Configurar Acesso privado do Google

Nesta página, descrevemos como ativar e configurar o Acesso privado do Google. Por padrão, quando uma VM do Compute Engine não tem um endereço IP externo atribuído à interface de rede dela, ela só pode enviar pacotes para outros destinos de endereço IP interno. Permita que essas VMs se conectem ao conjunto de endereços IP externos usados pelas APIs e serviços do Google. Para isso, ative o Acesso privado do Google na sub-rede usada pela interface de rede da VM.

O Acesso privado do Google também permite o acesso aos endereços IP externos usados pelo App Engine, incluindo serviços baseados em App Engine de terceiros.

Para visualizar as APIs e os serviços qualificados que podem ser usados com o Acesso privado do Google, consulte Serviços compatíveis na visão geral do Acesso privado do Google.

Consulte Opções de acesso privado para serviços para ver informações básicas sobre o Acesso privado do Google e outras opções de conectividade privada oferecidas pelo Google Cloud.

Especificações

Se todas as condições abaixo forem atendidas, uma interface de VM poderá enviar pacotes para os endereços IP externos dos serviços e das APIs do Google usando o Acesso privado do Google:

  • A interface da VM está conectada a uma sub-rede em que o Acesso privado do Google está ativado.

  • A rede VPC que contém a sub-rede atende aos requisitos de rede das APIs e dos serviços do Google.

  • A interface da VM não tem um endereço IP externo atribuído a ela.

  • O endereço IP de origem dos pacotes enviados da VM corresponde a um dos seguintes endereços IP.

    • O endereço IPv4 interno principal da interface da VM
    • O endereço IPv6 interno da interface da VM
    • Um endereço IPv4 interno de um intervalo de IP do alias

Uma VM com um endereço IPv4 ou IPv6 externo atribuído à interface de rede não precisa do Acesso privado do Google para se conectar a APIs e serviços do Google. No entanto, a rede VPC precisa atender aos requisitos para acessar as APIs e os serviços do Google.

É possível cancelar a atribuição de um endereço IPv6 externo de uma instância de VM atual, mesmo durante a execução.

Requisitos de rede

O Acesso privado do Google tem os requisitos a seguir:

  • Como o Acesso privado do Google é ativado por sub-rede, você precisa usar uma rede VPC. As redes legadas não são compatíveis porque não são compatíveis com sub-redes.

  • Para se conectar aos serviços e às APIs do Google usando o IPv6, você precisa atender a estes dois requisitos:

  • Dependendo da configuração escolhida, pode ser necessário atualizar entradas DNS, rotas e regras de firewall. Para mais informações, consulte o Resumo das opções de configuração.

Permissões

Proprietários de projetos, editores e membros do IAM com o papel Administrador de rede podem criar ou atualizar sub-redes e atribuir endereços IP.

Para mais informações sobre papéis, leia a documentação dos papéis do IAM.

Logging

O Cloud Logging captura todas as solicitações de API feitas de instâncias de VM em sub-redes com Acesso privado do Google ativado. As entradas de registro identificam a origem da solicitação de API como um endereço IP interno da instância de chamada.

É possível configurar para que relatórios de uso diário e de acúmulo mensal sejam entregues em um bucket do Cloud Storage. Consulte a página Como ver relatórios de uso para mais detalhes.

Resumo das opções de configuração

A tabela a seguir resume as diferentes maneiras de configurar o Acesso privado do Google. Para informações mais detalhadas sobre a configuração, consulte Configuração de rede.

Opção de domínio Configuração do DNS Configuração de roteamento Configuração do firewall
Domínios padrão Nenhuma configuração de DNS especial é necessária.

Verifique se a rede VPC pode rotear o tráfego para os intervalos de endereços IP usados pelas APIs e pelos serviços do Google.

  • Configuração básica: confirme se você tem rotas padrão com o próximo salto default-internet-gateway e um intervalo de destino 0.0.0.0/0 (para tráfego IPv4) e ::/0 (para tráfego IPv6, se necessário). Crie essas rotas se elas estiverem ausentes.
  • Configuração personalizada: crie rotas para os intervalos de endereços IP usados pelas APIs e pelos serviços do Google.

