Acesso privado do Google para hosts locais

Hosts locais podem acessar serviços e APIs do Google usando o Cloud VPN ou o Cloud Interconnect da rede local até o Google Cloud. Hosts locais podem enviar tráfego dos seguintes tipos de endereços IP de origem:

  • Um endereço IP privado, como um endereço RFC 1918
  • Um endereço IP público de uso privado, exceto um endereço IP público do Google (O Acesso privado do Google para hosts locais não é compatível com a reutilização de endereços IP públicos do Google como origens na rede local.)

Para ativar o Acesso privado do Google para hosts locais, você precisa configurar o DNS, as regras de firewall e as rotas nas suas redes locais e VPC. Você não precisa ativar o Acesso privado do Google para qualquer sub-rede na sua rede VPC, como faria para o Acesso privado do Google para instâncias de VM do Google Cloud.

Hosts locais precisam se conectar aos serviços e às APIs do Google usando os endereços IP virtuais (VIPs) de um destes domínios: restricted.googleapis.com ou private.googleapis.com. Consulte VIPs e domínios específicos de Acesso privado do Google para mais detalhes.

O Google divulga publicamente os registros A de DNS que resolvem os domínios para um intervalo de VIPs. Mesmo que os intervalos tenham endereços IP externos, o Google não divulga rotas para eles. Portanto, você deve adicionar uma divulgação de rota personalizada em um Cloud Router e ter uma rota estática personalizada apropriada em sua rede VPC para o destino do VIP.

A rota deve ter um destino correspondente a um dos intervalos de VIPs e ter o gateway de Internet padrão como próximo salto. O tráfego enviado para o intervalo de VIPs permanece dentro da rede do Google em vez de passar pela Internet pública porque o Google não divulga rotas para eles externamente.

Se você quiser mais informações, consulte Configurar o Acesso privado do Google para hosts locais.

Serviços compatíveis

Os serviços disponíveis para hosts locais são limitados àqueles compatíveis com o nome de domínio e VIP usados para acessá-los. Para mais informações, consulte Opções de domínio.

Exemplo

No exemplo a seguir, a rede local é conectada a uma rede VPC por meio de um túnel do Cloud VPN. O tráfego de hosts locais para as APIs do Google viaja pelo túnel até a rede VPC. Depois que o tráfego atinge essa rede, ele é enviado por meio de uma rota que usa o gateway de Internet padrão como próximo salto. Esse próximo salto permite que o tráfego deixe a rede VPC e seja entregue a restricted.googleapis.com (199.36.153.4/30).

Acesso privado do Google para casos de uso de nuvem híbrida.
Acesso privado do Google para caso de uso de nuvem híbrida (clique para ampliar).
  • A configuração de DNS local mapeia as solicitações *.googleapis.com para restricted.googleapis.com, que são resolvidas para 199.36.153.4/30.
  • O Cloud Router foi configurado para divulgar o intervalo de endereços IP 199.36.153.4/30 por meio do túnel do Cloud VPN usando uma divulgação de rota divulgada. O tráfego encaminhado para as APIs do Google é roteado pelo túnel até a rede VPC.
  • Uma rota estática personalizada foi adicionada à rede VPC, que direciona o tráfego com o destino 199.36.153.4/30 para o gateway padrão da Internet (como o próximo salto). O Google então o direciona para a API ou o serviço apropriado.
  • Se você criou uma zona privada gerenciada do Cloud DNS para *.googleapis.com mapeada para 199.36.153.4/30 e autorizou que ela fosse usada pela rede VPC, as solicitações para qualquer coisa no domínio googleapis.com são enviadas para os endereços IP usados por restricted.googleapis.com. Somente as APIs compatíveis são acessíveis com essa configuração, o que pode tornar outros serviços inacessíveis. O Cloud DNS não aceita modificações parciais. Se você precisar de modificações parciais, utilize o BIND.

A seguir