Configurazione dell'accesso privato Google per gli host on-premise

L'accesso privato Google per gli host on-premise consente ai sistemi on-premise di connettersi alle API e ai servizi Google instradando il traffico tramite un tunnel Cloud VPN o un collegamento VLAN per Cloud Interconnect. L'accesso privato Google per gli host on-premise è un'alternativa alla connessione alle API e ai servizi Google su internet.

Questo documento descrive come abilitare l'accesso privato Google per gli host on-premise.

Specifiche e requisiti

L'accesso privato Google per gli host on-premise prevede i seguenti requisiti:

  • L'accesso privato Google non abilita automaticamente nessuna API. Devi abilitare separatamente le API di Google che devi utilizzare dalla pagina API e servizi nella console Google Cloud.

  • Devi indirizzare il traffico dei servizi e delle API di Google inviato dai sistemi on-premise agli indirizzi IP associati ai nomi di dominio speciali private.googleapis.com o restricted.googleapis.com. Per maggiori dettagli sui servizi a cui è possibile accedere su ciascun dominio, vedi Opzioni dominio.

  • La rete on-premise deve essere connessa a una rete VPC utilizzando tunnel Cloud VPN o collegamenti VLAN.

  • La rete VPC a cui è connessa la tua rete on-premise deve avere route appropriate per gli intervalli IP di destinazione private.googleapis.com o restricted.googleapis.com. Per maggiori dettagli, consulta Routing di rete VPC.

  • La rete VPC a cui è connessa la rete on-premise deve avere route appropriate per raggiungere la rete on-premise. I tunnel Cloud VPN o i collegamenti VLAN dell'hop successivo che si connettono alla tua rete on-premise per queste route devono trovarsi all'interno della stessa regione in cui ha avuto origine la richiesta. Se l'hop successivo si trova in una regione diversa da quella in cui ha avuto origine la richiesta all'accesso privato Google, la risposta dell'accesso privato Google non raggiungerà la rete on-premise.

  • La rete on-premise deve avere route per gli intervalli IP di destinazione private.googleapis.com o restricted.googleapis.com. Queste route devono indirizzare il traffico al tunnel Cloud VPN o al collegamento VLAN appropriato che si connette alla rete VPC. Per maggiori dettagli, consulta la pagina relativa al routing on-premise con il router Cloud.

  • Per consentire ai client IPv6 nel tuo ambiente on-premise di accedere alle API di Google utilizzando private.googleapis.com o restricted.googleapis.com, devi configurare la connessione alla rete VPC in modo da supportare IPv6. Per ulteriori informazioni, consulta le seguenti pagine:

  • I client on-premise possono inviare richieste da qualsiasi indirizzo IPv6 GUA o ULA, ad eccezione dell'intervallo ULA fda3:e722:ac3:cc00::/64, che è riservato per uso interno.

Autorizzazioni

I proprietari, gli editor e le entità IAM del progetto con il ruolo Amministratore rete possono creare o aggiornare le subnet e assegnare indirizzi IP.

Per ulteriori informazioni sui ruoli, consulta la documentazione relativa ai ruoli IAM.

Configurazione di rete

L'accesso privato Google per gli host on-premise prevede requisiti di rete specifici per i sistemi on-premise e per la rete VPC attraverso la quale i sistemi on-premise inviano traffico alle API e ai servizi Google.

Opzioni dominio

L'accesso privato Google per gli host on-premise richiede l'indirizzamento dei servizi a uno dei seguenti domini speciali. Il dominio speciale che scegli determina a quali servizi puoi accedere.

I VIP private.googleapis.com e restricted.googleapis.com supportano solo protocolli basati su HTTP su TCP (HTTP, HTTPS e HTTP/2). Tutti gli altri protocolli, inclusi MQTT e ICMP, non sono supportati.

