各項服務的私人存取權選項

Google 提供多種不同的私人存取權選項,每個選項皆可允許具有內部 (RFC 1918) IP 位址的 VM 執行個體連線至特定 API 和服務。請選擇支援您需要存取的 API 與服務的選項。

下表摘要列出每個選項。您可以設定下列其中一個或所有選項。這些選項會彼此獨立運作。

選項 執行個體 連線 支援的服務 用途
私人 Google 存取權
GCP VM 執行個體只需要內部 IP 位址,且不得擁有外部 IP 位址。 透過虛擬私人雲端 (VPC) 網路的預設網際網路閘道,連線至 Google API 與服務的公開 IP 位址。 支援大多數的 Google API 與服務 使用這個選項可在不提供 GCP 資源外部 IP 位址的情況下,連線至 Google API 與服務。
內部部署主機的私人 Google 存取權
內部部署主機需要內部 IP 位址。主機可以擁有外部 IP 位址。 使用受限的 IP 位址範圍,透過 VPN 通道或互連網路連線至 Google API 與服務的公開 IP 位址。 支援受限 Google IP 位址範圍的 Google 服務。 使用這個選項可透過虛擬私人雲端網路連線至 Google API 與服務。這個方法不需要您的內部部署主機擁有外部 IP 位址。
私人服務存取權
GCP VM 執行個體需要內部 IP 位址。執行個體可以擁有外部 IP 位址。 透過虛擬私人雲端網路對等互連連線,連線至 Google 或第三方代管虛擬私人雲端網路。 支援部分 Google 或第三方服務。 使用這個選項可在不為 GCP 與 Google 或第三方資源指派外部 IP 位址的情況下,連線至特定 Google 與第三方服務。

私人 Google 存取權

只有內部 IP 位址 (沒有外部 IP 位址) 的 VM 執行個體可以使用私人 Google 存取權。這些執行個體可以連線至 Google API 與服務的外部 IP 位址。如果您停用私人 Google 存取權,VM 執行個體無法再連線至 Google API 與服務,只能在虛擬私人雲端網路內傳送流量。

私人 Google 存取權不影響具有外部 IP 位址的執行個體。根據網際網路存取需求條件,具有外部 IP 位址的執行個體可存取網際網路。這些執行個體不需要任何特殊設定,即可將要求傳送至 Google API 和服務的外部 IP 位址。

您可以根據不同的子網路來決定是否啟用該子網路的私人 Google 存取權;這是虛擬私人雲端網路中的子網路設定。如要啟用子網路的私人 Google 存取權以及查看需求條件,請參閱設定私人 Google 存取權

支援的服務

私人 Google 存取權可允許存取 Cloud API 與 Developer API 及大多數 GCP 服務,但下列服務除外

  • App Engine Memcache
  • Cloud Filestore
  • Cloud Memorystore
  • Cloud SQL

然而,私人服務存取權可能支援其中一或多個服務。

範例

以下範例中的虛擬私人雲端網路具有 Google API 和服務的公開 IP 位址路徑,且該路徑的下一個躍點為預設網際網路閘道,因此符合私人 Google 存取權的轉送需求subnet-a 已啟用私人 Google 存取權,但 subnet-b 並未啟用。

私人 Google 存取權實作 (按一下可放大)

下列清單提供上圖的詳細說明:

  • 虛擬私人雲端網路中的防火牆規則允許輸出流量到 0.0.0.0/0,或至少允許輸出到 Google API 和服務的伺服器 IP。
  • VM A1 的網路介面位於已啟用私人 Google 存取權的 subnet-a 中,所以可存取包含 Cloud Storage 在內的 Google API 和服務。由於該執行個體只有內部 IP 位址,因此適用私人 Google 存取權。
  • VM B1 只有內部 IP 位址,而且 subnet-b 已停用私人 Google 存取權,因此該執行個體無法存取 Google API 和服務。
  • VM A2VM B2 各自具有外部 IP 位址,因此都可存取包含 Cloud Storage 在內的 Google API 和服務。私人 Google 存取權並不影響這些執行個體是否可以存取 Google API 和服務,因為兩者都有外部 IP 位址。

