适用于本地主机的专用 Google 访问权限
本地主机通过将本地网络中的 Cloud VPN 或 Cloud Interconnect 连接到 Google Cloud,可以访问 Google API 和服务。本地主机可以从以下类型的源 IP 地址发送流量:
- 专用 IP 地址,例如 RFC 1918 地址
- 以非公开方式使用的公共 IP 地址,但 Google 拥有的公共 IP 地址除外(适用于本地主机的专用 Google 访问通道不支持将 Google 公共 IP 地址重复用作本地网络中的源)。
如需为本地主机启用专用 Google 访问通道,您必须在本地和 VPC 网络中配置 DNS、防火墙规则和路由。您无需像为 Google Cloud 虚拟机实例启用专用 Google 访问通道一样,为 VPC 网络中的任何子网启用专用 Google 访问通道。
本地主机必须使用 restricted.googleapis.com 或 private.googleapis.com 网域的虚拟 IP 地址 (VIP) 连接到 Google API 和服务。如需了解详情,请参阅特定于专用 Google 访问通道的网域和 VIP。
Google 公开发布可将网域解析为 VIP 范围的 DNS A 记录。即使范围中有外部 IP 地址,Google 也不会为其发布路由。因此,您必须在 Cloud Router 路由器上添加自定义通告路由,并在您的 VPC 网络中为 VIP 目标指定相应的自定义静态路由。
路由必须具有与其中一个 VIP 范围相匹配的目标,并且下一个跃点是默认的互联网网关。发送到 VIP 范围的流量会保留在 Google 的网络中,而不会穿越公共互联网,因为 Google 不会在外部发布目标为 VIP 范围的路由。
如需了解配置信息,请参阅配置适用于本地主机的专用 Google 访问通道。
支持的服务
本地主机仅可使用用于访问这些主机的域名和 VIP 所支持的服务。如需了解详情,请参阅网域选项。
示例
在以下示例中,本地网络通过 Cloud VPN 隧道连接到 VPC 网络。从本地主机到 Google API 的流量经由隧道传输到 VPC 网络。流量到达 VPC 网络后,将通过使用默认互联网网关作为下一个跃点的路由发送。该下一个跃点允许流量离开 VPC 网络并传送到 restricted.googleapis.com (199.36.153.4/30)。
- 本地 DNS 配置会将
*.googleapis.com请求映射到解析为199.36.153.4/30的restricted.googleapis.com。 - Cloud Router 已配置为使用自定义通告路由通过 Cloud VPN 隧道通告
199.36.153.4/30IP 地址范围。流向 Google API 的流量会经由隧道路由到 VPC 网络。 - 系统向 VPC 网络添加了自定义静态路由,该路由会将目的地为
199.36.153.4/30的流量定向到默认互联网网关(作为下一个跃点)。然后,Google 会将流量路由到相应的 API 或服务。 - 如果您针对
*.googleapis.com创建了一个映射到199.36.153.4/30的 Cloud DNS 管理的专用区域,且已授权该区域供您的 VPC 网络使用,则对googleapis.com网域内任何内容的请求都将发送到restricted.googleapis.com使用的 IP 地址。通过此配置只能访问受支持的 API,这可能会导致无法访问其他服务。Cloud DNS 不支持部分替换。如果您需要使用部分替换,请使用 BIND。
后续步骤
- 如需为本地主机配置专用 Google 访问通道,请参阅为本地主机配置专用 Google 访问通道。