Intervalli di indirizzi IP e di dominio Servizi supportati Esempio di utilizzo

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64

Abilita l'accesso API alla maggior parte delle API e dei servizi Google, indipendentemente dal fatto che siano supportati dai Controlli di servizio VPC. Include l'accesso API a Google Maps, Google Ads, Google Cloud e alla maggior parte delle altre API di Google, incluso il seguente elenco. Non supporta le applicazioni web di Google Workspace come Gmail e Documenti Google. Non supporta alcun sito web interattivo.

Nomi di dominio corrispondenti:

  • accounts.google.com (solo i percorsi necessari per l'autenticazione OAuth)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io o *.gcr.io
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev o *.pkg.dev
  • pki.goog o *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Utilizza private.googleapis.com per accedere alle API e ai servizi Google utilizzando un insieme di indirizzi IP instradabili solo dall'interno di Google Cloud.

Scegli private.googleapis.com in queste circostanze:

  • Non utilizzi Controlli di servizio VPC.
  • Utilizzi i Controlli di servizio VPC, ma devi anche accedere alle API e ai servizi Google non supportati dai Controlli di servizio VPC. 1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64

Abilita l'accesso API alle API e ai servizi Google supportati dai Controlli di servizio VPC.

Blocca l'accesso alle API e ai servizi Google che non supportano i Controlli di servizio VPC. Non supporta le API Google Workspace o le applicazioni web di Google Workspace come Gmail e Documenti Google.

Utilizza restricted.googleapis.com per accedere alle API e ai servizi Google utilizzando un insieme di indirizzi IP instradabili solo dall'interno di Google Cloud.

Scegli restricted.googleapis.com quando hai bisogno solo di accedere alle API e ai servizi Google supportati dai Controlli di servizio VPC.

Il dominio restricted.googleapis.com non consente l'accesso alle API e ai servizi Google che non supportano i Controlli di servizio VPC. 1
1 Se devi limitare gli utenti solo alle API e ai servizi Google che supportano i Controlli di servizio VPC, utilizza restricted.googleapis.com. Sebbene i Controlli di servizio VPC vengano applicati per i servizi compatibili e configurati, indipendentemente dal dominio utilizzato, restricted.googleapis.com offre un'ulteriore mitigazione del rischio per l'esfiltrazione dei dati. L'utilizzo di restricted.googleapis.com nega l'accesso alle API e ai servizi Google non supportati dai Controlli di servizio VPC. Per ulteriori dettagli, consulta la sezione Configurazione della connettività privata nella documentazione relativa ai Controlli di servizio VPC.

Supporto IPv6 per private.googleapis.com e restricted.googleapis.com

I seguenti intervalli di indirizzi IPv6 possono essere utilizzati per indirizzare il traffico dai client IPv6 alle API e ai servizi Google:

  • private.googleapis.com: 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 2600:2d00:0002:1000::/64

Considera la possibilità di configurare gli indirizzi IPv6 se vuoi utilizzare il dominio private.googleapis.com o restricted.googleapis.com e hai client che utilizzano indirizzi IPv6. I client IPv6 che hanno anche indirizzi IPv4 configurati possono raggiungere le API e i servizi Google utilizzando gli indirizzi IPv4. Non tutti i servizi accettano traffico dai client IPv6.

Configurazione DNS

Nella rete on-premise devono essere configurati record e zone DNS in modo che i nomi di dominio Google vengano risolti nel set di indirizzi IP per private.googleapis.com o restricted.googleapis.com. Puoi creare zone private gestite di Cloud DNS e utilizzare un criterio del server in entrata di Cloud DNS oppure puoi configurare i server dei nomi on-premise. Ad esempio, puoi utilizzare BIND o DNS di Microsoft Active Directory.

La sezione seguente descrive come utilizzare le zone DNS per inviare pacchetti agli indirizzi IP associati al VIP scelto.

Quando configuri i record DNS per i VIP, utilizza solo gli indirizzi IP descritti nei passaggi seguenti. Non combinare indirizzi dai VIP private.googleapis.com e restricted.googleapis.com. Ciò può causare errori intermittenti perché i servizi offerti variano in base alla destinazione del pacchetto.

Crea una zona e record DNS per googleapis.com:

  1. Crea una zona DNS privata per googleapis.com. Valuta la possibilità di creare una zona privata di Cloud DNS per questo scopo.

