온프레미스 호스트용 비공개 Google 액세스 구성

온프레미스 호스트의 비공개 Google 액세스는 온프레미스 시스템이 Cloud VPN 터널이나 Cloud Interconnect용 VLAN 연결을 통해 트래픽을 라우팅하여 Google API 및 서비스에 연결하는 방법을 제공합니다. 온프레미스 호스트용 비공개 Google 액세스는 인터넷을 통해 Google API 및 서비스에 연결하는 대안입니다.

이 문서에서는 온프레미스 호스트에 비공개 Google 액세스를 사용 설정하는 방법을 설명합니다.

사양 및 요구사항

온프레미스 호스트의 비공개 Google 액세스에는 다음 요구사항이 적용됩니다.

  • 비공개 Google 액세스는 API를 자동으로 사용 설정하지 않습니다. Google Cloud 콘솔의 API 및 서비스 페이지에서 사용해야 하는 Google API를 별도로 사용 설정해야 합니다.

  • 온프레미스 시스템에서 보낸 Google API 및 서비스 트래픽을 private.googleapis.com 또는 restricted.googleapis.com 특수 도메인 이름과 연결된 IP 주소로 전달해야 합니다. 각 도메인에서 액세스할 수 있는 서비스에 대한 자세한 내용은 도메인 옵션을 참조하세요.

  • Cloud VPN 터널이나 VLAN 연결을 사용하여 온프레미스 네트워크를 VPC 네트워크에 연결해야 합니다.

  • 온프레미스 네트워크가 연결되는 VPC 네트워크에 private.googleapis.com 또는 restricted.googleapis.com 대상 IP 범위에 대한 적절한 경로가 있어야 합니다. 자세한 내용은 VPC 네트워크 라우팅을 참조하세요.

  • 온프레미스 네트워크가 연결된 VPC 네트워크에는 온프레미스 네트워크에 연결할 수 있는 적절한 경로가 있어야 합니다. 이러한 경로의 온프레미스 네트워크에 연결되는 다음 홉 Cloud VPN 터널이나 VLAN 연결은 요청이 발생한 같은 리전 내에 있어야 합니다. 다음 홉이 비공개 Google 액세스에 대한 요청이 발생한 리전과 다른 리전에 있으면 비공개 Google 액세스의 응답은 온프레미스 네트워크에 도달하지 않습니다.

  • 온프레미스 네트워크에는 private.googleapis.com 또는 restricted.googleapis.com 대상 IP 범위에 대한 경로가 있어야 합니다. 이러한 경로는 VPC 네트워크에 연결되는 적절한 Cloud VPN 터널이나 VLAN 연결로 트래픽을 전달해야 합니다. 자세한 내용은 Cloud Router를 사용한 온프레미스 라우팅을 참조하세요.

  • 온프레미스 환경의 IPv6 클라이언트가 private.googleapis.com 또는 restricted.googleapis.com을 사용하여 Google API에 액세스하도록 허용하려면 IPv6를 지원하도록 VPC 네트워크에 대한 연결을 구성해야 합니다. 자세한 내용은 다음 페이지를 참조하세요.

  • 온프레미스 클라이언트는 내부용으로 예약된 ULA 범위 fda3:e722:ac3:cc00::/64를 제외하고 모든 IPv6 GUA 또는 ULA 주소에서 요청을 보낼 수 있습니다.

권한

프로젝트 소유자, 편집자, 네트워크 관리자 역할을 갖는 IAM 주 구성원은 서브넷을 만들거나 업데이트하고 IP 주소를 할당할 수 있습니다.

역할에 대한 자세한 내용은 IAM 역할 문서를 참조하세요.

네트워크 구성

온프레미스 호스트의 비공개 Google 액세스에는 온프레미스 시스템과 VPC 네트워크에 대한 특정 네트워크 요구사항이 있으며 이를 통해 온프레미스 시스템은 Google API 및 서비스로 트래픽을 보냅니다.

