Privaten Google-Zugriff konfigurieren

Wenn einer Compute Engine-VM eine externe IP-Adresse fehlt, die der Netzwerkschnittstelle zugewiesen ist, kann sie standardmäßig nur Pakete an andere interne IP-Adressen senden. Sie können diesen VMs die Verbindung zu der Gruppe von externen IP-Adressen erlauben, die von Google APIs und Diensten verwendet werden. Dazu müssen Sie den privaten Google-Zugriff in dem Subnetz aktivieren, das von der Netzwerkschnittstelle der VM verwendet wird.

Der private Google-Zugriff ermöglicht auch den Zugriff auf die von App Engine verwendeten externen IP-Adressen, einschließlich der auf App Engine basierenden Drittanbieterdienste.

In der Übersicht zum privaten Google-Zugriff erfahren Sie unter Unterstützte Dienste, welche APIs und Dienste für den privaten Google-Zugriff zulässig sind.

Hintergrundinformationen zum privaten Google-Zugriff und anderen privaten Verbindungsoptionen von Google Cloud finden Sie unter Optionen für den privaten Zugriff durch Dienste.

Spezifikationen

Eine VM-Schnittstelle kann Pakete mit dem privaten Google-Zugriff an die externen IP-Adressen der Google APIs und Google-Dienste senden, wenn alle diese Bedingungen erfüllt sind:

  • Die VM-Schnittstelle ist mit einem Subnetz verbunden, in dem der private Google-Zugriff aktiviert ist.

  • Das VPC-Netzwerk, das das Subnetz enthält, erfüllt die Netzwerkanforderungen für Google APIs und Google-Dienste.

  • Der VM-Schnittstelle ist keine externe IP-Adresse zugewiesen.

  • Die Quell-IP-Adresse der von der VM gesendeten Pakete entspricht der primären internen IP-Adresse der VM-Schnittstelle oder einer internen IP-Adresse aus einem Alias-IP-Bereich.

Eine VM mit einer externen IP-Adresse, die ihrer Netzwerkschnittstelle zugewiesen ist, benötigt keinen privaten Google-Zugriff, um eine Verbindung zu Google APIs und Google-Diensten herzustellen. Das VPC-Netzwerk muss jedoch die Anforderungen für den Zugriff auf Google APIs und Google-Dienste erfüllen.

Netzwerkanforderungen

Für den privaten Google-Zugriff müssen die folgenden Anforderungen erfüllt sein:

  • Da der private Google-Zugriff pro Subnetz aktiviert wird, müssen Sie ein VPC-Netzwerk verwenden. Legacy-Netzwerke werden nicht unterstützt, da sie keine Subnetze unterstützen.

  • Durch den privaten Google-Zugriff werden APIs nicht automatisch aktiviert. Sie müssen die benötigten Google APIs separat aktivieren. Dies erfolgt über die Seite APIs & Dienste in der Google Cloud Console.

  • Wenn Sie die Domainnamen private.googleapis.com oder restricted.googleapis.com verwenden, müssen Sie DNS-Einträge erstellen, um den Traffic an die diesen Domains zugewiesenen IP-Adressen weiterzuleiten. Weitere Informationen finden Sie unter Netzwerkkonfiguration.

  • Ihr Netzwerk muss geeignete Routen für die Ziel-IP-Bereiche haben, die von Google APIs und Diensten verwendet werden. Bei diesen Routen muss der nächste Hop das Standard-Internetgateway sein. Wenn Sie die Domainnamen private.googleapis.com oder restricted.googleapis.com verwenden, benötigen Sie nur eine Route (pro Domain). Andernfalls müssen Sie mehrere Routen erstellen. Weitere Informationen finden Sie unter Routingoptionen.

  • Firewalls für ausgehenden Traffic müssen Traffic zu den IP-Adressbereichen zulassen, die von Google APIs und Google-Diensten verwendet werden. Die implizierte Firewallregel zum Zulassen von ausgehendem Traffic erfüllt diese Anforderung. Weitere Möglichkeiten zur Erfüllung der Firewallanforderung finden Sie unter Firewall-Konfiguration.

Berechtigungen

Projektinhaber, -bearbeiter und IAM-Mitglieder mit der Rolle Netzwerkadministrator können Subnetze erstellen oder aktualisieren und IP-Adressen zuweisen.