Verifique se suas regras de firewall permitem o envio da saída aos intervalos de endereços IP usados pelas APIs e pelos serviços do Google.

A regra de firewall de permissão de saída padrão vai permitir esse tráfego, se não houver uma regra de prioridade mais alta que o bloqueie.

private.googleapis.com

Configure registros DNS em uma zona DNS particular para enviar solicitações aos seguintes endereços IP:

Para o tráfego IPv4:

  • 199.36.153.8/30

Para o tráfego IPv6:

  • 2600:2d00:0002:2000::/64

Verifique se a rede VPC tem rotas para os seguintes intervalos de IP:

Para o tráfego IPv4:

  • 199.36.153.8/30
  • 34.126.0.0/18

Para o tráfego IPv6:

  • 2600:2d00:0002:2000::/64
  • 2001:4860:8040::/42

Verifique se suas regras de firewall permitem o envio da saída aos seguintes intervalos de IP:

Para o tráfego IPv4:

  • 199.36.153.8/30
  • 34.126.0.0/18

Para o tráfego IPv6:

  • 2600:2d00:0002:2000::/64
  • 2001:4860:8040::/42
restricted.googleapis.com

Configure os registros DNS para enviar solicitações aos seguintes endereços IP:

Para o tráfego IPv4:

  • 199.36.153.4/30

Para o tráfego IPv6:

  • 2600:2d00:0002:1000::/64

Verifique se a rede VPC tem rotas para os seguintes intervalos de IP:

Para o tráfego IPv4:

  • 199.36.153.4/30
  • 34.126.0.0/18

Para o tráfego IPv6:

  • 2600:2d00:0002:1000::/64
  • 2001:4860:8040::/42

Verifique se suas regras de firewall permitem o envio da saída aos seguintes intervalos de IP:

Para o tráfego IPv4:

  • 199.36.153.4/30
  • 34.126.0.0/18

Para o tráfego IPv6:

  • 2600:2d00:0002:1000::/64
  • 2001:4860:8040::/42

Configuração de rede

Nesta seção, descrevemos os requisitos básicos de rede que você precisa atender para que uma VM na rede VPC acesse serviços e APIs do Google.

Opções de domínio

Escolha o domínio que você quer usar para acessar as APIs e os serviços do Google.

Os endereços IP virtuais (VIPs, na sigla em inglês) private.googleapis.com e restricted.googleapis.com são compatíveis apenas com protocolos HTTP por TCP (HTTP, HTTPS e HTTP/2). Todos os outros protocolos, incluindo MQTT e ICMP, não são compatíveis.

Intervalos de domínios e endereços IP Serviços compatíveis Exemplo de uso

Domínios padrão.

Todos os nomes de domínio para APIs e serviços do Google, exceto private.googleapis.com e restricted.googleapis.com.

Vários intervalos de endereços IP: é possível determinar um conjunto de intervalos de IP que contenha os possíveis endereços usados pelos domínios padrão consultando os endereços IP de domínios padrão.

Permite o acesso da API à maioria das APIs e serviços do Google, sejam ou não compatíveis com o VPC Service Controls. Inclui acesso da API ao Google Maps, Google Ads e Google Cloud. Inclui aplicativos da Web do Google Workspace, como o Gmail, o Documentos Google e outros aplicativos da Web.

Os domínios padrão são usados quando você não configura registros DNS para private.googleapis.com e restricted.googleapis.com.

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64

Permite o acesso da API à maioria das APIs e serviços do Google, sejam ou não compatíveis com o VPC Service Controls. Inclui acesso da API ao Google Maps, Google Ads, Google Cloud e à maioria das outras APIs do Google, incluindo a lista a seguir. Não é compatível com aplicativos da Web do Google Workspace, como o Gmail e o Documentos Google. Não é compatível com sites interativos.

Nomes de domínio que correspondem:

  • accounts.google.com (somente os caminhos necessários para a autenticação do OAuth)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io ou *.gcr.io
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev ou *.pkg.dev
  • pki.goog ou *.pki.goog
  • *.run.app
  • source.developers.google.com

Use private.googleapis.com para acessar APIs e serviços do Google usando um conjunto de endereços IP somente roteáveis do Google Cloud.