  2. Nella zona googleapis.com, crea i seguenti record DNS per private.googleapis.com o restricted.googleapis.com, a seconda del dominio che hai scelto di utilizzare.

    • Per private.googleapis.com:

      1. Crea un record A per private.googleapis.com che punta ai seguenti indirizzi IP: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Per connetterti alle API utilizzando indirizzi IPv6, configura anche un record AAAA per private.googleapis.com che punta a 2600:2d00:0002:2000::.

    • Per restricted.googleapis.com:

      1. Crea un record A per restricted.googleapis.com che punta ai seguenti indirizzi IP: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record AAAA per restricted.googleapis.com che punta a 2600:2d00:0002:1000::.

    Se utilizzi Cloud DNS, aggiungi i record alla zona privata googleapis.com.

  3. Nella zona googleapis.com, crea un record CNAME per *.googleapis.com che punti al dominio che hai configurato: private.googleapis.com o restricted.googleapis.com.

Alcuni servizi e API di Google vengono forniti utilizzando nomi di dominio aggiuntivi, tra cui *.gcr.io, *.gstatic.com, *.pkg.dev, pki.goog e *.run.app. Fai riferimento alla tabella degli intervalli di dominio e indirizzo IP in Opzioni dominio per determinare se è possibile accedere ai servizi del dominio aggiuntivo utilizzando private.googleapis.com o restricted.googleapis.com. Quindi, per ciascuno dei domini aggiuntivi:

  1. Crea una zona DNS per DOMAIN (ad esempio, gcr.io). Se utilizzi Cloud DNS, assicurati che questa zona si trovi nello stesso progetto della zona privata googleapis.com.

  2. In questa zona DNS, crea i seguenti record DNS per private.googleapis.com o restricted.googleapis.com, a seconda del dominio che hai scelto di utilizzare:

    • Per private.googleapis.com:

      1. Crea un record A per DOMAIN che punta ai seguenti indirizzi IP: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11.

      2. Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record AAAA per DOMAIN che punta a 2600:2d00:0002:2000::.

    • Per restricted.googleapis.com:

      1. Crea un record A per DOMAIN che punta ai seguenti indirizzi IP: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

      2. Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record AAAA per restricted.googleapis.com che punta a 2600:2d00:0002:1000::.

  3. Nella zona DOMAIN, crea un record CNAME per *.DOMAIN che punta a DOMAIN. Ad esempio, crea un record CNAME per *.gcr.io che rimanda a gcr.io.

Se hai implementato la configurazione DNS utilizzando Cloud DNS, dovrai configurare i sistemi on-premise in modo che possano eseguire query nelle zone private gestite di Cloud DNS:

  • Crea un criterio del server in entrata nella rete VPC a cui si connette la rete on-premise.
  • Identifica i punti di ingresso del forwarding in entrata, nelle regioni in cui si trovano i tunnel Cloud VPN e i collegamenti VLAN, nella rete VPC a cui si connette la rete on-premise.
  • Configura sistemi on-premise e server dei nomi DNS on-premise per inoltrare googleapis.com e qualsiasi nome di dominio aggiuntivo a un punto di ingresso del forwarding in entrata nella stessa regione del tunnel Cloud VPN o del collegamento VLAN che si connette alla rete VPC.

Routing della rete VPC

La rete VPC a cui si connette la rete on-premise deve avere route per gli intervalli di indirizzi IP utilizzati da private.googleapis.com o restricted.googleapis.com. Queste route devono utilizzare l'hop successivo del gateway internet predefinito.

Google non pubblica route su internet per gli intervalli di indirizzi IP utilizzati dai domini private.googleapis.com o restricted.googleapis.com. Di conseguenza, anche se le route nella rete VPC inviano il traffico all'hop successivo del gateway internet predefinito, i pacchetti inviati a questi intervalli di indirizzi IP rimangono all'interno della rete Google.

Se la rete VPC a cui si connette la rete on-premise contiene una route predefinita il cui hop successivo è il gateway internet predefinito, quella route soddisfa i requisiti di routing per l'accesso privato Google per gli host on-premise.

