Configurer l'accès privé à Google pour les hôtes sur site

L'Accès privé à Google pour les hôtes sur site permet aux systèmes sur site de se connecter aux API et services Google en acheminant le trafic via un tunnel Cloud VPN ou un rattachement Cloud Interconnect (VLAN). L'Accès privé à Google pour les hôtes sur site est une alternative à la connexion aux API et services Google via Internet.

Ce document explique comment activer l'Accès privé à Google pour les hôtes sur site.

Ces instructions s'appliquent également aux machines hôtes dans une extension de région de solution Bare Metal. Sauf lorsqu'il fait référence aux serveurs de noms dans la section Configuration DNS, le terme sur site employé dans ces instructions est équivalent à solution Bare Metal. Pour les serveurs de noms DNS, celui que vous utilisez peut être le serveur de votre propre entreprise dans votre environnement sur site, un serveur de noms DNS sur Google Cloud ou, si vous autorisez vos machines de solution Bare Metal à se connecter à Internet, un serveur de noms DNS public.

Spécifications et exigences

L'Accès privé à Google pour les hôtes sur site présente les exigences suivantes :

  • L'Accès privé à Google n'active pas automatiquement les API. Vous devez activer séparément les API Google dont vous avez besoin via la page API et services de Google Cloud Console.

  • Vous devez diriger le trafic des API et services Google envoyé par les systèmes sur site vers les adresses IP associées aux noms de domaine spéciaux private.googleapis.com ou restricted.googleapis.com. Consultez la section Options de domaine pour en savoir plus sur les services accessibles sur chaque domaine.

  • Votre réseau sur site doit être connecté à un réseau VPC à l'aide de tunnels Cloud VPN ou de rattachements Cloud Interconnect (VLAN).

  • Le réseau VPC auquel votre réseau sur site est connecté doit disposer de routes appropriées pour les plages d'adresses IP de destination private.googleapis.com ou restricted.googleapis.com. Pour plus de détails, consultez la section Routage réseau VPC.

  • Votre réseau sur site doit disposer de routes pour les plages d'adresses IP de destination private.googleapis.com ou restricted.googleapis.com. Ces routes doivent diriger le trafic vers le tunnel Cloud VPN ou le rattachement Cloud Interconnect (VLAN) approprié qui se connecte à votre réseau VPC. Consultez la section Routage sur site avec Cloud Router pour plus de détails.

Autorisations

Les propriétaires de projet, les éditeurs et les membres IAM dotés du rôle d'administrateur réseau peuvent créer ou mettre à jour des sous-réseaux et attribuer des adresses IP.

Pour plus d'informations sur les rôles, consultez la documentation concernant les rôles IAM.

Configuration du réseau

L'Accès privé à Google pour les hôtes sur site impose des exigences réseau spécifiques pour les systèmes sur site et pour le réseau VPC utilisé par les systèmes sur site pour envoyer du trafic aux API et services Google.

Options de domaine

L'Accès privé à Google pour les hôtes sur site nécessite que vous dirigiez les services vers l'un des domaines spéciaux suivants. Le domaine spécial que vous choisissez détermine les services auxquels vous pouvez accéder :

  • private.googleapis.com (199.36.153.8/30) permet d'accéder à la plupart des API et services Google, y compris les API Cloud et de développement qui sont compatibles avec VPC Service Controls, ainsi que celles qui ne sont pas compatibles. VPC Service Controls est appliqué lorsque vous configurez un périmètre de service.

  • restricted.googleapis.com (199.36.153.4/30) ne permet d'accéder qu'aux API Cloud et de développement compatibles avec VPC Service Controls. VPC Service Controls est appliqué à ces services si vous avez configuré un périmètre de service. L'accès à toute API ou service Google non compatible avec VPC Service Controls est interdit.

Domaines et plages d'adresses IP Services compatibles Exemple d'utilisation
private.googleapis.com

199.36.153.8/30
Autorise l'accès API à la plupart des API et services Google, qu'ils soient ou non compatibles avec VPC Service Controls. Inclut l'accès API à Maps, Google Ads, Google Cloud Platform et la plupart des autres API Google, y compris les listes ci-dessous. Non compatible avec les applications Web Google Workspace.

