Acceso privado a Google para los hosts locales

Los hosts locales pueden acceder a los servicios y las API de Google mediante Cloud VPN o Cloud Interconnect desde la red local a Google Cloud. Los hosts locales pueden enviar tráfico desde los siguientes tipos de direcciones IP de origen:

  • Una dirección IP privada, como una dirección RFC 1918
  • Una dirección IP pública de uso privado, excepto una dirección IP pública de Google (el acceso privado a Google para hosts locales no admite que se vuelvan a usar las direcciones IP públicas de Google como fuentes en tu red local)

Si quieres habilitar el acceso privado a Google para los hosts locales, debes configurar un DNS, las reglas de firewall y las rutas en las redes de VPC y locales. No es necesario habilitar el Acceso privado a Google para ninguna subred en la red de VPC como se haría con las instancias de VM de Google Cloud.

Los hosts locales deben conectarse a las API y a los servicios de Google mediante las direcciones IP virtuales (VIP) para los dominios restricted.googleapis.com o private.googleapis.com. Para obtener más información, consulta la sección VIP y dominios específicos del acceso privado a Google.

Google publica registros A DNS que resuelven los dominios en un rango de VIP. Aunque los rangos tienen direcciones IP externas, Google no publica rutas para ellos. Por lo tanto, debes agregar un anuncio de ruta personalizado en un Cloud Router y tener una ruta estática personalizada apropiada en la red de VPC para el destino de la VIP.

La ruta debe tener un destino que coincida con uno de los rangos de VIP y un siguiente salto que sea la puerta de enlace de Internet predeterminada. El tráfico que se envía al rango de VIP permanece dentro de la red de Google, en lugar de recorrer la Internet pública, porque Google no publica rutas hacia ellos de forma externa.

Si deseas obtener información sobre la configuración, consulta Configura el Acceso privado a Google para los hosts locales.

Servicios compatibles

Los servicios disponibles para los hosts locales se limitan a los admitidos por el nombre de dominio y la VIP que se usan a fin de acceder a ellos. Para obtener más información, consulta Opciones de dominio.

Ejemplo

En este ejemplo, la red local está conectada a una red de VPC a través de un túnel de Cloud VPN. El tráfico de los hosts locales a las API de Google fluye a través del túnel a la red de VPC. Una vez que el tráfico llega a la red de VPC, se envía a través de una ruta que usa la puerta de enlace de Internet predeterminada como su siguiente salto. Este siguiente salto permite que el tráfico salga de la red de VPC y se entregue en restricted.googleapis.com (199.36.153.4/30).

Caso de uso del Acceso privado a Google en la nube híbrida (haz clic para ampliar)
  • La configuración de DNS local asigna solicitudes *.googleapis.com a restricted.googleapis.com, que se resuelve en 199.36.153.4/30.
  • Cloud Router se configuró para anunciar el rango de direcciones IP 199.36.153.4/30 a través del túnel de Cloud VPN mediante un anuncio de ruta personalizado. El tráfico que se dirige a las API de Google se enruta a través del túnel a la red de VPC.
  • Se agregó una ruta estática personalizada a la red de VPC que dirige el tráfico con el destino 199.36.153.4/30 a la puerta de enlace de Internet predeterminada (como el siguiente salto). Luego, Google enruta el tráfico al servicio o a la API adecuados.
  • Si creaste una zona privada administrada por Cloud DNS para *.googleapis.com que se asigna a 199.36.153.4/30 y autorizaste esa zona a fin de que la use la red de VPC, las solicitudes a cualquier dominio googleapis.com se enviarán a las direcciones IP que usa restricted.googleapis.com. Con esta configuración, solo se puede acceder a las API compatibles, lo que puede generar que no se pueda acceder a otros servicios. Cloud DNS no admite anulaciones parciales. Si necesitas anulaciones parciales, usa BIND.

¿Qué sigue?