-Diensten über IPv6-Adressen wird derzeit nicht unterstützt. Dies führt zu einer
destination unreachable
-ICMP-Antwort. Die meisten Anwendungen werden transparent auf IPv4 zurückgesetzt.Das VPC-Netzwerk, mit dem Ihr lokales Netzwerk verbunden ist, muss entsprechende Routen für die Ziel-IP-Bereiche private.googleapis.com oder restricted.googleapis.com haben. Weitere Informationen finden Sie unter VPC-Netzwerkrouting.
Ihr lokales Netzwerk muss Routen für die Ziel-IP-Bereiche private.googleapis.com oder restricted.googleapis.com haben. Diese Routen müssen Traffic an den entsprechenden Cloud VPN-Tunnel oder Cloud Interconnect-Anhang (VLAN) weiterleiten, der eine Verbindung zu Ihrem VPC-Netzwerk herstellt. Weitere Informationen finden Sie unter Lokales Routing mit Cloud Router.
Berechtigungen
Projektinhaber, -bearbeiter und IAM-Hauptkonten mit der Rolle Netzwerkadministrator können Subnetze erstellen oder aktualisieren und IP-Adressen zuweisen.
Weitere Informationen zu Rollen finden Sie in der Dokumentation zu IAM-Rollen.
Netzwerkkonfiguration
Der private Google-Zugriff für lokale Hosts hat bestimmte Netzwerkanforderungen für lokale Systeme und das VPC-Netzwerk, über welches die lokalen Systeme Traffic an Google APIs und Google-Dienste senden.
Domainoptionen
Für den privaten Google-Zugriff für lokale Hosts müssen Sie Dienste an eine der folgenden speziellen Domains weiterleiten. Die ausgewählte spezielle Domain bestimmt, auf welche Dienste Sie zugreifen können:
private.googleapis.com (
199.36.153.8/30
) bietet Zugriff auf die meisten Google APIs und Google-Dienste, einschließlich Cloud und Developer APIs mit Unterstützung für VPC Service Controls und solche, die VPC Service Controls nicht unterstützen. VPC Service Controls wird erzwungen, wenn Sie einen Dienstperimeter konfigurieren.restricted.googleapis.com (
199.36.153.4/30
) bietet nur Zugriff auf Cloud und Developer APIs, die VPC Service Controls unterstützen. VPC Service Controls wird für diese Dienste erzwungen, wenn Sie einen Dienstperimeter konfiguriert haben. Der Zugriff auf Google APIs oder Google-Dienste, die VPC Service Controls nicht unterstützen, ist unzulässig.
Die VIPs private.googleapis.com
und restricted.googleapis.com
unterstützen nur HTTP-basierte Protokolle über TCP (HTTP, HTTPS und HTTP/2). Alle anderen Protokolle, einschließlich MQTT und ICMP, werden nicht unterstützt.
Domains und IP-Adressbereiche | Unterstützte Dienste | Nutzungsbeispiel |
---|---|---|
private.googleapis.com 199.36.153.8/30 |
Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Maps, Google Ads, die Google Cloud Platform und die meisten anderen Google APIs, einschließlich der Listen unten. Unterstützt keine Google Workspace-Webanwendungen. Interaktive Websites werden nicht unterstützt. Domainnamen, die übereinstimmen:
|
Mit Wählen Sie unter folgenden Umständen
|
restricted.googleapis.com 199.36.153.4/30 |
Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden. Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Unterstützt keine Google Workspace-Webanwendungen oder Google Workspace-APIs. |
Mit Wählen Sie |
DNS-Konfiguration
In Ihrem lokalen Netzwerk müssen DNS-Zonen und -Einträge konfiguriert sein, damit Google-Domainnamen in den Satz von IP-Adressen für private.googleapis.com
oder restricted.googleapis.com
aufgelöst werden. Sie können von Cloud DNS verwaltete private Zonen erstellen und eine Cloud DNS-Richtlinie für eingehenden Server verwenden oder lokale Nameserver konfigurieren. Beispielsweise können Sie BIND oder Microsoft Active Directory DNS verwenden.