도메인 옵션

온프레미스 호스트의 비공개 Google 액세스를 사용하려면 다음 특수 도메인 중 하나로 서비스를 전달해야 합니다. 선택한 특수 도메인에 따라 액세스할 수 있는 서비스가 결정됩니다.

private.googleapis.comrestricted.googleapis.com VIP는 TCP(HTTP, HTTPS, HTTP/2)를 통해 HTTP 기반 프로토콜만 지원합니다. MQTT, ICMP를 비롯한 다른 모든 프로토콜은 지원되지 않습니다.

도메인 및 IP 주소 범위 지원되는 서비스 사용 예시

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64

VPC 서비스 제어에서 지원하는지 여부에 관계없이 대부분의 Google API 및 서비스에 대한 API 액세스를 사용 설정합니다. 다음 목록을 포함하여 Google 지도, Google Ads, Google Cloud 및 다른 대부분의 Google API에 대한 API 액세스가 포함됩니다. Gmail 및 Google Docs와 같은 Google Workspace 웹 애플리케이션을 지원하지 않습니다. 대화형 웹사이트를 지원하지 않습니다.

일치하는 도메인 이름:

  • accounts.google.com(OAuth 인증에 필요한 경로만)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io 또는 *.gcr.io
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev 또는 *.pkg.dev
  • pki.goog 또는 *.pki.goog
  • *.run.app
  • source.developers.google.com

private.googleapis.com에서 Google Cloud 내에서만 라우팅할 수 있는 IP 주소 집합을 사용하여 Google API 및 서비스에 액세스합니다.

다음과 같은 상황에서 private.googleapis.com을 선택합니다.

  • VPC 서비스 제어를 사용하지 않는 경우
  • VPC 서비스 제어를 사용하지만 VPC 서비스 제어에서 지원하지 않는 Google API 및 서비스에도 액세스해야 하는 경우 1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64

VPC 서비스 제어가 지원하는 Google API 및 서비스에 대한 API 액세스를 사용 설정합니다.

VPC 서비스 제어를 지원하지 않는 Google API 및 서비스에 대한 액세스를 차단합니다. Google Workspace API 또는 Google Workspace 웹 애플리케이션(예: Gmail 및 Google Docs)을 지원하지 않습니다.

restricted.googleapis.com에서 Google Cloud 내에서만 라우팅할 수 있는 IP 주소 집합을 사용하여 Google API 및 서비스에 액세스합니다.

VPC 서비스 제어에서 지원하는 Google API 및 서비스에 액세스해야 하는 경우에만 restricted.googleapis.com을 선택합니다.

restricted.googleapis.com 도메인은 VPC 서비스 제어를 지원하지 않는 Google API 및 서비스에 대한 액세스를 허용하지 않습니다. 1

1 VPC 서비스 제어를 지원하는 Google API 및 서비스로만 사용자를 제한해야 하는 경우에는 restricted.googleapis.com을 사용하세요. VPC 서비스 제어는 호환 가능하고 구성된 서비스에 적용되지만, restricted.googleapis.com은 사용하는 도메인에 관계없이 데이터 무단 반출 위험을 추가적으로 완화해 줍니다. restricted.googleapis.com을 사용하면 VPC 서비스 제어에서 지원하지 않는 Google API 및 서비스에 대한 액세스가 거부됩니다. 자세한 내용은 VPC 서비스 제어 문서의 비공개 연결 설정을 참조하세요.

private.googleapis.comrestricted.googleapis.com에 대한 IPv6 지원

다음 IPv6 주소 범위를 사용하여 IPv6 클라이언트에서 Google API 및 서비스로 트래픽을 전달할 수 있습니다.

  • private.googleapis.com: 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 2600:2d00:0002:1000::/64

private.googleapis.com 또는 restricted.googleapis.com 도메인을 사용하고 IPv6 주소를 사용하는 클라이언트가 있는 경우 IPv6 주소를 구성하는 것이 좋습니다. IPv4 주소도 구성된 IPv6 클라이언트는 IPv4 주소를 사용하여 Google API 및 서비스에 연결할 수 있습니다. 일부 서비스는 IPv6 클라이언트의 트래픽을 허용하지 않습니다.

