Configurazione dell'accesso privato Google per gli host on-premise
L'accesso privato Google per gli host on-premise consente ai sistemi on-premise di connettersi alle API e ai servizi Google instradando il traffico tramite un tunnel Cloud VPN o un collegamento VLAN per Cloud Interconnect. L'accesso privato Google per gli host on-premise è un'alternativa alla connessione alle API e ai servizi Google su internet.
Questo documento descrive come abilitare l'accesso privato Google per gli host on-premise.
Specifiche e requisiti
L'accesso privato Google per gli host on-premise prevede i seguenti requisiti:
L'accesso privato Google non abilita automaticamente alcuna API. Devi abilitare separatamente le API di Google che devi utilizzare dalla pagina API e servizi nella console Google Cloud.
Devi indirizzare il traffico dei servizi e delle API di Google inviato dai sistemi on-premise agli indirizzi IP associati ai nomi di dominio speciali
private.googleapis.com
orestricted.googleapis.com
. Per maggiori dettagli sui servizi a cui è possibile accedere su ciascun dominio, vedi Opzioni dominio.La rete on-premise deve essere connessa a una rete VPC utilizzando tunnel Cloud VPN o collegamenti VLAN.
La rete VPC a cui è connessa la tua rete on-premise deve avere route appropriate per gli intervalli IP di destinazione
private.googleapis.com
orestricted.googleapis.com
. Per maggiori dettagli, consulta Routing di rete VPC.La rete VPC a cui è connessa la rete on-premise deve avere route appropriate per raggiungere la rete on-premise. I tunnel Cloud VPN o i collegamenti VLAN dell'hop successivo che si connettono alla tua rete on-premise per queste route devono trovarsi all'interno della stessa regione in cui ha avuto origine la richiesta. Se l'hop successivo si trova in una regione diversa da quella in cui ha avuto origine la richiesta all'accesso privato Google, la risposta dell'accesso privato Google non raggiungerà la rete on-premise.
La rete on-premise deve avere route per gli intervalli IP di destinazione
private.googleapis.com
orestricted.googleapis.com
. Queste route devono indirizzare il traffico al tunnel Cloud VPN o al collegamento VLAN appropriato che si connette alla rete VPC. Per maggiori dettagli, consulta la pagina relativa al routing on-premise con il router Cloud.Per consentire ai client IPv6 nel tuo ambiente on-premise di accedere alle API di Google utilizzando
private.googleapis.com
orestricted.googleapis.com
, devi configurare la connessione alla rete VPC in modo da supportare IPv6. Per ulteriori informazioni, consulta le seguenti pagine:I client on-premise possono inviare richieste da qualsiasi indirizzo IPv6 GUA o ULA, ad eccezione dell'intervallo ULA
fda3:e722:ac3:cc00::/64
, che è riservato per uso interno.
Autorizzazioni
I proprietari, gli editor e le entità IAM del progetto con il ruolo Amministratore rete possono creare o aggiornare le subnet e assegnare indirizzi IP.
Per ulteriori informazioni sui ruoli, consulta la documentazione relativa ai ruoli IAM.
Configurazione di rete
L'accesso privato Google per gli host on-premise prevede requisiti di rete specifici per i sistemi on-premise e per la rete VPC attraverso la quale i sistemi on-premise inviano traffico alle API e ai servizi Google.
Opzioni dominio
L'accesso privato Google per gli host on-premise richiede l'indirizzamento dei servizi a uno dei seguenti domini speciali. Il dominio speciale che scegli determina a quali servizi puoi accedere.
I VIP private.googleapis.com
e restricted.googleapis.com
supportano solo protocolli basati su HTTP su TCP (HTTP, HTTPS e HTTP/2). Tutti gli altri protocolli, inclusi MQTT e ICMP, non sono supportati.
Intervalli di indirizzi IP e di dominio | Servizi supportati | Esempio di utilizzo |
---|---|---|
|
Abilita l'accesso API alla maggior parte delle API e dei servizi Google, indipendentemente dal fatto che siano supportati dai Controlli di servizio VPC. Include l'accesso API a Google Maps, Google Ads, Google Cloud e alla maggior parte delle altre API di Google, incluso il seguente elenco. Non supporta le applicazioni web di Google Workspace come Gmail e Documenti Google. Non supporta alcun sito web interattivo. Nomi di dominio corrispondenti:
|
Utilizza Scegli
|
|
Abilita l'accesso API alle API e ai servizi Google supportati dai Controlli di servizio VPC. Blocca l'accesso alle API e ai servizi Google che non supportano i Controlli di servizio VPC. Non supporta le API Google Workspace o le applicazioni web di Google Workspace come Gmail e Documenti Google. |
Utilizza Scegli Il dominio |
restricted.googleapis.com
. Sebbene i Controlli di servizio VPC vengano applicati per i servizi compatibili e configurati, indipendentemente dal dominio utilizzato, restricted.googleapis.com
offre un'ulteriore mitigazione del rischio per l'esfiltrazione dei dati. L'utilizzo di restricted.googleapis.com
nega l'accesso alle API e ai servizi Google non supportati dai Controlli di servizio VPC. Per ulteriori dettagli, consulta la sezione Configurazione della connettività privata nella documentazione relativa ai Controlli di servizio VPC.
