Acceso privado de Google para hosts on‑premise

El acceso privado a Google para hosts on-premise permite que los sistemas on-premise se conecten a las APIs y los servicios de Google enrutando el tráfico a través de un túnel Cloud VPN o una vinculación de VLAN para Cloud Interconnect. El acceso privado de Google para hosts on-premise es una alternativa a la conexión a las APIs y los servicios de Google a través de Internet.

En este documento se describe cómo habilitar Acceso privado de Google para hosts on-premise.

Especificaciones y requisitos

Acceso privado de Google para hosts on-premise tiene los siguientes requisitos:

  • Debes dirigir el tráfico de las APIs y los servicios de Google enviado por los sistemas on-premise a las direcciones IP asociadas a los nombres de dominio especiales private.googleapis.com o restricted.googleapis.com. Para obtener información sobre los servicios a los que se puede acceder en cada dominio, consulta Opciones de dominio.

  • Tu red on-premise debe estar conectada a una red de VPC mediante túneles de Cloud VPN o asignaciones de VLAN.

  • La red de VPC a la que está conectada tu red local debe tener las rutas adecuadas para los intervalos de direcciones IP de destino private.googleapis.com o restricted.googleapis.com. Para obtener más información, consulta Enrutamiento de redes de VPC.

  • La red de VPC a la que está conectada tu red on-premise debe tener las rutas adecuadas para llegar a la red on-premise. Los túneles de Cloud VPN o las vinculaciones de VLAN del siguiente salto que se conecten a tu red on-premise para estas rutas deben estar en la misma región en la que se originó la solicitud. Si el siguiente salto se encuentra en una región diferente a la de origen de la solicitud de Acceso privado de Google, la respuesta de Acceso privado de Google no llegará a la red local.

  • Tu red local debe tener rutas para los intervalos de IP de destino private.googleapis.com o restricted.googleapis.com. Estas rutas deben dirigir el tráfico al túnel de Cloud VPN o a la vinculación de VLAN adecuados que se conecten a tu red de VPC. Para obtener más información, consulta Enrutamiento local con Cloud Router.

  • Para permitir que los clientes IPv6 de tu entorno on-premise accedan a las APIs de Google mediante private.googleapis.com o restricted.googleapis.com, debes configurar la conexión a tu red VPC para que admita IPv6. Para obtener más información, consulta las siguientes páginas:

  • Los clientes locales pueden enviar solicitudes desde cualquier dirección GUA o ULA IPv6, excepto desde el intervalo ULA fda3:e722:ac3:cc00::/64, que está reservado para uso interno.

  • Si tu proyecto solo proporciona acceso a las APIs de Google para hosts locales, no es necesario que habilites las APIs de Google en el proyecto.

    Sin embargo, si los recursos del proyecto necesitan acceder a las APIs de Google, es posible que tengas que habilitar las APIs por separado para los servicios a los que necesiten acceder. Para obtener más información sobre cómo usar Acceso privado a Google para los recursos de un proyecto, consulta el artículo Configurar Acceso privado a Google.

Permisos

Los propietarios y editores de proyectos, así como las entidades de IAM que tengan el rol Administrador de red, pueden crear o actualizar subredes y asignar direcciones IP.

Para obtener más información sobre los roles, consulta la documentación sobre los roles de gestión de identidades y accesos.

Configuración de red

El acceso privado de Google para hosts on-premise tiene requisitos de red específicos para los sistemas on-premise y para la red de VPC a través de la cual los sistemas on-premise envían tráfico a las APIs y los servicios de Google.

Opciones de dominio

Para usar el acceso privado de Google para hosts on-premise, debes dirigir los servicios a uno de los siguientes dominios especiales. El dominio especial que elijas determinará a qué servicios puedes acceder.

Los VIPs private.googleapis.com y restricted.googleapis.com solo admiten protocolos basados en HTTP a través de TCP (HTTP, HTTPS y HTTP/2). No se admiten otros protocolos, como MQTT e ICMP.

Intervalos de dominios y direcciones IP Servicios admitidos Ejemplo de uso

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64

Permite el acceso a la API a la mayoría de las APIs y los servicios de Google, independientemente de si son compatibles con Controles de Servicio de VPC. Incluye acceso a las APIs de Google Maps, Google Ads, Google Cloudy la mayoría de las demás APIs de Google, como las que se indican en la siguiente lista. No es compatible con las aplicaciones web de Google Workspace, como Gmail y Documentos de Google. No admite ningún sitio web interactivo.

