Como configurar o Acesso privado do Google para hosts locais

O Acesso privado do Google para hosts locais é um modo de sistemas locais se conectarem a APIs e serviços do Google roteando o tráfego com um túnel do Cloud VPN ou um anexo (VLAN) do Cloud Interconnect. O Acesso privado do Google para hosts locais é uma alternativa à conexão com APIs e serviços do Google pela Internet.

Neste documento, descrevemos como ativar o Acesso privado do Google para hosts locais.

Essas instruções também se aplicam às máquinas host em uma extensão de região da Solução Bare Metal. Exceto em referência a servidores de nomes na seção Configuração de DNS, o termo no local nestas instruções equivale à Solução Bare Metal. No caso dos servidores de nomes DNS, é possível usar seu próprio servidor corporativo no ambiente local real, um servidor de nomes DNS no Google Cloud ou, se você ativar as máquinas com a Solução Bare Metal para se conectarem à Internet, um servidor de nomes DNS público.

Especificações e requisitos

O Acesso privado do Google para hosts locais tem os seguintes requisitos:

O Acesso privado do Google não ativa nenhuma API automaticamente. É necessário ativar as APIs do Google separadamente na página de APIs e serviços do Console do Google Cloud.
Você precisa direcionar o tráfego de serviços e APIs do Google enviados por sistemas locais para os endereços IP associados aos nomes de domínio especiais private.googleapis.com ou restricted.googleapis.com. Consulte Opções de domínio para detalhes sobre os serviços que podem ser acessados em cada domínio.
Sua rede local precisa estar conectada a uma rede VPC usando túneis do Cloud VPN ou anexos do Cloud Interconnect (VLANs).
A rede VPC a que sua rede local está conectada precisa ter rotas apropriadas para os intervalos de IPs de destino private.googleapis.com ou restricted.googleapis.com. Consulte Roteamento de rede VPC para detalhes.
Sua rede local precisa ter rotas para os intervalos de IPs de destino private.googleapis.com ou restricted.googleapis.com. Essas rotas precisam direcionar o tráfego para o túnel do Cloud VPN apropriado ou para o anexo do Cloud Interconnect (VLAN) que se conecta à sua rede VPC. Consulte roteamento local com o Cloud Router para detalhes.

Permissões

Proprietários de projetos, editores e membros do IAM com o papel de administrador de rede podem criar ou atualizar sub-redes e atribuir endereços IP.

Para mais informações sobre papéis, leia a documentação dos papéis do IAM.

Configuração de rede

O Acesso privado do Google para hosts locais tem requisitos de rede específicos para sistemas locais e para a rede VPC. Por meio deles, os sistemas locais enviam tráfego para serviços e APIs do Google.

Opções de domínio

O Acesso privado do Google para hosts locais exige que você direcione serviços para um dos domínios especiais a seguir. O domínio especial escolhido determina quais serviços é possível acessar:

private.googleapis.com (199.36.153.8/30) fornece acesso à maioria das APIs e serviços do Google, incluindo APIs Cloud e Developer compatíveis com o VPC Service Controls e aquelas que não são compatíveis com o VPC Service Controls. O VPC Service Controls é aplicado quando você configura um perímetro de serviço.
restricted.googleapis.com (199.36.153.4/30) fornece acesso apenas às APIs Cloud e Developer compatíveis com o VPC Service Controls. O VPC Service Controls é aplicado a esses serviços se você configurou um perímetro de serviço. O acesso a qualquer API ou serviço do Google que não seja compatível com o VPC Service Controls é proibido.

