Accesso privato Google per gli host on-premise

Gli host on-premise possono raggiungere le API e i servizi Google utilizzando Cloud VPN o Cloud Interconnect dalla rete on-premise a Google Cloud. Gli host on-premise possono inviare traffico dai seguenti tipi di indirizzi IP di origine:

  • Un indirizzo IP privato, ad esempio un indirizzo RFC 1918
  • un indirizzo IP pubblico utilizzato privatamente, ad eccezione di un indirizzo IP pubblico di proprietà di Google. (L'accesso privato Google per gli host on-premise non supporta il riutilizzo degli indirizzi IP pubblici di Google come origini nella rete on-premise).

Per abilitare l'accesso privato Google per gli host on-premise, devi configurare DNS, regole firewall e route nelle reti on-premise e VPC. Non è necessario abilitare l'accesso privato Google per le subnet nella tua rete VPC, come faresti per l'accesso privato Google per le istanze VM di Google Cloud.

Gli host on-premise devono connettersi alle API e ai servizi Google utilizzando gli indirizzi IP virtuali (VIP) per i domini restricted.googleapis.com o private.googleapis.com. Per ulteriori dettagli, consulta Domini e VIP specifici per l'accesso privato Google.

Google pubblica pubblicamente i record A DNS che risolvono i domini in un intervallo VIP. Anche se gli intervalli hanno indirizzi IP esterni, Google non pubblica le relative route. Devi quindi aggiungere un annuncio di route personalizzato su un router Cloud e disporre di una route statica personalizzata appropriata nella tua rete VPC per la destinazione del VIP.

La route deve avere una destinazione che corrisponda a uno degli intervalli VIP e un hop successivo sia il gateway internet predefinito. Il traffico inviato all'intervallo VIP rimane all'interno della rete di Google anziché attraversare la rete internet pubblica perché Google non pubblica route esternamente a questi utenti.

Per informazioni sulla configurazione, consulta Configurare l'accesso privato Google per gli host on-premise.

Servizi supportati

I servizi disponibili per gli host on-premise sono limitati a quelli supportati dal nome di dominio e dal VIP utilizzato per accedervi. Per ulteriori informazioni, vedi Opzioni per il dominio.

Esempio

Nell'esempio seguente, la rete on-premise è connessa a una rete VPC tramite un tunnel Cloud VPN. Il traffico dagli host on-premise alle API di Google passa attraverso il tunnel fino alla rete VPC. Dopo che il traffico raggiunge la rete VPC, viene inviato attraverso una route che utilizza il gateway internet predefinito come hop successivo. L'hop successivo consente al traffico di uscire dalla rete VPC e di essere consegnato a restricted.googleapis.com (199.36.153.4/30).

Accesso privato Google per il caso d'uso del cloud ibrido (fai clic per ingrandire)
  • La configurazione DNS on-premise mappa le richieste *.googleapis.com a restricted.googleapis.com, che si risolve nel 199.36.153.4/30.
  • Il router Cloud è stato configurato per pubblicizzare l'intervallo di indirizzi IP 199.36.153.4/30 attraverso il tunnel Cloud VPN utilizzando un annuncio di route personalizzato. Il traffico diretto alle API di Google viene instradato attraverso il tunnel alla rete VPC.
  • È stata aggiunta una route statica personalizzata alla rete VPC che indirizza il traffico con destinazione 199.36.153.4/30 al gateway internet predefinito (come hop successivo). Google quindi indirizza il traffico all'API o al servizio appropriato.
  • Se hai creato una zona privata gestita di Cloud DNS per *.googleapis.com che mappa a 199.36.153.4/30 e hai autorizzato tale zona per l'utilizzo da parte della tua rete VPC, le richieste a qualsiasi elemento nel dominio googleapis.com vengono inviate agli indirizzi IP utilizzati da restricted.googleapis.com. Con questa configurazione sono accessibili solo le API supportate, il che potrebbe rendere non raggiungibili altri servizi. Cloud DNS non supporta gli override parziali. Se richiedi override parziali, utilizza BIND.

Passaggi successivi