Private Zugriffsoptionen für Dienste

Google Cloud bietet mehrere Optionen für den privaten Zugriff. Jede Option ermöglicht VM-Instanzen mit internen IP-Adressen (nach RFC 1918), um bestimmte APIs und Dienste zu erreichen. Wählen Sie eine Option, die die APIs und Dienste unterstützt, auf die Sie zugreifen müssen.

In der folgenden Tabelle sind die verschiedenen Optionen zusammengefasst. Sie können eine oder alle dieser Optionen konfigurieren. Sie sind unabhängig voneinander verwendbar.

Option	Clients	Verbindung	Unterstützte Dienste	Nutzung
Privater Google-Zugriff
	Google Cloud-VM-Instanzen ohne externe IP-Adressen	Verbindung zu den standardmäßigen öffentlichen IP-Adressen oder den Domains und VIPs des privaten Google-Zugriffs für Google APIs und Google-Dienste über das Standard-Internetgateway des VPC-Netzwerks (Virtual Private Cloud)	Unterstützt die meisten Google APIs und Google-Dienste. Unterstützt außerdem den Zugriff auf App Engine-Anwendungen.	Verwenden Sie diese Option, um eine Verbindung zu Google APIs und Google-Diensten herzustellen, ohne Ihren Google Cloud-Ressourcen externe IP-Adressen zuzuweisen.
Privater Google-Zugriff für lokale Hosts
	Lokale Hosts mit oder ohne externe IP-Adressen.	Verbindung zu Google APIs und Google-Diensten mithilfe einer der spezifischen Domains und VIPs für den privaten Google-Zugriff über einen Cloud VPN-Tunnel oder über Cloud Interconnect	Welche Google-Dienste Sie aufrufen können, hängt davon ab, welche spezifische Domain für den privaten Google-Zugriff Sie verwenden.	Verwenden Sie diese Option für Verbindungen zu Google APIs und Google-Diensten über ein VPC-Netzwerk. Ihre lokalen Hosts benötigen hierbei keine externen IP-Adressen.
Privater Zugriff auf Dienste
	Google Cloud-VM-Instanzen mit oder ohne externe IP-Adressen	Verbindung zu einem von Google oder einem Drittanbieter verwalteten VPC-Netzwerk über eine VPC-Netzwerk-Peering-Verbindung	Unterstützt einige Dienste von Google oder Drittanbietern	Verwenden Sie diese Option, um eine Verbindung zu bestimmten Diensten von Google und Drittanbietern herzustellen, ohne Google Cloud bzw. Ressourcen von Google oder Drittanbietern externe IP-Adressen zuzuweisen.
Serverloser VPC-Zugriff
	Google Cloud-VM-Instanzen mit oder ohne externe IP-Adressen	Direkte Verbindung von serverlosen Google-Diensten über eine interne VPC-Verbindung	App Engine-Standardumgebung und Cloud Functions	Verwenden Sie diese Option, um eine direkte Verbindung von der App Engine-Standardumgebung und von Cloud Functions zu Ressourcen in einem VPC-Netzwerk mithilfe interner IP-Adressen herzustellen.

Privater Google-Zugriff

VM-Instanzen, die nur interne (keine externen) IP-Adressen haben, können mithilfe des privaten Google-Zugriffs auf die externen IP-Adressen der Google APIs und Google-Dienste zugreifen. Die Quell-IP-Adresse des Pakets kann die primäre interne IP-Adresse der Netzwerkschnittstelle oder eine Adresse in einem Alias-IP-Bereich sein, der der Schnittstelle zugewiesen ist. Wenn Sie den privaten Google-Zugriff deaktivieren, können die VM-Instanzen nicht mehr auf Google APIs und Google-Dienste zugreifen, sondern Traffic nur innerhalb des VPC-Netzwerks senden.

Der private Google-Zugriff hat keine Auswirkungen auf Instanzen mit externen IP-Adressen. Instanzen mit externen IP-Adressen können gemäß den Anforderungen für den Internetzugriff auf das Internet zugreifen. Es ist keine spezielle Konfiguration erforderlich, um Anfragen an die externen IP-Adressen der Google APIs und Google-Dienste zu senden.