Nombres de dominio que coinciden:

  • accounts.google.com (solo admite las rutas necesarias para la autenticación OAuth de cuentas de servicio; la autenticación de cuentas de usuario es interactiva y no se admite)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io o *.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev o *.pkg.dev
  • pki.goog o *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Usa private.googleapis.com para acceder a las APIs y los servicios de Google con un conjunto de direcciones IP a las que solo se puede acceder desde Google Cloud.

Elige private.googleapis.com en las siguientes circunstancias:

  • No usas Controles de Servicio de VPC.
  • Usas Controles de Servicio de VPC, pero también necesitas acceder a APIs y servicios de Google que no son compatibles con Controles de Servicio de VPC. 1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64

Habilita el acceso a las APIs de Google y a los servicios compatibles con Controles de Servicio de VPC.

Bloquea el acceso a las APIs y los servicios de Google que no admiten Controles de Servicio de VPC. No admite APIs de Google Workspace ni aplicaciones web de Google Workspace, como Gmail y Documentos de Google.

Usa restricted.googleapis.com para acceder a las APIs y los servicios de Google con un conjunto de direcciones IP a las que solo se puede acceder desde Google Cloud.

Elige restricted.googleapis.com cuando solo necesites acceder a las APIs y los servicios de Google que sean compatibles con Controles de Servicio de VPC.

El dominio restricted.googleapis.com no permite el acceso a las APIs y los servicios de Google que no admiten Controles de Servicio de VPC. 1
1 Si necesitas restringir el acceso de los usuarios solo a las APIs y los servicios de Google que admitan Controles de Servicio de VPC, usa restricted.googleapis.com, ya que ofrece medidas adicionales para mitigar el riesgo de filtración externa de datos. Si usas restricted.googleapis.com, se deniega el acceso a las APIs y los servicios de Google que no son compatibles con Controles de Servicio de VPC. Para obtener más información, consulta el artículo sobre configurar la conectividad privada en la documentación de Controles de Servicio de VPC.

Compatibilidad con IPv6 para private.googleapis.com y restricted.googleapis.com

Se pueden usar los siguientes intervalos de direcciones IPv6 para dirigir el tráfico de clientes IPv6 a las APIs y los servicios de Google:

  • private.googleapis.com: 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 2600:2d00:0002:1000::/64

Configura las direcciones IPv6 si quieres usar el dominio private.googleapis.com o restricted.googleapis.com y tienes clientes que usan direcciones IPv6. Los clientes IPv6 que también tengan configuradas direcciones IPv4 pueden acceder a las APIs y los servicios de Google mediante las direcciones IPv4. No todos los servicios aceptan tráfico de clientes IPv6.

Configuración de DNS

Tu red local debe tener configuradas zonas y registros DNS para que los nombres de dominio de Google se resuelvan en el conjunto de direcciones IP de private.googleapis.com o restricted.googleapis.com. Puedes crear zonas privadas gestionadas de Cloud DNS y usar una política de servidor de entrada de Cloud DNS, o bien configurar servidores de nombres locales. Por ejemplo, puedes usar BIND o Microsoft Active Directory DNS.

En las siguientes secciones se describe cómo usar las zonas DNS para enviar paquetes a las direcciones IP asociadas a la IP virtual que elijas. Sigue las instrucciones de todos los casos que se apliquen a tu situación:

Cuando configures los registros DNS de las IPs virtuales, utiliza solo las direcciones IP que se describen en los pasos siguientes. No mezcles direcciones de los VIPs de private.googleapis.com y restricted.googleapis.com. Esto puede provocar fallos intermitentes porque los servicios que se ofrecen varían en función del destino de un paquete.

Configurar DNS para googleapis.com

Crea una zona DNS y registros para googleapis.com:

  1. Crea una zona de DNS privada para googleapis.com. Te recomendamos que crees una zona privada de Cloud DNS para este fin.

  2. En la zona googleapis.com, crea los siguientes registros DNS privados para private.googleapis.com o restricted.googleapis.com, según el dominio que hayas elegido.

    • Para private.googleapis.com:

      1. Crea un registro A para private.googleapis.com que apunte a las siguientes direcciones IP: 199.36.153.8, 199.36.153.9, 199.36.153.10 y 199.36.153.11.

