O Acesso privado do Google para hosts locais é um modo de sistemas locais se conectarem a APIs e serviços do Google roteando o tráfego com um túnel do Cloud VPN ou um anexo (VLAN) do Cloud Interconnect. O Acesso privado do Google para hosts locais é uma alternativa à conexão com APIs e serviços do Google pela Internet.
Neste documento, descrevemos como ativar o Acesso privado do Google para hosts locais.
Essas instruções também se aplicam às máquinas host em uma extensão de região da Solução Bare Metal. Exceto em referência a servidores de nomes na seção Configuração de DNS, o termo no local nestas instruções equivale à Solução Bare Metal. No caso dos servidores de nomes DNS, é possível usar seu próprio servidor corporativo no ambiente local real, um servidor de nomes DNS no Google Cloud ou, se você ativar as máquinas com a Solução Bare Metal para se conectarem à Internet, um servidor de nomes DNS público.
Especificações e requisitos
O Acesso privado do Google para hosts locais tem os seguintes requisitos:
O Acesso privado do Google não ativa nenhuma API automaticamente. É necessário ativar as APIs do Google separadamente na página de APIs e serviços do Console do Google Cloud.
Você precisa direcionar o tráfego de serviços e APIs do Google enviados por sistemas locais para os endereços IP associados aos nomes de domínio especiais private.googleapis.com ou restricted.googleapis.com. Consulte Opções de domínio para detalhes sobre os serviços que podem ser acessados em cada domínio.
Sua rede local precisa estar conectada a uma rede VPC usando túneis do Cloud VPN ou anexos do Cloud Interconnect (VLANs).
A rede VPC a que sua rede local está conectada precisa ter rotas apropriadas para os intervalos de IPs de destino private.googleapis.com ou restricted.googleapis.com. Consulte Roteamento de rede VPC para detalhes.
Sua rede local precisa ter rotas para os intervalos de IPs de destino private.googleapis.com ou restricted.googleapis.com. Essas rotas precisam direcionar o tráfego para o túnel do Cloud VPN apropriado ou para o anexo do Cloud Interconnect (VLAN) que se conecta à sua rede VPC. Consulte roteamento local com o Cloud Router para detalhes.
Permissões
Proprietários de projetos, editores e membros do IAM com o papel de administrador de rede podem criar ou atualizar sub-redes e atribuir endereços IP.
Para mais informações sobre papéis, leia a documentação dos papéis do IAM.
Configuração de rede
O Acesso privado do Google para hosts locais tem requisitos de rede específicos para sistemas locais e para a rede VPC. Por meio deles, os sistemas locais enviam tráfego para serviços e APIs do Google.
Opções de domínio
O Acesso privado do Google para hosts locais exige que você direcione serviços para um dos domínios especiais a seguir. O domínio especial escolhido determina quais serviços é possível acessar:
private.googleapis.com (
199.36.153.8/30
) fornece acesso à maioria das APIs e serviços do Google, incluindo APIs Cloud e Developer compatíveis com o VPC Service Controls e aquelas que não são compatíveis com o VPC Service Controls. O VPC Service Controls é aplicado quando você configura um perímetro de serviço.restricted.googleapis.com (
199.36.153.4/30
) fornece acesso apenas às APIs Cloud e Developer compatíveis com o VPC Service Controls. O VPC Service Controls é aplicado a esses serviços se você configurou um perímetro de serviço. O acesso a qualquer API ou serviço do Google que não seja compatível com o VPC Service Controls é proibido.