Erstellen Sie eine DNS-Zone und -Einträge für *.googleapis.com
:
- Erstellen Sie eine DNS-Zone für
googleapis.com
. Ziehen Sie zu diesem Zweck in Betracht, eine private Cloud DNS-Zone zu erstellen. Erstellen Sie in der Zone
googleapis.com
abhängig von der ausgewählten Domain einen der folgendenA
-Einträge:- Einen
A
-Eintrag fürprivate.googleapis.com
, der auf die folgenden IP-Adressen verweist:199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
- Einen
A
-Eintrag fürrestricted.googleapis.com
, der auf die folgenden IP-Adressen verweist:199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
Wenn Sie Cloud DNS verwenden, fügen Sie die Einträge der privaten Zone
googleapis.com
hinzu.- Einen
Erstellen Sie in der Zone
googleapis.com
einenCNAME
-Eintrag für*.googleapis.com
, der auf denA
-Datensatz verweist, den Sie im vorherigen Schritt erstellt haben.
Einige Google APIs und Google-Dienste werden mit zusätzlichen Domainnamen bereitgestellt, darunter *.gcr.io
, *.gstatic.com
, *.pkg.dev
und pki.goog
. In der Tabelle der Domain- und IP-Adressbereiche in den Netzwerkanforderungen erfahren Sie, ob die Dienste der zusätzlichen Domain über private.googleapis.com
oder restricted.googleapis.com
aufgerufen werden können. Gehen Sie anschließend für jede der zusätzlichen Domains so vor:
- Erstellen Sie eine DNS-Zone für die zusätzliche Domain (z. B.
gcr.io
). Wenn Sie Cloud DNS verwenden, muss sich diese Zone im selben Projekt wie Ihre private Zonegoogleapis.com
befinden. - In dieser DNS-Zone:
- Erstellen Sie einen
A
-Eintrag für den Domainnamen (Zone) selbst. Beispiel:gcr.io
. Verweisen Sie mit demA
-Eintrag auf die gleichen vier IP-Adressen für den von Ihnen ausgewählten benutzerdefinierten Domainnamen (private.googleapis.com
oderrestricted.googleapis.com
). - Erstellen Sie einen
CNAME
-Eintrag für alle möglichen Hostnamen der zusätzlichen Domain. Verwenden Sie dazu ein Sternchen und einen Punkt, gefolgt vom Domainnamen (Zone), z. B.*.gcr.io
. Verweisen Sie in diesemCNAME
-Eintrag auf denA
-Eintrag in derselben Zone. Verweisen Sie beispielsweise von*.gcr.io
aufgcr.io
.
- Erstellen Sie einen
Wenn Sie die DNS-Konfiguration mithilfe von Cloud DNS implementiert haben, müssen Sie lokale Systeme konfigurieren, damit sie Abfragen an Ihre von Cloud DNS verwalteten privaten Zonen senden können:
- Erstellen Sie eine Serverrichtlinie für eingehenden Traffic in dem VPC-Netzwerk, zu dem Ihr lokales Netzwerk eine Verbindung herstellt.
- Identifizieren Sie die Weiterleitungs-Einstiegspunkte für eingehenden Traffic in den Regionen, in denen sich Ihre Cloud VPN-Tunnel und Cloud Interconnect-Anhänge (VLANs) befinden, in dem VPC-Netzwerk, mit dem sich Ihr lokales Netzwerk verbindet.
- Konfigurieren Sie lokale Systeme und lokale DNS-Nameserver für die Weiterleitung von
googleapis.com
und aller zusätzlichen Domainnamen an einen Weiterleitungs-Einstiegspunkt für eingehenden Traffic in derselben Region wie der Cloud VPN-Tunnel oder Cloud Interconnect-Anhang (VLAN), der eine Verbindung zum VPC-Netzwerk herstellt.
