Privater Google-Zugriff für lokale Hosts

Lokale Hosts können mithilfe von Cloud VPN oder Cloud Interconnect aus Ihrem lokalen Netzwerk mit Google Cloud auf Google APIs und Google-Dienste zugreifen. Lokale Hosts können Traffic von den folgenden Arten von Quell-IP-Adressen senden:

  • Private IP-Adresse, z. B. eine RFC 1918-Adresse.
  • Privat genutzte öffentliche IP-Adresse, mit Ausnahme einer öffentlichen IP-Adresse, die Google gehört. Der private Google-Zugriff für lokale Hosts unterstützt nicht die Wiederverwendung öffentlicher IP-Adressen von Google als Quellen in Ihrem lokalen Netzwerk.

Wenn Sie den privaten Google-Zugriff für lokale Hosts aktivieren möchten, müssen Sie DNS, Firewallregeln und Routen in Ihren lokalen und VPC-Netzwerken konfigurieren. Für Subnetze in Ihrem VPC-Netzwerk müssen Sie nicht den privaten Google-Zugriff aktivieren, wie das für privaten Google-Zugriff für Google Cloud-VM-Instanzen der Fall wäre.

Lokale Hosts müssen mithilfe der virtuellen IP-Adressen (VIPs) für die Domains restricted.googleapis.com oder private.googleapis.com eine Verbindung zu Google APIs und Diensten herstellen. Weitere Informationen finden Sie unter Spezifische Domains und VIPs für privaten Google-Zugriff.

Google macht DNS A-Einträge öffentlich, die die Domains in einen VIP-Bereich auflösen. Auch wenn die Bereiche externe IP-Adressen haben, veröffentlicht Google keine Routen für sie. Daher müssen Sie auf einem Cloud Router ein benutzerdefiniertes Route Advertisement hinzufügen und für das VIP-Ziel in Ihrem VPC-Netzwerk eine geeignete benutzerdefinierte statische Route haben.

Die Route muss ein Ziel haben, das mit einem der VIP-Bereiche übereinstimmt, und das Standard-Internetgateway als nächsten Hop nutzen. Traffic, der an den VIP-Bereich gesendet wird, verläuft intern im Google-Netzwerk, nicht über das öffentliche Internet, da Google keine externen Routen dafür veröffentlicht.

Konfigurations-Informationen finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Unterstützte Dienste

Dienste, die lokalen Hosts zur Verfügung stehen, sind auf diejenigen beschränkt, die von dem Domainnamen und der VIP unterstützt werden, mit denen der Zugriff erfolgt. Weitere Informationen finden Sie unter Domainoptionen.

Beispiel

Im folgenden Beispiel wird das lokale Netzwerk über einen Cloud-VPN-Tunnel mit einem VPC-Netzwerk verbunden. Der Traffic von lokalen Hosts zu Google APIs wird durch den Tunnel zum VPC-Netzwerk geleitet. Wenn der Traffic das VPC-Netzwerk erreicht hat, wird er über eine Route gesendet, die das standardmäßige Internetgateway als nächsten Hop verwendet. Mit diesem nächsten Hop kann der Traffic das VPC-Netzwerk verlassen und an restricted.googleapis.com (199.36.153.4/30) übertragen werden.

Anwendungsfall: Privater Google-Zugriff für Hybrid-Cloud (zum Vergrößern klicken)
  • Die lokale DNS-Konfiguration ordnet *.googleapis.com Anfragen an restricted.googleapis.com zu, die in 199.36.153.4/30 aufgelöst werden.
  • Cloud Router wurde so konfiguriert, dass der IP-Adressbereich 199.36.153.4/30 mithilfe eines benutzerdefinierten Route Advertisements über den Cloud VPN-Tunnel beworben wird. Traffic an Google APIs wird über den Tunnel an das VPC-Netzwerk weitergeleitet.
  • Dem VPC-Netzwerk wurde eine benutzerdefinierte statische Route hinzugefügt, die den Traffic mit dem Ziel 199.36.153.4/30 an das Standard-Internetgateway (als nächsten Hop) weiterleitet. Google leitet den Traffic dann an die entsprechende API oder den entsprechenden Dienst weiter.
  • Wenn Sie unter der Adresse 199.36.153.4/30 eine von Cloud DNS verwaltete private Zone für *.googleapis.com erstellt und diese Zone für die Verwendung durch Ihr VPC-Netzwerk autorisiert haben, werden Anfragen an alle Ziele in der Domain googleapis.com an die IP-Adressen gesendet, die von restricted.googleapis.com verwendet werden. Mit dieser Konfiguration sind nur die unterstützten APIs verfügbar, was dazu führen kann, dass andere Dienste nicht erreichbar sind. Cloud DNS unterstützt keine partiellen Überschreibungen. Wenn Sie partielle Überschreibungen benötigen, verwenden Sie BIND.

Nächste Schritte