Accès privé à Google pour les hôtes sur site

Les hôtes sur site peuvent accéder aux API et services Google en utilisant Cloud VPN ou Cloud Interconnect entre votre réseau sur site et Google Cloud. Les hôtes sur site peuvent envoyer du trafic depuis les types d'adresses IP sources suivants :

  • Une adresse IP privée, telle qu'une adresse RFC 1918
  • Une adresse IP publique utilisée en mode privé, à l'exception des adresses IP publiques appartenant à Google (La fonctionnalité d'Accès privé à Google pour les hôtes sur site ne permet pas de réutiliser des adresses IP publiques de Google comme sources au sein de votre réseau sur site.)

Pour activer l'accès privé Google pour les hôtes sur site, vous devez configurer le DNS, les règles de pare-feu et les routes pour vos réseaux sur site et VPC. Vous n'avez pas besoin d'activer l'Accès privé à Google pour les sous-réseaux de votre réseau VPC, alors que cela est nécessaire pour activer l'Accès privé à Google pour des instances de VM Google Cloud.

Les hôtes sur site doivent se connecter aux API et services Google à l'aide des adresses IP virtuelles des domaines restricted.googleapis.com ou private.googleapis.com. Pour plus d'informations, reportez-vous à la section Domaines et adresses IP virtuelles spécifiques pour l'Accès privé à Google.

Google rend publics les enregistrements DNS A qui permettent la résolution des domaines vers une plage VIP. Même si les plages ont des adresses IP externes, Google ne publie pas de routes pour celles-ci. Par conséquent, vous devez ajouter une annonce de routage personnalisée sur un routeur Cloud Router et disposer d'une route statique personnalisée adéquate au sein de votre réseau VPC pour la destination de l'adresse IP virtuelle.

La route doit avoir une destination correspondant à l'une des plages d'adresses IP virtuelles, le saut suivant étant la passerelle Internet par défaut. Le trafic envoyé à la plage d'adresses IP virtuelles reste sur le réseau de Google sans traverser l'Internet public, car Google ne publie pas en externe de routes menant à ces plages.

Pour plus d'informations sur la configuration, consultez la section Configurer l'accès privé à Google pour les hôtes sur site.

Domaines et adresses IP virtuelles spécifiques pour l'Accès privé à Google

Le tableau suivant décrit les noms de domaine et la plage VIP correspondante. Vous devez utiliser l'une de ces adresses IP virtuelles pour l'Accès privé à Google pour les hôtes sur site.

Les adresses IP virtuelles private.googleapis.com et restricted.googleapis.com n'acceptent que les protocoles basés sur HTTP via TCP (HTTP, HTTPS et HTTP/2). Tous les autres protocoles, y compris MQTT et ICMP, ne sont pas compatibles.

Domaines et plages d'adresses IP Services compatibles Exemple d'utilisation
Domaines par défaut

Tous les noms de domaine des API et services Google, à l'exception de private.googleapis.com et restricted.googleapis.com.

Différentes plages d'adresses IP : vous pouvez déterminer un ensemble de plages d'adresses IP contenant les adresses possibles utilisées par les domaines par défaut en faisant référence aux adresses IP des domaines par défaut.
Autorise l'accès API à la plupart des API et services Google, qu'ils soient ou non compatibles avec VPC Service Controls. Inclut l'accès API à Google Maps, Google Ads et Google Cloud. Inclut Google Workspace et d'autres applications Web. Les domaines par défaut sont utilisés lorsque vous ne configurez pas d'enregistrements DNS pour private.googleapis.com et restricted.googleapis.com.
private.googleapis.com

199.36.153.8/30
Autorise l'accès API à la plupart des API et services Google, qu'ils soient ou non compatibles avec VPC Service Controls. Inclut l'accès API à Maps, Google Ads, Google Cloud et la plupart des autres API Google, y compris les listes ci-dessous. Non compatible avec les applications Web Google Workspace. Non compatible avec les sites Web interactifs.

Noms de domaine correspondant à :
  • accounts.google.com (seuls les chemins d'accès requis pour l'authentification OAuth)
  • appengine.google.com
  • *.appspot.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • gcr.io ou *.gcr.io
  • *.googleadapis.com
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev ou *.pkg.dev
  • pki.goog ou *.pki.goog
  • *.run.app
  • source.developers.google.com

Utilisez private.googleapis.com pour accéder aux API et services Google à l'aide d'un ensemble d'adresses IP routables seulement depuis Google Cloud.

Choisissez private.googleapis.com dans les cas suivants :

  • Vous n'utilisez pas VPC Service Controls.
  • Vous utilisez VPC Service Controls, mais vous devez également accéder à des API et services Google qui ne sont pas compatibles avec VPC Service Controls.

restricted.googleapis.com

199.36.153.4/30
Autorise l'accès API aux API et services Google compatibles avec VPC Service Controls.

Bloque l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls. Non compatible avec les applications Web Google Workspace ni avec les API Google Workspace.

Utilisez restricted.googleapis.com pour accéder aux API et services Google à l'aide d'un ensemble d'adresses IP routables seulement depuis Google Cloud.

Choisissez restricted.googleapis.com si vous devez exclusivement accéder aux API et services Google compatibles avec VPC Service Controls. restricted.googleapis.com n'autorise pas l'accès aux API et services Google qui ne sont pas compatibles avec VPC Service Controls.

Services compatibles

Les services disponibles pour les hôtes sur site sont limités aux services acceptés par le nom de domaine et l'adresse IP virtuelle utilisés pour y accéder. Pour plus d'informations, consultez la section Domaines et adresses IP virtuelles spécifiques pour l'Accès privé à Google.

Exemple

Dans l'exemple suivant, le réseau local est connecté à un réseau VPC via un tunnel Cloud VPN. Le trafic des hôtes locaux vers les API Google passe par le tunnel vers le réseau VPC. Une fois que le trafic atteint le réseau VPC, il est envoyé via une route utilisant la passerelle Internet par défaut comme saut suivant. Ce saut suivant permet au trafic de quitter le réseau VPC et d'être transmis à restricted.googleapis.com (199.36.153.4/30).

Accès privé à Google pour un cas d'utilisation de cloud hybride (cliquez pour agrandir)
  • La configuration DNS sur site mappe les requêtes *.googleapis.com avec restricted.googleapis.com, qui pointe vers la plage 199.36.153.4/30.
  • Cloud Router a été configuré pour annoncer la plage d'adresses IP 199.36.153.4/30 via le tunnel Cloud VPN à l'aide d'une annonce de routage personnalisée. Le trafic envoyé vers les API Google est acheminé via le tunnel vers le réseau VPC.
  • Une route statique personnalisée a été ajoutée au réseau VPC qui dirige le trafic ayant la destination 199.36.153.4/30 vers la passerelle Internet par défaut (définie comme saut suivant). Google achemine ensuite le trafic vers l'API ou le service approprié.
  • Si vous avez créé une zone gérée privée Cloud DNS pour *.googleapis.com mappée avec la plage 199.36.153.4/30, et que vous avez autorisé cette zone à être utilisée par votre réseau VPC, toute requête vers une ressource du domaine googleapis.com est envoyée aux adresses IP utilisées par restricted.googleapis.com. Seules les API compatibles sont accessibles avec cette configuration, ce qui peut rendre d'autres services inaccessibles. Cloud DNS n'est pas compatible avec les remplacements partiels. Si vous avez besoin de remplacements partiels, utilisez BIND.

Étape suivante