Intervalos de domínios e endereços IP | Serviços compatíveis | Exemplo de uso |
---|---|---|
private.googleapis.com 199.36.153.8/30 |
Permite o acesso da API à maioria das APIs e serviços do Google, sejam
ou não compatíveis com o VPC Service Controls. Inclui acesso da API ao
Maps, Google Ads, Google Cloud e à maioria das outras
APIs Google, incluindo as listas abaixo. Não é compatível com aplicativos da Web do Google
Workspace. Não é compatível com sites interativos. Nomes de domínio que terminam com:
|
Use Escolha
|
restricted.googleapis.com 199.36.153.4/30 |
Permite o acesso da API a APIs e serviços do Google compatíveis com o VPC Service Controls. Bloqueia o acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Não é compatível com aplicativos da Web do Google Workspace ou com APIs do Google Workspace. |
Use Escolha |
Configuração do DNS
Sua rede local precisa ter zonas e registros do DNS configurados a fim de que
os nomes de domínio do Google sejam resolvidos para o conjunto de endereços IP de
private.googleapis.com
ou restricted.googleapis.com
. É possível criar
zonas particulares gerenciadas do Cloud DNS e usar uma política de servidor de entrada
do Cloud DNS ou configurar servidores de nomes locais. Por exemplo, é
possível usar
BIND ou DNS do Microsoft
Active Directory.
Crie uma zona e registros do DNS para *.googleapis.com
:
- Crie uma zona do DNS para
googleapis.com
. Considere criar uma zona particular do Cloud DNS para essa finalidade. Na zona
googleapis.com
, crie um dos seguintes registrosA
, dependendo do domínio escolhido:- Um registro
A
paraprivate.googleapis.com
que aponta para os seguintes endereços IP:199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
- Um registro
A
pararestricted.googleapis.com
que aponta para os seguintes endereços IP:199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
Se você estiver usando o Cloud DNS, adicione os registros à zona particular
googleapis.com
.- Um registro
Na zona
googleapis.com
, crie um registroCNAME
para*.googleapis.com
que aponte para o registroA
criado na etapa anterior.
Algumas APIs e serviços do Google são fornecidos usando nomes de domínio adicionais,
incluindo *.gcr.io
, *.gstatic.com
, *.pkg.dev
e pki.goog
. Consulte a tabela de intervalos de endereços IP e
domínios em requisitos de rede para determinar se os
serviços do domínio adicional podem ser acessados usando private.googleapis.com
ou
restricted.googleapis.com
. Em seguida, para cada um dos domínios adicionais:
- Crie uma zona do DNS para o domínio adicional (por exemplo,
gcr.io
). Se você estiver usando o Cloud DNS, verifique se essa zona está localizada no mesmo projeto que a zona particulargoogleapis.com
. - Nesta zona do DNS:
- Crie um registro
A
para o próprio nome de domínio (zona). Por exemplo,gcr.io
. Aponte esse registroA
para os mesmos quatro endereços IP para o nome de domínio personalizado escolhido (private.googleapis.com
ourestricted.googleapis.com
). - Crie um registro
CNAME
para todos os possíveis nomes de host do domínio usando um asterisco e um ponto seguido pelo nome do domínio (zona). Por exemplo,*.gcr.io
. Aponte este registroCNAME
para o registroA
na mesma zona. Por exemplo, aponte*.gcr.io
paragcr.io
.
- Crie um registro
Se você implementou a configuração de DNS usando o Cloud DNS, é necessário configurar sistemas locais para que eles façam consultas nas zonas particulares gerenciadas pelo Cloud DNS:
- Crie uma política de servidor de entrada na rede VPC a que sua rede local se conecta.
- Identifique os pontos de entrada do encaminhador de entrada nas regiões em que os túneis do Cloud VPN e os anexos do Cloud Interconnect (VLANs) estão localizados na rede VPC a que sua rede local se conecta.
- Configure sistemas locais e servidores de nomes DNS locais para encaminhar
googleapis.com
e qualquer um dos outros nomes de domínio para um ponto de entrada de encaminhador de entrada na mesma região que o túnel do Cloud VPN ou o anexo do Cloud Interconnect (VLAN) que se conecta à rede VPC.
Roteamento de rede VPC
A rede VPC a que a rede local se conecta precisa
ter rotas para os intervalos de endereços IP usados por private.googleapis.com
ou
restricted.googleapis.com
. Essas rotas precisam usar o próximo salto de gateway de Internet
padrão.
O Google não publica rotas na Internet para os intervalos de endereço IP usados
pelos domínios private.googleapis.com
ou restricted.googleapis.com
.
Consequentemente, mesmo que as rotas na rede VPC enviem
tráfego para o próximo salto do gateway de Internet padrão, os pacotes enviados para
199.36.153.8/30
e 199.36.153.4/30
permanecerão na rede do Google.
