Accès privé à Google avec VPC Service Controls

L'accès privé à Google offre une connectivité privée aux hôtes d'un réseau VPC ou sur site qui utilisent des adresses IP privées pour accéder aux API et services Google. Vous pouvez étendre un périmètre de service VPC Service Controls aux hôtes de ces réseaux afin de contrôler l'accès aux ressources protégées.

Les hôtes d'un réseau VPC doivent posséder une adresse IP privée uniquement (pas d'adresse IP publique) et se trouver dans un sous-réseau avec l'accès privé à Google activé.

Pour que les hôtes sur site puissent accéder à des services d'API Google restreints, les requêtes adressées à ces API doivent être envoyées via un réseau VPC, via un tunnel Cloud VPN ou une connexion Cloud Interconnect.

Dans les deux cas, nous vous recommandons d'envoyer toutes les requêtes aux API et services Google vers les plages d'adresses IP virtuelles (VIP) pour restricted.googleapis.com. Les plages d'adresses IP ne sont pas annoncées sur Internet. Le trafic envoyé à l'IPV reste à l'intérieur du réseau de Google.

Pour en savoir plus sur les adresses IP virtuelles private.googleapis.com et restricted.googleapis.com, consultez Configurer l'accès privé à Google.

Plages d'adresses IP pour restricted.googleapis.com

Deux plages d'adresses IP sont associées au domaine restricted.googleapis.com:

  • Plage IPv4: 199.36.153.4/30
  • Plage IPv6: 2600:2d00:0002:1000::/64

Pour en savoir plus sur l'utilisation de la plage IPv6 pour accéder aux API Google, consultez la section Compatibilité IPv6.

Exemple de réseau VPC

Dans l'exemple suivant, le périmètre de service contient deux projets : l'un avec un réseau VPC autorisé et l'autre avec la ressource Cloud Storage protégée. Dans le réseau VPC, les instances de VM doivent se trouver dans un sous-réseau avec l'accès privé à Google activé et ne nécessiter que l'accès aux services restreints de VPC Service Controls. Les requêtes adressées aux API et services Google à partir d'instances de VM du réseau VPC autorisé pointent vers restricted.googleapis.com et peuvent accéder à la ressource protégée.

Accès privé à Google avec VPC Service Controls (cliquez pour agrandir)
Accès privé à Google avec VPC Service Controls (cliquez pour agrandir)
  • DNS a été configuré dans le réseau VPC pour mapper les requêtes *.googleapis.com à restricted.googleapis.com, qui pointe vers 199.36.153.4/30.
  • Une route statique personnalisée a été ajoutée au réseau VPC qui dirige le trafic avec la destination 199.36.153.4/30 vers la passerelle default-internet-gateway comme saut suivant. Même si la passerelle default-internet-gateway est utilisée comme saut suivant, le trafic est acheminé en mode privé via le réseau de Google vers l'API ou le service approprié.
  • Le réseau VPC a été autorisé à accéder à My-authorized-gcs-project, car les deux projets se trouvent dans le même périmètre de service.

Exemple de réseau sur site

Vous pouvez utiliser le routage statique en configurant simplement une route statique sur le routeur sur site, ou en annonçant la plage d'adresses des API Google restreintes via le protocole BGP (Border Gateway Protocol) de Cloud Router.

Pour utiliser l'accès privé à Google pour les hôtes sur site conjointement avec VPC Service Controls, vous devez d'abord configurer la connectivité privée pour les hôtes sur site, puis VPC Service Controls. Définissez un périmètre de service pour le projet contenant le réseau VPC connecté à votre réseau sur site.

Dans le scénario suivant, les buckets de stockage du projet sensitive-buckets ne sont accessibles qu'à partir des instances de VM du projet main-project et des applications sur site connectées. Les hôtes sur site peuvent accéder aux buckets de stockage dans le projet sensitive-buckets, car le trafic transite par un réseau VPC situé dans le même périmètre de service que sensitive-buckets.

  • La configuration DNS sur site mappe les requêtes *.googleapis.com avec restricted.googleapis.com, qui pointe vers la plage 199.36.153.4/30.
  • Cloud Router a été configuré pour exposer la plage d'adresses IP 199.36.153.4/30 via le tunnel VPN. Le trafic envoyé vers les API Google est acheminé via le tunnel vers le réseau VPC.
  • Une route statique personnalisée a été ajoutée au réseau VPC qui dirige le trafic avec la destination 199.36.153.4/30 vers la passerelle default-internet-gateway comme saut suivant. Même si la passerelle default-internet-gateway est utilisée comme saut suivant, le trafic est acheminé en mode privé via le réseau de Google vers l'API ou le service approprié.
  • Le réseau VPC a été autorisé à accéder aux projets sensitive-buckets, et les hôtes sur site disposent du même accès.
  • Les hôtes sur site ne peuvent pas accéder à d'autres ressources situées en dehors du périmètre de service.

Le projet qui se connecte à votre réseau sur site doit faire partie du périmètre de service pour pouvoir accéder à des ressources restreintes. L'accès sur site fonctionne également si les projets concernés sont reliés par une liaison de périmètre.

Étape suivante