Routing personalizzato della rete VPC

Se hai sostituito o modificato la route predefinita, assicurati di aver configurato route statiche personalizzate per gli intervalli IP di destinazione utilizzati da private.googleapis.com o restricted.googleapis.com. Per verificare la configurazione delle route personalizzate per le API e i servizi Google in una determinata rete, segui queste indicazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Route.

    Vai a Routes

  2. Utilizza il campo di testo Filtra tabella per filtrare l'elenco delle route utilizzando i seguenti criteri, sostituendo NETWORK_NAME con il nome della rete VPC a cui si connette la rete on-premise:

    • Rete: NETWORK_NAME
    • Tipo di hop successivo: default internet gateway

  3. Esamina la colonna Intervallo IP di destinazione per ogni route. Cerca un percorso il cui intervallo di destinazione corrisponda:

    • 199.36.153.8/30 se hai scelto private.googleapis.com
    • 199.36.153.4/30 se hai scelto restricted.googleapis.com

gcloud

Utilizza il seguente comando gcloud, sostituendo NETWORK_NAME con il nome della rete VPC a cui si connette la rete on-premise:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Le route sono elencate in formato tabella, a meno che non personalizzi il comando con il flag --format. Cerca nella colonna DEST_RANGE una route il cui intervallo di destinazione corrisponde a:

  • 199.36.153.8/30 se hai scelto private.googleapis.com
  • 199.36.153.4/30 se hai scelto restricted.googleapis.com

Se devi creare route nella tua rete VPC, consulta Aggiunta di una route statica.

Routing on-premise con il router Cloud

Le route nella tua rete on-premise devono essere configurate in modo da indirizzare il traffico per gli intervalli di indirizzi IP utilizzati dai domini private.googleapis.com o restricted.googleapis.com ai tunnel Cloud VPN o ai collegamenti VLAN dell'hop successivo che si connettono alla rete VPC.

Puoi utilizzare gli annunci di route personalizzate del router Cloud per annunciare le route per gli intervalli IP utilizzati dai domini private.googleapis.com e restricted.googleapis.com.

Le route IPv6 sono annunciate solo nelle sessioni BGP in cui è abilitato IPv6.

Console

Per aggiornare la modalità di annuncio di route per tutte le sessioni BGP su un router Cloud, ad eccezione delle sessioni BGP che utilizzano stessi annunci BGP personalizzati:

  1. Nella console Google Cloud, vai alla pagina Router Cloud.

    Vai ai router Cloud

  2. Seleziona il router Cloud che gestisce le sessioni BGP per i tunnel Cloud VPN o i collegamenti VLAN che connettono la tua rete on-premise alla rete VPC.

  3. Nella pagina dei dettagli del router Cloud, seleziona Modifica.

  4. Espandi la sezione Route annunciate.

  5. Per Route, seleziona Crea route personalizzate.

  6. Se vuoi pubblicizzare tutte le route di subnet disponibili per il router Cloud, seleziona Pubblicizza tutte le subnet visibili al router Cloud. Questa impostazione replica la configurazione predefinita nella tua configurazione personalizzata.

  7. Per ogni percorso pubblicizzato che vuoi aggiungere:

    1. Seleziona Aggiungi route personalizzata.
    2. In Origine, seleziona Intervallo IP personalizzato.
    3. Per Intervallo di indirizzi IP, inserisci uno degli intervalli che vuoi utilizzare:
      • Se usi private.googleapis.com:
        • Per la connettività IPv4: 199.36.153.8/30
        • Per la connettività IPv6: 2600:2d00:0002:2000::/64
      • Se usi restricted.googleapis.com:
        • Per la connettività IPv4: 199.36.153.4/30
        • Per la connettività IPv6: 2600:2d00:0002:1000::/64
    4. Fai clic su Fine.

