Configurazione dell'accesso privato Google
Questa pagina descrive come attivare e configurare l'accesso privato Google. Per impostazione predefinita, quando a una VM Compute Engine manca un indirizzo IP esterno assegnato alla sua interfaccia di rete, può inviare pacchetti solo ad altre destinazioni di indirizzi IP interni. Puoi consentire a queste VM di connettersi all'insieme di indirizzi IP esterni utilizzati da API e servizi Google attivando l'accesso privato Google sulla subnet utilizzata dall'interfaccia di rete della VM.
L'accesso privato Google consente inoltre di accedere agli indirizzi IP esterni utilizzati da App Engine, inclusi i servizi basati su App Engine di terze parti.
Per visualizzare le API e i servizi idonei che puoi utilizzare con l'accesso privato Google, consulta la sezione Servizi supportati nella panoramica dell'accesso privato Google.
Consulta Opzioni di accesso privato per i servizi per informazioni di base su Accesso privato Google e su altre opzioni di connettività privata offerte da Google Cloud.
Specifiche
Un'interfaccia VM può inviare pacchetti agli indirizzi IP esterni delle API e dei servizi Google utilizzando l'accesso privato Google se sono soddisfatte tutte le seguenti condizioni:
L'interfaccia della VM è connessa a una subnet in cui è attivo l'accesso privato Google.
La rete VPC contenente la sottorete soddisfa i requisiti di rete per le API e i servizi Google.
All'interfaccia della VM non è stato assegnato un indirizzo IP esterno.
L'indirizzo IP di origine dei pacchetti inviati dalla VM corrisponde a uno dei seguenti indirizzi IP.
- L'indirizzo IPv4 interno principale dell'interfaccia della VM
- L'indirizzo IPv6 interno dell'interfaccia della VM
- Un indirizzo IPv4 interno da un intervallo IP di alias
Una VM con un indirizzo IPv4 o IPv6 esterno assegnato all'interfaccia di rete non ha bisogno dell'accesso privato Google per connettersi alle API e ai servizi Google. Tuttavia, la rete VPC deve soddisfare i requisiti per accedere alle API e ai servizi di Google.
Requisiti di rete
L'accesso privato Google presenta i seguenti requisiti:
- Poiché l'accesso privato Google è abilitato in base alla subnet, devi utilizzare una rete VPC. Le reti legacy non sono supportate perché non supportano le sottoreti.
- Devi abilitare le API di Google che devi utilizzare nella console Google Cloud, nella pagina API e servizi.
Se vuoi connetterti alle API e ai servizi Google utilizzando IPv6, devi soddisfare entrambi i seguenti requisiti:
La VM deve essere configurata con un intervallo di indirizzi IPv6 di
/96
.Il software in esecuzione sulla VM deve inviare pacchetti le cui origini corrispondono a uno di questi indirizzi IPv6 dell'intervallo.
- A seconda della configurazione scelta, potrebbe essere necessario aggiornare le voci DNS, le route e le regole firewall. Per ulteriori informazioni, consulta Riepilogo delle opzioni di configurazione.
Autorizzazioni
I proprietari, gli editor e le entità IAM dei progetti con il ruolo Amministratore di rete possono creare o aggiornare le subnet e assegnare indirizzi IP.
Per ulteriori informazioni sui ruoli, consulta la documentazione relativa ai ruoli IAM.
Logging
Cloud Logging acquisisce tutte le richieste API effettuate dalle istanze VM nelle subnet in cui è abilitato l'accesso privato Google. Le voci di log identificano l'origine della richiesta dell'API come indirizzo IP interno dell'istanza chiamante.
Puoi configurare l'utilizzo giornaliero e i report mensili di aggregazione in modo che vengano inviati a un bucket Cloud Storage. Per informazioni dettagliate, consulta la pagina Visualizzare i report sull'utilizzo.
Riepilogo delle opzioni di configurazione
La seguente tabella riassume i diversi modi in cui puoi configurare Accesso privato Google. Per informazioni più dettagliate sulla configurazione, consulta Configurazione di rete.
