Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Privaten Google-Zugriff konfigurieren

Auf dieser Seite wird beschrieben, wie Sie den privaten Google-Zugriff aktivieren und konfigurieren. Wenn einer Compute Engine-VM eine externe IP-Adresse fehlt, die der Netzwerkschnittstelle zugewiesen ist, kann sie standardmäßig nur Pakete an andere interne IP-Adressen senden. Sie können diesen VMs die Verbindung zu der Gruppe von externen IP-Adressen erlauben, die von Google APIs und Diensten verwendet werden. Dazu müssen Sie den privaten Google-Zugriff in dem Subnetz aktivieren, das von der Netzwerkschnittstelle der VM verwendet wird.

Der private Google-Zugriff ermöglicht auch den Zugriff auf die von App Engine verwendeten externen IP-Adressen, einschließlich der auf App Engine basierenden Drittanbieterdienste.

In der Übersicht zum privaten Google-Zugriff erfahren Sie unter Unterstützte Dienste, welche APIs und Dienste für den privaten Google-Zugriff zulässig sind.

Hintergrundinformationen zum privaten Google-Zugriff und anderen privaten Verbindungsoptionen von Google Cloud finden Sie unter Optionen für den privaten Zugriff durch Dienste.

Spezifikationen

Eine VM-Schnittstelle kann Pakete mit dem privaten Google-Zugriff an die externen IP-Adressen der Google APIs und Google-Dienste senden, wenn alle diese Bedingungen erfüllt sind:

  • Die VM-Schnittstelle ist mit einem Subnetz verbunden, in dem der private Google-Zugriff aktiviert ist.

  • Das VPC-Netzwerk, das das Subnetz enthält, erfüllt die Netzwerkanforderungen für Google APIs und Google-Dienste.

  • Der VM-Schnittstelle ist keine externe IP-Adresse zugewiesen.

  • Die Quell-IP-Adresse der von der VM gesendeten Pakete entspricht einer der folgenden IP-Adressen.

    • Primäre interne IPv4-Adresse der VM-Schnittstelle
    • Die interne IPv6-Adresse der VM-Schnittstelle
    • Eine interne IPv4-Adresse aus einem Alias-IP-Bereich

Eine VM mit einer externen IPv4- oder IPv6-Adresse, die ihrer Netzwerkschnittstelle zugewiesen ist, benötigt keinen privaten Google-Zugriff, um eine Verbindung zu Google APIs und Google-Diensten herzustellen. Das VPC-Netzwerk muss jedoch die Anforderungen für den Zugriff auf Google APIs und Google-Dienste erfüllen.

Sie können die Zuweisung einer externen IP-Adresse zu einer vorhandenen VM-Instanz auch dann aufheben, wenn diese ausgeführt wird.

Netzwerkanforderungen

Für den privaten Google-Zugriff müssen die folgenden Anforderungen erfüllt sein:

  • Da der private Google-Zugriff pro Subnetz aktiviert wird, müssen Sie ein VPC-Netzwerk verwenden. Legacy-Netzwerke werden nicht unterstützt, da sie keine Subnetze unterstützen.

  • Wenn Sie über IPv6 eine Verbindung zu Google APIs und Google-Diensten herstellen möchten, müssen die beiden folgenden Anforderungen erfüllt sein:

    • Die VM muss mit einem /96-IPv6-Adressbereich konfiguriert sein.

    • Die auf der VM ausgeführte Software muss Pakete senden, deren Quellen mit einer dieser IPv6-Adressen aus diesem Bereich übereinstimmen.

  • Wenn Sie die Domainnamen private.googleapis.com oder restricted.googleapis.com verwenden, müssen Sie DNS-Einträge erstellen, um den Traffic an die diesen Domains zugewiesenen IP-Adressen weiterzuleiten Weitere Informationen finden Sie unter Netzwerkkonfiguration.