Sie aktivieren den privaten Google-Zugriff auf Subnetzbasis. Dies ist eine Einstellung für Subnetze in einem VPC-Netzwerk. Informationen zum Aktivieren eines Subnetzes für den privaten Google-Zugriff und zu den Anforderungen finden Sie unter Privaten Google-Zugriff konfigurieren.

Unterstützte Dienste

Mit privatem Google-Zugriff ist der Zugriff auf Cloud und Developer APIs und die meisten Google Cloud-Dienste möglich. Ausgenommen sind die folgenden Dienste:

App Engine-Memcache
Filestore
Memorystore
Cloud SQL

Der private Zugriff auf Dienste kann dagegen einen oder mehrere von diesen Diensten unterstützen.

Beispiel

Das VPC-Netzwerk im folgenden Beispiel erfüllt die Routinganforderung für privaten Google-Zugriff, da es Routen zu den öffentlichen IP-Adressen für Google APIs und Google-Dienste hat, bei denen das Standard-Internetgateway für die nächsten Hops genutzt wird. Privater Google-Zugriff ist für subnet-a aktiviert, für subnet-b jedoch nicht.

Implementieren des privaten Google-Zugriffs (zum Vergrößern anklicken)

Die folgende Liste enthält Details zum obigen Diagramm:

Firewallregeln im VPC-Netzwerk wurden so konfiguriert, dass ausgehender Traffic 0.0.0.0/0 (oder zumindest die Server-IP-Adressen für Google APIs und Google-Dienste) zugelassen wird.
VM A1 kann auf Google APIs und Google-Dienste zugreifen, einschließlich Cloud Storage, da sich die Netzwerkschnittstelle in subnet-a befindet, in dem privater Google-Zugriff aktiviert ist. Der private Google-Zugriff gilt für die Instanz, da sie nur eine private IP-Adresse hat.
VM B1 kann nicht auf Google APIs und Google-Dienste zugreifen, da sie nur eine interne IP-Adresse hat und privater Google-Zugriff für subnet-b deaktiviert ist.
VM A2 und VM B2 können sowohl auf Google APIs als auch auf -Dienste, einschließlich Cloud Storage, zugreifen, da sie jeweils externe IP-Adressen haben. Der private Google-Zugriff hat keinen Einfluss darauf, ob diese Instanzen auf Google APIs und Google-Dienste zugreifen können, da beide externe IP-Adressen haben.

Privater Google-Zugriff für lokale Hosts

Lokale Hosts können mithilfe von Cloud VPN oder Cloud Interconnect aus Ihrem lokalen Netzwerk mit Google Cloud auf Google APIs und Google-Dienste zugreifen. Lokale Hosts können Traffic von den folgenden Arten von Quell-IP-Adressen senden:

Private IP-Adresse, z. B. eine RFC 1918-Adresse.
Privat genutzte öffentliche IP-Adresse, mit Ausnahme einer öffentlichen IP-Adresse, die Google gehört. Der private Google-Zugriff für lokale Hosts unterstützt nicht die Wiederverwendung öffentlicher IP-Adressen von Google als Quellen in Ihrem lokalen Netzwerk.

Wenn Sie den privaten Google-Zugriff für lokale Hosts aktivieren möchten, müssen Sie DNS, Firewallregeln und Routen in Ihren lokalen und VPC-Netzwerken konfigurieren. Für Subnetze in Ihrem VPC-Netzwerk müssen Sie nicht den privaten Google-Zugriff aktivieren, wie das für privaten Google-Zugriff für Google Cloud-VM-Instanzen der Fall wäre.

Lokale Hosts müssen eine Verbindung zu Google APIs und -Diensten herstellen, indem sie die virtuellen IP-Adressen für die beiden verwenden restricted.googleapis.com oder private.googleapis.com Domains. Weitere Informationen finden Sie unter Spezifische Domains und VIPs für privaten Google-Zugriff.

Google macht DNS A-Einträge öffentlich, die die Domains in einen VIP-Bereich auflösen. Auch wenn die Bereiche aus einem öffentlichen IP-Bereich stammen, veröffentlicht Google nicht die entsprechenden Routen. Daher müssen Sie auf einem Cloud Router ein benutzerdefiniertes Route Advertisement hinzufügen und für das VIP-Ziel in Ihrem VPC-Netzwerk eine geeignete benutzerdefinierte statische Route haben.