Noms de domaine se terminant par :
  • googleapis.com
  • googleadapis.com
  • ltsapis.goog
  • gcr.io
  • gstatic.com
  • appspot.com
  • cloudfunctions.net
  • pki.goog
  • cloudproxy.app
  • run.app
  • datafusion.googleusercontent.com
  • datafusion.cloud.google.com
Noms d'hôte/de domaine correspondant à :
  • packages.cloud.google.com
  • gcr.io
  • appengine.google.com
  • pki.goog
Utilisez private.googleapis.com pour accéder aux API et services Google à l'aide d'un ensemble d'adresses IP routables seulement depuis Google Cloud. Choisissez private.googleapis.com dans les cas suivants :
  • Vous n'utilisez pas VPC Service Controls.
  • Vous utilisez VPC Service Controls, mais vous devez également accéder aux API et services Google qui ne sont pas compatibles avec VPC Service Controls.
restricted.googleapis.com

199.36.153.4/30
Autorise l'accès API aux API et services Google compatibles avec VPC Service Controls.

Bloque l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Non compatible avec les applications Web Google Workspace ni avec les API Google Workspace.
Utilisez restricted.googleapis.com pour accéder aux API et services Google à l'aide d'un ensemble d'adresses IP routables seulement depuis Google Cloud. Choisissez restricted.googleapis.com si vous devez exclusivement accéder aux API et services Google compatibles avec VPC Service Controls. restricted.googleapis.com n'autorise pas l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls.

Configuration DNS

Votre réseau sur site doit comporter des zones et enregistrements DNS configurés pour que les noms de domaine Google correspondent à l'ensemble d'adresses IP de private.googleapis.com ou de restricted.googleapis.com. Vous pouvez créer des zones gérées privées de Cloud DNS et utiliser une règle de serveur entrant Cloud DNS, ou configurer des serveurs de noms sur site. Par exemple, vous pouvez utiliser BIND ou le système DNS dans Microsoft Active Directory.

Créez une zone et des enregistrements DNS pour *.googleapis.com :

  1. Créez une zone DNS pour googleapis.com. Vous pouvez envisager, dans ce cadre, de créer une zone privée Cloud DNS.
  2. Dans la zone googleapis.com, créez l'un des enregistrements A suivants, en fonction du domaine choisi :

    • Un enregistrement A pour private.googleapis.com pointant vers les adresses IP suivantes : 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11
    • Un enregistrement A pour restricted.googleapis.com pointant vers les adresses IP suivantes : 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

    Si vous utilisez Cloud DNS, ajoutez les enregistrements à la zone privée googleapis.com.

  3. Dans la zone googleapis.com, créez un enregistrement CNAME pour *.googleapis.com qui pointe vers l'enregistrement A que vous avez créé à l'étape précédente.

Certains services et API Google sont fournis à l'aide de noms de domaine supplémentaires, parmi lesquels *.gcr.io, *.gstatic.com et pki.goog. Reportez-vous au tableau des domaines et plages d'adresses IP dans la section Configuration réseau requise pour déterminer si les services du domaine supplémentaire sont accessibles via private.googleapis.com ou restricted.googleapis.com. Ensuite, procédez comme suit pour chacun des domaines supplémentaires :

  1. Créez une zone DNS pour le domaine supplémentaire (par exemple, gcr.io). Si vous utilisez Cloud DNS, assurez-vous que cette zone se trouve dans le même projet que votre zone privée googleapis.com.
  2. Dans cette zone DNS, procédez comme suit :
    • Créez un enregistrement A pour le nom de domaine (zone) lui-même, par exemple, gcr.io. Faites pointer cet enregistrement A vers les quatre mêmes adresses IP du nom de domaine personnalisé que vous avez choisi (private.googleapis.com ou restricted.googleapis.com).
    • Créez un enregistrement CNAME pour tous les noms d'hôte possibles du domaine supplémentaire en utilisant un astérisque et un point suivi du nom de domaine (zone), par exemple, *.gcr.io. Faites pointer cet enregistrement CNAME vers l'enregistrement A dans la même zone. Par exemple, faites pointer *.gcr.io vers gcr.io.

Si vous avez mis en œuvre la configuration DNS à l'aide de Cloud DNS, vous devez configurer des systèmes sur site pour qu'ils puissent envoyer des requêtes à vos zones gérées privées Cloud DNS :

  • Créez une règle de serveur entrant dans le réseau VPC auquel votre réseau sur site se connecte.
  • Identifiez les points d'entrée du système de transfert entrant dans la ou les régions où se trouvent vos tunnels Cloud VPN et vos rattachements Cloud Interconnect (VLAN), dans le réseau VPC auquel votre réseau sur site se connecte.
  • Configurez des systèmes sur site et des serveurs de noms DNS sur site pour transférer googleapis.com et tous les noms de domaine supplémentaires vers un point d'entrée du système de transfert entrant dans la même région que le tunnel Cloud VPN ou le rattachement Cloud Interconnect (VLAN) qui se connecte au réseau VPC.