      2. Para conectarte a las APIs mediante direcciones IPv6, también debes configurar un registro AAAA para private.googleapis.com que apunte a 2600:2d00:0002:2000::.

    • Para restricted.googleapis.com:

      1. Crea un registro A para restricted.googleapis.com que apunte a las siguientes direcciones IP: 199.36.153.4, 199.36.153.5, 199.36.153.6 y 199.36.153.7.

      2. Para conectarte a las APIs mediante direcciones IPv6, también debes crear un registro AAAA para restricted.googleapis.com que apunte a 2600:2d00:0002:1000::.

    Para crear registros DNS privados en Cloud DNS, consulta cómo añadir un registro.

  3. En la zona googleapis.com, cree un registro CNAME para *.googleapis.com que apunte al dominio que ha configurado: private.googleapis.com o restricted.googleapis.com.

Configurar el DNS de otros dominios

Algunas APIs y servicios de Google se proporcionan mediante nombres de dominio adicionales, como *.gcr.io, *.gstatic.com, *.pkg.dev, pki.goog, *.run.app y *.gke.goog. Consulta la tabla de intervalos de dominios y direcciones IP de la sección Opciones de dominio para determinar si se puede acceder a los servicios del dominio adicional mediante private.googleapis.com o restricted.googleapis.com. A continuación, sigue estos pasos para cada uno de los dominios adicionales:

  1. Crea una zona de DNS para DOMAIN (por ejemplo, gcr.io). Si usas Cloud DNS, asegúrate de que esta zona se encuentre en el mismo proyecto que tu zona privada googleapis.com.

  2. En esta zona de DNS, crea los siguientes registros DNS privados para private.googleapis.com o restricted.googleapis.com, según el dominio que hayas elegido.

    • Para private.googleapis.com:

      1. Crea un registro A para DOMAIN que apunte a las siguientes direcciones IP: 199.36.153.8, 199.36.153.9, 199.36.153.10 y 199.36.153.11.

      2. Para conectarte a las APIs mediante direcciones IPv6, también debes crear un registro AAAA para DOMAIN que apunte a 2600:2d00:0002:2000::.

    • Para restricted.googleapis.com:

      1. Crea un registro A para DOMAIN que apunte a las siguientes direcciones IP: 199.36.153.4, 199.36.153.5, 199.36.153.6 y 199.36.153.7.

      2. Para conectarte a las APIs mediante direcciones IPv6, también debes crear un registro AAAA para restricted.googleapis.com que apunte a 2600:2d00:0002:1000::.

  3. En la zona DOMAIN, crea un registro CNAME para *.DOMAIN que apunte a DOMAIN. Por ejemplo, crea un registro CNAME para *.gcr.io que apunte a gcr.io.

Configurar el DNS para nombres de dominio personalizados de Cloud Storage

Si usas segmentos de Cloud Storage y envías solicitudes a un nombre de dominio personalizado de Cloud Storage, no basta con configurar los registros DNS del nombre de dominio personalizado de Cloud Storage para que apunten a las direcciones IP de private.googleapis.com o restricted.googleapis.com para permitir el acceso a los segmentos de Cloud Storage.

Si quieres enviar solicitudes a un nombre de dominio personalizado de Cloud Storage, también debes definir explícitamente el encabezado Host de la solicitud HTTP y el SNI de TLS en storage.googleapis.com. Las direcciones IP de private.googleapis.com y restricted.googleapis.com no admiten nombres de host personalizados de Cloud Storage en los encabezados Host de las solicitudes HTTP ni en los SNIs de TLS.

Configurar DNS para sistemas on-premise

Si has implementado la configuración de DNS mediante Cloud DNS, tendrás que configurar los sistemas locales para que puedan hacer consultas a tus zonas privadas gestionadas de Cloud DNS:

  • Crea una política de servidor entrante en la red VPC a la que se conecta tu red on-premise.
  • Identifica los puntos de entrada del reenviador entrante en las regiones en las que se encuentran tus túneles de Cloud VPN y tus vinculaciones de VLAN, en la red de VPC a la que se conecta tu red on-premise.
  • Configura los sistemas y los servidores de nombres DNS in situ para que reenvíen googleapis.com y cualquiera de los nombres de dominio adicionales a un punto de entrada de reenviador entrante en la misma región que el túnel de Cloud VPN o la vinculación de VLAN que se conecta a la red de VPC.

