Configurazione dell'accesso privato Google per gli host on-premise

L'accesso privato Google per gli host on-premise offre un modo per gli host on-premise per la connessione alle API di Google mediante il routing del traffico attraverso un tunnel Cloud VPN o un collegamento VLAN per Cloud Interconnect. L'accesso privato Google per gli host on-premise è un'alternativa alla connessione alle API e ai servizi Google tramite internet.

Questo documento descrive come abilitare l'accesso privato Google per gli ambienti on-premise .

Specifiche e requisiti

L'accesso privato Google per gli host on-premise presenta i seguenti requisiti:

  • L'accesso privato Google non abilita automaticamente alcuna API. Devi attiva separatamente la funzionalità le API che devi utilizzare dalla scheda API e Servizi nella console Google Cloud.

  • Devi indirizzare il traffico delle API e dei servizi Google inviato da sistemi on-premise. agli indirizzi IP associati a private.googleapis.com o restricted.googleapis.com nomi di dominio speciali. Per informazioni dettagliate sui servizi a cui è possibile accedere su ciascun dominio, vedi Opzioni di dominio.

  • La rete on-premise deve essere connessa a una rete VPC utilizzando i tunnel Cloud VPN o i collegamenti VLAN.

  • La rete VPC a cui è connessa la rete on-premise devono disporre di route appropriate per private.googleapis.com o restricted.googleapis.com intervalli IP di destinazione. Per informazioni dettagliate, consulta Routing della rete VPC.

  • La rete VPC a cui è connessa la rete on-premise devono disporre di route appropriate per raggiungere la rete on-premise. L'hop successivo I tunnel Cloud VPN o i collegamenti VLAN che connettiti alla rete on-premise per queste route devono trovarsi all'interno della stessa regione da cui ha avuto origine la richiesta. Se l'hop successivo si trova in una regione diversa da quella in cui ha avuto origine la richiesta all'accesso privato Google, la risposta L'accesso privato Google non raggiungerà la rete on-premise.

  • La rete on-premise deve avere route per gli intervalli IP di destinazione private.googleapis.com o restricted.googleapis.com. Queste route devono indirizzare il traffico al tunnel Cloud VPN appropriato o un collegamento VLAN che si connette rete VPC. Per maggiori dettagli, vedi Routing on-premise con Cloud Router.

  • Per consentire ai client IPv6 nel tuo ambiente on-premise di accedere alle API di Google utilizzando private.googleapis.com o restricted.googleapis.com, devi configurare la connessione alla rete VPC in modo che supporti IPv6. Per ulteriori informazioni, consulta le seguenti pagine:

  • I client on-premise possono inviare richieste da qualsiasi indirizzo IPv6 GUA o ULA, ad eccezione dell'intervallo ULA fda3:e722:ac3:cc00::/64, riservata per uso interno.

Autorizzazioni

I proprietari, gli editor e le entità IAM dei progetti con il ruolo Amministratore di rete possono creare o aggiornare le subnet e assegnare indirizzi IP.

Per ulteriori informazioni sui ruoli, consulta documentazione sui ruoli IAM.

Configurazione di rete

L'accesso privato Google per gli host on-premise ha una rete specifica requisiti per i sistemi on-premise e per il VPC rete attraverso la quale i sistemi on-premise inviano il traffico alle API di Google i servizi di machine learning.

Opzioni dominio

L'accesso privato Google per gli host on-premise richiede di indirizzare i servizi a uno dei seguenti domini speciali. Il dominio speciale che scegli determina a quali servizi puoi accedere.

I VIP private.googleapis.com e restricted.googleapis.com supportano solo i protocolli basati su HTTP su TCP (HTTP, HTTPS e HTTP/2). Tutti gli altri protocolli, incluso MQTT e ICMP, non sono supportati.

Intervalli di indirizzi IP e di dominio Servizi supportati Esempio di utilizzo

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64

Consente l'accesso API alla maggior parte delle API e dei servizi Google, indipendentemente dal fatto che siano supportati dai Controlli di servizio VPC. Include l'accesso API a Google Maps, Google Ads, Google Cloud e la maggior parte delle altre API di Google, tra cui l'elenco che segue. Non supporta Google Workspace per il web applicazioni come Gmail e Documenti Google. Non supporta nessuna siti web interattivi.

