온프레미스 호스트의 비공개 Google 액세스

온프레미스 호스트는 온프레미스 네트워크부터 Google Cloud까지 이어지는 Cloud VPN 또는 Cloud Interconnect 연결을 통해 Google API 및 서비스에 도달할 수 있습니다. 온프레미스 호스트는 다음 유형의 소스 IP 주소에서 트래픽을 전송합니다.

  • 비공개 IP 주소(예: RFC 1918 주소)
  • Google 소유 공개 IP 주소를 제외한 비공개로 사용된 공개 IP 주소. 온프레미스 호스트의 비공개 Google 액세스에는 온프레미스 네트워크의 소스로 Google 비공개 IP 주소를 재사용할 수 없습니다.

온프레미스 호스트에 비공개 Google 액세스를 사용 설정하려면 온프레미스 및 VPC 네트워크에 DNS, 방화벽 규칙, 경로를 구성해야 합니다. Google Cloud VM 인스턴스에 비공개 Google 액세스를 사용 설정하는 것과 마찬가지로 VPC 네트워크의 서브넷에 비공개 Google 액세스를 사용 설정할 필요는 없습니다.

온프레미스 호스트는 restricted.googleapis.com 또는 private.googleapis.com 도메인의 가상 IP 주소(VIP)를 사용하여 Google API 및 서비스에 연결되어야 합니다. 자세한 내용은 비공개 Google 액세스별 도메인 및 VIP를 참조하세요.

Google은 도메인이 VIP 범위로 확인되는 DNS A 레코드를 공개적으로 게시합니다. 범위에 외부 IP 주소가 포함되더라도 Google은 이에 대한 경로를 게시하지 않습니다. 따라서 Cloud Router에서 커스텀 경고 공지를 추가하고 VPC 네트워크에 VIP 대상에 대한 커스텀 정적 경로를 지정해야 합니다.

경로에는 VIP 범위 중 하나와 일치하는 대상이 있어야 하고 다음 홉은 기본 인터넷 게이트웨이여야 합니다. Google이 VIP 범위에 대한 경로를 외부에 공개하지 않기 때문에 이 VIP 범위로 전송된 트래픽은 공개 인터넷을 거치지 않고 Google 네트워크를 벗어나지 않습니다.

구성 정보는 온프레미스 호스트의 비공개 Google 액세스 구성을 참조하세요.

비공개 Google 액세스별 도메인 및 VIP

다음 표에는 도메인 이름과 관련 VIP 범위가 나와 있습니다. 온프레미스 호스트에는 비공개 Google 액세스용 VIP 중 하나만 사용해야 합니다.

도메인 및 IP 주소 범위 지원되는 서비스 사용 예시
기본 도메인

private.googleapis.comrestricted.googleapis.com제외한 Google API 및 서비스의 모든 도메인 이름입니다.

다양한 IP 주소 범위 - 기본 도메인의 IP 주소를 참조하여 기본 도메인에서 사용 가능한 주소가 포함된 IP 범위 집합을 확인할 수 있습니다.
VPC 서비스 제어에서 지원하는지 여부에 관계없이 대부분의 Google API 및 서비스에 대한 API 액세스를 사용 설정합니다. Google 지도, Google Ads, Google Cloud에 대한 API 액세스 권한이 포함됩니다. Google Workspace 및 기타 웹 애플리케이션을 포함합니다. private.googleapis.comrestricted.googleapis.com의 DNS 레코드를 구성하지 않은 경우 기본 도메인이 사용됩니다.
private.googleapis.com

199.36.153.8/30
VPC 서비스 제어에서 지원하는지 여부에 관계없이 대부분의 Google API 및 서비스에 대한 API 액세스를 사용 설정합니다. 아래 목록을 포함하여 지도, Google Ads, Google Cloud, 다른 대부분의 Google API에 대한 API 액세스가 포함됩니다. Google Workspace 웹 애플리케이션은 지원하지 않습니다. 대화형 웹사이트를 지원하지 않습니다.