Escolha private.googleapis.com nestas circunstâncias:

  • Você não usa o VPC Service Controls.
  • Você usa o VPC Service Controls, mas também precisa acessar APIs e serviços do Google que não são compatíveis com o VPC Service Controls.1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64

Permite o acesso da API a APIs e serviços do Google compatíveis com o VPC Service Controls.

Bloqueia o acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Não é compatível com APIs do Google Workspace ou aplicativos da Web do Google Workspace, como o Gmail e o Documentos Google.

Use restricted.googleapis.com para acessar APIs e serviços do Google usando um conjunto de endereços IP somente roteáveis do Google Cloud.

Escolha restricted.googleapis.com quando você precisar de acesso às APIs e serviços do Google compatíveis com o VPC Service Controls.

O domínio restricted.googleapis.com não permite o acesso a APIs e serviços do Google que não oferecem suporte ao VPC Service Controls.1

1 Se você precisar restringir usuários apenas às APIs e aos serviços do Google compatíveis com o VPC Service Controls, use restricted.googleapis.com. Embora o VPC Service Controls seja aplicado a serviços compatíveis e configurados, independentemente do domínio usado, o restricted.googleapis.com fornece mitigação de risco adicional para exfiltração de dados. O uso de restricted.googleapis.com nega acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Consulte Como configurar a conectividade privada na documentação do VPC Service Controls para mais detalhes.

Suporte a IPv6 para private.googleapis.com e restricted.googleapis.com

Os intervalos de endereços IPv6 a seguir podem ser usados para direcionar o tráfego de clientes IPv6 para APIs e serviços do Google:

  • private.googleapis.com: 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 2600:2d00:0002:1000::/64

Considere configurar os endereços IPv6 se você quiser usar o domínio private.googleapis.com ou restricted.googleapis.com e tiver clientes que usam endereços IPv6. Os clientes IPv6 que também têm endereços IPv4 configurados podem acessar as APIs e serviços do Google usando os endereços IPv4. Nem todos os serviços aceitam o tráfego de clientes IPv6.

Configuração do DNS

Para conectividade com as APIs e os serviços do Google, é possível enviar pacotes para os endereços IP associados ao VIP private.googleapis.com ou restricted.googleapis.com. Para usar um VIP, configure o DNS para que as VMs na rede VPC resolvam solicitações para *.googleapis.com e outros domínios que precisam ser acessados. Por exemplo, se você usar o Google Kubernetes Engine (GKE), também precisará configurar *.gcr.io e *.pkg.dev. Se você usar o Cloud Run, será necessário configurar *.run.app.

A seção a seguir descreve como usar zonas DNS para enviar pacotes aos endereços IP associados ao VIP escolhido.

Ao configurar registros DNS para os VIPs, use apenas os endereços IP descritos nas etapas a seguir. Não combine os endereços dos VIPs private.googleapis.com e restricted.googleapis.com. Isso pode causar falhas intermitentes porque os serviços oferecidos são diferentes com base no destino de um pacote.

Crie uma zona e registros do DNS para googleapis.com:

  1. Crie uma zona do DNS particular para googleapis.com. Considere criar uma zona particular do Cloud DNS para essa finalidade.
  2. Na zona googleapis.com, crie os seguintes registros DNS para private.googleapis.com ou restricted.googleapis.com, dependendo do domínio que você escolheu usar.

    • Para obter private.googleapis.com:

      1. Crie um registro A para private.googleapis.com que aponta para os seguintes endereços IP: 199.36.153.8, 199.36.153.9, 199.36.153.10 e 199.36.153.11.

      2. Para se conectar a APIs usando endereços IPv6, configure também um registro AAAA para private.googleapis.com apontando para 2600:2d00:0002:2000::.

    • Para obter restricted.googleapis.com:

      1. Crie um registro A para restricted.googleapis.com que aponta para os seguintes endereços IP: 199.36.153.4, 199.36.153.5, 199.36.153.6 e 199.36.153.7.