Nomi di dominio corrispondenti:

  • accounts.google.com (solo i percorsi necessari per l'autenticazione OAuth)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io o *.gcr.io
  • *.googleapis.com
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev o *.pkg.dev
  • pki.goog o *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Usa private.googleapis.com per accedere alle API e ai servizi Google utilizzando un insieme di indirizzi IP instradabili solo dall'interno di Google Cloud.

Scegli private.googleapis.com nelle seguenti circostanze:

  • Non utilizzi Controlli di servizio VPC.
  • Utilizzi i Controlli di servizio VPC, ma devi anche accedere ad API e servizi Google non supportati dai Controlli di servizio VPC. 1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64

Consente l'accesso API alle API e ai servizi di Google supportati dai Controlli di servizio VPC.

Blocca l'accesso alle API e ai servizi di Google che non supportano Controlli di servizio VPC. Non supporta le API Google Workspace o le applicazioni web Google Workspace come Gmail e Documenti Google.

Utilizza restricted.googleapis.com per accedere alle API e ai servizi Google utilizzando un insieme di indirizzi IP instradabili solo da Google Cloud.

Scegli restricted.googleapis.com quando solo richiedono l'accesso alle API e ai servizi Google che sono supportati Controlli di servizio VPC.

Il dominio restricted.googleapis.com non consente l'accesso alle API e ai servizi Google che non supportano i Controlli di servizio VPC. 1
1 Se devi limitare gli utenti solo alle API e ai servizi Google che supportano i Controlli di servizio VPC, restricted.googleapis.com, in quanto fornisce un'ulteriore mitigazione del rischio per i dati l'esfiltrazione dei dati. L'uso di restricted.googleapis.com nega l'accesso a API e servizi Google non supportati dai Controlli di servizio VPC. Consulta: Impostazione di impostazioni private connettività nella documentazione Controlli di servizio VPC per ulteriori dettagli.

Supporto IPv6 per private.googleapis.com e restricted.googleapis.com

I seguenti intervalli di indirizzi IPv6 possono essere utilizzati per indirizzare il traffico da IPv6 alle API e ai servizi Google:

  • private.googleapis.com: 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 2600:2d00:0002:1000::/64

Valuta la possibilità di configurare gli indirizzi IPv6 se vuoi utilizzare il dominio private.googleapis.com o restricted.googleapis.com e hanno client che utilizzano indirizzi IPv6. I client IPv6 per cui sono configurati indirizzi IPv4 possono raggiungere le API e i servizi Google utilizzando gli indirizzi IPv4. Non tutti i servizi accettano traffico da client IPv6.

Configurazione DNS

Nella rete on-premise devono essere configurate zone e record DNS in modo che i nomi di dominio Google vengano risolti nell'insieme di indirizzi IP per private.googleapis.com o restricted.googleapis.com. Puoi creare sono le zone private gestite di Cloud DNS e utilizzano una connessione Cloud DNS in entrata o puoi configurare i server dei nomi on-premise. Ad esempio, è possibile usare BIND o Microsoft Directory attiva DNS.

Le sezioni seguenti descrivono come utilizzare le zone DNS per inviare pacchetti agli indirizzi IP associati al VIP scelto. Segui le istruzioni per tutti gli scenari che ti riguardano:

Quando configuri i record DNS per i VIP, utilizza solo gli indirizzi IP descritti nei passaggi che seguono. Non combinare indirizzi da private.googleapis.com e restricted.googleapis.com VIP. Ciò può causare errori intermittenti perché i servizi offerti differiscono in base alla destinazione di un pacchetto.

Configura il DNS per googleapis.com

Crea una zona DNS e i record per googleapis.com:

  1. Crea una zona DNS privata per googleapis.com. Valuta la possibilità di creare una zona privata Cloud DNS a questo scopo.

  2. Nella zona googleapis.com, crea i seguenti record DNS privati per uno private.googleapis.com o restricted.googleapis.com, a seconda di quale che hai scelto di utilizzare.

    • Per private.googleapis.com:

      1. Crea un record A per private.googleapis.com che rimandi a seguenti indirizzi IP: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Per connetterti alle API utilizzando indirizzi IPv6, configura anche un AAAA record per private.googleapis.com che punta a 2600:2d00:0002:2000::.

    • Per restricted.googleapis.com:

      1. Crea un record A per restricted.googleapis.com che rimandi a seguenti indirizzi IP: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Per connetterti alle API utilizzando indirizzi IPv6, crea anche un'AAAA record per restricted.googleapis.com che punta a 2600:2d00:0002:1000::.

    Per creare record DNS privati in Cloud DNS, consulta Aggiungere un record.