Opzione Dominio | Configurazione DNS | Configurazione del routing | Configurazione del firewall |
---|---|---|---|
Domini predefiniti | Non è richiesta alcuna configurazione DNS speciale. | Assicurati che la rete VPC possa instradare il traffico agli intervalli di indirizzi IP utilizzati dalle API e dai servizi Google.
|
Assicurati che le regole del firewall consentano l'uscita agli intervalli di indirizzi IP utilizzati dalle API e dai servizi Google. La regola firewall in uscita predefinita consente questo traffico, se non esiste una regola di priorità superiore che lo blocca. |
private.googleapis.com
|
Configura i record DNS in una zona DNS privata per inviare richieste ai seguenti indirizzi IP: Per il traffico IPv4:
Per il traffico IPv6:
|
Assicurati che la rete VPC abbia route per i seguenti intervalli IP: Per il traffico IPv4:
Per il traffico IPv6:
|
Assicurati che le regole del firewall consentano l'uscita per i seguenti intervalli IP: Per il traffico IPv4:
Per il traffico IPv6:
|
restricted.googleapis.com
|
Configura i record DNS per inviare richieste ai seguenti indirizzi IP: Per il traffico IPv4:
Per il traffico IPv6:
|
Assicurati che la rete VPC abbia route per i seguenti intervalli IP: Per il traffico IPv4:
Per il traffico IPv6:
|
Assicurati che le regole del firewall consentano l'uscita per i seguenti intervalli IP: Per il traffico IPv4:
Per il traffico IPv6:
|
Configurazione di rete
Questa sezione descrive i requisiti di rete di base che devi soddisfare affinché una VM nella tua rete VPC possa accedere alle API e ai servizi Google.
Opzioni di dominio
Scegli il dominio che vuoi utilizzare per accedere alle API e ai servizi Google.
Gli indirizzi IP virtuali private.googleapis.com
e restricted.googleapis.com
supportano solo i protocolli basati su HTTP su TCP (HTTP, HTTPS e HTTP/2). Tutti gli altri protocolli, inclusi MQTT e ICMP, non sono supportati.
Intervalli di indirizzi IP e di dominio | Servizi supportati | Esempio di utilizzo |
---|---|---|
Domini predefiniti. Tutti i nomi di dominio per le API e i servizi Google tranne
Vari intervalli di indirizzi IP: puoi determinare un insieme di intervalli IP contenenti i possibili indirizzi utilizzati dai domini predefiniti facendo riferimento ai indirizzi IP per i domini predefiniti. |
Consente l'accesso API alla maggior parte delle API e dei servizi Google, indipendentemente dal fatto che siano supportati dai Controlli di servizio VPC. Include l'accesso alle API di Google Maps, Google Ads e Google Cloud. Sono incluse le applicazioni web di Google Workspace come Gmail e Documenti Google, e altre applicazioni web. |
I domini predefiniti vengono utilizzati quando non configuri i record DNS per
|
|
Consente l'accesso API alla maggior parte delle API e dei servizi Google, indipendentemente dal fatto che siano supportati dai Controlli di servizio VPC. Include l'accesso alle API di Google Maps, Google Ads, Google Cloud e alla maggior parte delle altre API di Google, incluso l'elenco che segue. Non supporta le applicazioni web di Google Workspace come Gmail e Documenti Google. Non supporta alcun sito web interattivo. Nomi di dominio corrispondenti:
|
Utilizza Scegli
|
|
Consente l'accesso API alle API e ai servizi di Google supportati dai Controlli di servizio VPC. Blocca l'accesso alle API e ai servizi di Google che non supportano Controlli di servizio VPC. Non supporta le API Google Workspace o le applicazioni web di Google Workspace come Gmail e Documenti Google. |
Utilizza Scegli Il dominio |
restricted.googleapis.com
, in quanto offre una mitigazione del rischio aggiuntiva per l'esfiltrazione di dati. L'utilizzo di restricted.googleapis.com
nega l'accesso alle API e ai servizi di Google non supportati dai Controlli di servizio VPC. Per ulteriori dettagli, consulta Configurare la connettività privata nella documentazione di Controlli di servizio VPC.
Supporto IPv6 per private.googleapis.com
e restricted.googleapis.com
I seguenti intervalli di indirizzi IPv6 possono essere utilizzati per indirizzare il traffico dai client IPv6 alle API e ai servizi Google:
private.googleapis.com
:2600:2d00:0002:2000::/64
restricted.googleapis.com
:2600:2d00:0002:1000::/64
Valuta la possibilità di configurare gli indirizzi IPv6 se vuoi utilizzare il dominio private.googleapis.com
o restricted.googleapis.com
e hai client che utilizzano indirizzi IPv6. I client IPv6 che hanno configurato anche indirizzi IPv4 possono accedere ad API e servizi Google utilizzando gli indirizzi IPv4. Non tutti i servizi accettano il traffico proveniente da client IPv6.