      2. Para se conectar a APIs usando endereços IPv6, crie também um registro AAAA para restricted.googleapis.com apontando para 2600:2d00:0002:1000::.

    Se você estiver usando o Cloud DNS, adicione os registros à zona particular googleapis.com.

  3. Na zona googleapis.com, crie um registro CNAME para *.googleapis.com que direcione para o domínio que você configurou: private.googleapis.com ou restricted.googleapis.com.

Algumas APIs e serviços do Google são fornecidos usando nomes de domínio adicionais, incluindo *.gcr.io, *.gstatic.com, *.pkg.dev, pki.goog ou *.run.app. Consulte a tabela de intervalos de endereços IP e domínios em Opções de domínio para determinar se os serviços do domínio adicional podem ser acessados usando private.googleapis.com ou restricted.googleapis.com. Em seguida, para cada um dos domínios adicionais:

  1. Crie uma zona de DNS para DOMAIN (por exemplo, gcr.io). Se você estiver usando o Cloud DNS, verifique se essa zona está localizada no mesmo projeto que a zona particular googleapis.com.

  2. Nesta zona de DNS, crie os seguintes registros DNS para private.googleapis.com ou restricted.googleapis.com, dependendo do domínio que você escolheu usar:

    • Para obter private.googleapis.com:

      1. Crie um registro A para DOMAIN que aponta para os seguintes endereços IP: 199.36.153.8, 199.36.153.9, 199.36.153.10 e 199.36.153.11.

      2. Para se conectar a APIs usando endereços IPv6, crie também um registro AAAA para DOMAIN apontando para 2600:2d00:0002:2000::.

    • Para obter restricted.googleapis.com:

      1. Crie um registro A para DOMAIN que aponta para os seguintes endereços IP: 199.36.153.4, 199.36.153.5, 199.36.153.6 e 199.36.153.7.

      2. Para se conectar a APIs usando endereços IPv6, crie também um registro AAAA para restricted.googleapis.com apontando para 2600:2d00:0002:1000::.

  3. Na zona DOMAIN, crie um registro CNAME para *.DOMAIN que aponte para DOMAIN. Por exemplo, crie um registro CNAME para *.gcr.io que aponte para gcr.io.

Opções de roteamento

A rede VPC precisa ter rotas apropriadas com os próximos saltos que são o gateway de Internet padrão. O Google Cloud não é compatível com o tráfego de roteamento para APIs e serviços do Google por meio de outras instâncias de VM ou próximos saltos personalizados. Embora sejam chamados de gateway de Internet padrão, os pacotes enviados das VMs na sua rede VPC para APIs e serviços do Google permanecem na rede do Google.

  • Se você selecionar os domínios padrão, suas instâncias de VM se conectarão a APIs e serviços do Google usando um subconjunto de endereços IP externos do Google. Esses endereços IP são roteados publicamente, mas o caminho de uma VM em uma rede VPC para esses endereços permanece na rede do Google.

  • O Google não divulga rotas na Internet para nenhum dos endereços IP usados pelos domínios private.googleapis.com ou restricted.googleapis.com. Consequentemente, esses domínios só podem ser acessados por VMs em uma rede VPC ou sistemas locais conectados a uma rede VPC.

Se sua rede VPC contém uma rota padrão em que próximo salto seja o gateway de Internet padrão, é possível usar essa rota para acessar os serviços e as APIs do Google sem precisar criar rotas personalizadas. Consulte Roteamento com uma rota padrão para ver detalhes.

Se você substituiu uma rota padrão (destino 0.0.0.0/0 ou ::0/0) por uma rota personalizada em que o próximo salto não é o gateway de Internet padrão, é possível atender ao requisitos de roteamento das APIs e dos serviços do Google usando o roteamento personalizado.

Se a rede VPC não tiver uma rota padrão IPv6, a conectividade IPv6 com as APIs e os serviços do Google não estará disponível. Adicione uma rota padrão do IPv6 para permitir a conectividade do IPv6.