Supporto IPv6 per private.googleapis.com
e restricted.googleapis.com
I seguenti intervalli di indirizzi IPv6 possono essere utilizzati per indirizzare il traffico dai client IPv6 alle API e ai servizi Google:
private.googleapis.com
:2600:2d00:0002:2000::/64
restricted.googleapis.com
:2600:2d00:0002:1000::/64
Considera la possibilità di configurare gli indirizzi IPv6 se vuoi utilizzare il dominio private.googleapis.com
o restricted.googleapis.com
e hai client che utilizzano indirizzi IPv6. I client IPv6 che hanno anche indirizzi IPv4 configurati possono raggiungere le API e i servizi Google utilizzando gli indirizzi IPv4. Non tutti i servizi accettano traffico da client IPv6.
Configurazione DNS
Nella rete on-premise devono essere configurati record e zone DNS in modo che
i nomi di dominio Google vengano risolti nel set di indirizzi IP per
private.googleapis.com
o restricted.googleapis.com
. Puoi creare zone private gestite di Cloud DNS e utilizzare un criterio del server in entrata di Cloud DNS oppure puoi configurare i server dei nomi on-premise. Ad esempio, puoi utilizzare BIND o DNS di Microsoft Active Directory.
Le seguenti sezioni descrivono come utilizzare le zone DNS per inviare pacchetti agli indirizzi IP associati al VIP scelto. Segui le istruzioni per tutti gli scenari applicabili:
- Se utilizzi servizi che hanno nomi di dominio
*.googleapis.com
, consulta Configurare il DNS pergoogleapis.com
. Se utilizzi servizi che hanno altri nomi di dominio, consulta Configurare il DNS per altri domini.
Ad esempio, se utilizzi Google Kubernetes Engine (GKE), devi configurare anche
*.gcr.io
e*.pkg.dev
oppure, se usi Cloud Run, devi configurare*.run.app
.Se utilizzi i bucket Cloud Storage e invii richieste a un nome di dominio personalizzato di Cloud Storage, consulta Configurare i nomi di dominio personalizzati di DNS per Cloud Storage.
Se implementi la configurazione DNS utilizzando Cloud DNS, consulta Configurare il DNS per i sistemi on-premise.
Quando configuri i record DNS per i VIP, utilizza solo gli indirizzi IP descritti nei passaggi seguenti. Non combinare indirizzi dai VIP
private.googleapis.com
e restricted.googleapis.com
. Ciò può causare errori intermittenti perché i servizi offerti variano in base alla destinazione del pacchetto.
Configura DNS per googleapis.com
Crea una zona e record DNS per googleapis.com
:
- Crea una zona DNS privata per
googleapis.com
. Valuta la possibilità di creare una zona privata di Cloud DNS per questo scopo. Nella zona
googleapis.com
, crea i seguenti record DNS privati perprivate.googleapis.com
orestricted.googleapis.com
, a seconda del dominio che hai scelto di utilizzare.Per
private.googleapis.com
:Crea un record
A
perprivate.googleapis.com
che punta ai seguenti indirizzi IP:199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
.Per connetterti alle API utilizzando indirizzi IPv6, configura anche un record
AAAA
perprivate.googleapis.com
che punta a2600:2d00:0002:2000::
.
Per
restricted.googleapis.com
:Crea un record
A
perrestricted.googleapis.com
che punta ai seguenti indirizzi IP:199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
.Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record
AAAA
perrestricted.googleapis.com
che punta a2600:2d00:0002:1000::
.
Per creare record DNS privati in Cloud DNS, consulta Aggiungere un record.
Nella zona
googleapis.com
, crea un recordCNAME
per*.googleapis.com
che punti al dominio che hai configurato:private.googleapis.com
orestricted.googleapis.com
.