Intervalos de domínios e endereços IP Serviços compatíveis Exemplo de uso

Intervalos de domínios e endereços IP	Serviços compatíveis	Exemplo de uso
`private.googleapis.com` `199.36.153.8/30`	Permite o acesso da API à maioria das APIs e serviços do Google, sejam ou não compatíveis com o VPC Service Controls. Inclui acesso da API ao Maps, ao Google Ads, ao Google Cloud e à maioria das outras APIs do Google, incluindo as listas abaixo. Não é compatível com aplicativos da Web do Google Workspace. Não é compatível com sites interativos. Nomes de domínio que terminam com: `googleapis.com` `googleadapis.com` `ltsapis.goog` `gcr.io` `gstatic.com` `appspot.com` `cloudfunctions.net` `pki.goog` `cloudproxy.app` `run.app` `datafusion.googleusercontent.com` `datafusion.cloud.google.com` Nomes de host/domínio correspondentes: `packages.cloud.google.com` `gcr.io` `appengine.google.com` `pki.goog`	Use `private.googleapis.com` para acessar APIs e serviços do Google usando um conjunto de endereços IP somente roteáveis do Google Cloud. Escolha `private.googleapis.com` nestas circunstâncias: Você não usa o VPC Service Controls. Você usa o VPC Service Controls, mas também precisa acessar APIs e serviços do Google que não são compatíveis com o VPC Service Controls.
`restricted.googleapis.com` `199.36.153.4/30`	Permite o acesso da API a APIs e serviços do Google compatíveis com o VPC Service Controls. Bloqueia o acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Não é compatível com aplicativos da Web do Google Workspace ou com APIs do Google Workspace.	Use `restricted.googleapis.com` para acessar APIs e serviços do Google usando um conjunto de endereços IP somente roteáveis do Google Cloud. Escolha `restricted.googleapis.com` quando você só precisar de acesso a APIs e serviços do Google compatíveis com o VPC Service Controls. O `restricted.googleapis.com` não permite acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls.

private.googleapis.com

199.36.153.8/30

Permite o acesso da API à maioria das APIs e serviços do Google, sejam ou não compatíveis com o VPC Service Controls. Inclui acesso da API ao Maps, ao Google Ads, ao Google Cloud e à maioria das outras APIs do Google, incluindo as listas abaixo. Não é compatível com aplicativos da Web do Google Workspace. Não é compatível com sites interativos.

Nomes de domínio que terminam com:

googleapis.com
googleadapis.com
ltsapis.goog
gcr.io
gstatic.com
appspot.com
cloudfunctions.net
pki.goog
cloudproxy.app
run.app
datafusion.googleusercontent.com
datafusion.cloud.google.com

Nomes de host/domínio correspondentes:

packages.cloud.google.com
gcr.io
appengine.google.com
pki.goog

Use private.googleapis.com para acessar APIs e serviços do Google usando um conjunto de endereços IP somente roteáveis do Google Cloud.

Escolha private.googleapis.com nestas circunstâncias:

Você não usa o VPC Service Controls.
Você usa o VPC Service Controls, mas também precisa acessar APIs e serviços do Google que não são compatíveis com o VPC Service Controls.

restricted.googleapis.com

199.36.153.4/30

Permite o acesso da API a APIs e serviços do Google compatíveis com o VPC Service Controls.

Bloqueia o acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Não é compatível com aplicativos da Web do Google Workspace ou com APIs do Google Workspace.

Use restricted.googleapis.com para acessar APIs e serviços do Google usando um conjunto de endereços IP somente roteáveis do Google Cloud.

Escolha restricted.googleapis.com quando você só precisar de acesso a APIs e serviços do Google compatíveis com o VPC Service Controls. O restricted.googleapis.com não permite acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls.

Observação: se você precisar restringir usuários apenas às APIs e aos serviços do Google compatíveis com o VPC Service Controls, use restricted.googleapis.com. Embora o VPC Service Controls seja aplicado a serviços compatíveis e configurados, independentemente do domínio usado, o restricted.googleapis.com fornece mitigação de risco adicional para exfiltração de dados. restricted.googleapis.com nega acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Consulte Como configurar a conectividade privada na documentação do VPC Service Controls para mais detalhes.