Die Route muss ein Ziel haben, das mit einem der VIP-Bereiche übereinstimmt, und das Standard-Internetgateway als nächsten Hop nutzen. Traffic, der an den VIP-Bereich gesendet wird, verbleibt im Google-Netzwerk, statt das öffentliche Internet zu passieren, da Google keine externen Routen dafür veröffentlicht.

Informationen zur Konfiguration finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Spezifische Domains und VIPs für privaten Google-Zugriff

In der folgenden Tabelle werden die Domainnamen und ihr VIP-Bereich erläutert. Für lokale Hosts müssen Sie eine dieser VIPs für den privaten Google-Zugriff verwenden.

Domain und VIPs	Unterstützte Dienste	Nutzungsbeispiel
`restricted.googleapis.com` `199.36.153.4/30`	Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden. Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. G Suite-Webanwendungen oder G Suite APIs werden nicht unterstützt.	Verwenden Sie `restricted.googleapis.com`, um nur die durch VPC Service Controls eingeschränkten Dienste für Hosts in Ihrem VPC-Netzwerk oder lokalen Netzwerk verfügbar zu machen.
`private.googleapis.com` `199.36.153.8/30`	Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst API-Zugriff auf Google Maps, Google Ads, die Google Cloud Platform und die meisten anderen Google APIs, deren Namen auf `googleapis.com` enden. G Suite-Webanwendungen werden nicht unterstützt.	Verwenden Sie `private.googleapis.com`, wenn Sie unter den folgenden Umständen auf Google APIs und Google-Dienste zugreifen müssen: Sie verwenden VPC Service Controls nicht. Sie verwenden VPC Service Controls, müssen aber auch auf Dienste zugreifen, die nicht von VPC Service Controls unterstützt werden.

Hinweis: Wenn Sie VPC Service Controls verwenden oder dies beabsichtigen, empfehlen wir Ihnen, DNS-Anfragen für *.googleapis.com an die VIP für restricted.googleapis.com zu leiten, es sei denn, Sie müssen auch auf Google APIs und Google-Dienste zugreifen, die nicht von VPC Service Controls unterstützt werden. Sie können zwar auf Dienste zugreifen, die von VPC Service Controls für beide VIPs unterstützt werden, aber nur die VIPs für die Domain restricted.googleapis.com bieten zusätzlichen Schutz vor Daten-Exfiltration, da sie den Zugriff auf Google APIs und -Dienste verweigern, die nicht von VPC Service Controls unterstützt werden.

Unterstützte Dienste

Dienste, die lokalen Hosts zur Verfügung stehen, sind auf diejenigen beschränkt, die von dem Domainnamen und der VIP unterstützt werden, mit denen der Zugriff erfolgt. Weitere Informationen finden Sie unter Spezifische Domains und VIPs für privaten Google-Zugriff.

Beispiel

Im folgenden Beispiel wird das lokale Netzwerk über einen Cloud-VPN-Tunnel mit einem VPC-Netzwerk verbunden. Der Traffic von lokalen Hosts zu Google APIs wird durch den Tunnel zum VPC-Netzwerk geleitet. Wenn der Traffic das VPC-Netzwerk erreicht hat, wird er über eine Route gesendet, die das Standard-Internetgateway als nächsten Hop verwendet. Mit diesem nächsten Hop kann der Traffic das VPC-Netzwerk verlassen und an restricted.googleapis.com (199.36.153.4/30) übertragen werden.