VPC-Netzwerkrouting
Das VPC-Netzwerk, mit dem Ihr lokales Netzwerk eine Verbindung herstellt, muss Routen für die IP-Adressbereiche haben, die von private.googleapis.com
oder restricted.googleapis.com
verwendet werden. Für diese Routen muss der nächste Hop des Standard-Internetgateways verwendet werden.
Google veröffentlicht im Internet keine Routen für die IP-Adressbereiche, die von den Domains private.googleapis.com
oder restricted.googleapis.com
verwendet werden.
Obwohl die Routen im VPC-Netzwerk Traffic an den Standard-Internetgateway als nächsten Hop senden, bleiben an 199.36.153.8/30
und 199.36.153.4/30
gesendete Pakete im Google-Netzwerk.
Wenn das VPC-Netzwerk, mit dem sich Ihr lokales Netzwerk verbindet, eine Standardroute enthält, deren nächster Hop das Standard-Internetgateway ist, erfüllt diese Route die Routinganforderungen für den privaten Google-Zugriff für lokale Hosts.
Benutzerdefiniertes VPC-Netzwerkrouting
Wenn Sie die Standardroute ersetzt oder geändert haben, müssen Sie benutzerdefinierte statische Routen für die von private.googleapis.com
oder restricted.googleapis.com
verwendeten Ziel-IP-Bereiche konfiguriert haben. Führen Sie die folgenden Schritte aus, um die Konfiguration von benutzerdefinierten Routen für Google APIs und Google-Dienste in einem bestimmten Netzwerk zu prüfen.
Console
- Rufen Sie in der Google Cloud Console die Seite „Routen“ auf.
Zur Seite „Routen” - Verwenden Sie das Textfeld Tabelle filtern, um die Liste der Routen anhand der folgenden Kriterien zu filtern. Ersetzen Sie dabei
NETWORK_NAME
durch den Namen des VPC-Netzwerks, mit dem sich Ihr lokales Netzwerk verbindet:- Netzwerk:
NETWORK_NAME
- Nächster Hop-Typ:
default internet gateway
- Netzwerk:
- Sehen Sie sich für jede Route die Spalte Ziel-IP-Bereich an. Suchen Sie nach einer Route, deren Zielbereich folgenden Werten entspricht:
199.36.153.8/30
, wenn Sieprivate.googleapis.com
ausgewählt haben199.36.153.4/30
, wenn Sierestricted.googleapis.com
ausgewählt haben
gcloud
Verwenden Sie den folgenden gcloud
-Befehl und ersetzen Sie dabei NETWORK_NAME
durch den Namen des VPC-Netzwerks, mit dem Ihr lokales Netzwerk eine Verbindung herstellt:
gcloud compute routes list \ --filter="default-internet-gateway NETWORK_NAME"
Routen werden im Tabellenformat aufgelistet, sofern Sie den Befehl nicht mit dem Flag --format
anpassen. Suchen Sie in der Spalte DEST_RANGE
nach einer Route, deren Zielbereich folgenden Werten entspricht:
199.36.153.8/30
, wenn Sieprivate.googleapis.com
ausgewählt haben199.36.153.4/30
, wenn Sierestricted.googleapis.com
ausgewählt haben
Informationen zum Erstellen von Routen in Ihrem VPC-Netzwerk finden Sie unter Statische Route hinzufügen.
Lokales Routing mit Cloud Router
Routen in Ihrem lokalen Netzwerk müssen so konfiguriert sein, dass der Traffic für die IP-Adressbereiche der Domains private.googleapis.com
oder restricted.googleapis.com
an die nächsten Hop-Cloud VPN-Tunnel oder Cloud Interconnect-Anhänge, die eine Verbindung zu Ihrem VPC-Netzwerk herstellen, weitergeleitet wird.