DNS 구성

Google 도메인 이름을 private.googleapis.com 또는 restricted.googleapis.com의 IP 주소로 확인하도록 온프레미스 네트워크에 DNS 영역 및 레코드가 구성되어 있어야 합니다. Cloud DNS 관리형 비공개 영역을 만들고 Cloud DNS 인바운드 서버 정책을 사용하거나 온프레미스 네임서버를 구성할 수 있습니다. 예를 들어 BIND 또는 Microsoft Active Directory DNS를 사용할 수 있습니다.

다음 섹션에서는 DNS 영역을 사용하여 선택한 VIP와 연관된 IP 주소로 패킷을 전송하는 방법을 설명합니다.

VIP에 대해 DNS 레코드를 구성할 때는 다음 단계에 설명된 IP 주소만 사용합니다. private.googleapis.comrestricted.googleapis.com VIP의 주소를 혼합하지 마세요. 이로 인해 제공되는 서비스가 패킷의 대상에 따라 달라지므로 간헐적인 장애가 발생할 수 있습니다.

googleapis.com의 DNS 영역 및 레코드를 만듭니다.

  1. googleapis.com의 비공개 DNS 영역을 만듭니다. 이 경우에는 Cloud DNS 비공개 영역 만들기를 참조하세요.
  2. googleapis.com 영역에서 선택한 도메인에 따라 private.googleapis.com 또는 restricted.googleapis.com의 다음 DNS 레코드를 만듭니다.

    • private.googleapis.com의 경우:

      1. 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11 IP 주소를 가리키는 private.googleapis.comA 레코드를 만듭니다.

      2. IPv6 주소를 사용하여 API에 연결하려면 2600:2d00:0002:2000::을 가리키는 private.googleapis.comAAAA 레코드도 구성합니다.

    • restricted.googleapis.com의 경우:

      1. 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 IP 주소를 가리키는 restricted.googleapis.comA 레코드를 만듭니다.

      2. IPv6 주소를 사용하여 API에 연결하려면 2600:2d00:0002:1000::을 가리키는 restricted.googleapis.comAAAA 레코드도 만듭니다.

    Cloud DNS를 사용하는 경우 googleapis.com 비공개 영역에 레코드를 추가합니다.

  3. googleapis.com 영역에서 구성한 도메인(private.googleapis.com 또는 restricted.googleapis.com)을 가리키는 *.googleapis.comCNAME 레코드를 만듭니다.

일부 Google API 및 서비스는 *.gcr.io, *.gstatic.com, *.pkg.dev, pki.goog, *.run.app 등의 추가 도메인 이름을 사용하여 제공됩니다. private.googleapis.com 또는 restricted.googleapis.com을 사용하여 추가 도메인의 서비스에 액세스할 수 있는지 확인하려면 도메인 옵션도메인 및 IP 주소 범위 표를 참조하세요. 그런 다음 각 추가 도메인에 대해 다음을 수행하세요.

  1. DOMAIN의 DNS 영역(예: gcr.io)을 만듭니다. Cloud DNS를 사용하는 경우 이 영역이 googleapis.com 비공개 영역과 동일한 프로젝트에 있는지 확인합니다.

  2. 이 DNS 영역에서 선택한 도메인에 따라 private.googleapis.com 또는 restricted.googleapis.com에 대한 다음 DNS 레코드를 만듭니다.

    • private.googleapis.com의 경우:

      1. 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11 IP 주소를 가리키는 DOMAINA 레코드를 만듭니다.

      2. IPv6 주소를 사용하여 API에 연결하려면 2600:2d00:0002:2000::을 가리키는 DOMAINAAAA 레코드도 만듭니다.

    • restricted.googleapis.com의 경우:

      1. 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7 IP 주소를 가리키는 DOMAINA 레코드를 만듭니다.