Routage du réseau VPC

Le réseau VPC auquel votre réseau sur site se connecte doit disposer de routes pour les plages d'adresses IP utilisées par private.googleapis.com ou restricted.googleapis.com. Ces routes doivent utiliser le saut suivant de la passerelle Internet par défaut.

Google ne publie pas de routes sur Internet pour les plages d'adresses IP utilisées par les domaines private.googleapis.com ou restricted.googleapis.com. Par conséquent, même si les routes du réseau VPC envoient du trafic vers le saut suivant de la passerelle Internet par défaut, les paquets envoyés à 199.36.153.8/30 et 199.36.153.4/30 restent dans le réseau de Google.

Si le réseau VPC auquel votre réseau sur site se connecte contient une route par défaut dont le saut suivant est la passerelle Internet par défaut, cette route répond aux exigences de routage de l'Accès privé à Google pour les hôtes sur site.

Routage personnalisé du réseau VPC

Si vous avez remplacé ou modifié votre route par défaut, assurez-vous d'avoir configuré des routes statiques personnalisées pour les plages d'adresses IP de destination utilisées par private.googleapis.com ou restricted.googleapis.com. Suivez ces instructions pour vérifier la configuration des routes personnalisées pour les API et services Google d'un réseau donné.

Console

  1. Accédez à la page "Routes" dans Google Cloud Console.
    Accéder à la page "Routes"
  2. Utilisez le champ de texte Filtrer le tableau pour filtrer la liste des routes à l'aide des critères suivants, en remplaçant NETWORK_NAME par le nom du réseau VPC auquel votre réseau sur site se connecte :
    • Réseau : NETWORK_NAME
    • Type du saut suivant : default internet gateway
  3. Examinez la colonne Plage d'adresses IP de destination pour chaque route. Recherchez une route dont la plage de destination correspond à :
    • 199.36.153.8/30 si vous avez choisi private.googleapis.com
    • 199.36.153.4/30 si vous avez choisi restricted.googleapis.com

gcloud

Utilisez la commande gcloud suivante, en remplaçant NETWORK_NAME par le nom du réseau VPC auquel votre réseau sur site se connecte :

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Les routes sont répertoriées sous forme de tableau, sauf si vous personnalisez la commande avec l'option --format. Dans la colonne DEST_RANGE, recherchez une route dont la plage de destination correspond à :

  • 199.36.153.8/30 si vous avez choisi private.googleapis.com
  • 199.36.153.4/30 si vous avez choisi restricted.googleapis.com

Si vous devez créer des routes dans votre réseau VPC, consultez la section Ajouter une route statique.

Effectuer un routage sur site avec Cloud Router

Les routes de votre réseau sur site doivent être configurées pour diriger le trafic des plages d'adresses IP utilisées par les domaines private.googleapis.com ou restricted.googleapis.com vers les tunnels Cloud VPN ou les rattachements Cloud Interconnect (VLAN) de saut suivant qui se connectent à votre réseau VPC.

Vous pouvez utiliser des annonces de routage personnalisées Cloud Router pour annoncer des routes vers les destinations suivantes :

  • 199.36.153.8/30 si vous avez choisi private.googleapis.com
  • 199.36.153.4/30 si vous avez choisi restricted.googleapis.com

Console

Pour mettre à jour le mode d'annonce de routage pour toutes les sessions BGP sur un routeur cloud, à l'exception des sessions BGP utilisant des annonces BGP personnalisées, procédez comme suit :

  1. Accédez à la page "Cloud Router" de Google Cloud Console.
    Liste des routeurs cloud
  2. Sélectionnez le routeur cloud qui gère les sessions BGP pour les tunnels Cloud VPN ou les rattachements Cloud Interconnect (VLAN) qui connectent votre réseau sur site à votre réseau VPC.
  3. Sur la page d'informations du routeur cloud, sélectionnez Modifier.
  4. Développez la section Routages annoncés.
  5. Dans le champ Routes, sélectionnez Créer des routes personnalisées.
  6. Sélectionnez Diffuser tous les sous-réseaux visibles par Cloud Router pour annoncer toutes les routes de sous-réseau disponibles pour le routeur cloud (si vous souhaitez définir le comportement par défaut du routeur cloud).
  7. Sélectionnez Ajouter une route personnalisée pour ajouter une route annoncée.
  8. Configurez l'annonce du routage.
    • Source : sélectionnez Plage d'adresses IP personnalisée pour spécifier une plage d'adresses IP personnalisée.
    • Plage d'adresses IP : spécifiez 
        .
      • 199.36.153.8/30 si vous avez choisi private.googleapis.com
      • 199.36.153.4/30 si vous avez choisi restricted.googleapis.com
    • Description : ajoutez une description.
  9. Après avoir ajouté les routes, sélectionnez Enregistrer.