Sie können das benutzerdefinierte Route Advertisement von Cloud Router verwenden, um Routen für die folgenden Ziele anzukündigen:
199.36.153.8/30
, wenn Sieprivate.googleapis.com
ausgewählt haben199.36.153.4/30
, wenn Sierestricted.googleapis.com
ausgewählt haben
Console
So aktualisieren Sie den Route Advertisement-Modus für alle BGP-Sitzungen auf einem Cloud Router, außer in den BGP-Sitzungen, die benutzerdefiniertes BGP-Advertising verwenden:
- Rufen Sie in der Google Cloud Console die Seite „Cloud Router” auf.
Zur Liste der Cloud Router - Wählen Sie den Cloud Router aus, der BGP-Sitzungen für die Cloud VPN-Tunnel oder Cloud Interconnect-Anhänge (VLANs) verwaltet, die Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbinden.
- Wählen Sie auf der Detailseite des Cloud Routers Bearbeiten aus.
- Erweitern Sie den Abschnitt Beworbene Routen.
- Wählen Sie für Routen die Option Benutzerdefinierte Routen erstellen aus.
- Wählen Sie Alle für den Cloud Router sichtbaren Subnetze anbieten aus, um alle für den Cloud Router verfügbaren Subnetzrouten anzubieten, wenn Sie das Standardverhalten des Cloud Routers wünschen.
- Wählen Sie Benutzerdefinierte Route hinzufügen aus, um eine beworbene Route zu erstellen.
- Konfigurieren Sie das Routen-Advertising.
- Quelle: Wählen Sie Benutzerdefinierter IP-Bereich aus, um einen benutzerdefinierten IP-Bereich anzugeben.
- IP-Adressbereich: Geben Sie Folgendes an:
199.36.153.8/30
, wenn Sieprivate.googleapis.com
ausgewählt haben199.36.153.4/30
, wenn Sierestricted.googleapis.com
ausgewählt haben
- Beschreibung: Fügen Sie eine Beschreibung hinzu.
- Wenn Sie keine weiteren Routen hinzufügen wollen, klicken Sie auf Speichern.
So aktualisieren Sie den Route Advertisement-Modus für eine bestimmte BGP-Sitzung:
- Rufen Sie in der Google Cloud Console die Seite „Cloud Router” auf.
Zur Liste der Cloud Router - Wählen Sie den Cloud Router aus, der die BGP-Sitzung für einen Cloud VPN-Tunnel oder einen Cloud Interconnect-Anhang (VLAN) verwaltet, der Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbindet.
- Klicken Sie auf der Detailseite des Cloud Routers auf die zu aktualisierende BGP-Sitzung.
- Klicken Sie auf der Seite mit den BGP-Sitzungsdetails auf Bearbeiten.
- Wählen Sie für Routen die Option Benutzerdefinierte Routen erstellen aus.
- Wählen Sie Alle für den Cloud Router sichtbaren Subnetze anbieten aus, um alle für den Cloud Router verfügbaren Subnetzrouten anzubieten, wenn Sie das Standardverhalten des Cloud Routers wünschen.
- Wählen Sie Benutzerdefinierte Route hinzufügen aus, um eine beworbene Route zu erstellen.
- Konfigurieren Sie das Routen-Advertising.
- Quelle: Wählen Sie Benutzerdefinierter IP-Bereich aus, um einen benutzerdefinierten IP-Bereich anzugeben.
- IP-Adressbereich: Geben Sie Folgendes an:
199.36.153.8/30
, wenn Sieprivate.googleapis.com
ausgewählt haben199.36.153.4/30
, wenn Sierestricted.googleapis.com
ausgewählt haben
- Beschreibung: Fügen Sie eine Beschreibung hinzu.
- Wenn Sie keine weiteren Routen hinzufügen wollen, klicken Sie auf Speichern.
gcloud
Ermitteln Sie den Namen und die Region des Cloud Routers, der BGP-Sitzungen in den Cloud VPN-Tunneln oder Cloud Interconnect-Anhängen (VLANs) verwaltet, die Ihr lokales Netzwerk mit Ihrem VPC-Netzwerk verbinden.
