Privater Google-Zugriff für lokale Hosts

Lokale Hosts können mithilfe von Cloud VPN oder Cloud Interconnect aus Ihrem lokalen Netzwerk mit Google Cloud auf Google APIs und Google-Dienste zugreifen. Lokale Hosts können Traffic von den folgenden Arten von Quell-IP-Adressen senden:

  • Private IP-Adresse, z. B. eine RFC 1918-Adresse.
  • Privat genutzte öffentliche IP-Adresse, mit Ausnahme einer öffentlichen IP-Adresse, die Google gehört. Der private Google-Zugriff für lokale Hosts unterstützt nicht die Wiederverwendung öffentlicher IP-Adressen von Google als Quellen in Ihrem lokalen Netzwerk.

Wenn Sie den privaten Google-Zugriff für lokale Hosts aktivieren möchten, müssen Sie DNS, Firewallregeln und Routen in Ihren lokalen und VPC-Netzwerken konfigurieren. Für Subnetze in Ihrem VPC-Netzwerk müssen Sie nicht den privaten Google-Zugriff aktivieren, wie das für privaten Google-Zugriff für Google Cloud-VM-Instanzen der Fall wäre.

Lokale Hosts müssen mithilfe der virtuellen IP-Adressen (VIPs) für die Domains restricted.googleapis.com oder private.googleapis.com eine Verbindung zu Google APIs und Diensten herstellen. Weitere Informationen finden Sie unter Spezifische Domains und VIPs für privaten Google-Zugriff.

Google macht DNS A-Einträge öffentlich, die die Domains in einen VIP-Bereich auflösen. Auch wenn die Bereiche externe IP-Adressen haben, veröffentlicht Google keine Routen für sie. Daher müssen Sie auf einem Cloud Router ein benutzerdefiniertes Route Advertisement hinzufügen und für das VIP-Ziel in Ihrem VPC-Netzwerk eine geeignete benutzerdefinierte statische Route haben.

Die Route muss ein Ziel haben, das mit einem der VIP-Bereiche übereinstimmt, und das Standard-Internetgateway als nächsten Hop nutzen. Traffic, der an den VIP-Bereich gesendet wird, verläuft intern im Google-Netzwerk, nicht über das öffentliche Internet, da Google keine externen Routen dafür veröffentlicht.

Konfigurations-Informationen finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Spezifische Domains und VIPs für privaten Google-Zugriff

In der folgenden Tabelle werden die Domainnamen und ihr VIP-Bereich erläutert. Für lokale Hosts müssen Sie eine dieser VIPs für den privaten Google-Zugriff verwenden.

Die VIPs private.googleapis.com und restricted.googleapis.com unterstützen nur HTTP-basierte Protokolle über TCP (HTTP, HTTPS und HTTP/2). Alle anderen Protokolle, einschließlich MQTT und ICMP, werden nicht unterstützt.

Domains und IP-Adressbereiche Unterstützte Dienste Nutzungsbeispiel
Standarddomains

Alle Domainnamen für Google APIs und Google-Dienste mit Ausnahme von private.googleapis.com und restricted.googleapis.com.

Verschiedene IP-Adressbereiche: Sie können eine Reihe von IP-Bereichen bestimmen, die die möglichen Adressen der Standarddomains enthalten, indem Sie auf IP-Adressen für Standarddomains verweisen.
Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst API-Zugriff auf Google Maps, Google Ads, Google Cloud. Umfasst Google Workspace und andere Webanwendungen. Wenn Sie keine DNS-Einträge für private.googleapis.com und restricted.googleapis.com konfigurieren, werden die Standarddomains verwendet.
private.googleapis.com

199.36.153.8/30
Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Maps, Google Ads, die Google Cloud Platform und die meisten anderen Google APIs, einschließlich der Listen unten. Unterstützt keine Google Workspace-Webanwendungen. Interaktive Websites werden nicht unterstützt.

Domainnamen, die übereinstimmen:
  • accounts.google.com (nur die für die OAuth-Authentifizierung benötigten Pfade)
  • appengine.google.com
  • *.appspot.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • dl.google.com
  • gcr.io oder *.gcr.io
  • *.googleadapis.com
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev oder *.pkg.dev
  • pki.goog oder *.pki.goog
  • *.run.app
  • source.developers.google.com

Mit private.googleapis.com können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen.

Wählen Sie unter folgenden Umständen private.googleapis.com aus:

  • Sie verwenden VPC Service Controls nicht.
  • Sie verwenden VPC Service Controls, müssen aber auch auf Google APIs und Google-Dienste zugreifen, die von VPC Service Controls nicht unterstützt werden.

restricted.googleapis.com

199.36.153.4/30
Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden.

Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. Unterstützt keine Google Workspace-Webanwendungen oder Google Workspace-APIs.

Mit restricted.googleapis.com können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen.

Wählen Sie restricted.googleapis.com aus, wenn Sie nur Zugriff auf Google APIs und Google-Dienste benötigen, die von VPC Service Controls unterstützt werden. restricted.googleapis.com erlaubt keinen Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen.

Unterstützte Dienste

Dienste, die lokalen Hosts zur Verfügung stehen, sind auf diejenigen beschränkt, die von dem Domainnamen und der VIP unterstützt werden, mit denen der Zugriff erfolgt. Weitere Informationen finden Sie unter Spezifische Domains und VIPs für privaten Google-Zugriff.

Beispiel

Im folgenden Beispiel wird das lokale Netzwerk über einen Cloud-VPN-Tunnel mit einem VPC-Netzwerk verbunden. Der Traffic von lokalen Hosts zu Google APIs wird durch den Tunnel zum VPC-Netzwerk geleitet. Wenn der Traffic das VPC-Netzwerk erreicht hat, wird er über eine Route gesendet, die das standardmäßige Internetgateway als nächsten Hop verwendet. Mit diesem nächsten Hop kann der Traffic das VPC-Netzwerk verlassen und an restricted.googleapis.com (199.36.153.4/30) übertragen werden.

Anwendungsfall: Privater Google-Zugriff für Hybrid-Cloud (zum Vergrößern klicken)
  • Die lokale DNS-Konfiguration ordnet *.googleapis.com Anfragen an restricted.googleapis.com zu, die in 199.36.153.4/30 aufgelöst werden.
  • Cloud Router wurde so konfiguriert, dass der IP-Adressbereich 199.36.153.4/30 mithilfe eines benutzerdefinierten Route Advertisements über den Cloud VPN-Tunnel beworben wird. Traffic an Google APIs wird über den Tunnel an das VPC-Netzwerk weitergeleitet.
  • Dem VPC-Netzwerk wurde eine benutzerdefinierte statische Route hinzugefügt, die den Traffic mit dem Ziel 199.36.153.4/30 an das Standard-Internetgateway (als nächsten Hop) weiterleitet. Google leitet den Traffic dann an die entsprechende API oder den entsprechenden Dienst weiter.
  • Wenn Sie unter der Adresse 199.36.153.4/30 eine von Cloud DNS verwaltete private Zone für *.googleapis.com erstellt und diese Zone für die Verwendung durch Ihr VPC-Netzwerk autorisiert haben, werden Anfragen an alle Ziele in der Domain googleapis.com an die IP-Adressen gesendet, die von restricted.googleapis.com verwendet werden. Mit dieser Konfiguration sind nur die unterstützten APIs verfügbar, was dazu führen kann, dass andere Dienste nicht erreichbar sind. Cloud DNS unterstützt keine partiellen Überschreibungen. Wenn Sie partielle Überschreibungen benötigen, verwenden Sie BIND.

Nächste Schritte