Configurazione DNS
Per la connettività con i servizi e le API di Google, puoi scegliere di inviare i pacchetti agli indirizzi IP associati al VIP private.googleapis.com
o restricted.googleapis.com
. Per utilizzare un VIP, devi configurare il DNS in modo che le VM nella tua rete VPC raggiungano i servizi utilizzando gli indirizzi VIP anziché gli indirizzi IP pubblici.
Le sezioni seguenti descrivono come utilizzare le zone DNS per inviare pacchetti agli indirizzi IP associati al VIP scelto. Segui le istruzioni per tutti gli scenari che ti riguardano:
- Se utilizzi servizi con nomi di dominio
*.googleapis.com
, consulta Configurare il DNS pergoogleapis.com
. Se utilizzi servizi con altri nomi di dominio, consulta Configurare il DNS per altri domini.
Ad esempio, se utilizzi Google Kubernetes Engine (GKE), devi configurare anche
*.gcr.io
e*.pkg.dev
oppure, se utilizzi Cloud Run, devi configurare*.run.app
.Se utilizzi i bucket Cloud Storage e invii richieste a un nome di dominio personalizzato Cloud Storage, consulta Configurare il DNS per i nomi di dominio personalizzati Cloud Storage.
Quando configuri i record DNS per i VIP, utilizza solo gli indirizzi IP descritti nei passaggi che seguono. Non mescolare indirizzi di VIP di private.googleapis.com
e restricted.googleapis.com
. Ciò può causare errori intermittenti perché i servizi offerti differiscono in base alla destinazione di un pacchetto.
Configura il DNS per googleapis.com
Crea una zona DNS e i record per googleapis.com
:
- Crea una zona DNS privata per
googleapis.com
. Valuta la possibilità di creare una zona privata Cloud DNS a questo scopo. Nella zona
googleapis.com
, crea i seguenti record DNS privati perprivate.googleapis.com
orestricted.googleapis.com
, a seconda del dominio che hai scelto di utilizzare.Per
private.googleapis.com
:Crea un record
A
perprivate.googleapis.com
che rimandi ai seguenti indirizzi IP:199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
.Per connetterti alle API utilizzando indirizzi IPv6, configura anche un
AAAA
record perprivate.googleapis.com
che rimandi a2600:2d00:0002:2000::
.
Per
restricted.googleapis.com
:Crea un record
A
perrestricted.googleapis.com
che rimandi ai seguenti indirizzi IP:199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
.Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record
AAAA
perrestricted.googleapis.com
che rimandi a2600:2d00:0002:1000::
.
Per creare record DNS privati in Cloud DNS, consulta Aggiungere un record.
Nella zona
googleapis.com
, crea un recordCNAME
per*.googleapis.com
che rimandi al dominio che hai configurato:private.googleapis.com
orestricted.googleapis.com
.
Configurare il DNS per altri domini
Alcune API e alcuni servizi Google vengono forniti utilizzando nomi di dominio aggiuntivi, tra cui *.gcr.io
, *.gstatic.com
, *.pkg.dev
, pki.goog
e *.run.app
.
Consulta la tabella degli intervalli di indirizzi IP e di dominio in Opzioni di dominio per determinare se è possibile accedere ai servizi del dominio aggiuntivo utilizzando private.googleapis.com
o restricted.googleapis.com
. Poi, per ogni dominio aggiuntivo:
Crea una zona DNS per
DOMAIN
(ad esempiogcr.io
). Se utilizzi Cloud DNS, assicurati che questa zona si trovi nello stesso progetto della zona privatagoogleapis.com
.In questa zona DNS, crea i seguenti record DNS privati per uno
private.googleapis.com
orestricted.googleapis.com
, a seconda del dominio che hai scelto di utilizzare.Per
private.googleapis.com
:Crea un record
A
perDOMAIN
che rimandi ai seguenti indirizzi IP:199.36.153.8
,199.36.153.9
,199.36.153.10
,199.36.153.11
.Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record
AAAA
perDOMAIN
che rimandi a2600:2d00:0002:2000::
.
Per
restricted.googleapis.com
:Crea un record
A
perDOMAIN
che rimandi ai seguenti indirizzi IP:199.36.153.4
,199.36.153.5
,199.36.153.6
,199.36.153.7
.Per connetterti alle API utilizzando indirizzi IPv6, crea anche un record
AAAA
perrestricted.googleapis.com
che rimandi a2600:2d00:0002:1000::
.
Nella zona
DOMAIN
, crea un recordCNAME
per*.DOMAIN
che punti aDOMAIN
. Ad esempio, crea un recordCNAME
per*.gcr.io
che rimandi agcr.io
.