Privater Google-Zugriff für Hybrid-Cloud-Anwendungsfall (zum Vergrößern anklicken)

Die lokale DNS-Konfiguration ordnet *.googleapis.com Anfragen an restricted.googleapis.com zu, die in 199.36.153.4/30 aufgelöst werden.
Cloud Router wurde so konfiguriert, dass der IP-Adressbereich 199.36.153.4/30 mithilfe eines benutzerdefinierten Route Advertisement über den Cloud VPN-Tunnel beworben wird. Traffic an Google APIs wird über den Tunnel an das VPC-Netzwerk weitergeleitet.
Dem VPC-Netzwerk wurden benutzerdefinierte statische Routen hinzugefügt, die den Traffic mit dem Ziel 199.36.153.4/30 an das Standard-Internetgateway (als nächsten Hop) weiterleiten. Google leitet den Traffic dann an die entsprechende API oder den entsprechenden Dienst weiter.
Wenn Sie unter der Adresse 199.36.153.4/30 eine von Cloud DNS verwaltete private Zone für *.googleapis.com erstellt und diese Zone für die Verwendung durch Ihr VPC-Netzwerk autorisiert haben, werden Anfragen an alle Ziele in der Domain googleapis.com an die IP-Adressen gesendet, die von restricted.googleapis.com verwendet werden. Bei dieser Konfiguration sind nur die unterstützten APIs verfügbar, sodass andere Dienste eventuell nicht erreichbar sind. Cloud DNS unterstützt keine partiellen Überschreibungen. Wenn Sie partielle Überschreibungen benötigen, verwenden Sie BIND.

Privater Zugriff auf Dienste

Google und Drittanbieter (zusammen als Dienstersteller bezeichnet) können Dienste mit internen IP-Adressen anbieten, die in einem VPC-Netzwerk gehostet werden. Mit dem privaten Zugriff auf Dienste können Sie diese internen IP-Adressen erreichen. Das ist hilfreich, wenn Sie möchten, dass die VM-Instanzen in Ihrem VPC-Netzwerk interne IP-Adressen statt externer IP-Adressen verwenden. Weitere Informationen zur Verwendung des privaten Zugriffs auf Dienste finden Sie unter Privaten Zugriff auf Dienste konfigurieren.

Für den privaten Zugriff auf Dienste müssen Sie zuerst einen internen IP-Adressbereich zuweisen und dann eine private Verbindung erstellen. Ein zugewiesener Bereich ist ein reservierter CIDR-Block, der in Ihrem lokalen VPC-Netzwerk nicht verwendet werden kann. Er ist für Dienstersteller reserviert und verhindert Überschneidungen zwischen Ihrem VPC-Netzwerk und dem VPC-Netzwerk des Diensterstellers. Wenn Sie eine private Verbindung erstellen, müssen Sie eine Zuweisung angeben.

Über die private Verbindung wird Ihr VPC-Netzwerk mit dem VPC-Netzwerk des Diensterstellers verbunden. Durch diese Verbindung können VM-Instanzen in Ihrem VPC-Netzwerk interne IP-Adressen verwenden, um Dienstressourcen mit internen IP-Adressen zu erreichen. Ihre Instanzen können externe IP-Adressen haben. Diese sind für den privaten Zugriff auf Dienste jedoch nicht erforderlich und werden nicht dafür verwendet.

Wenn ein Dienstersteller mehrere Dienste anbietet, benötigen Sie nur eine private Verbindung. Zum Erstellen einer privaten Verbindung verwenden Sie die Service Networking API. Google Cloud implementiert diese Verbindung jedoch als VPC-Netzwerk-Peering-Verbindung zwischen Ihrem VPC-Netzwerk und dem VPC-Netzwerk des Diensterstellers. In Ihrem VPC-Netzwerk wird sie als Peering-Verbindung angezeigt. Zum Löschen der privaten Verbindung müssen Sie die Peering-Verbindung löschen.

Sie können den privaten Zugriff auf Dienste nur mit Diensten nutzen, die diesen unterstützen. Klären Sie dies mit dem Dienstersteller ab, bevor Sie eine private Verbindung erstellen.

Netzwerk des Diensterstellers

Auf der Diensterstellerseite der privaten Verbindung steht ein VPC-Netzwerk, in dem Ihre Dienstressourcen bereitgestellt werden. Das Netzwerk des Diensterstellers wird ausschließlich für Sie erstellt und enthält nur Ihre Ressourcen.

Eine Ressource im Netzwerk des Diensterstellers ist vergleichbar mit anderen Ressourcen in Ihrem VPC-Netzwerk. Beispielsweise ist sie über interne IP-Adressen anderer Ressourcen in Ihrem VPC-Netzwerk erreichbar. Sie können auch Firewallregeln in Ihrem VPC-Netzwerk erstellen, um den Zugriff auf das Netzwerk des Dienstanbieters zu steuern.