Verwenden Sie
compute routers update
, um den Route Advertisement-Modus in allen BGP-Sitzungen des Cloud Routers zu aktualisieren, außer in den BGP-Sitzungen, die selbst benutzerdefiniertes BGP-Advertising verwenden:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
Sie können neue Advertising-Bereiche anhängen, wenn Sie bereits den Advertisement-Modus
CUSTOM
für den Cloud Router verwenden. Dadurch wird der Route Advertisement-Modus in allen BGP-Sitzungen des Cloud Routers aktualisiert, außer in den BGP-Sitzungen, die selbst benutzerdefiniertes BGP-Advertising verwenden:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --add-advertisement-ranges=CUSTOM_RANGES
Alternativ können Sie mit
compute routers update-bgp-peer
einen bestimmten BGP-Peer auf dem Cloud Router konfigurieren:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
Sie können neue Advertising-Bereiche anhängen, wenn Sie bereits den Advertisement-Modus
CUSTOM
für eine BGP-Sitzung auf einem Cloud Router verwenden.gcloud compute routers update ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --add-advertisement-ranges=CUSTOM_RANGES
Ersetzen Sie in den obigen Befehlen Folgendes durch gültige Werte:
ROUTER_NAME
: Name des Cloud RoutersREGION
: Region des Cloud RoutersPEER_NAME
: Name des BGP-Peers, der konfiguriert wurde, wenn Sie einen VLAN-Anhang für Dedicated Interconnect erstellt haben, wenn Sie einen VLAN-Anhang für Partner Interconnect erstellt haben, wenn Sie einen HA VPN-Tunnel erstellt haben oder wenn Sie einen klassischen VPN-Tunnel mit dynamischem Routing erstellt haben.- Verlassen Sie
--set-advertisement-groups=ALL_SUBNETS
, um alle für den Cloud Router verfügbaren Subnetzrouten anzubieten. Dies ist das Standardverhalten des Cloud Routers. CUSTOM_RANGES
: Eine durch Kommas getrennte Liste benutzerdefinierter Bereiche, die angeboten werden sollen. Wenn Sieprivate.googleapis.com
auswählen, verwenden Sie199.36.153.8/30
. Wenn Sierestricted.googleapis.com
auswählen, verwenden Sie199.36.153.4/30
.
Hinweise zur Firewall
Google Cloud-Firewallregeln im VPC-Netzwerk, mit dem Ihr lokales Netzwerk eine Verbindung herstellt, haben keine Auswirkungen auf Folgendes:
- Pakete, die über einen Cloud VPN-Tunnel gesendet werden, der mit dem VPC-Netzwerk verbunden ist
- Pakete, die über einen Cloud Interconnect-Anhang (VLAN) gesendet werden, der mit dem VPC-Netzwerk verbunden ist
- Eingehende Pakete an Cloud DNS-Weiterleitungs-IP-Adressen für eingehenden Traffic im VPC-Netzwerk
Sie sollten dafür sorgen, dass die Firewallkonfiguration lokaler Systeme ausgehenden Traffic und eingehende Antworten in folgenden Fällen zulässt:
199.36.153.8/30
, wenn Sieprivate.googleapis.com
verwenden199.36.153.4/30
, wenn Sierestricted.googleapis.com
verwenden- Alle Cloud DNS-Weiterleitungs-IP-Adressen für eingehenden Traffic, wenn Sie Cloud DNS für die DNS-Konfiguration verwenden
Weitere Informationen
- Weitere Informationen finden Sie unter Privaten Google-Zugriff für VPC konfigurieren, wenn Sie VMs in Ihrem Google Cloud-VPC-Netzwerk für den Zugriff auf Google APIs und Google-Dienste benötigen.