  • Ihr Netzwerk muss geeignete Routen für die Ziel-IP-Bereiche haben, die von Google APIs und Diensten verwendet werden. Bei diesen Routen muss der nächste Hop das Standard-Internetgateway sein. Wenn Sie die Domainnamen private.googleapis.com oder restricted.googleapis.com verwenden, benötigen Sie nur eine Route (pro Domain). Andernfalls müssen Sie mehrere Routen erstellen. Weitere Informationen finden Sie unter Routingoptionen.

  • Firewalls für ausgehenden Traffic müssen Traffic zu den IP-Adressbereichen zulassen, die von Google APIs und Google-Diensten verwendet werden. Die implizierte Firewallregel zum Zulassen von ausgehendem Traffic erfüllt diese Anforderung. Weitere Möglichkeiten zur Erfüllung der Firewallanforderung finden Sie unter Firewall-Konfiguration.

Berechtigungen

Projektinhaber, -bearbeiter und IAM-Hauptkonten mit der Rolle Netzwerkadministrator können Subnetze erstellen oder aktualisieren und IP-Adressen zuweisen.

Weitere Informationen zu Rollen finden Sie in der Dokumentation zu IAM-Rollen.

Logging

Mit Cloud Logging werden alle API-Anfragen von VM-Instanzen in Subnetzen erfasst, für die der private Google-Zugriff aktiviert ist. Logeinträge identifizieren die Quelle der API-Anfrage anhand der internen IP-Adresse der aufrufenden Instanz.

Sie können tägliche Nutzungs- und monatliche Rollup-Berichte konfigurieren, die an einen Cloud Storage-Bucket gesendet werden müssen. Weitere Informationen finden Sie unter Nutzungsberichte ansehen.

Netzwerkkonfiguration

In diesem Abschnitt werden die grundlegenden Netzwerkanforderungen beschrieben, die Sie erfüllen müssen, damit eine VM in Ihrem VPC-Netzwerk auf Google APIs und Google-Dienste zugreifen kann.

Domainoptionen

Wählen Sie die Domain aus, die Sie für den Zugriff auf Google APIs und Google-Dienste verwenden möchten.

Die virtuellen IP-Adressen (VIPs) private.googleapis.com und restricted.googleapis.com unterstützen nur HTTP-basierte Protokolle über TCP (HTTP, HTTPS und HTTP/2). Alle anderen Protokolle, einschließlich MQTT und ICMP, werden nicht unterstützt.

Domains und IP-Adressbereiche Unterstützte Dienste Nutzungsbeispiel

Standarddomains.

Alle Domainnamen für Google APIs und Google-Dienste mit Ausnahme von private.googleapis.com und restricted.googleapis.com.

Verschiedene IP-Adressbereiche: Sie können eine Reihe von IP-Bereichen bestimmen, die die möglichen Adressen der Standarddomains enthalten, indem Sie auf IP-Adressen für Standarddomains verweisen.

Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst API-Zugriff auf Google Maps, Google Ads und Google Cloud. Umfasst Google Workspace und andere Webanwendungen.

Wenn Sie keine DNS-Einträge für private.googleapis.com und restricted.googleapis.com konfigurieren, werden die Standarddomains verwendet.

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64 (Vorschau)

Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Google Maps, Google Ads, Google Cloud und die meisten anderen Google APIs, einschließlich der folgenden Liste. Unterstützt keine Google Workspace-Webanwendungen. Interaktive Websites werden nicht unterstützt.

Domainnamen, die übereinstimmen:

  • accounts.google.com (nur die für die OAuth-Authentifizierung benötigten Pfade)
  • appengine.google.com
  • *.appspot.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io oder *.gcr.io
  • *.googleadapis.com
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev oder *.pkg.dev
  • pki.goog oder *.pki.goog
  • *.run.app
  • source.developers.google.com

Mit private.googleapis.com können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen.

Wählen Sie unter folgenden Umständen private.googleapis.com aus:

  • Sie verwenden VPC Service Controls nicht.
  • Sie verwenden VPC Service Controls, müssen aber auch auf Google APIs und Google-Dienste zugreifen, die von VPC Service Controls nicht unterstützt werden.1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64 (Vorschau)

Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden.

Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Unterstützt keine Google Workspace-Webanwendungen oder Google Workspace-APIs.

Mit restricted.googleapis.com können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen.

Wählen Sie restricted.googleapis.com aus, wenn Sie nur Zugriff auf Google APIs und Google-Dienste benötigen, die von VPC Service Controls unterstützt werden.

Die Domain restricted.googleapis.com erlaubt keinen Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen.1
1Hinweis: Wenn Sie Nutzer auf die Google APIs und Google-Dienste beschränken müssen, die VPC Service Controls unterstützen, verwenden Sie restricted.googleapis.com. Obwohl VPC Service Controls unabhängig von der verwendeten Domain für kompatible und konfigurierte Dienste erzwungen wird, bietet restricted.googleapis.com eine zusätzliche Risikominderung bei der Daten-Exfiltration. Die Verwendung von restricted.googleapis.com verweigert den Zugriff auf Google APIs und Google-Dienste, die nicht von VPC Service Controls unterstützt werden. Weitere Informationen finden Sie in der Dokumentation zu VPC Service Controls unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

IPv6-Unterstützung für private.googleapis.com und restricted.googleapis.com

Die folgenden IPv6-Adressbereiche können verwendet werden, um Traffic von IPv6-Clients an Google APIs und Google-Dienste weiterzuleiten:

  • private.googleapis.com: 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 2600:2d00:0002:1000::/64

Erwägen Sie die Konfiguration der IPv6-Adressen, wenn Sie die Domain private.googleapis.com oder restricted.googleapis.com verwenden möchten, und wenn Sie Clients haben, die IPv6-Adressen verwenden. IPv6-Clients, für die auch IPv4-Adressen konfiguriert sind, können über die IPv4-Adressen Google APIs und Google-Dienste erreichen. Nicht alle Dienste akzeptieren Traffic von IPv6-Clients.

DNS-Konfiguration

Für die Verbindung zu Google APIs und Google-Diensten können Sie Pakete an die IPv4-Adressen senden, die mit der VIP private.googleapis.com oder restricted.googleapis.com verknüpft sind. Zur Verwendung einer VIP müssen Sie DNS so konfigurieren, dass VMs in Ihrem VPC-Netzwerk Anfragen an *.googleapis.com und alle anderen Domains auflösen, auf die Sie zugreifen müssen. Wenn Sie beispielsweise Google Kubernetes Engine (GKE) verwenden, müssen Sie auch *.gcr.io und *.pkg.dev konfigurieren.

Im folgenden Abschnitt wird beschrieben, wie Sie mithilfe von DNS-Zonen Pakete an die IP-Adressen senden, die der ausgewählten VIP zugeordnet sind. Wenn Sie DNS-Einträge nur für einige APIs konfigurieren möchten, können Sie Antwortrichtlinien verwenden. Unter Anwendungsfälle finden Sie Beispielkonfigurationen.

Erstellen Sie eine DNS-Zone und -Einträge für *.googleapis.com:

  1. Erstellen Sie eine private DNS-Zone für googleapis.com. Ziehen Sie zu diesem Zweck in Betracht, eine private Cloud DNS-Zone zu erstellen.

  2. Erstellen Sie in der Zone googleapis.com je nach ausgewählter Domain die folgenden DNS-Einträge für entweder private.googleapis.com oder restricted.googleapis.com. Fügen Sie keine zusätzlichen IP-Adressen in den A-Eintrag ein oder kombinieren Sie Adressen aus den Domains private.googleapis.com und restricted.googleapis.com. Dies kann zu vorübergehenden Fehlern führen, da die angebotenen Dienste je nach Ziel eines Pakets unterschiedlich sind.

    • Für private.googleapis.com:

      1. Erstellen Sie einen A-Eintrag für private.googleapis.com, der auf die folgenden IP-Adressen verweist: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11

      2. Zum Herstellen einer Verbindung zu APIs über IPv6-Adressen konfigurieren Sie auch einen AAAA-Eintrag für private.googleapis.com, der auf 2600:2d00:0002:2000:: verweist.