Weitere Informationen zu Rollen finden Sie in der Dokumentation zu IAM-Rollen.

Logging

Mit Cloud Logging werden alle API-Anfragen von VM-Instanzen in Subnetzen erfasst, für die der private Google-Zugriff aktiviert ist. Logeinträge identifizieren die Quelle der API-Anfrage anhand der internen IP-Adresse der aufrufenden Instanz.

Sie können tägliche Nutzungs- und monatliche Rollup-Berichte konfigurieren, die an einen Cloud Storage-Bucket gesendet werden müssen. Weitere Informationen finden Sie unter Nutzungsberichte ansehen.

Netzwerkkonfiguration

In diesem Abschnitt werden die grundlegenden Netzwerkanforderungen beschrieben, die Sie erfüllen müssen, damit eine VM in Ihrem VPC-Netzwerk auf Google APIs und Google-Dienste zugreifen kann.

Wählen Sie zuerst die Domain aus, von der aus Sie auf Google APIs und Google-Dienste zugreifen.

Die VIPs private.googleapis.com und restricted.googleapis.com unterstützen nur HTTP-basierte Protokolle über TCP (HTTP, HTTPS und HTTP/2). Alle anderen Protokolle, einschließlich MQTT und ICMP, werden nicht unterstützt.

Domains und IP-Adressbereiche Unterstützte Dienste Nutzungsbeispiel
Standarddomains

Alle Domainnamen für Google APIs und Google-Dienste mit Ausnahme von private.googleapis.com und restricted.googleapis.com.

Verschiedene IP-Adressbereiche: Sie können eine Reihe von IP-Bereichen bestimmen, die die möglichen Adressen der Standarddomains enthalten, indem Sie auf IP-Adressen für Standarddomains verweisen.
Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst API-Zugriff auf Google Maps, Google Ads, Google Cloud. Umfasst Google Workspace und andere Webanwendungen. Wenn Sie keine DNS-Einträge für private.googleapis.com und restricted.googleapis.com konfigurieren, werden die Standarddomains verwendet.
private.googleapis.com

199.36.153.8/30
Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Maps, Google Ads, die Google Cloud Platform und die meisten anderen Google APIs, einschließlich der Listen unten. Unterstützt keine Google Workspace-Webanwendungen. Interaktive Websites werden nicht unterstützt.

Domainnamen, die übereinstimmen:
  • accounts.google.com (nur die für die OAuth-Authentifizierung benötigten Pfade)
  • appengine.google.com
  • *.appspot.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • gcr.io oder *.gcr.io
  • *.googleadapis.com
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev oder *.pkg.dev
  • pki.goog oder *.pki.goog
  • *.run.app
  • source.developers.google.com

Mit private.googleapis.com können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen.

Wählen Sie unter folgenden Umständen private.googleapis.com aus:

  • Sie verwenden VPC Service Controls nicht.
  • Sie verwenden VPC Service Controls, müssen aber auch auf Google APIs und Google-Dienste zugreifen, die von VPC Service Controls nicht unterstützt werden.

restricted.googleapis.com

199.36.153.4/30
Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden.

Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Unterstützt keine Google Workspace-Webanwendungen oder Google Workspace-APIs.

Mit restricted.googleapis.com können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen.

Wählen Sie restricted.googleapis.com aus, wenn Sie nur Zugriff auf Google APIs und Google-Dienste benötigen, die von VPC Service Controls unterstützt werden. restricted.googleapis.com erlaubt keinen Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen.

DNS-Konfiguration

Wenn Sie private.googleapis.com oder restricted.googleapis.com auswählen, müssen Sie DNS so konfigurieren, dass VMs in Ihrem VPC-Netzwerk Anfragen an *.googleapis.com auflösen:

  1. Erstellen Sie eine private DNS-Zone für googleapis.com. Ziehen Sie zu diesem Zweck in Betracht, eine private Cloud DNS-Zone zu erstellen.
  2. Erstellen Sie in der Zone googleapis.com abhängig von der ausgewählten Domain einen der folgenden A-Einträge:

    • Einen A-Eintrag für private.googleapis.com, der auf die folgenden IP-Adressen verweist: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11
    • Einen A-Eintrag für restricted.googleapis.com, der auf die folgenden IP-Adressen verweist: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

    Wenn Sie Cloud DNS verwenden, fügen Sie die Einträge der privaten Zone googleapis.com hinzu.