Configura il DNS per altri domini
Alcuni servizi e API di Google vengono forniti utilizzando nomi di dominio aggiuntivi, tra cui *.gcr.io
, *.gstatic.com
, *.pkg.dev
, pki.goog
e *.run.app
.
Fai riferimento alla tabella degli intervalli di dominio e indirizzo IP in Opzioni dominio per determinare se è possibile accedere ai servizi del dominio aggiuntivo utilizzando private.googleapis.com
o restricted.googleapis.com
. Quindi, per ciascuno dei domini aggiuntivi:
Crea una zona DNS per
DOMAIN
(ad esempio,gcr.io
). Se utilizzi Cloud DNS, assicurati che questa zona si trovi nello stesso progetto della zona privatagoogleapis.com
.In questa zona DNS, crea i seguenti record DNS privati per
private.googleapis.com
orestricted.googleapis.com
, a seconda del dominio che hai scelto di utilizzare.Per
private.googleapis.com
:Crea un record
A
perDOMAIN
che punta ai seguenti indirizzi IP:199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
.Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record
AAAA
perDOMAIN
che punta a2600:2d00:0002:2000::
.
Per
restricted.googleapis.com
:Crea un record
A
perDOMAIN
che punta ai seguenti indirizzi IP:199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
.Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record
AAAA
perrestricted.googleapis.com
che punta a2600:2d00:0002:1000::
.
Nella zona
DOMAIN
, crea un recordCNAME
per*.DOMAIN
che punta aDOMAIN
. Ad esempio, crea un recordCNAME
per*.gcr.io
che rimanda agcr.io
.
Configurare i nomi di dominio personalizzati di DNS per Cloud Storage
Se utilizzi i bucket Cloud Storage e invii richieste a un nome di dominio personalizzato Cloud Storage, non è sufficiente configurare i record DNS per il nome di dominio Cloud Storage personalizzato in modo che rimandino agli indirizzi IP di private.googleapis.com
o restricted.googleapis.com
.
Se vuoi inviare richieste a un nome di dominio personalizzato di Cloud Storage, devi anche impostare esplicitamente l'intestazione Host e lo SNI TLS della richiesta HTTP su storage.googleapis.com
. Gli indirizzi IP per private.googleapis.com
e restricted.googleapis.com
non supportano nomi host Cloud Storage personalizzati nelle intestazioni host delle richieste HTTP e negli SNI TLS.
Configura DNS per sistemi on-premise
Se hai implementato la configurazione DNS utilizzando Cloud DNS, dovrai configurare i sistemi on-premise in modo che possano eseguire query nelle zone private gestite di Cloud DNS:
- Crea un criterio del server in entrata nella rete VPC a cui si connette la rete on-premise.
- Identifica i punti di ingresso del forwarding in entrata, nelle regioni in cui si trovano i tunnel Cloud VPN e i collegamenti VLAN, nella rete VPC a cui si connette la rete on-premise.
- Configura sistemi on-premise e server dei nomi DNS on-premise per inoltrare
googleapis.com
e qualsiasi nome di dominio aggiuntivo a un punto di ingresso del forwarding in entrata nella stessa regione del tunnel Cloud VPN o del collegamento VLAN che si connette alla rete VPC.
Routing della rete VPC
La rete VPC a cui si connette la rete on-premise deve avere route per gli intervalli di indirizzi IP utilizzati da private.googleapis.com
o restricted.googleapis.com
. Queste route devono utilizzare l'hop successivo del gateway internet predefinito.
Google non pubblica route su internet per gli intervalli di indirizzi IP utilizzati
dai domini private.googleapis.com
o restricted.googleapis.com
.
Di conseguenza, anche se le route nella rete VPC inviano il traffico all'hop successivo del gateway internet predefinito, i pacchetti inviati a questi intervalli di indirizzi IP rimangono all'interno della rete Google.
Se la rete VPC a cui si connette la rete on-premise contiene una route predefinita il cui hop successivo è il gateway internet predefinito, quella route soddisfa i requisiti di routing per l'accesso privato Google per gli host on-premise.
Routing personalizzato della rete VPC
Se hai sostituito o modificato la route predefinita, assicurati di aver configurato route statiche personalizzate per gli intervalli IP di destinazione utilizzati da private.googleapis.com
o restricted.googleapis.com
. Per verificare la configurazione delle route personalizzate per le API e i servizi Google in una determinata rete, segui queste indicazioni.
Console
Nella console Google Cloud, vai alla pagina Route.