    • Für restricted.googleapis.com:

      1. Erstellen Sie einen A-Eintrag für restricted.googleapis.com, der auf die folgenden IP-Adressen verweist: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

      2. Wenn Sie eine Verbindung zu APIs über IPv6-Adressen herstellen möchten, erstellen Sie auch einen AAAA-Eintrag für restricted.googleapis.com, der auf 2600:2d00:0002:1000:: verweist.

    Wenn Sie Cloud DNS verwenden, fügen Sie die Einträge der privaten Zone googleapis.com hinzu.

  3. Erstellen Sie in der Zone googleapis.com einen CNAME-Eintrag für *.googleapis.com, der auf die von Ihnen konfigurierte Domain verweist: private.googleapis.com oder restricted.googleapis.com.

Einige Google APIs und Google-Dienste werden mit zusätzlichen Domainnamen bereitgestellt, darunter *.gcr.io, *.gstatic.com, *.pkg.dev und pki.goog. In der Tabelle der Domain- und IP-Adressbereiche in den Domainoptionen erfahren Sie, ob die Dienste der zusätzlichen Domain über private.googleapis.com oder restricted.googleapis.com aufgerufen werden können. Gehen Sie anschließend für jede der zusätzlichen Domains so vor:

  1. Erstellen Sie eine DNS-Zone für DOMAIN (z. B. gcr.io). Wenn Sie Cloud DNS verwenden, muss sich diese Zone im selben Projekt wie Ihre private Zone googleapis.com befinden.

  2. Erstellen Sie in dieser DNS-Zone die folgenden DNS-Einträge für entweder private.googleapis.com oder restricted.googleapis.com, je nachdem, welche Domain Sie ausgewählt haben:

    • Für private.googleapis.com:

      1. Erstellen Sie einen A-Eintrag für DOMAIN, der auf die folgenden IP-Adressen verweist: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11

      2. Wenn Sie eine Verbindung zu APIs über IPv6-Adressen herstellen möchten, erstellen Sie auch einen AAAA-Eintrag für DOMAIN, der auf 2600:2d00:0002:2000:: verweist.

    • Für restricted.googleapis.com:

      1. Erstellen Sie einen A-Eintrag für restricted.googleapis.com, der auf die folgenden IP-Adressen verweist: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

      2. Wenn Sie eine Verbindung zu APIs über IPv6-Adressen herstellen möchten, erstellen Sie auch einen AAAA-Eintrag für restricted.googleapis.com, der auf 2600:2d00:0002:1000:: verweist.

  3. Erstellen Sie in der Zone DOMAIN einen CNAME-Eintrag für *.DOMAIN, der auf DOMAIN verweist. Erstellen Sie beispielsweise einen CNAME-Eintrag für *.gcr.io, der auf gcr.io verweist.

Routingoptionen

Ihr VPC-Netzwerk muss geeignete Routen haben, deren nächste Hops das Standard-Internetgateway sind. Google Cloud unterstützt das Routing von Traffic zu Google APIs und Google-Diensten über andere VM-Instanzen oder benutzerdefinierte nächste Hops nicht. Obwohl es als Standard-Internetgateway bezeichnet wird, verbleiben Pakete, die von VMs in Ihrem VPC-Netzwerk an Google APIs und Google-Dienste gesendet werden, im Google-Netzwerk.

  • Wenn Sie die Standarddomains auswählen, stellen Ihre VM-Instanzen über einen Teil der externen IP-Adressen von Google eine Verbindung zu Google APIs und Google-Diensten her. Diese IP-Adressen sind öffentlich routingfähig, aber der Pfad von einer VM in einem VPC-Netzwerk zu diesen Adressen bleibt im Google-Netzwerk.