Enrutamiento de redes VPC

La red de VPC a la que se conecta tu red local debe tener rutas para los intervalos de direcciones IP que utilizan private.googleapis.com o restricted.googleapis.com. Estas rutas deben usar el siguiente salto de la pasarela de Internet predeterminada.

Google no publica rutas en Internet para los intervalos de direcciones IP que usan los dominios private.googleapis.com o restricted.googleapis.com. Por lo tanto, aunque las rutas de la red de VPC envíen tráfico al siguiente salto de la pasarela de Internet predeterminada, los paquetes enviados a esos intervalos de direcciones IP no abandonan la red de Google.

Si la red de VPC a la que se conecta tu red local contiene una ruta predeterminada cuya siguiente parada es la pasarela de Internet predeterminada, esa ruta cumple los requisitos de enrutamiento para el acceso privado a Google de los hosts locales.

Rutas personalizadas de redes de VPC

Si has sustituido o cambiado tu ruta predeterminada, asegúrate de que tienes rutas estáticas personalizadas configuradas para los intervalos de IP de destino que usan private.googleapis.com o restricted.googleapis.com. Para comprobar la configuración de las rutas personalizadas de las APIs y los servicios de Google en una red determinada, siga estas instrucciones.

Consola

  1. En la Google Cloud consola, ve a la página Rutas.

    Ir a Rutas

  2. Usa el campo de texto Filtrar tabla para filtrar la lista de rutas según los siguientes criterios. Sustituye NETWORK_NAME por el nombre de la red de VPC a la que se conecta tu red local:

    • Red: NETWORK_NAME
    • Tipo del siguiente salto: default internet gateway

  3. Consulte la columna Intervalo de IP de destino de cada ruta. Busca una ruta cuyo intervalo de destino coincida:

    • 199.36.153.8/30 si has elegido private.googleapis.com
    • 199.36.153.4/30 si has elegido restricted.googleapis.com

gcloud

Usa el siguiente comando gcloud y sustituye NETWORK_NAME por el nombre de la red de VPC a la que se conecta tu red local:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

Las rutas se muestran en formato de tabla, a menos que personalices el comando con la marca --format. Busca en la columna DEST_RANGE una ruta cuyo intervalo de destino coincida:

  • 199.36.153.8/30 si has elegido private.googleapis.com
  • 199.36.153.4/30 si has elegido restricted.googleapis.com

Si necesitas crear rutas en tu red de VPC, consulta Añadir una ruta estática.

Enrutamiento local con Cloud Router

Las rutas de tu red local deben configurarse para dirigir el tráfico de los intervalos de direcciones IP que usan los dominios private.googleapis.com o restricted.googleapis.com a los túneles de Cloud VPN o a las vinculaciones de VLAN de salto siguiente que se conectan a tu red de VPC.

Puedes usar los anuncios de rutas personalizadas de Cloud Router para anunciar rutas de los intervalos de IP que usan los dominios private.googleapis.com y restricted.googleapis.com.

Las rutas IPv6 solo se anuncian en sesiones de BGP en las que IPv6 está habilitado.

Consola

Para actualizar el modo de anuncio de ruta de todas las sesiones BGP de un router de Cloud Router, excepto las que usan anuncios de BGP personalizados:

  1. En la Google Cloud consola, ve a la página Cloud Router.

    Ir a Cloud Router

  2. Selecciona el router de Cloud que gestiona las sesiones de BGP de los túneles de Cloud VPN o las vinculaciones de VLAN que conectan tu red on-premise con tu red de VPC.

  3. En la página de detalles de Cloud Router, selecciona Editar.

  4. Despliega la sección Rutas anunciadas.

  5. En Rutas, selecciona Crear rutas personalizadas.

  6. Si quiere anunciar todas las rutas de subred disponibles para el router de Cloud Router, seleccione Anunciar todas las subredes que pueda ver el router de Cloud Router. Este ajuste replica la configuración predeterminada en tu configuración personalizada.

  7. Por cada ruta anunciada que quiera añadir, haga lo siguiente:

    1. Selecciona Añadir ruta personalizada.
    2. En Origen, selecciona Intervalo de IP personalizado.
    3. En Intervalo de direcciones IP, introduzca uno de los intervalos que quiera usar:
      • Si usas private.googleapis.com:
        • Para la conectividad IPv4: 199.36.153.8/30
        • Para la conectividad IPv6: 2600:2d00:0002:2000::/64
      • Si usas restricted.googleapis.com:
        • Para la conectividad IPv4: 199.36.153.4/30
        • Para la conectividad IPv6: 2600:2d00:0002:1000::/64
    4. Haz clic en Listo.