Como rotear com uma rota padrão

Cada rede VPC contém uma rota padrão IPv4 (0.0.0.0/0) quando ela é criada. Se você ativar endereços IPv6 externos em uma sub-rede, uma rota padrão IPv6 gerada pelo sistema (::/0) será adicionada a essa rede VPC.

As rotas padrão fornecem um caminho para os endereços IP dos seguintes destinos:

  • Os domínios padrão.

  • private.googleapis.com: 199.36.153.8/30 e 2600:2d00:0002:2000::/64.

  • restricted.googleapis.com: 199.36.153.4/30 e 2600:2d00:0002:1000::/64.

Para verificar a configuração de uma rota padrão em uma determinada rede, siga estas instruções.

Console

  1. No Console do Google Cloud, acesse a página Rotas.

    Acessar a página Rotas

  2. Filtre a lista de rotas para mostrar apenas as rotas da rede que você precisa inspecionar.

  3. Procure uma rota com o destino 0.0.0.0/0 para o tráfego IPv4 ou ::/0 para o tráfego IPv6 e em que o próximo salto seja gateway de Internet padrão.

gcloud

Use o seguinte comando gcloud, substituindo NETWORK_NAME pelo nome da rede a ser inspecionada:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Se você precisar criar uma rota IPv4 padrão de substituição, consulte Como adicionar uma rota estática.

Se você precisar criar uma rota IPv6 padrão de substituição, consulte Como adicionar uma rota padrão IPv6.

Roteamento personalizado

Como alternativa a uma rota padrão, é possível usar rotas estáticas personalizadas, cada uma com um destino mais específico e cada uma usando o próximo salto de gateway de Internet padrão. O número de rotas necessárias e os respectivos endereços IP de destino dependem do domínio escolhido.

Além disso, recomendamos que você adicione rotas para 34.126.0.0/18 e 2001:4860:8040::/42. Para mais informações, consulte o resumo das opções de configuração.

Para verificar a configuração de rotas personalizadas para APIs e serviços do Google em uma determinada rede, siga estas instruções.

Console

  1. No Console do Google Cloud, acesse a página Rotas.

    Acessar a página Rotas

  2. Use o campo de texto Filtrar tabela para filtrar a lista de rotas usando os critérios a seguir, substituindo NETWORK_NAME pelo nome da sua rede VPC.

    • Rede: NETWORK_NAME
    • Tipo do próximo salto: default internet gateway
  3. Observe a coluna Intervalo de IP de destino de cada rota. Se você escolheu os domínios padrão, verifique se há várias rotas estáticas personalizadas, uma para cada intervalo de endereços IP usado pelo domínio padrão. Se você escolheu private.googleapis.com ou restricted.googleapis.com, procure o intervalo de IP desse domínio.

gcloud

Use o seguinte comando gcloud, substituindo NETWORK_NAME pelo nome da rede a ser inspecionada:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

As rotas são listadas no formato de tabela, a menos que você personalize o comando com a sinalização --format. Procure na coluna DEST_RANGE o destino de cada rota. Se você escolheu os domínios padrão, verifique se há várias rotas estáticas personalizadas, uma para cada intervalo de endereços IP usado pelo domínio padrão. Se você escolheu private.googleapis.com ou restricted.googleapis.com, procure o intervalo de IP desse domínio.

Se precisar criar rotas, consulte Como adicionar uma rota estática.

Configuração do firewall

A configuração do firewall da rede VPC precisa permitir o acesso de VMs aos endereços IP usados pelas APIs e serviços do Google. A regra allow egress implícita atende a esse requisito.

Em algumas configurações de firewall, é preciso criar regras de permissão de saída específicas. Por exemplo, suponha que você tenha criado uma regra de negação de saída que bloqueia o tráfego para todos os destinos (0.0.0.0 para IPv4 ou ::/0 para IPv6). Nesse caso, é preciso criar uma regra de firewall de permissão de saída com prioridade maior do que a regra de negação de saída para cada intervalo de endereços IP usado pelo domínio escolhido para serviços e APIs do Google.