  3. Nella zona googleapis.com, crea un record CNAME per *.googleapis.com che rimandi al dominio che hai configurato: private.googleapis.com o restricted.googleapis.com.

Configura il DNS per altri domini

Alcune API e alcuni servizi Google vengono forniti utilizzando nomi di dominio aggiuntivi, tra cui *.gcr.io, *.gstatic.com, *.pkg.dev, pki.goog e *.run.app. Consulta la tabella degli intervalli di domini e indirizzi IP in Opzioni di dominio per determinare se è possibile accedere ai servizi del dominio aggiuntivo utilizzando private.googleapis.com o restricted.googleapis.com. Per ciascuno dei domini aggiuntivi:

  1. Crea una zona DNS per DOMAIN (ad esempio, gcr.io). Se utilizzi Cloud DNS, assicurati che la zona si trovi nella zona nello stesso progetto della zona privata googleapis.com.

  2. In questa zona DNS, crea i seguenti record DNS privati per uno private.googleapis.com o restricted.googleapis.com, a seconda del dominio che hai scelto di utilizzare.

    • Per private.googleapis.com:

      1. Crea un record A per DOMAIN che rimandi a quanto segue Indirizzi IP: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record AAAA per DOMAIN che rimandi a 2600:2d00:0002:2000::.

    • Per restricted.googleapis.com:

      1. Crea un record A per DOMAIN che rimandi a quanto segue Indirizzi IP: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Per connetterti alle API utilizzando indirizzi IPv6, crea anche un'AAAA record per restricted.googleapis.com che punta a 2600:2d00:0002:1000::.

  3. Nella zona DOMAIN, crea un record CNAME per *.DOMAIN che punta a DOMAIN. Ad esempio, crea un record CNAME per *.gcr.io che rimandi a gcr.io.

Configura il DNS per i nomi di dominio personalizzati di Cloud Storage

Se utilizzi bucket Cloud Storage e invii richieste a un nome di dominio Cloud Storage personalizzato, configurare i record DNS per il nome di dominio Cloud Storage personalizzato in modo che puntino ai indirizzi IP di private.googleapis.com o restricted.googleapis.com non è sufficiente per consentire l'accesso ai bucket Cloud Storage.

Se vuoi inviare richieste a un nome di dominio personalizzato Cloud Storage, devi anche impostare esplicitamente l'intestazione Host della richiesta HTTP e l'SNI TLS su storage.googleapis.com. Gli indirizzi IP per private.googleapis.com e restricted.googleapis.com non supportano gli hostname Cloud Storage personalizzati nelle intestazioni Host delle richieste HTTP e negli SNI TLS.

Configura il DNS per i sistemi on-premise

Se hai implementato la configurazione DNS utilizzando Cloud DNS, devi configurare i sistemi on-premise in modo che possano eseguire query sulle zone private gestite di Cloud DNS:

  • Crea un criterio del server in entrata nella rete VPC a cui si connette la tua rete on-premise.
  • Identifica la voce del server di inoltro in entrata nelle regioni in cui Tunnel Cloud VPN e collegamenti VLAN nella rete VPC a cui si trovano i tuoi dati si connette automaticamente.
  • Configura sistemi on-premise e server dei nomi DNS on-premise per l'inoltro googleapis.com ed eventuali nomi di dominio aggiuntivi a una richiesta in entrata punto di ingresso del forwarding nella stessa regione di Cloud VPN tunnel o collegamento VLAN che si connette rete VPC,

Routing della rete VPC

La rete VPC a cui si connette la rete on-premise deve avere route per gli intervalli di indirizzi IP utilizzati da private.googleapis.com o restricted.googleapis.com. Queste route devono utilizzare il successivo hop del gateway internet predefinito.

Google non pubblica su internet route per gli intervalli di indirizzi IP utilizzati dai domini private.googleapis.com o restricted.googleapis.com. Di conseguenza, anche se le route nella rete VPC inviano traffico verso l'hop successivo del gateway internet predefinito, i pacchetti inviati a quell'IP che rimangono all'interno della rete Google.

Se la rete VPC a cui si connette la rete on-premise contiene una route predefinita il cui hop successivo è il gateway internet predefinito, la route soddisfa i requisiti di routing per Accesso privato Google per gli host on-premise.

Routing personalizzato della rete VPC

Se hai sostituito o modificato il percorso predefinito, assicurati di avere configurato route statici personalizzati per gli intervalli IP di destinazione utilizzati da private.googleapis.com o restricted.googleapis.com. Per controllare configurazione di route personalizzate per le API e i servizi Google in una data rete, segui queste istruzioni.