內部部署主機的私人 Google 存取權

內部部署主機可以透過 Cloud VPNCloud Interconnect 連線 (從資料中心到 GCP) 來連線至 Google API 與服務。內部部署主機不需要外部 IP 位址,而會使用內部 RFC 1918 IP 位址。

如要啟用內部部署主機的私人 Google 存取權,您必須在內部部署與虛擬私人雲端網路中設定 DNS、防火牆規則與路徑。您不需要像啟用 GCP VM 執行個體的私人 Google 存取權一樣,在虛擬私人雲端網路中啟用任何子網路的私人 Google 存取權。但是,在虛擬私人雲端網路中,您的路徑至少必須擁有 199.36.153.4/30 目的地,以及做為預設網際網路閘道的下一個躍點。即使下一個躍點稱為「預設網際網路閘道」,傳送至 199.36.153.4/30 的流量仍會留在 Google 的網路內,而不是周遊公開網際網路,這是因為 Google 不會在外部將路徑發佈至 199.36.153.4/30

針對內部部署主機,系統必須將對 Google API 與服務的要求傳送至「restricted.googleapis.com」。這是一個受限的 VIP (虛擬 IP 位址範圍),由 Google 公開發佈的 DNS A 記錄提供。即使範圍為 199.36.153.4/30,Google 也不會發佈這些路徑。因此,您必須在雲端路由器上新增自訂路徑,並在虛擬私人雲端中針對 199.36.153.4/30 目的地設定適當的路徑。

為了讓內部部署主機連線至受限範圍,系統必須透過 VPN 通道或互連網路傳送要求。請使用雲端路由器動態宣告受限範圍。詳情請參閱設定內部部署主機的私人 Google 存取權一文。

支援的服務

與私人 Google 存取權相比,內部部署主機的私人 Google 存取權僅支援部分服務。只有支援受限 VIP 的 Google API 與服務受到支援:

  • BigQuery
  • Cloud BigTable
  • Cloud Dataflow
  • Cloud Dataproc
  • Cloud Data Loss Prevention
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud KMS
  • Cloud Pub/Sub
  • Cloud Spanner
  • Cloud Storage
  • Container Registry
  • Stackdriver Logging
  • Stackdriver Error Reporting

範例

在下列範例中,內部部署網路透過 Cloud VPN 通道連線至虛擬私人雲端網路。從內部部署主機流向 Google API 的流量透過通道傳輸至虛擬私人雲端網路。在流量抵達虛擬私人雲端網路之後,會透過使用預設網際網路閘道做為下一個躍點的路徑傳送。該下一個躍點允許流量離開虛擬私人雲端網路,並傳送至 Google API 與服務的受限 IP 範圍 199.36.153.4/30

混合式雲端的私人 Google 存取權使用案例 (按一下可放大)
  • 內部部署 DNS 設定會將 *.googleapis.com 要求對應至 restricted.googleapis.com,進而解析為 199.36.153.4/30
  • 雲端路由器會透過 VPN 通道,通告 199.36.153.4/30 IP 位址範圍。前往 Google API 的流量會透過通道轉送至虛擬私人雲端網路。
  • 虛擬私人雲端網路包含一個路徑,其可將目的地為 199.36.153.4/30 的流量導向至預設網際網路閘道 (做為下一個躍點)。然後,Google 會將流量轉送至適當的 API 或服務。
  • 如果您使用 Cloud DNS 在網路中設定私人 DNS 區域,對 Google API 的所有要求都會對應至受限範圍。您只能使用這個設定存取支援的 API,而這可能會導致其他服務無法連線。Cloud DNS 不支援部分覆寫,如果您需要部分覆寫,請使用 BIND

私人服務存取權

Google 與第三方 (合稱為「服務供應商」) 可提供在虛擬私人雲端網路上託管且具有內部 IP 位址的服務。私人服務存取權可讓您連線至這些內部 IP 位址。如果您想讓虛擬私人雲端網路中的 VM 執行個體使用內部 IP 位址 (而非外部 IP 位址),私人服務存取權就能派上用場。如要進一步瞭解如何使用私人服務存取權,請參閱設定私人服務存取權一文。