  8. Dopo aver aggiunto le route, seleziona Salva.

Per aggiornare la modalità di annuncio di route per una determinata sessione BGP:

  1. Nella console Google Cloud, vai alla pagina Router Cloud.

    Vai ai router Cloud

  2. Seleziona il router Cloud che gestisce la sessione BGP per un tunnel Cloud VPN o un collegamento VLAN che connette la tua rete on-premise alla rete VPC.

  3. Nella pagina dei dettagli del router Cloud, seleziona la sessione BGP da aggiornare.

  4. Nella pagina dei dettagli della sessione BGP, fai clic su Modifica.

  5. Per Route, seleziona Crea route personalizzate.

  6. Seleziona Pubblicizza tutte le subnet visibili al router Cloud per pubblicizzare tutte le route di subnet disponibili per il router Cloud se desideri utilizzare il comportamento predefinito del router Cloud.

  7. Per ogni percorso pubblicizzato che vuoi aggiungere:

    1. Seleziona Aggiungi route personalizzata.
    2. In Origine, seleziona Intervallo IP personalizzato.
    3. Per Intervallo di indirizzi IP, inserisci uno degli intervalli che vuoi utilizzare:
      • Se usi private.googleapis.com:
        • Per la connettività IPv4: 199.36.153.8/30
        • Per la connettività IPv6: 2600:2d00:0002:2000::/64
      • Se usi restricted.googleapis.com:
        • Per la connettività IPv4: 199.36.153.4/30
        • Per la connettività IPv6: 2600:2d00:0002:1000::/64
    4. Fai clic su Fine.

  8. Dopo aver aggiunto le route, seleziona Salva.

gcloud

  1. Identifica il nome e la regione del router Cloud che gestisce le sessioni BGP sui tunnel Cloud VPN o i collegamenti VLAN che connettono la tua rete on-premise alla rete VPC.

  2. Utilizza compute routers update per aggiornare la modalità di annuncio di route su tutte le sessioni BGP del router Cloud, ad eccezione delle sessioni BGP che utilizzano gli annunci BGP personalizzati:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Puoi aggiungere nuovi intervalli pubblicitari se utilizzi già la modalità pubblicitaria CUSTOM per il router Cloud. Questa operazione aggiorna la modalità di annuncio di route su tutte le sessioni BGP del router Cloud, ad eccezione di quelle sessioni BGP che utilizzano stessi annunci BGP personalizzati:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES

  3. In alternativa, utilizza compute routers update-bgp-peer per configurare un peer BGP specifico sul router Cloud:

    Se aggiungi intervalli personalizzati IPv6 e se il traffico IPv6 è disabilitato per la sessione BGP, puoi abilitarlo con il flag --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Puoi aggiungere nuovi intervalli pubblicitari se utilizzi già la modalità pubblicitaria CUSTOM per una sessione BGP su un router Cloud

    Se aggiungi intervalli personalizzati IPv6 e se il traffico IPv6 è disabilitato per la sessione BGP, puoi abilitarlo con il flag --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES

    Nei comandi riportati sopra, sostituisci quanto segue con valori validi:

Considerazioni sul firewall

Le regole firewall Google Cloud nella rete VPC a cui si connette la rete on-premise non hanno effetto su:

  • Pacchetti inviati tramite un tunnel Cloud VPN connesso alla rete VPC
  • I pacchetti inviati tramite un collegamento VLAN con la rete VPC
  • Pacchetti in entrata negli indirizzi IP del forwarding in entrata di Cloud DNS nella rete VPC

Devi assicurarti che la configurazione del firewall dei sistemi on-premise consenta il traffico in uscita e le risposte stabilite dagli indirizzi IP appropriati:

  • Se usi private.googleapis.com:
    • Per la connettività IPv4: 199.36.153.8/30
    • Per la connettività IPv6: 2600:2d00:0002:2000::/64
  • Se usi restricted.googleapis.com:
    • Per la connettività IPv4: 199.36.153.4/30
    • Per la connettività IPv6: 2600:2d00:0002:1000::/64
  • Qualsiasi indirizzo IP del forwarding in entrata di Cloud DNS, se utilizzi Cloud DNS per la configurazione DNS

Passaggi successivi