Acesso privado do Google para hosts locais

Hosts locais podem acessar serviços e APIs do Google usando o Cloud VPN ou o Cloud Interconnect da rede local até o Google Cloud. Hosts locais podem enviar tráfego dos seguintes tipos de endereços IP de origem:

  • Um endereço IP privado, como um endereço RFC 1918
  • Um endereço IP público de uso privado, exceto um endereço IP público do Google (O Acesso privado do Google para hosts locais não é compatível com a reutilização de endereços IP públicos do Google como origens na rede local.)

Para ativar o Acesso privado do Google para hosts locais, você precisa configurar o DNS, as regras de firewall e as rotas nas suas redes locais e VPC. Você não precisa ativar o Acesso privado do Google para qualquer sub-rede na sua rede VPC, como faria para o Acesso privado do Google para instâncias de VM do Google Cloud.

Hosts locais precisam se conectar aos serviços e às APIs do Google usando os endereços IP virtuais (VIPs) de um destes domínios: restricted.googleapis.com ou private.googleapis.com. Consulte VIPs e domínios específicos de Acesso privado do Google para mais detalhes.

O Google divulga publicamente os registros A de DNS que resolvem os domínios para um intervalo de VIPs. Mesmo que os intervalos tenham endereços IP externos, o Google não divulga rotas para eles. Portanto, você deve adicionar uma divulgação de rota personalizada em um Cloud Router e ter uma rota estática personalizada apropriada em sua rede VPC para o destino do VIP.

A rota deve ter um destino correspondente a um dos intervalos de VIPs e ter o gateway de Internet padrão como próximo salto. O tráfego enviado para o intervalo de VIPs permanece dentro da rede do Google em vez de passar pela Internet pública porque o Google não divulga rotas para eles externamente.

Se você quiser mais informações, consulte Como configurar o Acesso privado do Google para hosts locais.

VIPs e domínios específicos de Acesso privado do Google

A tabela a seguir descreve os nomes de domínio e seu intervalo de VIPs. Você deve usar um desses VIPs para o Acesso privado do Google para hosts locais.

Os VIPs private.googleapis.com e restricted.googleapis.com são compatíveis apenas com protocolos baseados em HTTP sobre TCP (HTTP, HTTPS e HTTP/2). Todos os outros protocolos, incluindo MQTT e ICMP, não são compatíveis.

Intervalos de domínios e endereços IP Serviços compatíveis Exemplo de uso
Domínios padrão

Todos os nomes de domínio para APIs e serviços do Google exceto private.googleapis.com e restricted.googleapis.com.

Vários intervalos de endereços IP: é possível determinar um conjunto de intervalos de IP que contenha os possíveis endereços usados pelos domínios padrão consultando os endereços IP de domínios padrão
Permite o acesso da API à maioria das APIs e serviços do Google, sejam ou não compatíveis com o VPC Service Controls. Inclui acesso da API ao Google Maps, ao Google Ads e ao Google Cloud. Inclui o Google Workspace e outros aplicativos da Web. Os domínios padrão são usados quando você não configura registros DNS para private.googleapis.com e restricted.googleapis.com
private.googleapis.com

199.36.153.8/30
Permite o acesso da API à maioria das APIs e serviços do Google, sejam ou não compatíveis com o VPC Service Controls. Inclui acesso da API ao Maps, Google Ads, Google Cloud e à maioria das outras APIs Google, incluindo as listas abaixo. Não é compatível com aplicativos da Web do Google Workspace. Não é compatível com sites interativos.

Nomes de domínio que correspondem:
  • accounts.google.com (somente os caminhos necessários para a autenticação do OAuth)
  • appengine.google.com
  • *.appspot.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • gcr.io ou *.gcr.io
  • *.googleadapis.com
  • *.googleapis.com
  • *.gstatic.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev ou *.pkg.dev
  • pki.goog ou *.pki.goog
  • *.run.app
  • source.developers.google.com

Use private.googleapis.com para acessar APIs e serviços do Google usando um conjunto de endereços IP somente roteáveis do Google Cloud.

Escolha private.googleapis.com nestas circunstâncias:

  • Você não usa o VPC Service Controls.
  • Você usa o VPC Service Controls, mas também precisa acessar APIs e serviços do Google que não são compatíveis com o VPC Service Controls.

restricted.googleapis.com

199.36.153.4/30
Permite o acesso da API a APIs e serviços do Google compatíveis com o VPC Service Controls.

Bloqueia o acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls. Não é compatível com aplicativos da Web do Google Workspace ou com APIs do Google Workspace.

Use restricted.googleapis.com para acessar APIs e serviços do Google usando um conjunto de endereços IP somente roteáveis do Google Cloud.

Escolha restricted.googleapis.com quando você precisar de acesso a APIs e serviços do Google compatíveis com o VPC Service Controls. O restricted.googleapis.com não permite acesso a APIs e serviços do Google que não são compatíveis com o VPC Service Controls.

Serviços compatíveis

Os serviços disponíveis para hosts locais são limitados àqueles compatíveis com o nome de domínio e VIP usados para acessá-los. Consulte VIPs e domínios específicos de acesso particular do Google para detalhes.

Exemplo

No exemplo a seguir, a rede local é conectada a uma rede VPC por meio de um túnel do Cloud VPN. O tráfego de hosts locais para as APIs do Google viaja pelo túnel até a rede VPC. Depois que o tráfego atinge essa rede, ele é enviado por meio de uma rota que usa o gateway de Internet padrão como próximo salto. Esse próximo salto permite que o tráfego deixe a rede VPC e seja entregue a restricted.googleapis.com (199.36.153.4/30).

Acesso privado do Google para caso de uso de nuvem híbrida (clique para ampliar)
  • A configuração de DNS local mapeia as solicitações *.googleapis.com para restricted.googleapis.com, que são resolvidas para 199.36.153.4/30.
  • O Cloud Router foi configurado para divulgar o intervalo de endereços IP 199.36.153.4/30 por meio do túnel do Cloud VPN usando uma divulgação de rota personalizada. O tráfego encaminhado para as APIs do Google é roteado pelo túnel até a rede VPC.
  • Uma rota estática personalizada foi adicionada à rede VPC, que direciona o tráfego com o destino 199.36.153.4/30 para o gateway padrão da Internet (como o próximo salto). O Google então o direciona para a API ou o serviço apropriado.
  • Se você criou uma zona privada gerenciada do Cloud DNS para *.googleapis.com mapeada para 199.36.153.4/30 e autorizou que ela fosse usada pela rede VPC, as solicitações para qualquer coisa no domínio googleapis.com são enviadas para os endereços IP usados por restricted.googleapis.com. Somente as APIs compatíveis são acessíveis com essa configuração, o que pode tornar outros serviços inacessíveis. O Cloud DNS não aceita modificações parciais. Se você precisar de modificações parciais, utilize o BIND.

A seguir