  3. Erstellen Sie in der Zone googleapis.com einen CNAME-Eintrag für *.googleapis.com, der auf den A-Eintrag verweist, den Sie im vorherigen Schritt erstellt haben.

Einige Google APIs und Google-Dienste werden mit zusätzlichen Domainnamen bereitgestellt, darunter *.gcr.io, *.gstatic.com, *.pkg.dev und pki.goog. In der Tabelle der Domain- und IP-Adressbereiche in den Netzwerkanforderungen erfahren Sie, ob die Dienste der zusätzlichen Domain über private.googleapis.com oder restricted.googleapis.com aufgerufen werden können. Gehen Sie anschließend für jede der zusätzlichen Domains so vor:

  1. Erstellen Sie eine DNS-Zone für die zusätzliche Domain (z. B. gcr.io). Wenn Sie Cloud DNS verwenden, muss sich diese Zone im selben Projekt wie Ihre private Zone googleapis.com befinden.
  2. In dieser DNS-Zone:
    • Erstellen Sie einen A-Eintrag für den Domainnamen (Zone) selbst. Beispiel: gcr.io. Verweisen Sie mit dem A-Eintrag auf die gleichen vier IP-Adressen für den von Ihnen ausgewählten benutzerdefinierten Domainnamen (private.googleapis.com oder restricted.googleapis.com).
    • Erstellen Sie einen CNAME-Eintrag für alle möglichen Hostnamen der zusätzlichen Domain. Verwenden Sie dazu ein Sternchen und einen Punkt, gefolgt vom Domainnamen (Zone), z. B. *.gcr.io. Verweisen Sie in diesem CNAME-Eintrag auf den A-Eintrag in derselben Zone. Verweisen Sie beispielsweise von *.gcr.io auf gcr.io.

Routingoptionen

Ihr VPC-Netzwerk muss geeignete Routen haben, deren nächste Hops das Standard-Internetgateway sind. Google Cloud unterstützt das Routing von Traffic zu Google APIs und Google-Diensten über andere VM-Instanzen oder benutzerdefinierte nächste Hops nicht. Obwohl es als Standard-Internetgateway bezeichnet wird, verbleiben Pakete, die von VMs in Ihrem VPC-Netzwerk an Google APIs und Google-Dienste gesendet werden, im Google-Netzwerk.

  • Wenn Sie die Standarddomains auswählen, stellen Ihre VM-Instanzen über einen Teil der externen IP-Adressen von Google eine Verbindung zu Google APIs und Google-Diensten her. Diese IP-Adressen sind öffentlich routingfähig, aber der Pfad von einer VM in einem VPC-Netzwerk zu diesen Adressen bleibt im Google-Netzwerk.

  • Google veröffentlicht im Internet keine Routen zu IP-Adressen, die von den Domains private.googleapis.com oder restricted.googleapis.com verwendet werden. Daher können nur VMs in einem VPC-Netzwerk oder lokale Systeme, die mit einem VPC-Netzwerk verbunden sind, auf diese Domains zugreifen.

Wenn Ihr VPC-Netzwerk eine Standardroute enthält, deren nächster Hop das Standard-Internetgateway ist, können Sie über diese Route auf Google APIs und Google-Dienste in jeder Domain zugreifen, ohne benutzerdefinierte Routen erstellen zu müssen. Weitere Informationen finden Sie unter Routing über eine Standardroute.

Wenn Sie die Standardroute durch eine benutzerdefinierte statische Route mit dem Zielort 0.0.0.0/0 sowie einen nächsten Hop ersetzt haben, der nichtdas Standard-Internetgateway ist, können Sie die Routing-Anforderungen für Google APIs und Google-Dienste stattdessen mit benutzerdefiniertem Routing erfüllen. Ziehen Sie in folgenden Fällen benutzerdefiniertes Routing in Betracht:

  • Sie haben eine benutzerdefinierte statische Route mit dem Ziel 0.0.0.0/0. Der nächste Hop ist ein Cloud VPN-Tunnel, ein interner TCP/UDP-Load-Balancer oder eine andere VM-Instanz.
  • Sie verwenden einen Cloud Router, um eine benutzerdefinierte dynamische Route mit dem Ziel 0.0.0.0/0 zu akzeptieren.