Pour mettre à jour le mode d'annonce de routage pour une session BGP particulière, procédez comme suit :

  1. Accédez à la page "Cloud Router" de Google Cloud Console.
    Liste des routeurs cloud
  2. Sélectionnez le routeur cloud qui gère la session BGP pour un tunnel Cloud VPN ou un rattachement Cloud Interconnect (VLAN) qui connecte votre réseau sur site à votre réseau VPC.
  3. Sur la page d'informations du routeur cloud, sélectionnez la session BGP à mettre à jour.
  4. Sur la page d'informations de la session BGP, cliquez sur Modifier.
  5. Dans le champ Routes, sélectionnez Créer des routes personnalisées.
  6. Sélectionnez Diffuser tous les sous-réseaux visibles par Cloud Router pour annoncer toutes les routes de sous-réseau disponibles pour le routeur cloud (si vous souhaitez définir le comportement par défaut du routeur cloud).
  7. Sélectionnez Ajouter une route personnalisée pour ajouter une route annoncée.
  8. Configurez l'annonce du routage.
    • Source : sélectionnez Plage d'adresses IP personnalisée pour spécifier une plage d'adresses IP personnalisée.
    • Plage d'adresses IP : spécifiez 
        .
      • 199.36.153.8/30 si vous avez choisi private.googleapis.com
      • 199.36.153.4/30 si vous avez choisi restricted.googleapis.com
    • Description : ajoutez une description.
  9. Après avoir ajouté les routes, sélectionnez Enregistrer.

gcloud

  1. Identifiez le nom et la région du routeur cloud qui gère les sessions BGP sur les tunnels Cloud VPN ou les rattachements Cloud Interconnect (VLAN) qui connectent votre réseau sur site à votre réseau VPC.

  2. Utilisez compute routers update pour mettre à jour le mode d'annonce de routage sur toutes les sessions BGP du routeur cloud, à l'exception des sessions BGP utilisant des annonces BGP personnalisées :

    gcloud compute routers update ROUTER_NAME \
        --region=REGION \
        --advertisement-mode=CUSTOM \
        --set-advertisement-groups=ALL_SUBNETS \
        --set-advertisement-ranges=CUSTOM_RANGES
    

    Vous pouvez ajouter de nouvelles plages d'annonces si vous utilisez déjà le mode d'annonce CUSTOM pour le routeur cloud. Cela permet de mettre à jour le mode d'annonce de routage sur toutes les sessions BGP du routeur cloud, à l'exception des sessions BGP utilisant des annonces BGP personnalisées :

    gcloud compute routers update ROUTER_NAME \
        --region=REGION \
        --add-advertisement-ranges=CUSTOM_RANGES
    
  3. Vous pouvez également utiliser compute routers update-bgp-peer pour configurer un pair BGP spécifique sur le routeur cloud :

    gcloud compute routers update ROUTER_NAME \
        --region=REGION \
        --peer-name=PEER_NAME \
        --advertisement-mode=CUSTOM \
        --set-advertisement-groups=ALL_SUBNETS \
        --set-advertisement-ranges=CUSTOM_RANGES
    

    Vous pouvez ajouter de nouvelles plages d'annonces si vous utilisez déjà le mode d'annonce CUSTOM pour une session BGP sur un routeur cloud.

    gcloud compute routers update ROUTER_NAME \
        --region=REGION \
        --peer-name=PEER_NAME \
        --add-advertisement-ranges=CUSTOM_RANGES
    

    Dans les commandes ci-dessus, remplacez les éléments suivants par des valeurs valides :

Considérations concernant le pare-feu

Les règles de pare-feu Google Cloud du réseau VPC auquel votre réseau sur site se connecte n'ont aucun effet sur les éléments suivants :

  • Paquets envoyés via un tunnel Cloud VPN connecté au réseau VPC
  • Paquets envoyés via un rattachement Cloud Interconnect (VLAN) connecté au réseau VPC
  • Paquets entrants vers les adresses IP du système de transfert entrant Cloud DNS dans le réseau VPC

Vous devez vous assurer que la configuration du pare-feu des systèmes sur site autorise le trafic sortant vers, ainsi que les réponses établies à partir de :

  • 199.36.153.8/30 si vous utilisez private.googleapis.com
  • 199.36.153.4/30 si vous utilisez restricted.googleapis.com
  • toutes les adresses IP du système de transfert entrant Cloud DNS, si vous utilisez Cloud DNS pour la configuration DNS

Étape suivante