다음으로 끝나는 도메인 이름:
  • googleapis.com
  • googleadapis.com
  • ltsapis.goog
  • gcr.io
  • pkg.dev
  • gstatic.com
  • appspot.com
  • cloudfunctions.net
  • pki.goog
  • cloudproxy.app
  • run.app
  • datafusion.googleusercontent.com
  • datafusion.cloud.google.com
  • notebooks.cloud.google.com
  • notebooks.googleusercontent.com
일치하는 호스트/도메인 이름:
  • appengine.google.com
  • gcr.io
  • packages.cloud.google.com
  • pkg.dev
  • pki.goog
  • source.developers.google.com

private.googleapis.com에서 Google Cloud 내에서만 라우팅할 수 있는 IP 주소 집합을 사용하여 Google API 및 서비스에 액세스합니다.

다음과 같은 상황에서 private.googleapis.com을 선택합니다.

  • VPC 서비스 제어를 사용하지 않는 경우
  • VPC 서비스 제어를 사용하지만 VPC 서비스 제어에서 지원하지 않는 Google API 및 서비스에도 액세스해야 하는 경우

restricted.googleapis.com

199.36.153.4/30
VPC 서비스 제어가 지원하는 Google API 및 서비스에 대한 API 액세스를 사용 설정합니다.

VPC 서비스 제어를 지원하지 않는 Google API 및 서비스에 대한 액세스를 차단합니다. Google Workspace 웹 애플리케이션 또는 Google Workspace API를 지원하지 않습니다.

restricted.googleapis.com에서 Google Cloud 내에서만 라우팅할 수 있는 IP 주소 집합을 사용하여 Google API 및 서비스에 액세스합니다.

VPC 서비스 제어에서 지원하는 Google API 및 서비스에 액세스해야 하는 경우에만 restricted.googleapis.com을 선택합니다. restricted.googleapis.com은 VPC 서비스 제어를 지원하지 않는 Google API 및 서비스에 대한 액세스를 허용하지 않습니다.

지원되는 서비스

온프레미스 호스트에서 사용할 수 있는 서비스는 액세스에 사용되는 도메인 이름 및 VIP에서 지원되는 서비스로 제한됩니다. 자세한 내용은 비공개 Google 액세스별 도메인 및 VIP를 참조하세요.

예시

아래의 예시에서 온프레미스 네트워크는 Cloud VPN 터널을 통해 VPC 네트워크에 연결됩니다. 온프레미스 호스트에서 Google API로 전달되는 트래픽은 터널을 통해 VPC 네트워크로 이동합니다. VPC 네트워크에 도착한 트래픽은 기본 인터넷 게이트웨이를 다음 홉으로 사용하는 경로를 통해 전송됩니다. 다음 홉은 트래픽이 VPC 네트워크를 떠나 restricted.googleapis.com(199.36.153.4/30)로 전달되도록 합니다.

하이브리드 클라우드 사용 사례를 위한 비공개 Google 액세스(확대하려면 클릭)
  • 온프레미스 DNS 구성은 *.googleapis.com 요청을 199.36.153.4/30으로 확인되는 restricted.googleapis.com에 매핑합니다.
  • Cloud Router는 커스텀 경로 공지를 사용하여 Cloud VPN 터널을 통해 199.36.153.4/30 IP 주소 범위를 알리도록 구성되었습니다. Google API로 이동하는 트래픽은 터널을 통해 VPC 네트워크로 라우팅됩니다.
  • 대상이 199.36.153.4/30인 트래픽을 기본 인터넷 게이트웨이(다음 홉)로 전달하는 VPC 네트워크에 커스텀 정적 경로가 추가되었습니다. 그러면 Google은 적절한 API 또는 서비스로 트래픽을 라우팅합니다.
  • 199.36.153.4/30에 매핑되는 *.googleapis.com에 대해 Cloud DNS 관리형 비공개 영역을 만들고 VPC 네트워크에서 사용하도록 해당 영역을 승인했으면 googleapis.com 도메인의 모든 영역에 대한 요청은 restricted.googleapis.com에서 사용되는 IP 주소로 전송됩니다. 지원되는 API만 이 구성으로 액세스할 수 있어 다른 서비스는 도달하지 못할 수도 있습니다. Cloud DNS는 부분 재정의를 지원하지 않습니다. 부분 재정의가 필요하다면 BIND를 사용하세요.

다음 단계