Além disso, recomendamos que você inclua 34.126.0.0/18 e 2001:4860:8040::/42 na regra de firewall de permissão de saída. Para mais informações, consulte o resumo das opções de configuração.

Para criar regras de firewall, consulte Como criar regras de firewall. É possível limitar as VMs às quais as regras de firewall se aplicam ao definir o destino de cada regra de permissão de saída.

Endereços IP para domínios padrão

Nesta seção, descrevemos como criar uma lista de intervalos de IP de domínio padrão usados pelas APIs e pelos serviços do Google. Eles são alocados de forma dinâmica e alterados com frequência. Portanto, não é possível definir intervalos de IP específicos para serviços ou APIs individuais. Para manter uma lista precisa, configure a automação para executar o script todos os dias. Para alternativas para manter uma lista de intervalos de endereços IP, use o private.googleapis.com VIP ou o Private Service Connect.

Siga estas etapas para determinar os intervalos de endereços IP usados pelos domínios padrão, como *.googleapis.com e *.gcr.io.

  • O Google publica a lista completa de intervalos de IP que disponibiliza para usuários na Internet em goog.json.

  • O Google também publica uma lista de intervalos de endereços IP externos globais e regionais disponíveis para os recursos do Google Cloud dos clientes em cloud.json.

Os endereços IP usados pelos domínios padrão para APIs e serviços do Google se encaixam na lista de intervalos calculados removendo todos os intervalos em cloud.json daqueles em goog.json. Essas listas são atualizadas com frequência.

É possível usar o script Python a seguir para criar uma lista de intervalos de endereços IP que incluem aqueles usados pelos domínios padrão para APIs e serviços do Google.

Para mais informações sobre como executar esse script, consulte Como executar.

from __future__ import print_function

import json

try:
    from urllib import urlopen
except ImportError:
    from urllib.request import urlopen
    from urllib.error import HTTPError

import netaddr

IPRANGE_URLS = {
    "goog": "https://www.gstatic.com/ipranges/goog.json",
    "cloud": "https://www.gstatic.com/ipranges/cloud.json",
}

def read_url(url):
    try:
        return json.loads(urlopen(url).read())
    except (IOError, HTTPError):
        print("ERROR: Invalid HTTP response from %s" % url)
    except json.decoder.JSONDecodeError:
        print("ERROR: Could not parse HTTP response from %s" % url)

def get_data(link):
    data = read_url(link)
    if data:
        print("{} published: {}".format(link, data.get("creationTime")))
        cidrs = netaddr.IPSet()
        for e in data["prefixes"]:
            if "ipv4Prefix" in e:
                cidrs.add(e.get("ipv4Prefix"))
            if "ipv6Prefix" in e:
                cidrs.add(e.get("ipv6Prefix"))
        return cidrs

def main():
    cidrs = {group: get_data(link) for group, link in IPRANGE_URLS.items()}
    if len(cidrs) != 2:
        raise ValueError("ERROR: Could process data from Google")
    print("IP ranges for Google APIs and services default domains:")
    for ip in (cidrs["goog"] - cidrs["cloud"]).iter_cidrs():
        print(ip)

if __name__ == "__main__":
    main()

Configuração do Acesso privado do Google

É possível ativar o Acesso privado do Google depois de atender aos requisitos de rede na sua rede VPC.

ativar o Acesso privado do Google

Siga estas etapas para ativar o Acesso privado do Google:

Console

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique no nome da rede que contém a sub-rede para a qual você precisa ativar o Acesso privado do Google.

  3. Para uma sub-rede atual:

    1. Clique no nome da sub-rede. A página Detalhes da sub-rede é exibida.
    2. Clique em Editar.
    3. Na seção Acesso privado do Google, selecione Ativado.
    4. Clique em Salvar.
  4. Para uma nova sub-rede:

    1. Clique em Add subnet.
    2. Digite um Nome.
    3. Selecione uma Região.
    4. Em Tipo de pilha de IP, selecione Somente IPv4 (pilha única) ou IPv4 e IPv6 (pilha dupla).
    5. Insira um intervalo de IPv4. Esse é o intervalo IPv4 principal da sub-rede.