  8. Cuando hayas terminado de añadir rutas, selecciona Guardar.

Para actualizar el modo de anuncio de ruta de una sesión de BGP concreta, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Cloud Router.

    Ir a Cloud Router

  2. Selecciona el router de Cloud que gestiona la sesión de BGP de un túnel de Cloud VPN o una vinculación de VLAN que conecte tu red on-premise con tu red de VPC.

  3. En la página de detalles de Cloud Router, seleccione la sesión de BGP que quiera actualizar.

  4. En la página de detalles de la sesión BGP, haz clic en Editar.

  5. En Rutas, selecciona Crear rutas personalizadas.

  6. Selecciona Anunciar todas las subredes que pueda ver el router de Cloud Router para anunciar todas las rutas de subred disponibles para el router de Cloud Router si quieres que este se comporte de forma predeterminada.

  7. Por cada ruta anunciada que quiera añadir, haga lo siguiente:

    1. Selecciona Añadir ruta personalizada.
    2. En Origen, selecciona Intervalo de IP personalizado.
    3. En Intervalo de direcciones IP, introduzca uno de los intervalos que quiera usar:
      • Si usas private.googleapis.com:
        • Para la conectividad IPv4: 199.36.153.8/30
        • Para la conectividad IPv6: 2600:2d00:0002:2000::/64
      • Si usas restricted.googleapis.com:
        • Para la conectividad IPv4: 199.36.153.4/30
        • Para la conectividad IPv6: 2600:2d00:0002:1000::/64
    4. Haz clic en Listo.

  8. Cuando hayas terminado de añadir rutas, selecciona Guardar.

gcloud

  1. Identifica el nombre y la región del router de Cloud Router que gestiona las sesiones de BGP en los túneles de Cloud VPN o las vinculaciones de VLAN que conectan tu red local a tu red de VPC.

  2. Usa compute routers update para actualizar el modo de anuncio de ruta en todas las sesiones BGP de Cloud Router, excepto en las que usan anuncios BGP personalizados:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Puede añadir nuevos intervalos de anuncios si ya está usando el modo de anuncio CUSTOMpara Cloud Router. De esta forma, se actualiza el modo de anuncio de ruta en todas las sesiones BGP del router de Cloud Router, excepto en las que usan anuncios BGP personalizados:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES

  3. También puedes usar compute routers update-bgp-peer para configurar un peer de BGP específico en Cloud Router:

    Si añades intervalos personalizados de IPv6 y el tráfico IPv6 está inhabilitado en la sesión de BGP, puedes habilitarlo con la marca --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Puede añadir nuevos intervalos de anuncios si ya está usando el modo de anuncio CUSTOMen una sesión BGP de un router de Cloud Router.

    Si añades intervalos personalizados de IPv6 y el tráfico IPv6 está inhabilitado en la sesión de BGP, puedes habilitarlo con la marca --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES

    En los comandos anteriores, sustituye lo siguiente por valores válidos:

Consideraciones sobre el cortafuegos

Las reglas de cortafuegos deGoogle Cloud en la red VPC a la que se conecta tu red local no tienen ningún efecto en lo siguiente:

  • Paquetes enviados a través de un túnel de Cloud VPN conectado a la red de VPC
  • Paquetes enviados a través de una vinculación de VLAN conectada a la red de VPC
  • Paquetes entrantes a las direcciones IP del reenviador entrante de Cloud DNS en la red de VPC

Debes asegurarte de que la configuración del cortafuegos de los sistemas on-premise permita el tráfico saliente y las respuestas establecidas desde las direcciones IP adecuadas:

  • Si usas private.googleapis.com:
    • Para la conectividad IPv4: 199.36.153.8/30
    • Para la conectividad IPv6: 2600:2d00:0002:2000::/64
  • Si usas restricted.googleapis.com:
    • Para la conectividad IPv4: 199.36.153.4/30
    • Para la conectividad IPv6: 2600:2d00:0002:1000::/64
  • Cualquier dirección IP de reenviador entrante de Cloud DNS, si usas Cloud DNS para la configuración de DNS

Siguientes pasos