Routing mit einer Standardroute

Jedes VPC-Netzwerk enthält bei der Erstellung eine Standardroute. Der nächste Hop dieser Route ist das Standard-Internetgateway und sie führt zu den Standard-Domains private.googleapis.com und restricted.googleapis.com.

So prüfen Sie die Konfiguration einer Standardroute in einem bestimmten Netzwerk:

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Routen“ auf.
    Zur Seite "Routen"
  2. Filtern Sie die Liste der Routen so, dass nur die Routen für das Netzwerk angezeigt werden, das Sie überprüfen müssen.
  3. Suchen Sie nach einer Route mit dem Ziel 0.0.0.0/0, deren nächster Hop Standard-Internetgateway lautet.

gcloud

Verwenden Sie den folgenden gcloud-Befehl und ersetzen Sie NETWORK_NAME durch den Namen des Netzwerks, das geprüft werden soll:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Informationen zum Erstellen einer Ersatzroute finden Sie unter Statische Route hinzufügen.

Benutzerdefiniertes Routing

Als Alternative zu einer Standardroute können Sie benutzerdefinierte statische Routen verwenden, von denen jede ein spezifischeres Ziel hat und das Standard-Internetgateway als nächsten Hop verwendet. Die Anzahl der benötigten Routen und ihre IP-Zieladressen hängen von der ausgewählten Domain ab.

Führen Sie die folgenden Schritte aus, um die Konfiguration von benutzerdefinierten Routen für Google APIs und Google-Dienste in einem bestimmten Netzwerk zu prüfen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Routen“ auf.
    Zur Seite "Routen"
  2. Verwenden Sie das Textfeld Tabelle filtern, um die Liste der Routen anhand der folgenden Kriterien zu filtern. Ersetzen Sie dabei NETWORK_NAME durch den Namen Ihres VPC-Netzwerks.
    • Netzwerk: NETWORK_NAME
    • Nächster Hop-Typ: default internet gateway
  3. Sehen Sie sich für jede Route die Spalte Ziel-IP-Bereich an. Wenn Sie die Standarddomains ausgewählt haben, suchen Sie nach mehreren benutzerdefinierten statischen Routen, eine für jeden von der Standarddomain verwendeten IP-Adressbereich. Wenn Sie private.googleapis.com oder restricted.googleapis.com ausgewählt haben, suchen Sie nach dem IP-Bereich dieser Domain.

gcloud

Verwenden Sie den folgenden gcloud-Befehl und ersetzen Sie NETWORK_NAME durch den Namen des Netzwerks, das geprüft werden soll:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Routen werden im Tabellenformat aufgelistet, sofern Sie den Befehl nicht mit dem Flag --format anpassen. Suchen Sie in der Spalte DEST_RANGE nach dem Ziel der einzelnen Routen. Wenn Sie die Standarddomains ausgewählt haben, prüfen Sie mehrere benutzerdefinierte statische Routen, eine für jeden von der Standarddomain verwendeten IP-Adressbereich. Wenn Sie private.googleapis.com oder restricted.googleapis.com ausgewählt haben, suchen Sie nach dem IP-Bereich dieser Domain.

Informationen zum Erstellen von Routen finden Sie unter Statische Route hinzufügen.

Firewallkonfiguration

Die Firewallkonfiguration Ihres VPC-Netzwerks muss den Zugriff von VMs auf die von Google APIs und Google-Diensten verwendeten IP-Adressen zulassen. Die implizierte allow egress-Regel erfüllt diese Anforderung.

In einigen Firewallkonfigurationen müssen Sie bestimmte Regeln zum Zulassen von ausgehendem Traffic erstellen. Angenommen, Sie haben eine Ablehnungsregel für ausgehenden Traffic erstellt, die Traffic zu allen Zielen (0.0.0.0) blockiert. In diesem Fall müssen Sie auf alle IP-Adressbereiche, die von der ausgewählten Domain verwendet werden für Google APIs und Dienste eine Firewallregel anwenden, die ausgehenden Traffic zulässt und die eine höhere Priorität als die Ablehnungsregel hat.

Informationen zum Erstellen von Firewallregeln finden Sie unter Firewallregeln erstellen. Sie können die VMs einschränken, auf die die Firewallregeln angewendet werden, wenn Sie das Ziel jeder Regel für ausgehenden Traffic definieren.

IP-Adressen für Standarddomains

Führen Sie die folgenden Schritte aus, um die IP-Adressbereiche zu ermitteln, die von den Standarddomains verwendet werden, z. B. *.googleapis.com und *.gcr.io.