Console

  1. Nella console Google Cloud, vai alla pagina Route.

    Vai a Route

  2. Utilizza il campo di testo Filtra tabella per filtrare l'elenco delle route utilizzando i seguenti criteri, sostituendo NETWORK_NAME con il nome della rete VPC a cui la rete on-premise connette:

    • Rete: NETWORK_NAME
    • Tipo di hop successivo: default internet gateway

  3. Esamina la colonna Intervallo IP di destinazione per ogni route. Cerca un percorso il cui intervallo di destinazione corrisponde:

    • 199.36.153.8/30 se hai scelto private.googleapis.com
    • 199.36.153.4/30 se hai scelto restricted.googleapis.com

gcloud

Utilizza il seguente comando gcloud, sostituendo NETWORK_NAME con il nome della rete VPC a cui si connette la tua rete on-premise:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Le route sono elencate in formato tabella, a meno che non personalizzi il comando con --format flag. Cerca nella colonna DEST_RANGE una route la cui intervallo di destinazione corrisponde a:

  • 199.36.153.8/30 se hai scelto private.googleapis.com
  • 199.36.153.4/30 se hai scelto restricted.googleapis.com

Se devi creare route nella tua rete VPC, consulta Aggiunta di una route statica.

Routing on-premise con il router Cloud

Le route nella rete on-premise devono essere configurate in modo da indirizzare il traffico verso gli intervalli di indirizzi IP usati dall'private.googleapis.com o restricted.googleapis.com domini ai tunnel Cloud VPN dell'hop successivo o collegamenti VLAN che si connettono alla tua rete VPC.

Puoi utilizzare gli annunci di route personalizzate del router Cloud per annunciare le route per gli intervalli IP utilizzati dai domini private.googleapis.com e restricted.googleapis.com.

Le route IPv6 vengono pubblicizzate solo nelle sessioni BGP in cui l'IPv6 è abilitato.

Console

Per aggiornare la modalità di annuncio di route per tutte le sessioni BGP su un router Cloud, ad eccezione di quelle che utilizzano annunci BGP personalizzati:

  1. Nella console Google Cloud, vai alla pagina Router Cloud.

    Vai al router Cloud

  2. Seleziona il router Cloud che gestisce le sessioni BGP per i tunnel Cloud VPN o i collegamenti VLAN che connettono la tua rete on-premise alla rete VPC.

  3. Nella pagina dei dettagli del router Cloud, seleziona Modifica.

  4. Espandi la sezione Route annunciate.

  5. Per Route (Percorsi), seleziona Crea route personalizzate.

  6. Se vuoi pubblicizzare tutte le route di subnet disponibili Router Cloud, seleziona Annuncia tutte le subnet visibili al router Cloud. Questa impostazione replica la configurazione predefinita nella configurazione personalizzata.

  7. Per ogni rotta pubblicizzata che vuoi aggiungere, procedi nel seguente modo:

    1. Seleziona Aggiungi route personalizzata.
    2. Per Origine, seleziona Intervallo IP personalizzato.
    3. In Intervallo di indirizzi IP, inserisci uno degli intervalli che vuoi utilizzare:
      • Se utilizzi private.googleapis.com:
        • Per la connettività IPv4: 199.36.153.8/30
        • Per la connettività IPv6: 2600:2d00:0002:2000::/64
      • Se utilizzi restricted.googleapis.com:
        • Per la connettività IPv4: 199.36.153.4/30
        • Per la connettività IPv6: 2600:2d00:0002:1000::/64
    4. Fai clic su Fine.

  8. Dopo aver aggiunto le route, seleziona Salva.

Per aggiornare la modalità di annuncio route per una determinata sessione BGP:

  1. Nella console Google Cloud, vai alla pagina Router Cloud.

    Vai a Router Cloud

  2. Seleziona il router Cloud che gestisce la sessione BGP per un tunnel Cloud VPN o un collegamento VLAN che connette la tua rete on-premise alla rete VPC.

  3. Nella pagina dei dettagli del router Cloud, seleziona la sessione BGP da aggiornare.

  4. Nella pagina dei dettagli della sessione BGP, fai clic su Modifica.

  5. Per Route (Percorsi), seleziona Crea route personalizzate.

  6. Seleziona Annuncia tutte le subnet visibili al router Cloud per annunci tutte le route delle subnet disponibili per il router Cloud se vuoi il comportamento predefinito del router Cloud.