Weitere Informationen zur Diensterstellerseite finden Sie in der Dokumentation zu Service Infrastructure unter Privaten Zugriff auf Dienste aktivieren. Diese Dokumentation dient nur Informationszwecken und ist nicht erforderlich, um den privaten Zugriff auf Dienste zu ermöglichen oder zu nutzen.

Privater Zugriff auf Dienste und lokale Verbindung

In Szenarien mit hybriden Netzwerken ist ein lokales Netzwerk entweder über eine Cloud VPN- oder eine Cloud Interconnect-Verbindung mit einem VPC-Netzwerk verbunden. Standardmäßig können lokale Hosts das Netzwerk des Diensterstellers über den privaten Zugriff auf Dienste nicht erreichen.

Das VPC-Netzwerk hat möglicherweise benutzerdefinierte statische oder dynamische Routen, um Traffic korrekt an Ihr lokales Netzwerk zu leiten. Das Netzwerk des Diensterstellers enthält diese Routen jedoch nicht. Wenn Sie eine private Verbindung erstellen, tauschen das VPC-Netzwerk und das Netzwerk des Diensterstellers nur Subnetzrouten aus.

Sie müssen die benutzerdefinierten Routen des VPC-Netzwerks exportieren, damit das Netzwerk des Diensterstellers diese importieren und Traffic korrekt an Ihr lokales Netzwerk weiterleiten kann.

Zum Exportieren benutzerdefinierter Routen müssen Sie eine private Verbindung erstellen und anschließend die zugrunde liegende VPC-Peering-Konfiguration für das Exportieren benutzerdefinierter Routen anpassen. Informationen zum Erstellen einer privaten Verbindung finden Sie unter Privaten Zugriff auf Dienste konfigurieren. Informationen zum Exportieren von benutzerdefinierten Routen finden Sie unter Peering-Verbindung aktualisieren.

Unterstützte Dienste

Die folgenden Google-Dienste unterstützen den Zugriff auf private Dienste:

Cloud SQL

Beispiel

Im folgenden Beispiel hat das VPC-Netzwerk des Kunden Google-Diensten den Adressbereich 10.240.0.0/16 zugewiesen und eine private Verbindung eingerichtet, die den zugewiesenen Bereich verwendet. Jeder Google-Dienst erstellt ein Subnetz aus dem zugewiesenen Block, um neue Ressourcen in einer bestimmten Region bereitzustellen, etwa Cloud SQL-Instanzen.

Privater Zugriff auf Dienste (zum Vergrößern anklicken)

Die private Verbindung ist dem zugewiesenen Bereich 10.240.0.0/16 zugeordnet. Aus dieser Zuweisung können Google-Dienste Subnetze erstellen, in denen neue Ressourcen bereitgestellt werden.
Auf der Google-Dienst-Seite der privaten Verbindung erstellt Google ein Projekt für den Kunden. Das Projekt ist isoliert, was bedeutet, dass es mit keinen anderen Kunden geteilt wird und dem Kunden nur die Ressourcen in Rechnung gestellt werden, die von ihm bereitgestellt werden.
Jeder Google-Dienst erzeugt ein Subnetz, in dem Ressourcen bereitgestellt werden. Der IP-Adressbereich des Subnetzes ist üblicherweise ein /24-CIDR-Block, der vom Dienst ausgewählt wird, und stammt aus dem zugewiesenen IP-Adressbereich. Das Subnetz des Diensterstellers können Sie nicht ändern. Ein Dienst stellt neue Ressourcen in vorhandenen regionalen Subnetzen bereit, die zuvor von diesem Dienst erstellt wurden. Wenn ein Subnetz voll ist, erstellt der Dienst ein neues Subnetz in derselben Region.
VM-Instanzen im Kundennetzwerk können auf Dienstressourcen in jeder Region zugreifen, wenn der Dienst dies unterstützt. Einige Dienste unterstützen jedoch möglicherweise keine regionenübergreifende Kommunikation. Zum Beispiel können VM-Instanzen nur mit Cloud SQL-Instanzen kommunizieren, die sich in derselben Region befinden. Weitere Informationen finden Sie in der Dokumentation zum jeweiligen Dienst.
Die Kosten für ausgehenden, regionenübergreifenden Traffic, bei dem eine VM-Instanz mit Ressourcen in einer anderen Region kommuniziert, fallen weiterhin an.
Der Cloud SQL-Instanz wird die IP-Adresse 10.240.0.2 zugeordnet. Im VPC-Netzwerk des Kunden werden Anfragen mit dem Ziel 10.240.0.2 über die private Verbindung an das Netzwerk des Diensterstellers weitergeleitet. Das Dienstnetzwerk enthält Routen, über die die Anfrage anschließend an die richtige Ressource weitergeleitet wird.
Der Traffic zwischen VPC-Netzwerken verläuft intern im Google-Netzwerk, nicht über das öffentliche Internet.

