Acceso privado a Google para los hosts locales

Los hosts locales pueden acceder a los servicios y las API de Google mediante Cloud VPN o Cloud Interconnect desde la red local a Google Cloud. Los hosts locales pueden enviar tráfico desde los siguientes tipos de direcciones IP de origen:

  • Una dirección IP privada, como una dirección RFC 1918
  • Una dirección IP pública de uso privado, excepto una dirección IP pública de Google (el acceso privado a Google para hosts locales no admite que se vuelvan a usar las direcciones IP públicas de Google como fuentes en tu red local)

Si quieres habilitar el acceso privado a Google para los hosts locales, debes configurar un DNS, las reglas de firewall y las rutas en las redes de VPC y locales. No es necesario habilitar el Acceso privado a Google para ninguna subred en la red de VPC como se haría con las instancias de VM de Google Cloud.

Los hosts locales deben conectarse a las API y a los servicios de Google mediante las direcciones IP virtuales (VIP) para los dominios restricted.googleapis.com o private.googleapis.com. Para obtener más información, consulta la sección VIP y dominios específicos del acceso privado a Google.

Google publica registros A DNS que resuelven los dominios en un rango de VIP. Aunque los rangos tienen direcciones IP externas, Google no publica rutas para ellos. Por lo tanto, debes agregar un anuncio de ruta personalizado en un Cloud Router y tener una ruta estática personalizada apropiada en la red de VPC para el destino de la VIP.

La ruta debe tener un destino que coincida con uno de los rangos de VIP y un siguiente salto que sea la puerta de enlace de Internet predeterminada. El tráfico que se envía al rango de VIP permanece dentro de la red de Google, en lugar de recorrer la Internet pública, porque Google no publica rutas hacia ellos de forma externa.

Si deseas obtener información sobre la configuración, consulta Configura el Acceso privado a Google para los hosts locales.

VIP y dominios específicos del acceso privado a Google

En la siguiente tabla, se describen los nombres de dominios y su rango de VIP. Debes usar una de estas VIP en el Acceso privado a Google para hosts locales.

Las VIP private.googleapis.com y restricted.googleapis.com solo admiten protocolos basados en HTTP en TCP (HTTP, HTTPS y HTTP/2). No se admiten todos los demás protocolos, incluidos MQTT y ICMP.

Rangos de direcciones IP y dominio Servicios compatibles Ejemplo de uso
Dominios predeterminados

Todos los nombres de dominio para las API y los servicios de Google, excepto private.googleapis.com y restricted.googleapis.com.

Varios rangos de direcciones IP: puedes determinar un conjunto de rangos de IP que contenga las direcciones posibles que usan los dominios predeterminados si haces referencia a las direcciones IP para dominios predeterminados.
Habilita el acceso a la mayoría de los servicios y las API de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye el acceso a la API para Google Maps, Google Ads y Google Cloud. Incluye Google Workspace y otras aplicaciones web. Los dominios predeterminados se usan cuando no configuras los registros DNS para private.googleapis.com y restricted.googleapis.com.
private.googleapis.com

199.36.153.8/30
Habilita el acceso a la mayoría de los servicios y las API de Google, sin importar si son compatibles con los Controles del servicio de VPC. Incluye acceso a la API de Maps, Google Ads, Google Cloud y la mayoría de las demás API de Google, incluidas las listas que aparecen a continuación. Es incompatible con las aplicaciones web de Google Workspace. No es compatible con ningún sitio web interactivo.

Nombres de dominio con las siguientes terminaciones:
  • googleapis.com
  • googleadapis.com
  • ltsapis.goog
  • gcr.io
  • pkg.dev
  • gstatic.com
  • appspot.com
  • cloudfunctions.net
  • pki.goog
  • cloudproxy.app
  • run.app
  • datafusion.googleusercontent.com
  • datafusion.cloud.google.com
  • notebooks.cloud.google.com
  • notebooks.googleusercontent.com
Nombres de dominio o host que coinciden:
  • appengine.google.com
  • gcr.io
  • packages.cloud.google.com
  • pkg.dev
  • pki.goog
  • source.developers.google.com

Usa private.googleapis.com para acceder a las API y a los servicios de Google mediante un conjunto de direcciones IP que solo se pueden enrutar desde Google Cloud.

Elige private.googleapis.com en estas circunstancias:

  • Si no usas los Controles del servicio de VPC.
  • Debes usar los Controles del servicio de VPC, así como acceder a los servicios y las API de Google que no son compatibles con estos controles.

restricted.googleapis.com

199.36.153.4/30
Habilita el acceso a la API a los servicios y las API de Google que son compatibles con los Controles del servicio de VPC.

Bloquea el acceso a los servicios y a las API de Google que son incompatibles con los Controles del servicio de VPC. Es incompatible con las aplicaciones web de Google Workspace y con las API de Google Workspace.

Usa restricted.googleapis.com para acceder a las API y a los servicios de Google mediante un conjunto de direcciones IP que solo se pueden enrutar desde Google Cloud.

Elige restricted.googleapis.com solo cuando necesites acceso a los servicios y las API de Google que son compatibles con los Controles del servicio de VPC. restricted.googleapis.com no permite el acceso a los servicios ni las API de Google que no son compatibles con los Controles del servicio de VPC.

Servicios compatibles

Los servicios disponibles para los hosts locales se limitan a los admitidos por el nombre de dominio y la VIP que se usan a fin de acceder a ellos. Para obtener más información, consulta VIP y dominios específicos del acceso privado a Google.

Ejemplo

En este ejemplo, la red local está conectada a una red de VPC a través de un túnel de Cloud VPN. El tráfico de los hosts locales a las API de Google fluye a través del túnel a la red de VPC. Una vez que el tráfico llega a la red de VPC, se envía a través de una ruta que usa la puerta de enlace de Internet predeterminada como su siguiente salto. Este siguiente salto permite que el tráfico salga de la red de VPC y se entregue en restricted.googleapis.com (199.36.153.4/30).

Caso de uso del Acceso privado a Google en la nube híbrida (haz clic para ampliar)
  • La configuración de DNS local asigna solicitudes *.googleapis.com a restricted.googleapis.com, que se resuelve en 199.36.153.4/30.
  • Cloud Router se configuró para anunciar el rango de direcciones IP 199.36.153.4/30 a través del túnel de Cloud VPN mediante un anuncio de ruta personalizado. El tráfico que se dirige a las API de Google se enruta a través del túnel a la red de VPC.
  • Se agregó una ruta estática personalizada a la red de VPC que dirige el tráfico con el destino 199.36.153.4/30 a la puerta de enlace de Internet predeterminada (como el siguiente salto). Luego, Google enruta el tráfico al servicio o a la API adecuados.
  • Si creaste una zona privada administrada por Cloud DNS para *.googleapis.com que se asigna a 199.36.153.4/30 y autorizaste esa zona a fin de que la use la red de VPC, las solicitudes a cualquier dominio googleapis.com se enviarán a las direcciones IP que usa restricted.googleapis.com. Con esta configuración, solo se puede acceder a las API compatibles, lo que puede generar que no se pueda acceder a otros servicios. Cloud DNS no admite anulaciones parciales. Si necesitas anulaciones parciales, usa BIND.

¿Qué sigue?