      2. IPv6 주소를 사용하여 API에 연결하려면 2600:2d00:0002:1000::을 가리키는 restricted.googleapis.comAAAA 레코드도 만듭니다.

  3. DOMAIN 영역에서 DOMAIN을 가리키는 *.DOMAINCNAME 레코드를 만듭니다. 예를 들어 gcr.io를 가리키는 *.gcr.ioCNAME 레코드를 만듭니다.

Cloud DNS를 사용하여 DNS 구성을 구현한 경우 Cloud DNS 관리형 비공개 영역에 쿼리할 수 있도록 온프레미스 시스템을 구성해야 합니다.

  • 온프레미스 네트워크가 연결되는 VPC 네트워크에 인바운드 서버 정책을 만듭니다.
  • Cloud VPN 터널과 VLAN 연결이 있는 리전 및 온프레미스 네트워크가 연결되는 VPC 네트워크에서 인바운드 전달자 진입점을 식별합니다.
  • Cloud VPN 터널이나 VPC 네트워크에 연결하는 VLAN 연결과 동일한 리전에 googleapis.com 및 추가 도메인 이름을 인바운드 전달자 진입점에 전달하도록 온프레미스 시스템과 온프레미스 DNS 네임서버를 구성합니다.

VPC 네트워크 라우팅

온프레미스 네트워크가 연결되는 VPC 네트워크에는 private.googleapis.com 또는 restricted.googleapis.com에서 사용하는 IP 주소 범위에 대한 경로가 있어야 합니다. 이러한 경로는 기본 인터넷 게이트웨이 다음 홉을 사용해야 합니다.

Google에서는 private.googleapis.com 또는 restricted.googleapis.com 도메인에서 사용하는 IP 주소 범위에 대한 경로를 인터넷에 게시하지 않습니다. 따라서 VPC 네트워크의 경로가 다음 홉인 기본 인터넷 게이트웨이로 트래픽을 전송하더라도 해당 IP 주소 범위로 전송된 패킷은 Google 네트워크에 남아 있습니다.

온프레미스 네트워크가 연결되는 VPC 네트워크에 다음 홉이 기본 인터넷 게이트웨이인 기본 경로가 포함된 경우 해당 경로는 온프레미스 호스트의 비공개 Google 액세스에 대한 라우팅 요구사항을 충족합니다.

VPC 네트워크 커스텀 라우팅

기본 경로를 교체하거나 변경한 경우 private.googleapis.com 또는 restricted.googleapis.com에서 사용하는 대상 IP 범위에 대한 커스텀 정적 경로를 구성해야 합니다. 특정 네트워크의 Google API 및 서비스에 대한 커스텀 경로 구성을 확인하려면 다음 안내를 따르세요.

콘솔

  1. Google Cloud 콘솔에서 경로 페이지로 이동합니다.

    경로로 이동

  2. 필터 테이블 텍스트 필드를 사용하여 다음 기준을 사용하는 경로 목록을 필터링합니다. NETWORK_NAME을 온프레미스 네트워크가 연결되는 VPC 네트워크의 이름으로 바꿉니다.

    • 네트워크: NETWORK_NAME
    • 다음 홉 유형: default internet gateway
  3. 각 경로의 대상 IP 범위 열을 확인합니다. 대상 범위가 일치하는 경로를 찾습니다.

    • private.googleapis.com을 선택한 경우 199.36.153.8/30
    • restricted.googleapis.com을 선택한 경우 199.36.153.4/30

gcloud

다음 gcloud 명령어를 사용합니다. NETWORK_NAME을 온프레미스 네트워크가 연결되는 VPC 네트워크의 이름으로 바꿉니다.

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

--format 플래그로 명령어를 맞춤설정하지 않는 한 표 형식으로 경로가 나열됩니다. DEST_RANGE 열에서 대상 범위가 일치하는 경로를 찾습니다.