Serverloser VPC-Zugriff

Mit serverlosem VPC-Zugriff können Sie von der App Engine-Standardumgebung und von Cloud Functions aus eine direkte Verbindung zu Ihrem VPC-Netzwerk herstellen. Über diese Verbindung erhalten Anwendungen in der App Engine-Standardumgebung und in Cloud Functions über interne IP-Adressen Zugriff auf Ressourcen im VPC-Netzwerk.

Beim serverlosen VPC-Zugriff erstellen Sie in Ihrem Google Cloud-Projekt einen Connector und fügen diesen an ein VPC-Netzwerk an. Anschließend konfigurieren Sie Ihre serverlosen Dienste (z. B. App Engine-Anwendungen oder Cloud Functions) so, dass sie diesen Connector für internen Netzwerktraffic verwenden.

Über serverlosen VPC-Zugriff können Anwendungen und Funktionen nur Anfragen an Ressourcen in Ihrem VPC-Netzwerk senden und Antworten auf diese Anfragen empfangen. Für die Kommunikation in die Gegenrichtung, bei der eine VM eine Anfrage bei einer Anwendung oder Funktion initiiert, müssen Sie eine öffentliche Adresse der Anwendung oder Funktion verwenden. Weitere Informationen dazu finden Sie unter Privater Google-Zugriff.

Der serverlose VPC-Zugriff unterstützt weder Legacy-Netzwerke noch freigegebene VPC-Netzwerke. Weitere Informationen finden Sie unter Serverlosen VPC-Zugriff konfigurieren.

Unterstützte Dienste

Die folgenden Google-Dienste unterstützen Connectors für serverlosen VPC-Zugriff:

App Engine-Standardumgebung
- Alle Laufzeiten außer PHP 5.5 und Go 1.9
Cloud Functions

Beispiel

Im folgenden Beispiel verwenden eine Anwendung der App Engine-Standardumgebung und Cloud Functions einen Connector für serverlosen VPC-Zugriff, um Anfragen an interne Ressourcen im VPC-Netzwerk zu senden.

Der Connector für serverlosen VPC-Zugriff befindet sich in demselben Projekt und derselben Region wie die App Engine-Anwendung und Cloud Functions.
Der Connector ist mit dem VPC-Netzwerk verbunden, das die Zielressourcen enthält. Der Connector kann auf Ressourcen in anderen VPC-Netzwerken und Google Cloud-Projekten zugreifen, wenn Sie VPC-Netzwerk-Peering verwenden.
Der Connector ist dem IP-Bereich 10.8.0.0/28 zugeordnet. Anfragen vom Connector an das Ziel enthalten eine Quell-IP-Adresse in diesem Bereich.
Die App Engine-Anwendung und Cloud Functions erreichen die Zielressourcen, indem sie Anfragen an deren interne IP-Adressen wie 10.0.0.4 und 10.1.0.2 senden. Die Zielressourcen können sich in einer beliebigen Region befinden. Die Kosten für ausgehenden Traffic fallen für Traffic an, der vom Connector an eine Ressource in einer anderen Region gesendet wird.
Anfragen von App Engine und Cloud Functions an interne (private) IP-Adressen werden intern durch den Connector für serverlosen VPC-Zugriff an die Zielressource geleitet. Anfragen an externe (öffentliche) IP-Adressen werden über das öffentliche Internet geleitet.