Acceso privado de Google con Controles de Servicio de VPC

El acceso privado a Google ofrece conectividad privada a hosts de una red de VPC o de una red on-premise que utiliza direcciones IP privadas para acceder a las APIs y los servicios de Google. Puedes ampliar un perímetro de servicio de Controles de Servicio de VPC a los hosts de esas redes para controlar el acceso a los recursos protegidos.

Los hosts de una red de VPC solo deben tener una dirección IP privada (no una pública) y estar en una subred con la función Acceso privado de Google habilitada.

Para que los hosts on-premise puedan acceder a los servicios de las APIs de Google restringidos, las solicitudes a las APIs de Google deben enviarse a través de una red VPC, ya sea mediante un túnel de Cloud VPN o una conexión de Cloud Interconnect.

En ambos casos, te recomendamos que envíes todas las solicitudes a las APIs y los servicios de Google a los intervalos de direcciones IP virtuales (VIP) de restricted.googleapis.com. Los intervalos de direcciones IP no se anuncian en Internet. El tráfico enviado a la VIP se queda en la red de Google.

Para obtener más información sobre las IPs virtuales private.googleapis.com y restricted.googleapis.com, consulta el artículo Configurar Acceso privado a Google.

Intervalos de direcciones IP de restricted.googleapis.com

Hay dos intervalos de direcciones IP asociados al dominio restricted.googleapis.com:

  • Intervalo de IPv4: 199.36.153.4/30
  • Intervalo de IPv6: 2600:2d00:0002:1000::/64

Para obtener información sobre cómo usar el intervalo de IPv6 para acceder a las APIs de Google, consulta Compatibilidad con IPv6.

Ejemplo de red de VPC

En el siguiente ejemplo, el perímetro de servicio contiene dos proyectos: uno con una red de VPC autorizada y otro con el recurso de Cloud Storage protegido. En la red VPC, las instancias de VM deben estar en una subred con la función Acceso privado de Google habilitada y solo deben tener acceso a los servicios restringidos de Controles de Servicio de VPC. Las consultas a las APIs y los servicios de Google desde instancias de VM de la red de VPC autorizada se resuelven en restricted.googleapis.com y pueden acceder al recurso protegido.

Acceso privado de Google con Controles de Servicio de VPC (haz clic para ampliar)
Acceso privado a Google con Controles de Servicio de VPC (haz clic en la imagen para ampliarla)
  • Se ha configurado el DNS en la red de VPC para asignar solicitudes de *.googleapis.com a restricted.googleapis.com, que se resuelve en 199.36.153.4/30.
  • Se ha añadido una ruta estática personalizada a la red de VPC que dirige el tráfico con el destino 199.36.153.4/30 al default-internet-gateway como siguiente salto. Aunque se use default-internet-gateway como siguiente salto, el tráfico se enruta de forma privada a través de la red de Google a la API o al servicio correspondientes.
  • Se ha autorizado a la red de VPC para acceder a My-authorized-gcs-project porque ambos proyectos están en el mismo perímetro de servicio.

Ejemplo de red local

Puedes usar el enrutamiento estático configurando una ruta estática en el router local o anunciando el intervalo de direcciones de la API de Google restringida a través del protocolo de pasarela de frontera (BGP) desde Cloud Router.

Para usar el acceso privado de Google en hosts on-premise con Controles de Servicio de VPC, configura la conectividad privada en los hosts on-premise y, a continuación, configura Controles de Servicio de VPC. Define un perímetro de servicio para el proyecto que contenga la red de VPC conectada a tu red on-premise.

En la siguiente situación, solo se puede acceder a los contenedores de almacenamiento del proyecto sensitive-buckets desde las instancias de VM del proyecto main-project y desde las aplicaciones locales conectadas. Los hosts locales pueden acceder a los contenedores de almacenamiento del proyecto sensitive-buckets porque el tráfico pasa por una red de VPC que está dentro del mismo perímetro de servicio que sensitive-buckets.

  • La configuración de DNS local asigna las solicitudes *.googleapis.com a restricted.googleapis.com, que se resuelve en 199.36.153.4/30.
  • Cloud Router se ha configurado para anunciar el intervalo de direcciones IP 199.36.153.4/30 a través del túnel VPN. El tráfico que se dirige a las APIs de Google se enruta a través del túnel a la red de VPC.
  • Se ha añadido una ruta estática personalizada a la red de VPC que dirige el tráfico con el destino 199.36.153.4/30 a default-internet-gateway como siguiente salto. Aunque se use default-internet-gateway como siguiente salto, el tráfico se enruta de forma privada a través de la red de Google a la API o al servicio correspondientes.
  • La red de VPC se ha autorizado para acceder a los proyectos sensitive-buckets, y los hosts on-premise tienen el mismo acceso.
  • Los hosts locales no pueden acceder a otros recursos que estén fuera del perímetro del servicio.

El proyecto que se conecta a tu red local debe ser miembro del perímetro de servicio para acceder a los recursos restringidos. El acceso local también funciona si los proyectos correspondientes están conectados por un puente de perímetro.

Siguientes pasos