如要使用私人服務存取權,您必須先分配內部 IP 位址範圍,然後建立私人連線。分配範圍是預留的 CIDR 區塊,無法在您的本機虛擬私人雲端網路中使用,而僅供服務供應商使用,避免您的虛擬私人雲端網路與服務供應商的虛擬私人雲端網路之間發生重疊情形。在建立私人連線時,您必須指定分配範圍。

私人連線會將您的虛擬私人雲端網路連結至服務供應商的虛擬私人雲端網路。您虛擬私人雲端網路中的 VM 執行個體可透過這個連線,使用內部 IP 位址連線至具有內部 IP 位址的服務資源。執行個體可以有外部 IP 位址,但私人服務存取權不需要也不會使用外部 IP 位址。

如果服務供應商提供多項服務,您只需要一個私人連線即可。私人連線是使用 Service Networking API 建立的,但 GCP 會將這個連線實作成您的虛擬私人雲端網路和服務供應商的虛擬私人雲端網路之間的虛擬私人雲端網路對等互連連線。舉例來說,您的虛擬私人雲端網路會顯示該連線為對等互連連線,如要刪除這個私人連線,您必須刪除對等互連連線。

如要使用私人服務存取權,服務必須支援私人服務存取權。建立私人連線前,請先與服務供應商進行確認。

服務供應商網路

私人連線的服務供應商端是虛擬私人雲端網路,其中佈建了您的服務資源。服務供應商的網路是專為您建立,並且只包含您的資源。

服務供應商網路中的資源與您虛擬私人雲端網路中的其他資源類似。舉例來說,虛擬私人雲端網路中的其他資源可透過內部 IP 位址連線至服務供應商網路中的資源。您也可以在自己的虛擬私人雲端網路中建立防火牆規則,控管服務供應商網路的存取權。

如要進一步瞭解服務供應商端,請參閱服務基礎架構說明文件的啟用私人服務存取權一節。這份說明文件僅供參考,略過不讀也可啟用或使用私人服務存取權。

支援的服務

下列 Google 服務支援私人服務存取權:

範例

在下列範例中,客戶的虛擬私人雲端網路針對 Google 服務分配了 10.240.0.0/16 位址範圍,並建立了使用該分配範圍的私人連線。每個 Google 服務都會使用分配的區塊建立子網路,以便在指定地區中佈建新資源,例如 Cloud SQL 執行個體。

私人服務存取權 (按一下可放大)
  • 指派給私人連線的分配範圍為 10.240.0.0/16,Google 服務可透過這個分配範圍建立子網路來佈建新資源。
  • 在私人連線的 Google 服務端,Google 會為客戶建立專案。專案會獨立建立,代表沒有其他客戶會共用該專案,而且系統僅會針對客戶佈建的資源收取費用。
  • 每個 Google 服務都會建立子網路來佈建資源。子網路的 IP 位址範圍通常是由服務選擇的 /24 CIDR 區塊,並且來自分配的 IP 位址範圍。您無法修改服務供應商的子網路。服務會在其先前建立的現有地區子網路中佈建新資源。如果子網路已滿,服務會在相同地區中建立新的子網路。
  • 客戶網路中的 VM 執行個體可存取任何地區中的服務資源 (如果服務提供相關支援)。不過有些服務可能不支援跨地區通訊。舉例來說,VM 執行個體只能與相同地區內的 Cloud SQL 執行個體進行通訊。詳情請參閱相關服務的說明文件。
  • 如果 VM 執行個體與其他地區中的資源進行通訊,跨地區的流量仍會有輸出費用
  • 指派給 Cloud SQL 執行個體的 IP 位址為 10.240.0.2。在客戶虛擬私人雲端網路中,目的地為 10.240.0.2 的要求會透過私人連線轉送至服務供應商的網路。連上服務網路後,服務網路會包含可將要求導向正確資源的路徑。
  • 虛擬私人雲端網路之間的流量是在 Google 的網路內傳輸,而非透過公開網際網路傳輸。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
虛擬私人雲端