  • Google veröffentlicht im Internet keine Routen zu IP-Adressen, die von den Domains private.googleapis.com oder restricted.googleapis.com verwendet werden. Daher können nur VMs in einem VPC-Netzwerk oder lokale Systeme, die mit einem VPC-Netzwerk verbunden sind, auf diese Domains zugreifen.

Wenn Ihr VPC-Netzwerk eine Standardroute enthält, deren nächster Hop das Standard-Internetgateway ist, können Sie über diese Route auf Google APIs und Google-Dienste zugreifen, ohne benutzerdefinierte Routen erstellen zu müssen. Weitere Informationen finden Sie unter Routing über eine Standardroute.

Wenn Sie eine IPv4-Standardroute (Ziel 0.0.0.0/0) durch eine benutzerdefinierte Route ersetzt haben, deren nächster Hop nicht das Standard-Internetgateway ist, können Sie die Routinganforderungen für Google APIs und -Dienste erfüllen, wenn Sie stattdessen benutzerdefiniertes Routing nutzen.

Wenn Ihr VPC-Netzwerk keine IPv6-Standardroute hat, haben Sie keine IPv6-Verbindung zu Google APIs und Google-Diensten. Fügen Sie eine IPv6-Standardroute hinzu, um IPv6-Verbindungen zuzulassen.

Routing mit einer Standardroute

Jedes VPC-Netzwerk enthält bei der Erstellung eine IPv4-Standardroute (0.0.0.0/0). Wenn Sie externe IPv6-Adressen in einem Subnetz aktivieren, wird diesem VPC-Netzwerk eine vom System generierte IPv6-Standardroute (::/0) hinzugefügt.

Die Standardrouten stellen einen Pfad zu den IP-Adressen für die folgenden Ziele bereit:

  • Standarddomains

  • private.googleapis.com: 199.36.153.8/30 und 2600:2d00:0002:2000::/64.

  • restricted.googleapis.com: 199.36.153.4/30 und 2600:2d00:0002:1000::/64.

So prüfen Sie die Konfiguration einer Standardroute in einem bestimmten Netzwerk:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Routen auf.

    Zur Seite „Routes“

  2. Filtern Sie die Liste der Routen so, dass nur die Routen für das Netzwerk angezeigt werden, das Sie überprüfen müssen.

  3. Suchen Sie nach einer Route mit dem Ziel 0.0.0.0/0 für IPv4-Traffic oder mit ::/0 für IPv6-Traffic, deren nächster Hop das Standard-Internetgateway ist.

gcloud

Verwenden Sie den folgenden gcloud-Befehl und ersetzen Sie NETWORK_NAME durch den Namen des Netzwerks, das geprüft werden soll:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Informationen zum Erstellen einer Standard-IPv4-Ersatzroute finden Sie unter Statische Route hinzufügen.

Informationen zum Erstellen einer Standard-IPv6-Ersatzroute finden Sie unter IPv6-Standardroute hinzufügen.

Benutzerdefiniertes Routing

Als Alternative zu einer Standardroute für IPv4-Traffic können Sie benutzerdefinierte statische Routen verwenden, von denen jede ein spezifischeres Ziel hat und das Standard-Internetgateway als nächsten Hop verwendet. Die Anzahl der benötigten Routen und ihre IP-Zieladressen hängen von der ausgewählten Domain ab.

Führen Sie die folgenden Schritte aus, um die Konfiguration von benutzerdefinierten Routen für Google APIs und Google-Dienste in einem bestimmten Netzwerk zu prüfen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Routen auf.

    Zur Seite „Routes“

  2. Verwenden Sie das Textfeld Tabelle filtern, um die Liste der Routen anhand der folgenden Kriterien zu filtern. Ersetzen Sie dabei NETWORK_NAME durch den Namen Ihres VPC-Netzwerks.