Se a rede VPC a que sua rede local se conecta tiver uma rota padrão em que o próximo salto seja o gateway de Internet padrão, essa rota atenderá aos requisitos de roteamento do Acesso privado do Google para hosts locais.
Roteamento personalizado de rede VPC
Caso tenha substituído ou alterado a rota padrão, verifique se você tem rotas estáticas
personalizadas configuradas para os intervalos de IPs de destino usados
por private.googleapis.com
ou restricted.googleapis.com
. Para verificar a
configuração de rotas personalizadas para APIs e serviços do Google em uma determinada rede,
siga estas instruções.
Console
- Acesse a página "Rotas" no Console do Google Cloud.
Acessar a página "Rotas" - Use o campo de texto Filtrar tabela para filtrar a lista de rotas usando
os critérios a seguir, substituindo
NETWORK_NAME
pelo nome da rede VPC a que sua rede local se conecta:- Rede:
NETWORK_NAME
- Tipo do próximo salto:
default internet gateway
- Rede:
- Observe a coluna Intervalo de IPs de destino de cada rota. Procure uma
rota que tenha o intervalo de destino correspondente:
199.36.153.8/30
se você escolheuprivate.googleapis.com
199.36.153.4/30
se você escolheurestricted.googleapis.com
gcloud
Use o seguinte comando gcloud
, substituindo NETWORK_NAME
pelo
nome da rede VPC a que sua rede
local se conecta:
gcloud compute routes list \ --filter="default-internet-gateway NETWORK_NAME"
As rotas são listadas no formato de tabela, a menos que você personalize o comando com a
sinalização --format
. Procure na coluna DEST_RANGE
uma rota em que
o intervalo de destino corresponda:
199.36.153.8/30
se você escolheuprivate.googleapis.com
199.36.153.4/30
se você escolheurestricted.googleapis.com
Se você precisar criar rotas na sua rede VPC, consulte Como adicionar uma rota estática.
Roteamento local com o Cloud Router
As rotas na rede local precisam ser configuradas para direcionar o tráfego para os
intervalos de endereços IP usados pelos domínios private.googleapis.com
ou
restricted.googleapis.com
para os próximos túneis
do Cloud VPN ou anexos do Cloud Interconnect (VLANs) que se conectam à sua
rede VPC.
Use os anúncios de rota personalizada do Cloud Router para anunciar rotas para os seguintes destinos:
199.36.153.8/30
se você escolheuprivate.googleapis.com
199.36.153.4/30
se você escolheurestricted.googleapis.com
Console
Para atualizar o modo de divulgação de rota para todas as sessões do BGP em um Cloud Router, exceto as sessões do BGP que usam anúncios BGP personalizados:
- Acesse a página do Cloud Router no Console do Google Cloud.
Lista do Cloud Router - Selecione o Cloud Router que gerencia sessões do BGP para os túneis do Cloud VPN ou anexos do Cloud Interconnect (VLANs) que conectam a rede local à rede VPC.
- Na página de detalhes do Cloud Router, selecione Editar.
- Expanda a seção Rotas divulgadas.
- Em Rotas, selecione Criar rotas personalizadas.
- Selecione Anunciar todas as sub-redes visíveis para o Cloud Router para anunciar todas as rotas de sub-rede disponíveis para o Cloud Router se você quiser o comportamento padrão do Cloud Router.
- Selecione Adicionar rota personalizada para adicionar uma rota anunciada.
- Configure a divulgação de rota.
- Origem: selecione Intervalo de IPs personalizado para especificar um intervalo de IPs personalizado.
- Intervalo de endereços IP: especifique o seguinte:
199.36.153.8/30
se você escolheuprivate.googleapis.com
199.36.153.4/30
se você escolheurestricted.googleapis.com
- Descrição: adicione uma descrição.
- Quando terminar de adicionar as rotas, selecione Salvar.
Para atualizar o modo de divulgação de rota para uma sessão específica do BGP:
- Acesse a página do Cloud Router no Console do Google Cloud.
