Acesso privado Google para anfitriões no local

Os anfitriões nas instalações podem aceder às APIs e aos serviços Google através da Cloud VPN ou do Cloud Interconnect da sua rede nas instalações para Google Cloud. Os anfitriões no local podem enviar tráfego dos seguintes tipos de endereços IP de origem:

  • Um endereço IP privado, como um endereço RFC 1918
  • Um endereço IP público usado de forma privada, exceto um endereço IP público pertencente à Google. (O acesso privado da Google para anfitriões no local não suporta a reutilização de endereços IP públicos da Google como origens na sua rede no local.)

Para ativar o acesso privado à Google para anfitriões no local, tem de configurar o DNS, as regras de firewall e os trajetos nas redes no local e na VPC. Não precisa de ativar o acesso privado à Google para nenhuma sub-rede na sua rede VPC, como faria para o acesso privado à Google paraGoogle Cloud instâncias de VM.

Os anfitriões no local têm de estabelecer ligação às APIs e aos serviços Google através dos endereços IP virtuais (VIPs) para os domínios restricted.googleapis.com ou private.googleapis.com. Consulte os domínios e os IPs virtuais específicos do acesso privado da Google para mais detalhes.

A Google publica publicamente registos A de DNS que resolvem os domínios para um intervalo de VIPs. Embora os intervalos tenham endereços IP externos, a Google não publica rotas para os mesmos. Como tal, tem de adicionar uma rota anunciada personalizada num Cloud Router e ter uma rota estática personalizada adequada na sua rede VPC para o destino do VIP.

A rota tem de ter um destino que corresponda a um dos intervalos de IP virtual e um salto seguinte que seja o gateway de Internet predefinido. O tráfego enviado para o intervalo de VIPs permanece na rede da Google em vez de atravessar a Internet pública, porque a Google não publica rotas para eles externamente.

Para ver informações de configuração, consulte o artigo Configure o acesso privado Google para anfitriões no local.

Serviços suportados

Os serviços disponíveis para anfitriões no local estão limitados aos suportados pelo nome de domínio e pelo VIP usados para aceder aos mesmos. Para mais informações, consulte o artigo Opções de domínio.

Exemplo

No exemplo seguinte, a rede nas instalações está ligada a uma rede VPC através de um túnel do Cloud VPN. O tráfego de anfitriões no local para as APIs Google viaja através do túnel para a rede VPC. Depois de o tráfego chegar à rede da VPC, é enviado através de uma rota que usa o gateway de Internet predefinido como o seu próximo salto. Este próximo salto permite que o tráfego saia da rede VPC e seja entregue a restricted.googleapis.com (199.36.153.4/30).

Acesso privado Google para o exemplo de utilização da nuvem híbrida.
Acesso privado à Google para exemplo de utilização da nuvem híbrida (clique para aumentar).
  • A configuração de DNS no local mapeia os pedidos *.googleapis.com para restricted.googleapis.com, que é resolvido para 199.36.153.4/30.
  • O Cloud Router foi configurado para anunciar o intervalo de endereços IP através do túnel da VPN do Google Cloud com uma rota anunciada personalizada.199.36.153.4/30 O tráfego que se destina às APIs Google é encaminhado através do túnel para a rede VPC.
  • Foi adicionada uma rota estática personalizada à rede VPC que direciona o tráfego com o destino 199.36.153.4/30 para o gateway de Internet predefinido (como o salto seguinte). Em seguida, a Google encaminha o tráfego para a API ou o serviço adequado.
  • Se criou uma zona privada gerida do Cloud DNS para *.googleapis.com que mapeia para 199.36.153.4/30 e autorizou essa zona para utilização pela sua rede VPC, os pedidos para qualquer elemento no domínio googleapis.com são enviados para os endereços IP usados por restricted.googleapis.com. Apenas as APIs suportadassão acessíveis com esta configuração, o que pode fazer com que outros serviços fiquem inacessíveis. O Cloud DNS não suporta substituições parciais. Se precisar de substituições parciais, use BIND.

O que se segue?