Configuração do DNS

Sua rede local precisa ter zonas e registros do DNS configurados a fim de que os nomes de domínio do Google sejam resolvidos para o conjunto de endereços IP de private.googleapis.com ou restricted.googleapis.com. É possível criar zonas particulares gerenciadas do Cloud DNS e usar uma política de servidor de entrada do Cloud DNS ou configurar servidores de nomes locais. Por exemplo, é possível usar BIND ou DNS do Microsoft Active Directory.

Crie uma zona e registros do DNS para *.googleapis.com:

Crie uma zona do DNS para googleapis.com. Considere criar uma zona particular do Cloud DNS para essa finalidade.
Na zona googleapis.com, crie um dos seguintes registros A, dependendo do domínio escolhido:
- Um registro A para private.googleapis.com que aponta para os seguintes endereços IP: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11
- Um registro A para restricted.googleapis.com que aponta para os seguintes endereços IP: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7
Se você estiver usando o Cloud DNS, adicione os registros à zona particular googleapis.com.
Na zona googleapis.com, crie um registro CNAME para *.googleapis.com que aponte para o registro A criado na etapa anterior.

Algumas APIs e serviços do Google são fornecidos usando nomes de domínio adicionais, incluindo *.gcr.io, *.gstatic.com e pki.goog. Consulte a tabela de intervalos de endereços IP e domínios em requisitos de rede para determinar se os serviços do domínio adicional podem ser acessados usando private.googleapis.com ou restricted.googleapis.com. Em seguida, para cada um dos domínios adicionais:

Crie uma zona do DNS para o domínio adicional (por exemplo, gcr.io). Se você estiver usando o Cloud DNS, verifique se essa zona está localizada no mesmo projeto que a zona particular googleapis.com.
Nesta zona do DNS:
- Crie um registro A para o próprio nome de domínio (zona). Por exemplo, gcr.io. Aponte esse registro A para os mesmos quatro endereços IP para o nome de domínio personalizado escolhido (private.googleapis.com ou restricted.googleapis.com).
- Crie um registro CNAME para todos os possíveis nomes de host do domínio usando um asterisco e um ponto seguido pelo nome do domínio (zona). Por exemplo, *.gcr.io. Aponte este registro CNAME para o registro A na mesma zona. Por exemplo, aponte *.gcr.io para gcr.io.

Se você implementou a configuração de DNS usando o Cloud DNS, é necessário configurar sistemas locais para que eles façam consultas nas zonas particulares gerenciadas pelo Cloud DNS:

Crie uma política de servidor de entrada na rede VPC a que sua rede local se conecta.
Identifique os pontos de entrada do encaminhador de entrada nas regiões em que os túneis do Cloud VPN e os anexos do Cloud Interconnect (VLANs) estão localizados na rede VPC a que sua rede local se conecta.
Configure sistemas locais e servidores de nomes DNS locais para encaminhar googleapis.com e qualquer um dos outros nomes de domínio para um ponto de entrada de encaminhador de entrada na mesma região que o túnel do Cloud VPN ou o anexo do Cloud Interconnect (VLAN) que se conecta à rede VPC.

Roteamento de rede VPC

A rede VPC a que a rede local se conecta precisa ter rotas para os intervalos de endereços IP usados por private.googleapis.com ou restricted.googleapis.com. Essas rotas precisam usar o próximo salto de gateway de Internet padrão.

O Google não publica rotas na Internet para os intervalos de endereço IP usados pelos domínios private.googleapis.com ou restricted.googleapis.com. Consequentemente, mesmo que as rotas na rede VPC enviem tráfego para o próximo salto do gateway de Internet padrão, os pacotes enviados para 199.36.153.8/30 e 199.36.153.4/30 permanecerão na rede do Google.

Se a rede VPC a que sua rede local se conecta tiver uma rota padrão em que o próximo salto seja o gateway de Internet padrão, essa rota atenderá aos requisitos de roteamento do Acesso privado do Google para hosts locais.