    • Netzwerk: NETWORK_NAME
    • Nächster Hop-Typ: default internet gateway

  3. Sehen Sie sich für jede Route die Spalte Ziel-IP-Bereich an. Wenn Sie die Standarddomains ausgewählt haben, suchen Sie nach mehreren benutzerdefinierten statischen Routen, eine für jeden von der Standarddomain verwendeten IP-Adressbereich. Wenn Sie private.googleapis.com oder restricted.googleapis.com ausgewählt haben, suchen Sie nach dem IP-Bereich dieser Domain.

gcloud

Verwenden Sie den folgenden gcloud-Befehl und ersetzen Sie NETWORK_NAME durch den Namen des Netzwerks, das geprüft werden soll:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Routen werden im Tabellenformat aufgelistet, sofern Sie den Befehl nicht mit dem Flag --format anpassen. Suchen Sie in der Spalte DEST_RANGE nach dem Ziel der einzelnen Routen. Wenn Sie die Standarddomains ausgewählt haben, prüfen Sie mehrere benutzerdefinierte statische Routen, eine für jeden von der Standarddomain verwendeten IP-Adressbereich. Wenn Sie private.googleapis.com oder restricted.googleapis.com ausgewählt haben, suchen Sie nach dem IP-Bereich dieser Domain.

Informationen zum Erstellen von Routen finden Sie unter Statische Route hinzufügen.

Firewallkonfiguration

Die Firewallkonfiguration Ihres VPC-Netzwerks muss den Zugriff von VMs auf die von Google APIs und Google-Diensten verwendeten IP-Adressen zulassen. Die implizierte allow egress-Regel erfüllt diese Anforderung.

In einigen Firewallkonfigurationen müssen Sie bestimmte Regeln zum Zulassen von ausgehendem Traffic erstellen. Angenommen, Sie haben eine Regel zum Ablehnen von ausgehendem Traffic erstellt, die den Traffic zu allen Zielen (0.0.0.0 für IPv4 oder ::/0 für IPv6) blockiert. In diesem Fall müssen Sie eine Firewallregel für ausgehenden Traffic erstellen, deren Priorität höher ist als die Regel für ausgehenden Traffic für jeden von der ausgewählten Domain verwendeten IP-Adressbereich für Google APIs und -Dienste.

Informationen zum Erstellen von Firewallregeln finden Sie unter Firewallregeln erstellen. Sie können die VMs einschränken, auf die die Firewallregeln angewendet werden, wenn Sie das Ziel jeder Regel für ausgehenden Traffic definieren.

IP-Adressen für Standarddomains

In diesem Abschnitt wird beschrieben, wie Sie eine Liste der Standarddomain-IP-Bereiche erstellen, die von Google APIs und Diensten verwendet werden. Diese Bereiche werden dynamisch zugewiesen und ändern sich oft. Daher ist es nicht möglich, bestimmte IP-Bereiche für einzelne Dienste oder APIs zu definieren. Richten Sie zur Aufrechterhaltung einer genauen Liste die Automatisierung ein, um das Skript täglich auszuführen. Als Alternative zur Verwaltung einer Liste von IP-Adressbereichen können Sie die private.googleapis.com-VIP oder Private Service Connect verwenden.

Führen Sie die folgenden Schritte aus, um die IP-Adressbereiche zu ermitteln, die von den Standarddomains verwendet werden, z. B. *.googleapis.com und *.gcr.io.

  • Google veröffentlicht die vollständige Liste der IP-Bereiche, die Nutzern im Internet zur Verfügung stehen, in goog.json.

  • Außerdem veröffentlicht Google in der Datei cloud.json eine Liste globaler und regionaler externer IP-Adressbereiche, die für die Google Cloud-Ressourcen des Kunden verfügbar sind.

Die von den Standarddomains für Google APIs und Google-Dienste verwendeten IP-Adressen liegen innerhalb der Bereiche, die verbleiben, nachdem die Bereiche aus cloud.json aus denen in goog.json entfernt wurden. Diese Listen werden häufig aktualisiert.