Utilizza il campo di testo Filtra tabella per filtrare l'elenco delle route utilizzando i seguenti criteri, sostituendo
NETWORK_NAME
con il nome della rete VPC a cui si connette la rete on-premise:- Rete:
NETWORK_NAME
- Tipo di hop successivo:
default internet gateway
- Rete:
Esamina la colonna Intervallo IP di destinazione per ogni route. Cerca un percorso il cui intervallo di destinazione corrisponda:
199.36.153.8/30
se hai sceltoprivate.googleapis.com
199.36.153.4/30
se hai sceltorestricted.googleapis.com
gcloud
Utilizza il seguente comando gcloud
, sostituendo NETWORK_NAME
con il nome della rete VPC a cui si connette la rete on-premise:
gcloud compute routes list \ --filter="default-internet-gateway NETWORK_NAME"
Le route sono elencate in formato tabella, a meno che non personalizzi il comando con il flag --format
. Cerca nella colonna DEST_RANGE
una route il cui intervallo di destinazione corrisponde a:
199.36.153.8/30
se hai sceltoprivate.googleapis.com
199.36.153.4/30
se hai sceltorestricted.googleapis.com
Se devi creare route nella tua rete VPC, consulta Aggiunta di una route statica.
Routing on-premise con il router Cloud
Le route nella tua rete on-premise devono essere configurate in modo da indirizzare il traffico per gli intervalli di indirizzi IP utilizzati dai domini private.googleapis.com
o restricted.googleapis.com
ai tunnel Cloud VPN o ai collegamenti VLAN dell'hop successivo che si connettono alla rete VPC.
Puoi utilizzare gli annunci di route personalizzate del router Cloud per annunciare le route per gli intervalli IP utilizzati dai domini private.googleapis.com
e restricted.googleapis.com
.
Le route IPv6 sono annunciate solo nelle sessioni BGP in cui è abilitato IPv6.
Console
Per aggiornare la modalità di annuncio di route per tutte le sessioni BGP su un router Cloud, ad eccezione delle sessioni BGP che utilizzano stessi annunci BGP personalizzati:
Nella console Google Cloud, vai alla pagina Router Cloud.
Seleziona il router Cloud che gestisce le sessioni BGP per i tunnel Cloud VPN o i collegamenti VLAN che connettono la tua rete on-premise alla rete VPC.
Nella pagina dei dettagli del router Cloud, seleziona Modifica.
Espandi la sezione Route annunciate.
Per Route, seleziona Crea route personalizzate.
Se vuoi pubblicizzare tutte le route di subnet disponibili per il router Cloud, seleziona Pubblicizza tutte le subnet visibili al router Cloud. Questa impostazione replica la configurazione predefinita nella tua configurazione personalizzata.
Per ogni percorso pubblicizzato che vuoi aggiungere:
- Seleziona Aggiungi route personalizzata.
- In Origine, seleziona Intervallo IP personalizzato.
- Per Intervallo di indirizzi IP, inserisci uno degli intervalli che vuoi utilizzare:
- Se usi
private.googleapis.com
:- Per la connettività IPv4:
199.36.153.8/30
- Per la connettività IPv6:
2600:2d00:0002:2000::/64
- Per la connettività IPv4:
- Se usi
restricted.googleapis.com
:- Per la connettività IPv4:
199.36.153.4/30
- Per la connettività IPv6:
2600:2d00:0002:1000::/64
- Per la connettività IPv4:
- Se usi
- Fai clic su Fine.
Dopo aver aggiunto le route, seleziona Salva.
Per aggiornare la modalità di annuncio di route per una determinata sessione BGP:
Nella console Google Cloud, vai alla pagina Router Cloud.
Seleziona il router Cloud che gestisce la sessione BGP per un tunnel Cloud VPN o un collegamento VLAN che connette la tua rete on-premise alla rete VPC.
Nella pagina dei dettagli del router Cloud, seleziona la sessione BGP da aggiornare.
Nella pagina dei dettagli della sessione BGP, fai clic su Modifica.
Per Route, seleziona Crea route personalizzate.
Seleziona Pubblicizza tutte le subnet visibili al router Cloud per pubblicizzare tutte le route di subnet disponibili per il router Cloud se desideri utilizzare il comportamento predefinito del router Cloud.
Per ogni percorso pubblicizzato che vuoi aggiungere:
- Seleziona Aggiungi route personalizzata.
- In Origine, seleziona Intervallo IP personalizzato.