Roteamento personalizado de rede VPC

Caso tenha substituído ou alterado a rota padrão, verifique se você tem rotas estáticas personalizadas configuradas para os intervalos de IPs de destino usados por private.googleapis.com ou restricted.googleapis.com. Para verificar a configuração de rotas personalizadas para APIs e serviços do Google em uma determinada rede, siga estas instruções.

Console

Acesse a página "Rotas" no Console do Google Cloud.
Acessar a página "Rotas"
Use o campo de texto Filtrar tabela para filtrar a lista de rotas usando os critérios a seguir, substituindo NETWORK_NAME pelo nome da rede VPC a que sua rede local se conecta:
- Rede: NETWORK_NAME
- Tipo do próximo salto: default internet gateway
Observe a coluna Intervalo de IPs de destino de cada rota. Procure uma rota que tenha o intervalo de destino correspondente:
- 199.36.153.8/30 se você escolheu private.googleapis.com
- 199.36.153.4/30 se você escolheu restricted.googleapis.com

gcloud

Use o seguinte comando gcloud, substituindo NETWORK_NAME pelo nome da rede VPC a que sua rede local se conecta:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

As rotas são listadas no formato de tabela, a menos que você personalize o comando com a sinalização --format. Procure na coluna DEST_RANGE uma rota em que o intervalo de destino corresponda:

199.36.153.8/30 se você escolheu private.googleapis.com
199.36.153.4/30 se você escolheu restricted.googleapis.com

Se você precisar criar rotas na sua rede VPC, consulte Como adicionar uma rota estática.

Roteamento local com o Cloud Router

As rotas na rede local precisam ser configuradas para direcionar o tráfego para os intervalos de endereços IP usados pelos domínios private.googleapis.com ou restricted.googleapis.com para os próximos túneis do Cloud VPN ou anexos do Cloud Interconnect (VLANs) que se conectam à sua rede VPC.

Use os anúncios de rota personalizada do Cloud Router para anunciar rotas para os seguintes destinos:

199.36.153.8/30 se você escolheu private.googleapis.com
199.36.153.4/30 se você escolheu restricted.googleapis.com

Console

Para atualizar o modo de divulgação de rota para todas as sessões do BGP em um Cloud Router, exceto as sessões do BGP que usam anúncios BGP personalizados:

Acesse a página do Cloud Router no Console do Google Cloud.
Lista do Cloud Router
Selecione o Cloud Router que gerencia sessões do BGP para os túneis do Cloud VPN ou anexos do Cloud Interconnect (VLANs) que conectam a rede local à rede VPC.
Na página de detalhes do Cloud Router, selecione Editar.
Expanda a seção Rotas divulgadas.
Em Rotas, selecione Criar rotas personalizadas.
Selecione Anunciar todas as sub-redes visíveis para o Cloud Router para anunciar todas as rotas de sub-rede disponíveis para o Cloud Router se você quiser o comportamento padrão do Cloud Router.
Selecione Adicionar rota personalizada para adicionar uma rota anunciada.
Configure a divulgação de rota.
- Origem: selecione Intervalo de IPs personalizado para especificar um intervalo de IPs personalizado.
- Intervalo de endereços IP: especifique o seguinte:
  - 199.36.153.8/30 se você escolheu private.googleapis.com
  - 199.36.153.4/30 se você escolheu restricted.googleapis.com
- Descrição: adicione uma descrição.
Quando terminar de adicionar as rotas, selecione Salvar.

