Cómo configurar el Acceso privado a Google de los hosts locales

El Acceso privado a Google para hosts locales proporciona una forma de conectar sistemas locales a los servicios y las API de Google mediante el enrutamiento del tráfico a través de un túnel de Cloud VPN o un adjunto de Cloud Interconnect (VLAN). El Acceso privado a Google para hosts locales es una alternativa para conectarse a los servicios y a la API de Google a través de Internet.

En este documento, se describe cómo habilitar el Acceso privado a Google para hosts locales.

Estas instrucciones también se aplican a las máquinas anfitrión en una extensión de región de una solución Bare Metal. Excepto en referencia a los servidores de nombres en la sección Configuración de DNS, el término local en estas instrucciones equivale a una solución Bare Metal. El servidor de nombres de DNS que uses puede ser tu propio servidor empresarial en el entorno local real, un servidor de nombres de DNS en Google Cloud o, si habilitas tus máquinas de solución Bare Metal a conectarse a Internet, un servidor de nombres DNS público.

Especificaciones y requisitos

El Acceso privado a Google para hosts locales tiene los siguientes requisitos:

  • El Acceso privado a Google no habilita de forma automática ninguna API. Debes habilitar las API de Google por separado mediante la página API y servicios en Google Cloud Console.

  • Debes dirigir el tráfico de los servicios y las API de Google que envían los sistemas locales a las direcciones IP asociadas con los nombres de dominio especiales private.googleapis.com o restricted.googleapis.com. Consulta Opciones de dominio para obtener detalles sobre los servicios a los que se puede acceder en cada dominio.

  • Tu red local debe estar conectada a una red de VPC mediante túneles de Cloud VPN o adjuntos de Cloud Interconnect (VLAN).

  • La red de VPC a la que está conectada tu red local debe tener rutas adecuadas para los rangos de IP de destino de private.googleapis.com o restricted.googleapis.com. Consulta Enrutamiento de la red de VPC para obtener más información.

  • Tu red local debe tener rutas para los rangos de IP de destino de private.googleapis.com o restricted.googleapis.com. Estas rutas deben dirigir el tráfico al túnel de Cloud VPN o al adjunto de Cloud Interconnect (VLAN) apropiado que se conecta a tu red de VPC. Consulta Enrutamiento local con Cloud Router para obtener más detalles.

Permisos

Los propietarios del proyecto, los editores y los miembros de IAM con la función de Administrador de red pueden crear o actualizar las subredes y asignar direcciones IP.

Consulta la documentación sobre las funciones de IAM para obtener más información.

Configuración de red

El Acceso privado a Google para hosts locales tiene requisitos de red específicos de los sistemas locales y la red de VPC mediante la cual los sistemas locales envían tráfico a los servicios y las API de Google.

Opciones de dominio

El Acceso privado a Google para hosts locales requiere que dirijas los servicios a uno de los siguientes dominios especiales. El dominio especial que elijas determina a qué servicios puedes acceder:

  • private.googleapis.com (199.36.153.8/30) proporciona acceso a la mayoría de los servicios y las API de Google, incluso las API de Cloud y de desarrolladores compatibles con los Controles del servicio de VPC y con aquellas que no lo son. Los Controles del servicio de VPC se aplican cuando configuras un perímetro de servicio.

  • restrict.googleapis.com (199.36.153.4/30) solo proporciona acceso a las API de Cloud y de Desarrolladores que son compatibles con los Controles del servicio de VPC. Los Controles del servicio de VPC se aplican a estos servicios si configuraste un perímetro de servicio. Se prohíbe el acceso a cualquier API o servicio de Google que no admita los Controles del servicio de VPC.

Rangos de direcciones IP y de dominio Servicios compatibles Ejemplo de uso
private.googleapis.com

199.36.153.8/30		 Habilita el acceso a la mayoría de los servicios y las API de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Maps, Google Ads, Google Cloud y la mayoría de las demás API de Google, incluidas las listas que aparecen a continuación. Es incompatible con las aplicaciones web de Google Workspace. No es compatible con ningún sitio web interactivo.

