适用于本地主机的专用 Google 访问权限

本地主机通过将本地网络中的 Cloud VPNCloud Interconnect 连接到 Google Cloud,可以访问 Google API 和服务。本地主机可以从以下类型的源 IP 地址发送流量:

  • 专用 IP 地址,例如 RFC 1918 地址
  • 以非公开方式使用的公共 IP 地址,但 Google 拥有的公共 IP 地址除外(适用于本地主机的专用 Google 访问通道不支持将 Google 公共 IP 地址重复用作本地网络中的源)。

如需为本地主机启用专用 Google 访问通道,您必须在本地和 VPC 网络中配置 DNS、防火墙规则和路由。您无需像为 Google Cloud 虚拟机实例启用专用 Google 访问通道一样,为 VPC 网络中的任何子网启用专用 Google 访问通道。

本地主机必须使用 restricted.googleapis.comprivate.googleapis.com 网域的虚拟 IP 地址 (VIP) 连接到 Google API 和服务。如需了解详情,请参阅特定于专用 Google 访问通道的网域和 VIP

Google 公开发布可将网域解析为 VIP 范围的 DNS A 记录。即使范围中有外部 IP 地址,Google 也不会为其发布路由。因此,您必须在 Cloud Router 路由器上添加自定义路由通告,并在您的 VPC 网络中为 VIP 目标指定相应的自定义静态路由。

路由必须具有与其中一个 VIP 范围相匹配的目标,并且下一个跃点是默认的互联网网关。发送到 VIP 范围的流量会保留在 Google 的网络中,而不会穿越公共互联网,因为 Google 不会在外部发布目标为 VIP 范围的路由。

如需了解配置信息,请参阅配置适用于本地主机的专用 Google 访问通道

特定于专用 Google 访问通道的网域和 VIP

下表介绍了域名及其 VIP 范围。您必须针对适用于本地主机的专用 Google 访问通道使用以下某个 VIP。

private.googleapis.comrestricted.googleapis.com VIP 仅支持 TCP 上基于 HTTP 的协议(HTTP、HTTPS 和 HTTP/2)。不支持所有其他协议,包括 MQTT 和 ICMP。

网域和 IP 地址范围 支持的服务 用法示例
默认网域

Google API 和服务的所有网域,private.googleapis.comrestricted.googleapis.com 除外。

各种 IP 地址范围,您可以通过引用默认网域的 IP 地址来确定一组默认 IP 地址使用的可能 IP 地址范围
启用对大多数 Google API 和服务的 API 访问权限,无论这些 Google API 和服务是否受 VPC Service Controls 支持。包括对 Google 地图、Google Ads、Google Cloud 的 API 访问权限。包括 Google Workspace 和其他 Web 应用。 如果您没有为 private.googleapis.comrestricted.googleapis.com 配置 DNS 记录,则系统会使用默认网域
private.googleapis.com

199.36.153.8/30
启用对大多数 Google API 和服务的 API 访问权限,无论这些 Google API 和服务是否受 VPC Service Controls 支持。包括对 Google 地图、Google Ads、Google Cloud 以及大多数其他 Google API(包括以下列表)的 API 访问权限。不支持 Google Workspace Web 应用。 不支持任何交互式网站。

域名结尾为:
  • googleapis.com
  • googleadapis.com
  • ltsapis.goog
  • gcr.io
  • pkg.dev
  • gstatic.com
  • appspot.com
  • cloudfunctions.net
  • pki.goog
  • cloudproxy.app
  • run.app
  • datafusion.googleusercontent.com
  • datafusion.cloud.google.com
  • notebooks.cloud.google.com
  • notebooks.googleusercontent.com
主机名/域名匹配:
  • appengine.google.com
  • gcr.io
  • packages.cloud.google.com
  • pkg.dev
  • pki.goog
  • source.developers.google.com

使用 private.googleapis.com 通过一组仅可从 Google Cloud 路由的 IP 地址访问 Google API 和服务。

在以下情况下选择 private.googleapis.com

  • 您没有使用 VPC Service Controls。
  • 您正在使用 VPC Service Controls,但还需要访问 VPC Service Controls 不支持的 Google API 和服务。

restricted.googleapis.com

199.36.153.4/30
启用对 VPC Service Controls 所支持的 Google API 和服务的 API 访问权限。

阻止对不支持 VPC Service Controls 的 Google API 和服务的访问权限。不支持 Google Workspace Web 应用或 Google Workspace API。

使用 restricted.googleapis.com 通过一组仅可从 Google Cloud 路由的 IP 地址访问 Google API 和服务。

如果您需要访问 VPC Service Controls 支持的 Google API 和服务,请选择 restricted.googleapis.com - restricted.googleapis.com 不允许访问不支持 VPC Service Controls 的 Google API 和服务。

支持的服务

本地主机仅可使用用于访问这些主机的域名和 VIP 所支持的服务。如需了解详情,请参阅特定于专用 Google 访问通道的网域和 VIP

示例

在以下示例中,本地网络通过 Cloud VPN 隧道连接到 VPC 网络。从本地主机到 Google API 的流量经由隧道传输到 VPC 网络。流量到达 VPC 网络后,将通过使用默认互联网网关作为下一跃点的路由发送。该下一跃点允许流量离开 VPC 网络并传送到 restricted.googleapis.com (199.36.153.4/30)。

面向混合云的专用 Google 访问通道用例(点击可放大)
  • 本地 DNS 配置会将 *.googleapis.com 请求映射到解析为 199.36.153.4/30restricted.googleapis.com
  • Cloud Router 已配置为使用自定义路由通告通过 Cloud VPN 隧道通告 199.36.153.4/30 IP 地址范围。流向 Google API 的流量会经由隧道路由到 VPC 网络。
  • 系统向 VPC 网络添加了自定义静态路由,该路由会将目的地为 199.36.153.4/30 的流量定向到默认互联网网关(作为下一个跃点)。然后,Google 会将流量路由到相应的 API 或服务。
  • 如果您针对 *.googleapis.com 创建了一个映射到 199.36.153.4/30 的 Cloud DNS 管理的专用区域,且已授权该区域供您的 VPC 网络使用,则对 googleapis.com 网域内任何内容的请求都将发送到 restricted.googleapis.com 使用的 IP 地址。通过此配置只能访问受支持的 API,这可能会导致无法访问其他服务。Cloud DNS 不支持部分替换。如果您需要使用部分替换,请使用 BIND

后续步骤