  • private.googleapis.com을 선택한 경우 199.36.153.8/30
  • restricted.googleapis.com을 선택한 경우 199.36.153.4/30

VPC 네트워크에서 경로를 만들어야 하는 경우 정적 경로 추가를 참조하세요.

Cloud Router를 사용한 온프레미스 라우팅

온프레미스 네트워크의 경로는 private.googleapis.com 또는 restricted.googleapis.com 도메인에서 사용하는 IP 주소 범위의 트래픽을 다음 홉 Cloud VPN 터널이나 VPC 네트워크에 연결하는 VLAN 연결로 전달하도록 구성되어야 합니다.

Cloud Router 커스텀 경로 공지를 사용하여 private.googleapis.comrestricted.googleapis.com 도메인에서 사용되는 IP 범위의 경로를 공지할 수 있습니다.

IPv6 경로는 IPv6가 사용 설정된 BGP 세션에서만 공지됩니다.

콘솔

커스텀 BGP 공지를 사용하는 BGP 세션을 제외하고 Cloud Router의 모든 BGP 세션에 대한 경로 공지 모드를 업데이트하려면 다음 안내를 따르세요.

  1. Google Cloud Console에서 Cloud Router 페이지로 이동합니다.

    Cloud Router로 이동

  2. Cloud VPN 터널이나 온프레미스 네트워크를 VPC 네트워크에 연결하는 VLAN 연결의 BGP 세션을 관리하는 Cloud Router를 선택합니다.

  3. Cloud Router의 세부정보 페이지에서 수정을 선택합니다.

  4. 공지된 경로 섹션을 펼칩니다.

  5. 경로의 경우 커스텀 경로 만들기를 선택합니다.

  6. Cloud Router가 사용할 수 있는 모든 서브넷 경로를 공지하려면 Cloud Router에 표시되는 모든 서브넷 공지를 선택합니다. 이 설정은 기본 구성을 커스텀 구성에 복제합니다.

  7. 추가하려는 각 공지 경로에 대해 다음을 수행합니다.

    1. 커스텀 경로 추가를 선택합니다.
    2. 소스커스텀 IP 범위를 선택합니다.
    3. IP 주소 범위에 사용하려는 범위 중 하나를 입력합니다.
      • private.googleapis.com을 사용하는 경우:
        • IPv4 연결: 199.36.153.8/30
        • IPv6 연결: 2600:2d00:0002:2000::/64
      • restricted.googleapis.com을 사용하는 경우:
        • IPv4 연결: 199.36.153.4/30
        • IPv6 연결: 2600:2d00:0002:1000::/64
    4. 완료를 클릭합니다.
  8. 경로 추가가 완료되면 저장을 선택합니다.

특정 BGP 세션의 경로 공지 모드를 업데이트하려면 다음 안내를 따르세요.

  1. Google Cloud Console에서 Cloud Router 페이지로 이동합니다.

    Cloud Router로 이동

  2. Cloud VPN 터널이나 온프레미스 네트워크를 VPC 네트워크에 연결하는 VLAN 연결의 BGP 세션을 관리하는 Cloud Router를 선택합니다.

  3. Cloud Router의 세부정보 페이지에서 업데이트할 BGP 세션을 선택합니다.

  4. BGP 세션 세부정보 페이지에서 수정을 선택합니다.

  5. 경로의 경우 커스텀 경로 만들기를 선택합니다.

  6. Cloud Router의 기본 동작을 원하는 경우 Cloud Router에 표시되는 모든 서브넷 공지를 선택하여 Cloud Router에 제공되는 모든 서브넷 경로를 공지합니다.

  7. 추가하려는 각 공지 경로에 대해 다음을 수행합니다.