Nombres de dominio con las siguientes terminaciones:
  • googleapis.com
  • googleadapis.com
  • ltsapis.goog
  • gcr.io
  • pkg.dev
  • gstatic.com
  • appspot.com
  • cloudfunctions.net
  • pki.goog
  • cloudproxy.app
  • run.app
  • datafusion.googleusercontent.com
  • datafusion.cloud.google.com
Nombres de dominio o host que coinciden:
  • packages.cloud.google.com
  • gcr.io
  • pkg.dev
  • appengine.google.com
  • pki.goog

Usa private.googleapis.com para acceder a las API y a los servicios de Google mediante un conjunto de direcciones IP que solo se pueden enrutar desde Google Cloud.

Elige private.googleapis.com en estas circunstancias:

  • Si no usas los Controles del servicio de VPC.
  • Debes usar los Controles del servicio de VPC, así como acceder a los servicios y las API de Google que no son compatibles con estos controles.
restricted.googleapis.com

199.36.153.4/30		 Habilita el acceso a la API a los servicios y las API de Google que son compatibles con los Controles del servicio de VPC.

Bloquea el acceso a los servicios y a las API de Google que son incompatibles con los Controles del servicio de VPC. Es incompatible con las aplicaciones web de Google Workspace y con las API de Google Workspace.

Usa restricted.googleapis.com para acceder a las API y a los servicios de Google mediante un conjunto de direcciones IP que solo se pueden enrutar desde Google Cloud.

Elige restricted.googleapis.com solo cuando necesites acceso a los servicios y las API de Google que son compatibles con los Controles del servicio de VPC. restricted.googleapis.com no permite el acceso a los servicios ni las API de Google que no son compatibles con los Controles del servicio de VPC.

Configuración de DNS

Tu red local debe tener las zonas de DNS y los registros configurados para que los nombres de dominio de Google se resuelvan en el conjunto de direcciones IP de private.googleapis.com o restricted.googleapis.com. Puedes crear zonas privadas administradas de Cloud DNS y usar una política de servidor entrante de Cloud DNS, o configurar servidores de nombres locales. Por ejemplo, puedes usar BIND o Microsoft Active Directory DNS (DNS de Active Directory de Microsoft).

Crea una zona de DNS y registros para *.googleapis.com:

  1. Crea una zona de DNS para googleapis.com. Considera crear una zona privada de Cloud DNS para este propósito.

  2. En la zona googleapis.com, crea uno de los siguientes registros A, según el dominio elegido:

    • Un registro A para private.googleapis.com que apunte a las siguientes direcciones IP: 199.36.153.8199.36.153.9199.36.153.10199.36.153.11
    • Un registro A para restricted.googleapis.com que apunte a las siguientes direcciones IP: 199.36.153.4199.36.153.5199.36.153.6199.36.153.7

    Si usas Cloud DNS, agrega los registros a la zona privada googleapis.com.

  3. En la zona googleapis.com, crea un registro CNAME para *.googleapis.com que apunte al registro A que creaste en el paso anterior.

Algunos servicios y API de Google se proporcionan a través de nombres de dominio adicionales, incluidos *.gcr.io, *.gstatic.com, *.pkg.devy pki.goog. Consulta la tabla de rangos de direcciones IP y dominios en Requisitos de red para determinar si se puede acceder a los servicios del dominio adicional mediante private.googleapis.com o restricted.googleapis.com. Luego, para cada uno de los dominios adicionales, sigue estos pasos:

  1. Crea una zona de DNS para el dominio adicional (por ejemplo, gcr.io). Si usas Cloud DNS, asegúrate de que esta zona se encuentre en el mismo proyecto que la zona privada googleapis.com.
  2. En esta zona de DNS, haz lo siguiente:
    • Crea un registro A para el nombre de dominio (zona); por ejemplo, gcr.io. Haz que este registro A apunte a las mismas cuatro direcciones IP para el nombre de dominio personalizado que elegiste (private.googleapis.com o restricted.googleapis.com).
    • Crea un registro CNAME para todos los nombres de host posibles del dominio adicional; para ello, usa un asterisco y un punto seguidos del nombre de dominio (zona). Por ejemplo, *.gcr.io. Haz que este registro CNAME apunte al registro A en la misma zona. Por ejemplo, apunta *.gcr.io hacia gcr.io.