  7. Per ogni route pubblicizzata che vuoi aggiungere:

    1. Seleziona Aggiungi route personalizzata.
    2. Per Origine, seleziona Intervallo IP personalizzato.
    3. In Intervallo di indirizzi IP, inserisci uno degli intervalli che vuoi utilizzare:
      • Se utilizzi private.googleapis.com:
        • Per la connettività IPv4: 199.36.153.8/30
        • Per la connettività IPv6: 2600:2d00:0002:2000::/64
      • Se utilizzi restricted.googleapis.com:
        • Per la connettività IPv4: 199.36.153.4/30
        • Per la connettività IPv6: 2600:2d00:0002:1000::/64
    4. Fai clic su Fine.

  8. Dopo aver aggiunto le route, seleziona Salva.

gcloud

  1. Identifica il nome e la regione del router Cloud che gestisce sessioni BGP sui tunnel Cloud VPN Collegamenti VLAN che collegano dalla rete on-premise alla rete VPC.

  2. Utilizza compute routers update per aggiornare la modalità di annuncio di route su tutte le sessioni BGP del router Cloud, tranne per le sessioni BGP che utilizzano annunci BGP personalizzati:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Puoi aggiungere nuovi intervalli pubblicitari se stai già utilizzando il Modalità pubblicitaria CUSTOM per il router Cloud. In questo modo viene aggiornata la modalità di annuncio di route su tutte le sessioni BGP del router Cloud, ad eccezione di quelle che utilizzano annunci BGP personalizzati:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES

  3. In alternativa, utilizza compute routers update-bgp-peer per configurare un peer BGP specifico sul router Cloud:

    Se aggiungi intervalli personalizzati IPv6 e il traffico IPv6 è disabilitato per sessione BGP, puoi abilitarla con il flag --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Puoi aggiungere nuovi intervalli pubblicitari se stai già utilizzando il CUSTOM modalità pubblicità per una sessione BGP su un router Cloud

    Se aggiungi intervalli personalizzati IPv6 e il traffico IPv6 è disabilitato per sessione BGP, puoi abilitarla con il flag --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES

    Nei comandi precedenti, sostituisci quanto segue con valori validi:

    • ROUTER_NAME: il nome del router Cloud
    • REGION: la regione del router Cloud
    • PEER_NAME: il nome del peer BGP configurato quando crea un collegamento VLAN Dedicated Interconnect, quando devi creare un collegamento VLAN Partner Interconnect, quando crei un VPN ad alta disponibilità tunnel o quando crei un tunnel VPN classica usando di routing.
    • Esci da --set-advertisement-groups=ALL_SUBNETS per fare pubblicità tutte le route di subnet disponibili per il router Cloud. Questo è il comportamento predefinito del router Cloud.
    • CUSTOM_RANGES: un elenco separato da virgole di intervalli personalizzati da pubblicizzare.
      • Per private.googleapis.com:
        • Per la connettività IPv4: 199.36.153.8/30
        • Per la connettività IPv4 e IPv6: 199.36.153.8/30,2600:2d00:0002:2000::/64
      • Per restricted.googleapis.com:
        • Per la connettività IPv4: 199.36.153.4/30
        • Per la connettività IPv4 e IPv6: 199.36.153.4/30,2600:2d00:0002:1000::/64

Considerazioni sul firewall

Le regole del firewall di Google Cloud nella rete VPC a cui si connette la rete on-premise non influiscono su:

  • Pacchetti inviati tramite un tunnel Cloud VPN connesso alla rete VPC
  • Pacchetti inviati tramite un collegamento VLAN connesso alla rete VPC
  • Pacchetti in arrivo agli indirizzi IP dei forwarder in entrata di Cloud DNS nella rete VPC

Devi assicurarti che la configurazione del firewall dei sistemi on-premise consenta il traffico in uscita verso e le risposte stabilite dagli indirizzi IP appropriati:

  • Se utilizzi private.googleapis.com:
    • Per la connettività IPv4: 199.36.153.8/30
    • Per la connettività IPv6: 2600:2d00:0002:2000::/64
  • Se utilizzi restricted.googleapis.com:
    • Per la connettività IPv4: 199.36.153.4/30
    • Per la connettività IPv6: 2600:2d00:0002:1000::/64
  • Qualsiasi indirizzo IP del server di forwarding in entrata di Cloud DNS, se utilizzi Cloud DNS per la configurazione DNS

Passaggi successivi