Der private Google-Zugriff ermöglicht private Verbindungen zu Hosts, entweder in einem VPC-Netzwerk oder in einem lokalen Netzwerk, das private IP-Adressen für den Zugriff auf Google APIs und Google-Dienste verwendet. Sie können einen Dienstperimeter von VPC Service Controls auf Hosts in diesen Netzwerken erweitern, um den Zugriff auf geschützte Ressourcen zu steuern.
Hosts in einem VPC-Netzwerk dürfen lediglich eine private IP-Adresse (keine öffentliche IP-Adresse) haben und müssen sich in einem Subnetz befinden, in dem privater Google-Zugriff aktiviert ist.
Damit lokale Hosts eingeschränkte Google API-Dienste erreichen können, müssen Anfragen an Google APIs über ein VPC-Netzwerk gesendet werden, entweder über einen Cloud VPN-Tunnel oder über eine Cloud Interconnect-Verbindung.
In beiden Fällen empfehlen wir, alle Anfragen an Google APIs und Google-Dienste an die virtuellen IP-Adressbereiche (VIP) für restricted.googleapis.com
zu senden. Die IP-Adressbereiche werden nicht im Internet bekanntgegeben. An die VIP gesendeter Traffic bleibt im Google-Netzwerk.
Weitere Informationen zu den VIPs private.googleapis.com
und restricted.googleapis.com
finden Sie unter Privaten Google-Zugriff konfigurieren.
IP-Adressbereiche für restricted.googleapis.com
Mit der Domain restricted.googleapis.com
sind zwei IP-Adressbereiche verknüpft:
- IPv6-Bereich:
199.36.153.4/30
- IPv6-Bereich:
2600:2d00:0002:1000::/64
Informationen zur Verwendung des IPv6-Bereichs für den Zugriff auf Google APIs finden Sie unter IPv6-Unterstützung.
Beispiel für ein VPC-Netzwerk
Im folgenden Beispiel enthält der Dienstperimeter zwei Projekte: eins mit einem autorisierten VPC-Netzwerk und ein weiteres mit der geschützten Cloud Storage-Ressource. Im VPC-Netzwerk müssen sich VM-Instanzen in einem Subnetz befinden, in dem privater Google-Zugriff aktiviert ist, und benötigen nur Zugriff auf eingeschränkte Dienste von VPC Service Controls. Anfragen an Google APIs und Google-Dienste von VM-Instanzen im autorisierten VPC-Netzwerk werden restricted.googleapis.com
zugeordnet und können auf die geschützte Ressource zugreifen.
- DNS wurde im VPC-Netzwerk so konfiguriert, dass
*.googleapis.com
-Anfragenrestricted.googleapis.com
zugeordnet werden, was zu199.36.153.4/30
führt. - Dem VPC-Netzwerk wurde eine benutzerdefinierte statische Route hinzugefügt, die Traffic mit dem Ziel
199.36.153.4/30
andefault-internet-gateway
als nächsten Hop weiterleitet. Obwohldefault-internet-gateway
als nächster Hop verwendet wird, wird der Traffic privat über das Google-Netzwerk an die entsprechende API oder den entsprechenden Dienst weitergeleitet. - Das VPC-Netzwerk wurde für den Zugriff auf
My-authorized-gcs-project
autorisiert, da sich beide Projekte im selben Dienstperimeter befinden.
Beispiel für ein lokales Netzwerk
Sie können einfach eine statische Route im lokalen Router konfigurieren, um statisches Routing zu nutzen, oder den eingeschränkten Google API-Adressbereich über das BGP (Border Gateway Protocol) von Cloud Router bekanntgeben.
Zur Verwendung des privaten Google-Zugriffs für lokale Hosts mit VPC Service Controls richten Sie eine private Verbindung für lokale Hosts ein und konfigurieren anschließend VPC Service Controls. Legen Sie einen Dienstperimeter für das Projekt mit dem VPC-Netzwerk fest, das mit Ihrem lokalen Netzwerk verbunden ist.
Im folgenden Szenario ist der Zugriff auf die Storage-Buckets im Projekt sensitive-buckets
nur über VM-Instanzen im Projekt main-project
und über verbundene lokale Anwendungen möglich. Lokale Hosts können auf Speicher-Buckets im Projekt sensitive-buckets
zugreifen, da der Traffic über ein VPC-Netzwerk geleitet wird, das sich im selben Dienstperimeter wie sensitive-buckets
befindet.
- Die lokale DNS-Konfiguration ordnet
*.googleapis.com
Anfragen anrestricted.googleapis.com
zu, die in199.36.153.4/30
aufgelöst werden. - Der Cloud Router wurde so konfiguriert, dass er über den VPN-Tunnel ein Advertising des IP-Adressbereichs
199.36.153.4/30
durchführen kann. Traffic an Google APIs wird über den Tunnel an das VPC-Netzwerk weitergeleitet. - Dem VPC-Netzwerk wurde eine benutzerdefinierte statische Route hinzugefügt, die Traffic mit dem Ziel
199.36.153.4/30
andefault-internet-gateway
als nächsten Hop weiterleitet. Obwohldefault-internet-gateway
als nächster Hop verwendet wird, wird der Traffic privat über das Google-Netzwerk an die entsprechende API oder den entsprechenden Dienst weitergeleitet. - Das VPC-Netzwerk wurde für den Zugriff auf die
sensitive-buckets
-Projekte autorisiert und lokale Hosts haben denselben Zugriff. - Lokale Hosts können nicht auf Ressourcen zugreifen, die sich außerhalb des Dienstperimeters befinden.
Das Projekt, das eine Verbindung zu Ihrem lokalen Netzwerk herstellt, muss Mitglied des Dienstperimeters sein, um eingeschränkte Ressourcen zu erreichen. Der lokale Zugriff funktioniert auch, wenn die entsprechenden Projekte über eine Perimeter-Bridge verbunden sind.
Weitere Informationen
- Mehr zum Konfigurieren privater Verbindungen erfahren Sie unter Private Verbindung einrichten.