Accès privé à Google pour les hôtes sur site

Les hôtes sur site peuvent accéder aux API et services Google en utilisant Cloud VPN ou Cloud Interconnect entre votre réseau sur site et Google Cloud. Les hôtes sur site peuvent envoyer du trafic depuis les types d'adresses IP sources suivants :

  • Une adresse IP privée, telle qu'une adresse RFC 1918
  • Une adresse IP publique utilisée en mode privé, à l'exception des adresses IP publiques appartenant à Google (La fonctionnalité d'Accès privé à Google pour les hôtes sur site ne permet pas de réutiliser des adresses IP publiques de Google comme sources au sein de votre réseau sur site.)

Pour activer l'accès privé Google pour les hôtes sur site, vous devez configurer le DNS, les règles de pare-feu et les routes pour vos réseaux sur site et VPC. Vous n'avez pas besoin d'activer l'Accès privé à Google pour les sous-réseaux de votre réseau VPC, alors que cela est nécessaire pour activer l'Accès privé à Google pour des instances de VM Google Cloud.

Les hôtes sur site doivent se connecter aux API et services Google à l'aide des adresses IP virtuelles des domaines restricted.googleapis.com ou private.googleapis.com. Pour plus d'informations, reportez-vous à la section Domaines et adresses IP virtuelles spécifiques pour l'Accès privé à Google.

Google rend publics les enregistrements DNS A qui permettent la résolution des domaines vers une plage VIP. Même si les plages ont des adresses IP externes, Google ne publie pas de routes pour celles-ci. Par conséquent, vous devez ajouter une annonce de routage personnalisée sur un routeur Cloud Router et disposer d'une route statique personnalisée adéquate au sein de votre réseau VPC pour la destination de l'adresse IP virtuelle.

La route doit avoir une destination correspondant à l'une des plages d'adresses IP virtuelles, le saut suivant étant la passerelle Internet par défaut. Le trafic envoyé à la plage d'adresses IP virtuelles reste sur le réseau de Google sans traverser l'Internet public, car Google ne publie pas en externe de routes menant à ces plages.

Pour plus d'informations sur la configuration, consultez la section Configurer l'accès privé à Google pour les hôtes sur site.

Services compatibles

Les services disponibles pour les hôtes sur site sont limités aux services acceptés par le nom de domaine et l'adresse IP virtuelle utilisés pour y accéder. Pour en savoir plus, consultez la page Options de domaine.

Exemple

Dans l'exemple suivant, le réseau local est connecté à un réseau VPC via un tunnel Cloud VPN. Le trafic des hôtes locaux vers les API Google passe par le tunnel vers le réseau VPC. Une fois que le trafic atteint le réseau VPC, il est envoyé via une route utilisant la passerelle Internet par défaut comme saut suivant. Ce saut suivant permet au trafic de quitter le réseau VPC et d'être transmis à restricted.googleapis.com (199.36.153.4/30).

Accès privé à Google pour un cas d'utilisation de cloud hybride (cliquez pour agrandir)
  • La configuration DNS sur site mappe les requêtes *.googleapis.com avec restricted.googleapis.com, qui pointe vers la plage 199.36.153.4/30.
  • Cloud Router a été configuré pour annoncer la plage d'adresses IP 199.36.153.4/30 via le tunnel Cloud VPN à l'aide d'une annonce de routage personnalisée. Le trafic envoyé vers les API Google est acheminé via le tunnel vers le réseau VPC.
  • Une route statique personnalisée a été ajoutée au réseau VPC qui dirige le trafic ayant la destination 199.36.153.4/30 vers la passerelle Internet par défaut (définie comme saut suivant). Google achemine ensuite le trafic vers l'API ou le service approprié.
  • Si vous avez créé une zone gérée privée Cloud DNS pour *.googleapis.com mappée avec la plage 199.36.153.4/30, et que vous avez autorisé cette zone à être utilisée par votre réseau VPC, toute requête vers une ressource du domaine googleapis.com est envoyée aux adresses IP utilisées par restricted.googleapis.com. Seules les API compatibles sont accessibles avec cette configuration, ce qui peut rendre d'autres services inaccessibles. Cloud DNS n'est pas compatible avec les remplacements partiels. Si vous avez besoin de remplacements partiels, utilisez BIND.

Étapes suivantes