Para atualizar o modo de divulgação de rota para uma sessão específica do BGP:

Acesse a página do Cloud Router no Console do Google Cloud.
Lista do Cloud Router
Selecione o Cloud Router que gerencia a sessão do BGP para um túnel do Cloud VPN ou um anexo do Cloud Interconnect (VLAN) que conecta sua rede local à rede VPC.
Na página de detalhes do Cloud Router, selecione a sessão do BGP a ser atualizada.
Na página de detalhes da sessão do BGP, clique em Editar.
Em Rotas, selecione Criar rotas personalizadas.
Selecione Anunciar todas as sub-redes visíveis para o Cloud Router para anunciar todas as rotas de sub-rede disponíveis para o Cloud Router se você quiser o comportamento padrão do Cloud Router.
Selecione Adicionar rota personalizada para adicionar uma rota anunciada.
Configure a divulgação de rota.
- Origem: selecione Intervalo de IPs personalizado para especificar um intervalo de IPs personalizado.
- Intervalo de endereços IP: especifique o seguinte:
  - 199.36.153.8/30 se você escolheu private.googleapis.com
  - 199.36.153.4/30 se você escolheu restricted.googleapis.com
- Descrição: adicione uma descrição.
Quando terminar de adicionar as rotas, selecione Salvar.

gcloud

Identifique o nome e a região do Cloud Router que gerencia sessões do BGP nos túneis do Cloud VPN ou anexos do Cloud Interconnect (VLANs) que conectam sua rede local à rede VPC.
Use compute routers update para atualizar o modo de divulgação de rota em todas as sessões do BGP do Cloud Router, exceto as sessões do BGP que usam anúncios BGP personalizados:
```
gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES
```
É possível anexar novos intervalos de divulgação se você já estiver usando o modo de divulgação CUSTOM para o Cloud Router. Isso atualiza o modo de divulgação de rota em todas as sessões do BGP do Cloud Router, exceto as sessões do BGP que usam anúncios BGP personalizados:
```
gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES
```
Como alternativa, use compute routers update-bgp-peer para configurar um peering do BGP no Cloud Router:
```
gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES
```
É possível anexar novos intervalos de divulgação se você já estiver usando o modo de divulgação CUSTOM para uma sessão do BGP em um Cloud Router.
```
gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES
```
Nos comandos acima, substitua o seguinte por valores válidos:
- ROUTER_NAME: o nome do Cloud Router
- REGION: a região do Cloud Router
- PEER_NAME: o nome do par do BGP configurado quando você cria um anexo da VLAN para a Interconexão dedicada, quando você cria um anexo da VLAN para a Interconexão por parceiro, quando você cria um túnel de VPN de alta disponibilidade ou quando você cria um túnel de VPN clássica usando roteamento dinâmico.
- Deixe --set-advertisement-groups=ALL_SUBNETS para anunciar todas as rotas de sub-rede disponíveis para o Cloud Router. Esse é o comportamento padrão do Cloud Router.
- CUSTOM_RANGES: uma lista delimitada por vírgulas de intervalos personalizados para anunciar. Se você escolheu private.googleapis.com, use 199.36.153.8/30. Se você escolheu restricted.googleapis.com, use 199.36.153.4/30.

Considerações sobre firewall

As regras de firewall do Google Cloud na rede VPC a que sua rede local se conecta não têm efeito:

Pacotes enviados por meio de um túnel do Cloud VPN conectado à rede VPC
Pacotes enviados por meio de um anexo do Cloud Interconnect (VLAN) conectado à rede VPC
Pacotes de entrada para endereços IP de encaminhamento de entrada do Cloud DNS na rede VPC

Verifique se a configuração do firewall dos sistemas locais permite o tráfego de saída e as respostas estabelecidas de:

199.36.153.8/30 se você usar private.googleapis.com;
199.36.153.4/30 se você usar restricted.googleapis.com;
qualquer endereço IP de encaminhamento de entrada do Cloud DNS, se você estiver usando o Cloud DNS para a configuração de DNS.

A seguir

Consulte Como configurar o Acesso privado do Google para VPC se você precisar de VMs em sua rede VPC do Google Cloud para acessar APIs e serviços do Google.