  • Google veröffentlicht die vollständige Liste der IP-Bereiche, die Nutzern im Internet zur Verfügung stehen, in goog.json.

  • Außerdem veröffentlicht Google in der Datei cloud.json eine Liste globaler und regionaler externer IP-Adressbereiche, die für die Google Cloud-Ressourcen des Kunden verfügbar sind.

Die von den Standarddomains für Google APIs und Google-Dienste verwendeten IP-Adressen liegen innerhalb der Bereiche, die verbleiben, nachdem die Bereiche aus cloud.json aus denen in goog.json entfernt wurden. Das folgende Beispiel zeigt, wie Sie diesen Bereich mit Python abrufen.

Python

Mit dem folgenden Python-Skript können Sie eine Liste der IP-Adressbereiche erstellen, die die IP-Adressbereiche enthalten, die von den Standarddomains für Google APIs und -Dienste verwendet werden:

Unter macOS erfordert dieses Skript eine Python 3-Laufzeit, die so konfiguriert ist:

  • Installieren Sie die aktuelle Version der Python 3-Laufzeit für macOS.
  • Führen Sie die Datei Install Certificates.command aus dem Python-Ordner in Ihrem Anwendungsordner aus, um eine Liste vertrauenswürdiger Root-Zertifikate (cert.pem) für die zu verwendende Python-Laufzeit zu installieren. Ersetzen Sie VERSION durch die installierte Python-Version (z. B. 3.8):
    sudo "/Applications/Python VERSION/Install Certificates.command"
  • Installieren Sie das Modul netaddr, indem Sie folgenden Befehl ausführen:
    sudo pip3 install netaddr
#!/usr/bin/env python3

import json
import netaddr
import urllib.request

goog_url="https://www.gstatic.com/ipranges/goog.json"
cloud_url="https://www.gstatic.com/ipranges/cloud.json"

def read_url(url):
   try:
      s = urllib.request.urlopen(url).read()
      return json.loads(s)
   except urllib.error.HTTPError:
      print("Invalid HTTP response from %s" % url)
      return {}
   except json.decoder.JSONDecodeError:
      print("Could not parse HTTP response from %s" % url)
      return {}

def main():
   goog_json=read_url(goog_url)
   cloud_json=read_url(cloud_url)

   if goog_json and cloud_json:
      print("{} published: {}".format(goog_url,goog_json.get('creationTime')))
      print("{} published: {}".format(cloud_url,cloud_json.get('creationTime')))
      goog_cidrs = netaddr.IPSet()
      for e in goog_json['prefixes']:
         if e.get('ipv4Prefix'):
            goog_cidrs.add(e.get('ipv4Prefix'))
      cloud_cidrs = netaddr.IPSet()
      for e in cloud_json['prefixes']:
         if e.get('ipv4Prefix'):
            cloud_cidrs.add(e.get('ipv4Prefix'))
      print("IP ranges for Google APIs and services default domains:")
      for i in goog_cidrs.difference(cloud_cidrs).iter_cidrs():
         print(i)

if __name__=='__main__':
   main()

Privaten Google-Zugriff konfigurieren

Sie können den privaten Google-Zugriff aktivieren, nachdem Sie die Netzwerkanforderungen in Ihrem VPC-Netzwerk erfüllt haben.

Privaten Google-Zugriff aktivieren

Führen Sie die folgenden Schritte aus, um den privaten Google-Zugriff zu aktivieren:

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
    Zur Seite "VPC-Netzwerke"
  2. Klicken Sie auf den Namen des Netzwerks mit dem Subnetz, für das Sie den privaten Google-Zugriff aktivieren müssen.
  3. Führen Sie für ein vorhandenes Subnetz die folgenden Schritte aus:
    1. Klicken Sie auf den Namen des Subnetzes. Daraufhin wird die Seite Subnetzdetails angezeigt.
    2. Klicken Sie auf Bearbeiten.
    3. Wählen Sie im Abschnitt Privater Google-Zugriff die Option Ein aus.
    4. Klicken Sie auf Speichern.
  4. Führen Sie für ein neues Subnetz die folgenden Schritte aus:
    1. Klicken Sie auf Subnetz hinzufügen.
    2. Geben Sie Namen und Region des neuen Subnetzes an.
    3. Geben Sie den IP-Adressbereich des Subnetzes an. Dieser Bereich darf sich mit keinen Subnetzen im aktuellen VPC-Netzwerk oder in anderen Netzwerken überschneiden, die über VPC-Netzwerk-Peering oder VPN verbunden sind.
    4. Treffen die Auswahl für das neue Subnetz entsprechend Ihren Anforderungen. Zum Beispiel müssen Sie möglicherweise sekundäre Subnetz-IP-Bereiche erstellen oder VPC-Flusslogs aktivieren.
    5. Wählen Sie im Abschnitt Privater Google-Zugriff die Option Ein aus.
    6. Klicken Sie auf Hinzufügen.