- Per Intervallo di indirizzi IP, inserisci uno degli intervalli che vuoi utilizzare:
- Se usi
private.googleapis.com
:- Per la connettività IPv4:
199.36.153.8/30
- Per la connettività IPv6:
2600:2d00:0002:2000::/64
- Per la connettività IPv4:
- Se usi
restricted.googleapis.com
:- Per la connettività IPv4:
199.36.153.4/30
- Per la connettività IPv6:
2600:2d00:0002:1000::/64
- Per la connettività IPv4:
- Se usi
- Fai clic su Fine.
Dopo aver aggiunto le route, seleziona Salva.
gcloud
Identifica il nome e la regione del router Cloud che gestisce le sessioni BGP sui tunnel Cloud VPN o i collegamenti VLAN che connettono la tua rete on-premise alla rete VPC.
Utilizza
compute routers update
per aggiornare la modalità di annuncio di route su tutte le sessioni BGP del router Cloud, ad eccezione delle sessioni BGP che utilizzano gli annunci BGP personalizzati:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
Puoi aggiungere nuovi intervalli pubblicitari se utilizzi già la modalità pubblicitaria
CUSTOM
per il router Cloud. Questa operazione aggiorna la modalità di annuncio di route su tutte le sessioni BGP del router Cloud, ad eccezione di quelle sessioni BGP che utilizzano stessi annunci BGP personalizzati:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --add-advertisement-ranges=CUSTOM_RANGES
In alternativa, utilizza
compute routers update-bgp-peer
per configurare un peer BGP specifico sul router Cloud:Se aggiungi intervalli personalizzati IPv6 e se il traffico IPv6 è disabilitato per la sessione BGP, puoi abilitarlo con il flag
--enable-ipv6
.gcloud compute routers update-bgp-peer ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
Puoi aggiungere nuovi intervalli pubblicitari se utilizzi già la modalità pubblicitaria
CUSTOM
per una sessione BGP su un router CloudSe aggiungi intervalli personalizzati IPv6 e se il traffico IPv6 è disabilitato per la sessione BGP, puoi abilitarlo con il flag
--enable-ipv6
.gcloud compute routers update-bgp-peer ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --add-advertisement-ranges=CUSTOM_RANGES
Nei comandi riportati sopra, sostituisci quanto segue con valori validi:
ROUTER_NAME
: il nome del router CloudREGION
: la regione del router CloudPEER_NAME
: il nome del peer BGP configurato quando crei un collegamento VLAN per Dedicated Interconnect, quando crei un collegamento VLAN per Partner Interconnect, quando crei un tunnel VPN ad alta disponibilità o quando crei un tunnel VPN classica utilizzando il routing dinamico.- Lascia
--set-advertisement-groups=ALL_SUBNETS
per pubblicizzare tutte le route di subnet disponibili per il router Cloud. Questo è il comportamento predefinito del router Cloud. CUSTOM_RANGES
: un elenco di intervalli personalizzati, delimitato da virgole, da pubblicizzare.- Per
private.googleapis.com
:- Per la connettività IPv4:
199.36.153.8/30
- Per la connettività IPv4 e IPv6:
199.36.153.8/30,2600:2d00:0002:2000::/64
- Per la connettività IPv4:
- Per
restricted.googleapis.com
:- Per la connettività IPv4:
199.36.153.4/30
- Per la connettività IPv4 e IPv6:
199.36.153.4/30,2600:2d00:0002:1000::/64
- Per la connettività IPv4:
- Per
Considerazioni sul firewall
Le regole firewall Google Cloud nella rete VPC a cui si connette la rete on-premise non hanno effetto su:
- Pacchetti inviati tramite un tunnel Cloud VPN connesso alla rete VPC
- I pacchetti inviati tramite un collegamento VLAN con la rete VPC
- Pacchetti in entrata negli indirizzi IP del forwarding in entrata di Cloud DNS nella rete VPC
Devi assicurarti che la configurazione del firewall dei sistemi on-premise consenta il traffico in uscita e le risposte stabilite dagli indirizzi IP appropriati:
- Se usi
private.googleapis.com
:- Per la connettività IPv4:
199.36.153.8/30
- Per la connettività IPv6:
2600:2d00:0002:2000::/64
- Per la connettività IPv4:
- Se usi
restricted.googleapis.com
:- Per la connettività IPv4:
199.36.153.4/30
- Per la connettività IPv6:
2600:2d00:0002:1000::/64
- Per la connettività IPv4:
- Qualsiasi indirizzo IP del forwarding in entrata di Cloud DNS, se utilizzi Cloud DNS per la configurazione DNS
Passaggi successivi
- Se hai bisogno di VM nella tua rete VPC di Google Cloud per accedere alle API e ai servizi Google, consulta Configurare l'accesso privato Google per VPC.