Lista do Cloud Router - Selecione o Cloud Router que gerencia a sessão do BGP para um túnel do Cloud VPN ou um anexo do Cloud Interconnect (VLAN) que conecta sua rede local à rede VPC.
- Na página de detalhes do Cloud Router, selecione a sessão do BGP a ser atualizada.
- Na página de detalhes da sessão do BGP, clique em Editar.
- Em Rotas, selecione Criar rotas personalizadas.
- Selecione Anunciar todas as sub-redes visíveis para o Cloud Router para anunciar todas as rotas de sub-rede disponíveis para o Cloud Router se você quiser o comportamento padrão do Cloud Router.
- Selecione Adicionar rota personalizada para adicionar uma rota anunciada.
- Configure a divulgação de rota.
- Origem: selecione Intervalo de IPs personalizado para especificar um intervalo de IPs personalizado.
- Intervalo de endereços IP: especifique o seguinte:
199.36.153.8/30
se você escolheuprivate.googleapis.com
199.36.153.4/30
se você escolheurestricted.googleapis.com
- Descrição: adicione uma descrição.
- Quando terminar de adicionar as rotas, selecione Salvar.
gcloud
Identifique o nome e a região do Cloud Router que gerencia sessões do BGP nos túneis do Cloud VPN ou anexos do Cloud Interconnect (VLANs) que conectam sua rede local à rede VPC.
Use
compute routers update
para atualizar o modo de divulgação de rota em todas as sessões do BGP do Cloud Router, exceto as sessões do BGP que usam anúncios BGP personalizados:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
É possível anexar novos intervalos de divulgação se você já estiver usando o modo de divulgação
CUSTOM
para o Cloud Router. Isso atualiza o modo de divulgação de rota em todas as sessões do BGP do Cloud Router, exceto as sessões do BGP que usam anúncios BGP personalizados:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --add-advertisement-ranges=CUSTOM_RANGES
Como alternativa, use
compute routers update-bgp-peer
para configurar um peering do BGP no Cloud Router:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES
É possível anexar novos intervalos de divulgação se você já estiver usando o modo de divulgação
CUSTOM
para uma sessão do BGP em um Cloud Router.gcloud compute routers update ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --add-advertisement-ranges=CUSTOM_RANGES
Nos comandos acima, substitua o seguinte por valores válidos:
ROUTER_NAME
: o nome do Cloud RouterREGION
: a região do Cloud RouterPEER_NAME
: o nome do par do BGP configurado quando você cria um anexo da VLAN para a Interconexão dedicada, quando você cria um anexo da VLAN para a Interconexão por parceiro, quando você cria um túnel de VPN de alta disponibilidade ou quando você cria um túnel de VPN clássica usando roteamento dinâmico.- Deixe
--set-advertisement-groups=ALL_SUBNETS
para anunciar todas as rotas de sub-rede disponíveis para o Cloud Router. Esse é o comportamento padrão do Cloud Router. CUSTOM_RANGES
: uma lista delimitada por vírgulas de intervalos personalizados para anunciar. Se você escolheuprivate.googleapis.com
, use199.36.153.8/30
. Se você escolheurestricted.googleapis.com
, use199.36.153.4/30
.
Considerações sobre firewall
As regras de firewall do Google Cloud na rede VPC a que sua rede local se conecta não têm efeito:
- Pacotes enviados por meio de um túnel do Cloud VPN conectado à rede VPC
- Pacotes enviados por meio de um anexo do Cloud Interconnect (VLAN) conectado à rede VPC
- Pacotes de entrada para endereços IP de encaminhamento de entrada do Cloud DNS na rede VPC
Verifique se a configuração do firewall dos sistemas locais permite o tráfego de saída e as respostas estabelecidas de:
199.36.153.8/30
se você usarprivate.googleapis.com
;199.36.153.4/30
se você usarrestricted.googleapis.com
;- qualquer endereço IP de encaminhamento de entrada do Cloud DNS, se você estiver usando o Cloud DNS para a configuração de DNS.
A seguir
- Consulte Como configurar o Acesso privado do Google para VPC se você precisar de VMs em sua rede VPC do Google Cloud para acessar APIs e serviços do Google.