Mit dem folgenden Python-Skript können Sie eine Liste der IP-Adressbereiche erstellen, die die IP-Adressbereiche enthalten, die von den Standarddomains für Google APIs und -Dienste verwendet werden:

Weitere Informationen zum Ausführen dieses Skripts finden Sie unter Ausführung.

tools/cidr/cidr.py 
from __future__ import print_function

import json

try:
    from urllib import urlopen
except ImportError:
    from urllib.request import urlopen
    from urllib.error import HTTPError

import netaddr

IPRANGE_URLS = {
    "goog": "https://www.gstatic.com/ipranges/goog.json",
    "cloud": "https://www.gstatic.com/ipranges/cloud.json",
}

def read_url(url):
    try:
        return json.loads(urlopen(url).read())
    except (IOError, HTTPError):
        print("ERROR: Invalid HTTP response from %s" % url)
    except json.decoder.JSONDecodeError:
        print("ERROR: Could not parse HTTP response from %s" % url)

def get_data(link):
    data = read_url(link)
    if data:
        print("{} published: {}".format(link, data.get("creationTime")))
        cidrs = netaddr.IPSet()
        for e in data["prefixes"]:
            if "ipv4Prefix" in e:
                cidrs.add(e.get("ipv4Prefix"))
            if "ipv6Prefix" in e:
                cidrs.add(e.get("ipv6Prefix"))
        return cidrs

def main():
    cidrs = {group: get_data(link) for group, link in IPRANGE_URLS.items()}
    if len(cidrs) != 2:
        raise ValueError("ERROR: Could process data from Google")
    print("IP ranges for Google APIs and services default domains:")
    for ip in (cidrs["goog"] - cidrs["cloud"]).iter_cidrs():
        print(ip)

if __name__ == "__main__":
    main()

Privaten Google-Zugriff konfigurieren

Sie können den privaten Google-Zugriff aktivieren, nachdem Sie die Netzwerkanforderungen in Ihrem VPC-Netzwerk erfüllt haben.

Privaten Google-Zugriff aktivieren

Führen Sie die folgenden Schritte aus, um den privaten Google-Zugriff zu aktivieren:

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf den Namen des Netzwerks mit dem Subnetz, für das Sie den privaten Google-Zugriff aktivieren müssen.

  3. Führen Sie für ein vorhandenes Subnetz die folgenden Schritte aus:

    1. Klicken Sie auf den Namen des Subnetzes. Daraufhin wird die Seite Subnetzdetails angezeigt.
    2. Klicken Sie auf Bearbeiten.
    3. Wählen Sie im Abschnitt Privater Google-Zugriff die Option Ein aus.
    4. Klicken Sie auf Speichern.

  4. Führen Sie für ein neues Subnetz die folgenden Schritte aus:

    1. Klicken Sie auf Subnetz hinzufügen.
    2. Geben Sie einen Namen ein.
    3. Wählen Sie eine Region aus.
    4. Wählen Sie für IP-Stack-Typ die Option Nur IPv4 (einzelner Stack) oder IPv4 und IPv6 (Dual-Stack) aus.

    5. Geben Sie einen IPv4-Bereich ein. Dies ist der primäre IPv4-Bereich für das Subnetz.

      Wenn Sie einen Bereich auswählen, der keine RFC 1918-Adresse ist, prüfen Sie, ob der Bereich mit einer vorhandenen Konfiguration in Konflikt steht. Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.

    6. Wenn Sie ein Dual-Stack-Subnetz erstellen, wählen Sie einen IPv6-Zugriffstyp aus: Intern oder Extern.

      Prüfen Sie, ob im Netzwerk ein interner IPv6-Bereich zugewiesen ist, wenn Sie den Zugriffstyp auf Intern festlegen möchten, die Option Intern jedoch nicht verfügbar ist.

    7. Treffen die Auswahl für das neue Subnetz entsprechend Ihren Anforderungen. Zum Beispiel müssen Sie möglicherweise sekundäre Subnetz-IP-Bereiche erstellen oder VPC-Flusslogs aktivieren.