Si implementaste la configuración de DNS mediante Cloud DNS, deberás configurar los sistemas locales para que puedan realizar consultas en tus zonas privadas administradas de Cloud DNS:

  • Crea una política del servidor de entrada en la red de VPC a la que se conecta tu red local.
  • Identifica los puntos de entrada de reenvío entrantes, en las regiones en las que se encuentran los túneles de Cloud VPN y los adjuntos de Cloud Interconnect (VLAN), en la red de VPC a la que tu red local se conecta.
  • Configura los sistemas locales y los servidores de nombres de DNS locales para reenviar googleapis.com y cualquiera de los nombres de dominio adicionales a un punto de entrada de reenvío entrante en la misma región que el túnel de Cloud VPN o el adjunto de Cloud Interconnect (VLAN) que se conecta a la red de VPC.

Enrutamiento de la red de VPC

La red de VPC a la que se conecta tu red local debe tener rutas para los rangos de direcciones IP que usan private.googleapis.com o restricted.googleapis.com. Estas rutas deben usar el siguiente salto de puerta de enlace de Internet predeterminado.

Google no publica rutas en Internet para los rangos de direcciones IP que usan los dominios private.googleapis.com o restricted.googleapis.com. En consecuencia, aunque las rutas en la red de VPC envían tráfico al siguiente salto de la puerta de enlace de Internet predeterminada, los paquetes enviados a 199.36.153.8/30199.36.153.4/30 permanecen dentro de la red de Google.

Si la red de VPC a la que se conecta tu red local contiene una ruta predeterminada, cuyo siguiente salto es la puerta de enlace de Internet predeterminada, esa ruta cumple con los requisitos de enrutamiento del Acceso privado a Google para hosts locales.

Enrutamiento personalizado de la red de VPC

Si reemplazaste o cambiaste la ruta predeterminada, asegúrate de tener las rutas estáticas personalizadas configuradas para los rangos de IP de destino que usan private.googleapis.com o restricted.googleapis.com. A fin de verificar la configuración de las rutas personalizadas para las API y los servicios de Google en una red determinada, sigue estas instrucciones.

Console

  1. Ve a la página Rutas en Google Cloud Console.
    Ir a la página Rutas
  2. Usa el texto Filtrar tabla para filtrar la lista de rutas en función de los siguientes criterios, pero reemplaza NETWORK_NAME por el nombre de la red de VPC a la que se conecta tu red local:
    • Red: NETWORK_NAME
    • Tipo de salto siguiente: default internet gateway
  3. Observa la columna Rango de IP de destino para cada ruta. Busca una ruta cuyo rango de destino coincida:
    • 199.36.153.8/30 si elegiste private.googleapis.com
    • 199.36.153.4/30 si elegiste restricted.googleapis.com

gcloud

Usa el siguiente comando de gcloud y reemplaza NETWORK_NAME por el nombre de la red de VPC a la que se conecta tu red local:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Las rutas se enumeran en el formato de la tabla, a menos que personalices el comando con la marca --format. Busca en la columna DEST_RANGE una ruta cuyo rango de destino coincida:

  • 199.36.153.8/30 si elegiste private.googleapis.com
  • 199.36.153.4/30 si elegiste restricted.googleapis.com

Si necesitas crear rutas en tu red de VPC, consulta Agrega una ruta estática.

Enrutamiento local con Cloud Router

Las rutas en tu red local deben configurarse para dirigir el tráfico de los rangos de direcciones IP que usan los dominios private.googleapis.com o restricted.googleapis.com a los túneles de Cloud VPN o los adjuntos de Cloud Interconnect (VLAN) del siguiente salto que se conectan a la red de VPC.

Puedes usar los anuncios de ruta personalizados de Cloud Router para anunciar rutas a los siguientes destinos:

  • 199.36.153.8/30 si elegiste private.googleapis.com
  • 199.36.153.4/30 si elegiste restricted.googleapis.com

Console

A fin de actualizar el modo de anuncio de ruta para todas las sesiones de BGP en un Cloud Router, excepto las sesiones de BGP que usan anuncios BGP personalizados, sigue estos pasos:

