Accesso privato Google per gli host on-premise
Gli host on-premise possono raggiungere le API e i servizi Google utilizzando Cloud VPN o Cloud Interconnect dalla rete on-premise a Google Cloud. Gli host on-premise invia il traffico dai seguenti tipi di indirizzi IP di origine:
- un indirizzo IP privato, ad esempio una RFC 1918 indirizzo
- Un indirizzo IP pubblico utilizzato privatamente, ad eccezione di un IP pubblico di proprietà di Google . (l'accesso privato Google per gli host on-premise non supporta riutilizzano gli indirizzi IP pubblici di Google come origini nella tua rete on-premise.)
Per abilitare l'accesso privato Google per gli host on-premise, devi configurare DNS, regole firewall e route in ambienti on-premise e VPC reti. Non è necessario abilitare l'accesso privato Google per le subnet in rete VPC come faresti per l'accesso privato Google di istanze VM di Google Cloud.
Gli host on-premise devono connettersi alle API e ai servizi Google utilizzando
Indirizzi IP (VIP) per restricted.googleapis.com
o
private.googleapis.com
domini. Fai riferimento alle specifiche dell'accesso privato Google
domini e VIP per ulteriori dettagli.
Google pubblica pubblicamente record A DNS che risolvono i domini in un intervallo VIP. Anche se gli intervalli hanno indirizzi IP esterni, Google non pubblica percorsi possibili. Pertanto, devi aggiungere una route annunciata personalizzata su una router Cloud e disporre di una route statica personalizzata rete VPC per la destinazione del VIP.
La route deve avere una destinazione corrispondente a uno degli intervalli VIP e a un hop successivo ovvero il gateway internet predefinito. Il traffico inviato all'intervallo VIP rimane entro tramite la rete Google invece di attraversare la rete internet pubblica, perché Google non pubblichi le route all'esterno.
Per informazioni sulla configurazione, vedi Configura Accesso privato Google per gli host on-premise.
Servizi supportati
I servizi disponibili per gli host on-premise sono limitati a quelli supportati nome di dominio e VIP utilizzati per accedervi. Per ulteriori informazioni, vedi Opzioni dominio.
Esempio
Nell'esempio seguente, la rete on-premise è connessa a una
tramite un tunnel Cloud VPN. Traffico proveniente da
Gli host on-premise per le API di Google passano attraverso il tunnel
rete VPC. Dopo che il traffico raggiunge il VPC
viene inviato attraverso una route che utilizza il gateway internet predefinito
nel suo hop successivo. Questo hop successivo consente al traffico di uscire dal VPC
rete e verrà consegnato a restricted.googleapis.com
(199.36.153.4/30
).
- La configurazione DNS on-premise mappa le richieste
*.googleapis.com
arestricted.googleapis.com
, che si risolve nel199.36.153.4/30
. - Il router Cloud è stato configurato per pubblicizzare
199.36.153.4/30
Intervallo di indirizzi IP attraverso il tunnel Cloud VPN utilizzando una route annunciata personalizzata. Il traffico che va verso le API di Google viene instradato attraverso il tunnel verso la rete VPC. - Alla rete VPC è stata aggiunta una route statica personalizzata che
indirizza il traffico con la destinazione
199.36.153.4/30
alla rete internet predefinita (come hop successivo). Google inoltra quindi il traffico all'API appropriata o servizio. - Se hai creato una zona privata gestita di Cloud DNS
*.googleapis.com
che mappa a199.36.153.4/30
e che hanno autorizzato per l'utilizzo da parte della rete VPC, le richieste a qualsiasigoogleapis.com
vengono inviati agli indirizzi IP utilizzati darestricted.googleapis.com
. Solo il supporto le API siano accessibili con questa configurazione, che potrebbero rendere irraggiungibili altri servizi. Cloud DNS supportare override parziali. Se hai bisogno di override parziali, utilizza BIND.
Passaggi successivi
- Per configurare l'accesso privato Google per gli host on-premise, consulta Configurare Accesso privato Google per gli ambienti on-premise host.