    8. Wählen Sie im Abschnitt Privater Google-Zugriff die Option Ein aus.

    9. Klicken Sie auf Hinzufügen.

gcloud

Führen Sie für ein vorhandenes Subnetz die folgenden Schritte aus:

  1. Legen Sie den Namen und die Region des Subnetzes fest. Verwenden Sie den folgenden Befehl, um die Subnetze für ein bestimmtes Netzwerk aufzulisten:

    gcloud compute networks subnets list --filter=NETWORK_NAME

  2. Führen Sie den folgenden Befehl aus, um den privaten Google-Zugriff zu aktivieren:

    gcloud compute networks subnets update SUBNET_NAME \
--region=REGION \
--enable-private-ip-google-access

  3. Prüfen Sie, ob der private Google-Zugriff aktiviert ist. Führen Sie dazu folgenden Befehl aus:

    gcloud compute networks subnets describe SUBNET_NAME \
--region=REGION \
--format="get(privateIpGoogleAccess)"

Ersetzen Sie in allen obigen Befehlen Folgendes durch gültige Werte:

  • SUBNET_NAME: Name des Subnetzes
  • REGION: Region für das Subnetz
  • NETWORK_NAME: Name des VPC-Netzwerks, das das Subnetz enthält

Verwenden Sie beim Erstellen eines neuen Subnetzes das Flag --enable-private-ip-google-access, um den privaten Google-Zugriff zu aktivieren:

gcloud compute networks subnets create SUBNET_NAME \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=PRIMARY_IP_RANGE \
    [ --stack-type=STACK_TYPE ] \
    [ --ipv6-access-type=IPv6_ACCESS_TYPE ] \
    --enable-private-ip-google-access

Ersetzen Sie Folgendes durch gültige Werte:

  • SUBNET_NAME: Name des Subnetzes
  • REGION: Region für das Subnetz
  • NETWORK_NAME: Name des VPC-Netzwerks, das das Subnetz enthält
  • PRIMARY_IP_RANGE: primärer IP-Adressbereich des Subnetzes
  • STACK_TYPE: der Stacktyp für das Subnetz: IPV4_ONLY oder IPV4_IPV6.
  • IPv6_ACCESS_TYPE: der IPv6-Zugriffstyp: EXTERNAL oder INTERNAL. Geben Sie den IPv6-Zugriffstyp nur an, wenn Sie auch --stack-type=IPV4_IPV6 angegeben haben.

Privaten Google-Zugriff deaktivieren

Führen Sie die folgenden Schritte aus, um den privaten Google-Zugriff für ein vorhandenes Subnetz zu deaktivieren:

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf den Namen des Netzwerks mit dem Subnetz, für das Sie den privaten Google-Zugriff deaktivieren müssen.

  3. Klicken Sie auf den Namen eines vorhandenen Subnetzes. Daraufhin wird die Seite Subnetzdetails angezeigt.

  4. Klicken Sie auf Bearbeiten.

  5. Wählen Sie im Abschnitt Privater Google-Zugriff die Option Aus aus.

  6. Klicken Sie auf Speichern.

gcloud

  1. Legen Sie den Namen und die Region des Subnetzes fest. Verwenden Sie den folgenden Befehl, um die Subnetze für ein bestimmtes Netzwerk aufzulisten:

    gcloud compute networks subnets list \
    --filter=NETWORK_NAME

  2. Führen Sie den folgenden Befehl aus, um den privaten Google-Zugriff zu deaktivieren:

    gcloud compute networks subnets update SUBNET_NAME \
    --region=REGION \
    --no-enable-private-ip-google-access

  3. Prüfen Sie mithilfe des folgenden Befehls, ob der private Google-Zugriff deaktiviert ist:

    gcloud compute networks subnets describe SUBNET_NAME \
    --region=REGION \
    --format="get(privateIpGoogleAccess)"

Ersetzen Sie in allen obigen Befehlen Folgendes durch gültige Werte:

  • SUBNET_NAME: Name des Subnetzes
  • REGION: Region für das Subnetz
  • NETWORK_NAME: Name des VPC-Netzwerks, das das Subnetz enthält

Nächste Schritte