  1. Ve a la página de Cloud Router en Google Cloud Console.
    Lista de Cloud Router
  2. Selecciona Cloud Router, que administra las sesiones de BGP para los túneles de Cloud VPN o los adjuntos de Cloud Interconnect (VLAN) que conectan tu red local a tu red de VPC.
  3. En la página de detalles de Cloud Router, haz clic en Editar.
  4. Expande la sección Rutas anunciadas.
  5. En Rutas, selecciona Crear rutas personalizadas.
  6. Selecciona Anunciar todas las subredes visibles para Cloud Router a fin de anunciar todas las rutas de las subredes disponibles en Cloud Router si deseas el provocar el comportamiento predeterminado de Cloud Router.
  7. Selecciona Agregar ruta personalizada para agregar una ruta anunciada.
  8. Configura el anuncio de ruta.
    • Fuente: Selecciona Rango de IP personalizado para especificar un rango de IP personalizado.
    • Rango de direcciones IP: Especifica:
      • 199.36.153.8/30 si elegiste private.googleapis.com
      • 199.36.153.4/30 si elegiste restricted.googleapis.com
    • Descripción: Agrega una descripción.
  9. Cuando termines de agregar las rutas, selecciona Guardar.

A fin de actualizar el modo de anuncio de ruta para una sesión de BGP en particular, haz lo siguiente:

  1. Ve a la página de Cloud Router en Google Cloud Console.
    Lista de Cloud Router
  2. Selecciona el Cloud Router que administra la sesión de BGP para un túnel de Cloud VPN o un adjunto de Cloud Interconnect (VLAN) que conecta tu red local a tu red de VPC.
  3. En la página de detalles de Cloud Router, selecciona la sesión de BGP que quieres actualizar.
  4. En la página de detalles de la sesión de BGP, haz clic en Editar.
  5. En Rutas, selecciona Crear rutas personalizadas.
  6. Selecciona Anunciar todas las subredes visibles para Cloud Router a fin de anunciar todas las rutas de las subredes disponibles en Cloud Router si deseas el provocar el comportamiento predeterminado de Cloud Router.
  7. Selecciona Agregar ruta personalizada para agregar una ruta anunciada.
  8. Configura el anuncio de ruta.
    • Fuente: Selecciona Rango de IP personalizado para especificar un rango de IP personalizado.
    • Rango de direcciones IP: Especifica:
      • 199.36.153.8/30 si elegiste private.googleapis.com
      • 199.36.153.4/30 si elegiste restricted.googleapis.com
    • Descripción: Agrega una descripción.
  9. Cuando termines de agregar las rutas, selecciona Guardar.

gcloud

  1. Identifica el nombre y la región del Cloud Router que administra las sesiones de BGP en los túneles de Cloud VPN o los adjuntos de Cloud Interconnect (VLAN) que conectan tu red local a la red de VPC.

  2. Usa compute routers update para actualizar el modo de anuncio de ruta en todas las sesiones de BGP de Cloud Router, excepto en las sesiones de BGP que usan anuncios de BGP personalizados:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Puedes agregar nuevos rangos de anuncios si ya usas el modo de anuncio CUSTOM para el Cloud Router. De esta forma, se actualiza el modo de anuncio de ruta en todas las sesiones de BGP de Cloud Router, excepto en las sesiones de BGP que usan anuncios BGP personalizados:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES

  3. Como alternativa, usa compute routers update-bgp-peer para configurar un par de BGP específico en Cloud Router:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Puedes agregar nuevos rangos de anuncios si ya usas el modo de anuncio CUSTOM para una sesión de BGP en un Cloud Router.

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES

    En los comandos anteriores, reemplaza esta información por valores válidos:

Consideraciones del firewall

Las reglas de firewall de Google Cloud en la red de VPC a las que se conecta tu red local no afectan a lo siguiente:

  • Paquetes enviados mediante un túnel de Cloud VPN conectado a la red de VPC
  • Paquetes enviados mediante un adjunto de Cloud Interconnect (VLAN) conectado a la red de VPC
  • Paquetes entrantes a direcciones IP de reenvío entrantes de Cloud DNS en la red de VPC

Debes asegurarte de que la configuración de firewall de los sistemas locales permita el tráfico saliente y las respuestas establecidas desde y hacia lo siguiente:

  • 199.36.153.8/30, si usas private.googleapis.com
  • 199.36.153.4/30, si usas restricted.googleapis.com
  • cualquier dirección IP de reenvío entrante de Cloud DNS, si usas Cloud DNS para la configuración de DNS

Próximos pasos