gcloud

Führen Sie für ein vorhandenes Subnetz die folgenden Schritte aus:

  1. Legen Sie den Namen und die Region des Subnetzes fest. Verwenden Sie den folgenden Befehl, um die Subnetze für ein bestimmtes Netzwerk aufzulisten:

    gcloud compute networks subnets list --filter=NETWORK_NAME
    
  2. Führen Sie den folgenden Befehl aus, um den privaten Google-Zugriff zu aktivieren:

    gcloud compute networks subnets update SUBNET_NAME \
    --region=REGION \
    --enable-private-ip-google-access
    
  3. Prüfen Sie, ob der private Google-Zugriff aktiviert ist. Führen Sie dazu folgenden Befehl aus:

    gcloud compute networks subnets describe SUBNET_NAME \
    --region=REGION \
    --format="get(privateIpGoogleAccess)"
    

Ersetzen Sie in allen obigen Befehlen Folgendes durch gültige Werte:

  • SUBNET_NAME: Name des Subnetzes
  • REGION: Region für das Subnetz
  • NETWORK_NAME: Name des VPC-Netzwerks, das das Subnetz enthält

Verwenden Sie beim Erstellen eines neuen Subnetzes das Flag --enable-private-ip-google-access, um den privaten Google-Zugriff zu aktivieren:

gcloud compute networks subnets create SUBNET_NAME \
    --region=REGION \
    --network=NETWORK_NAME \
    --range=PRIMARY_IP_RANGE \
    --enable-private-ip-google-access

Ersetzen Sie Folgendes durch gültige Werte:

  • SUBNET_NAME: Name des Subnetzes
  • REGION: Region für das Subnetz
  • NETWORK_NAME: Name des VPC-Netzwerks, das das Subnetz enthält
  • PRIMARY_IP_RANGE: primärer IP-Adressbereich des Subnetzes

Privaten Google-Zugriff deaktivieren

Führen Sie die folgenden Schritte aus, um den privaten Google-Zugriff für ein vorhandenes Subnetz zu deaktivieren:

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
    Zur Seite "VPC-Netzwerke"
  2. Klicken Sie auf den Namen des Netzwerks mit dem Subnetz, für das Sie den privaten Google-Zugriff deaktivieren müssen.
  3. Klicken Sie auf den Namen eines vorhandenen Subnetzes. Daraufhin wird die Seite Subnetzdetails angezeigt.
  4. Klicken Sie auf Bearbeiten.
  5. Wählen Sie im Abschnitt Privater Google-Zugriff die Option Aus aus.
  6. Klicken Sie auf Speichern.

gcloud

  1. Legen Sie den Namen und die Region des Subnetzes fest. Verwenden Sie den folgenden Befehl, um die Subnetze für ein bestimmtes Netzwerk aufzulisten:

    gcloud compute networks subnets list \
        --filter=NETWORK_NAME
    
  2. Führen Sie den folgenden Befehl aus, um den privaten Google-Zugriff zu deaktivieren:

    gcloud compute networks subnets update SUBNET_NAME \
        --region=REGION \
        --no-enable-private-ip-google-access
    
  3. Prüfen Sie mithilfe des folgenden Befehls, ob der private Google-Zugriff deaktiviert ist:

    gcloud compute networks subnets describe SUBNET_NAME \
        --region=REGION \
        --format="get(privateIpGoogleAccess)"
    

Ersetzen Sie in allen obigen Befehlen Folgendes durch gültige Werte:

  • SUBNET_NAME: Name des Subnetzes
  • REGION: Region für das Subnetz
  • NETWORK_NAME: Name des VPC-Netzwerks, das das Subnetz enthält

Weitere Informationen