      Se você selecionar um intervalo que não seja um endereço RFC 1918, confirme se não há incompatibilidade entre o intervalo e uma configuração existente. Para mais informações, consulte Intervalos de sub-redes IPv4.

    6. Se você estiver criando uma sub-rede de pilha dupla, selecione um tipo de acesso IPv6: Interno ou Externo.

      Se você quiser definir o tipo de acesso como Interno, mas a opção Interno não estiver disponível, verifique se um intervalo de IPv6 interno foi atribuído. na rede.

    7. Faça outras seleções para que a nova sub-rede atenda às suas necessidades. Por exemplo, talvez seja necessário criar intervalos de IP de sub-rede secundários ou ativar registros de fluxo de VPC.

    8. Selecione Ativado na seção Acesso privado do Google.

    9. Clique em Adicionar.

gcloud

Para uma sub-rede atual:

  1. Determine o nome e a região da sub-rede. Para listar as sub-redes de uma rede específica, use o seguinte comando:

    gcloud compute networks subnets list --filter=NETWORK_NAME
    
  2. Execute o seguinte comando para ativar o Acesso privado do Google:

    gcloud compute networks subnets update SUBNET_NAME \
    --region=REGION \
    --enable-private-ip-google-access
    
  3. Execute o comando a seguir para verificar se o Acesso privado do Google está ativado:

    gcloud compute networks subnets describe SUBNET_NAME \
    --region=REGION \
    --format="get(privateIpGoogleAccess)"
    

Em todos os comandos acima, substitua os seguintes valores por valores válidos:

  • SUBNET_NAME: o nome da sub-rede
  • REGION: a região da sub-rede
  • NETWORK_NAME: o nome da rede VPC que contém a sub-rede

Ao criar uma nova sub-rede, use a sinalização --enable-private-ip-google-access para ativar o Acesso privado do Google:

gcloud compute networks subnets create SUBNET_NAME \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=PRIMARY_IP_RANGE \
    [ --stack-type=STACK_TYPE ] \
    [ --ipv6-access-type=IPv6_ACCESS_TYPE ] \
    --enable-private-ip-google-access

Substitua o seguinte por valores válidos:

  • SUBNET_NAME: o nome da sub-rede
  • REGION: a região da sub-rede
  • NETWORK_NAME: o nome da rede VPC que contém a sub-rede
  • PRIMARY_IP_RANGE: o intervalo de endereços IP principal da sub-rede
  • STACK_TYPE é o tipo de pilha da sub-rede: IPV4_ONLY ou IPV4_IPV6.
  • IPv6_ACCESS_TYPE é o tipo de acesso IPv6: EXTERNAL ou INTERNAL. Somente especifique o tipo de acesso IPv6 se você também tiver especificado --stack-type=IPV4_IPV6.

Desativar o Acesso privado do Google

Siga estas etapas para desativar o Acesso privado do Google para uma sub-rede:

Console

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique no nome da rede que contém a sub-rede para a qual você precisa desativar o Acesso privado do Google.

  3. Clique no nome de uma sub-rede atual. A página Detalhes da sub-rede é exibida.

  4. Clique em Editar.

  5. Na seção Acesso privado do Google, selecione Desativado.

  6. Clique em Salvar.

gcloud

  1. Determine o nome e a região da sub-rede. Para listar as sub-redes de uma rede específica, use o seguinte comando:

    gcloud compute networks subnets list \
        --filter=NETWORK_NAME
    
  2. Execute o seguinte comando para desativar o Acesso privado do Google:

    gcloud compute networks subnets update SUBNET_NAME \
        --region=REGION \
        --no-enable-private-ip-google-access
    
  3. Execute o seguinte comando para verificar se o Acesso privado do Google está desativado:

    gcloud compute networks subnets describe SUBNET_NAME \
        --region=REGION \
        --format="get(privateIpGoogleAccess)"
    

Em todos os comandos acima, substitua os seguintes valores por valores válidos:

  • SUBNET_NAME: o nome da sub-rede
  • REGION: a região da sub-rede
  • NETWORK_NAME: o nome da rede VPC que contém a sub-rede

A seguir