    1. 커스텀 경로 추가를 선택합니다.
    2. 소스커스텀 IP 범위를 선택합니다.
    3. IP 주소 범위에 사용하려는 범위 중 하나를 입력합니다.
      • private.googleapis.com을 사용하는 경우:
        • IPv4 연결: 199.36.153.8/30
        • IPv6 연결: 2600:2d00:0002:2000::/64
      • restricted.googleapis.com을 사용하는 경우:
        • IPv4 연결: 199.36.153.4/30
        • IPv6 연결: 2600:2d00:0002:1000::/64
    4. 완료를 클릭합니다.
  8. 경로 추가가 완료되면 저장을 선택합니다.

gcloud

  1. Cloud VPN 터널이나 온프레미스 네트워크를 VPC 네트워크에 연결하는 VLAN 연결에서 BGP 세션을 관리하는 Cloud Router의 이름과 리전을 식별합니다.

  2. 커스텀 BGP 공지 자체를 사용하는 BGP 세션을 제외하고 모든 Cloud Router의 BGP 세션에서 경로 공지 모드를 업데이트하려면 compute routers update를 사용합니다.

    gcloud compute routers update ROUTER_NAME \
        --region=REGION \
        --advertisement-mode=CUSTOM \
        --set-advertisement-groups=ALL_SUBNETS \
        --set-advertisement-ranges=CUSTOM_RANGES
    

    Cloud Router에 CUSTOM 공지 모드를 이미 사용 중인 경우 새 공지 범위를 추가할 수 있습니다. 이렇게 하면 커스텀 BGP 공지 자체를 사용하는 BGP 세션을 제외한 모든 Cloud Router의 BGP 세션에서 경로 공지 모드가 업데이트됩니다.

    gcloud compute routers update ROUTER_NAME \
        --region=REGION \
        --add-advertisement-ranges=CUSTOM_RANGES
    
  3. 또는 compute routers update-bgp-peer를 사용하여 Cloud Router에서 특정 BGP 피어를 구성합니다.

    IPv6 커스텀 범위를 추가하고 BGP 세션에 IPv6 트래픽이 사용 중지된 경우 --enable-ipv6 플래그를 사용하여 사용 설정할 수 있습니다.

    gcloud compute routers update-bgp-peer ROUTER_NAME \
        --region=REGION \
        --peer-name=PEER_NAME \
        --advertisement-mode=CUSTOM \
        --set-advertisement-groups=ALL_SUBNETS \
        --set-advertisement-ranges=CUSTOM_RANGES
    

    이미 Cloud Router의 BGP 세션에 CUSTOM 공지 모드를 사용 중인 경우 새 공지 범위를 추가할 수 있습니다.

    IPv6 커스텀 범위를 추가하고 BGP 세션에 IPv6 트래픽이 사용 중지된 경우 --enable-ipv6 플래그를 사용하여 사용 설정할 수 있습니다.

    gcloud compute routers update-bgp-peer ROUTER_NAME \
        --region=REGION \
        --peer-name=PEER_NAME \
        --add-advertisement-ranges=CUSTOM_RANGES
    

    위의 명령어에서 다음을 유효한 값으로 바꿉니다.

방화벽 고려사항

온프레미스 네트워크가 연결되는 VPC 네트워크의 Google Cloud 방화벽 규칙은 다음에 영향을 주지 않습니다.

  • VPC 네트워크에 연결된 Cloud VPN 터널을 통해 전송된 패킷
  • VPC 네트워크에 연결된 VLAN 연결을 통해 전송된 패킷
  • VPC 네트워크의 Cloud DNS 인바운드 전달자 IP 주소로 수신되는 패킷

온프레미스 시스템의 방화벽 구성이 적절한 IP 주소에서 아웃바운드 트래픽과 설정된 응답을 허용하는지 확인해야 합니다.

  • private.googleapis.com을 사용하는 경우:
    • IPv4 연결: 199.36.153.8/30
    • IPv6 연결: 2600:2d00:0002:2000::/64
  • restricted.googleapis.com을 사용하는 경우:
    • IPv4 연결: 199.36.153.4/30
    • IPv6 연결: 2600:2d00:0002:1000::/64
  • DNS 구성에 Cloud DNS를 사용하는 경우 모든 Cloud DNS 인바운드 전달자 IP 주소

다음 단계