Configurare il DNS per i nomi di dominio personalizzati di Cloud Storage
Se utilizzi bucket Cloud Storage e invii richieste a un
nome di dominio Cloud Storage personalizzato,
configurare i record DNS per il nome di dominio Cloud Storage personalizzato in modo che puntino ai
indirizzi IP di private.googleapis.com
o restricted.googleapis.com
non è sufficiente per consentire l'accesso ai bucket Cloud Storage.
Se vuoi inviare richieste a un nome di dominio personalizzato Cloud Storage, devi anche impostare esplicitamente l'intestazione Host della richiesta HTTP e l'SNI TLS su storage.googleapis.com
. Gli indirizzi IP per private.googleapis.com
e restricted.googleapis.com
non supportano gli hostname Cloud Storage personalizzati nelle intestazioni Host delle richieste HTTP e negli SNI TLS.
Opzioni di routing
La rete VPC deve avere route appropriate i cui hop successivi sono il gateway internet predefinito. Google Cloud non supporta il routing del traffico verso le API e i servizi Google tramite altre istanze VM o hop successivi personalizzati. Nonostante il nome gateway internet predefinito, i pacchetti inviati dalle VM nella rete VPC alle API e ai servizi Google rimangono all'interno della rete di Google.
Se selezioni i domini predefiniti, le istanze VM si connettono alle API e ai servizi Google utilizzando un sottoinsieme di indirizzi IP esterni di Google. Questi indirizzi IP sono instradabili pubblicamente, ma il percorso da una VM in una rete VPC a questi indirizzi rimane all'interno della rete di Google.
Google non pubblica route su internet per nessuno degli indirizzi IP utilizzati dai domini
private.googleapis.com
orestricted.googleapis.com
. Di conseguenza, a questi domini puoi accedere solo dalle VM in una rete VPC o dai sistemi on-premise connessi a una rete VPC.
Se la tua rete VPC contiene una route predefinita il cui hop successivo è il gateway internet predefinito, puoi utilizzarla per accedere alle API e ai servizi Google senza dover creare route personalizzate. Per maggiori dettagli, vedi Routing con un route predefinito.
Se hai sostituito una route predefinita (destinazione 0.0.0.0/0
o ::0/0
) con una route personalizzata il cui hop successivo non è il gateway internet predefinito, puoi soddisfare i requisiti di routing per le API e i servizi Google utilizzando il routing personalizzato.
Se la tua rete VPC non dispone di una route predefinita IPv6, non avrai connettività IPv6 alle API e ai servizi Google. Aggiungi una route predefinita IPv6 per consentire la connettività IPv6.
Routing con un percorso predefinito
Ogni rete VPC contiene una route predefinita IPv4 (0.0.0.0/0
)
quando viene creata. Se attivi gli indirizzi IPv6 esterni in una subnet, alla rete VPC viene aggiunta una route predefinita IPv6 (::/0
) generata dal sistema.
Le route predefinite forniscono un percorso agli indirizzi IP per le seguenti destinazioni:
I domini predefiniti.
private.googleapis.com
:199.36.153.8/30
e2600:2d00:0002:2000::/64
.restricted.googleapis.com
:199.36.153.4/30
e2600:2d00:0002:1000::/64
.
Per controllare la configurazione di una route predefinita in una determinata rete, segui queste indicazioni.
Console
Nella console Google Cloud, vai alla pagina Route.
Filtra l'elenco dei percorsi in modo da visualizzare solo quelli della rete che devi ispezionare.
Cerca una route la cui destinazione è
0.0.0.0/0
per il traffico IPv4 o::/0
per il traffico IPv6 e il cui hop successivo è gateway internet predefinito.
gcloud
Utilizza il seguente comando gcloud
, sostituendo NETWORK_NAME
con il nome della rete da ispezionare:
gcloud compute routes list \ --filter="default-internet-gateway NETWORK_NAME"
Se devi creare una route IPv4 predefinita sostitutiva, consulta Aggiunta di una route statica.
Se devi creare una route IPv6 predefinita sostitutiva, consulta Aggiunta di una route IPv6 predefinita.
Routing personalizzato
In alternativa a una route predefinita, puoi utilizzare route statiche personalizzate, ciascuna con una destinazione più specifica e ciascuna che utilizza l'hop successivo del gateway internet predefinito. Il numero di route necessarie e i relativi indirizzi IP di destinazione dipendono dal dominio scelto.
- Domini predefiniti: devi disporre di route per gli intervalli di indirizzi IP per le API e i servizi Google.
private.googleapis.com
:199.36.153.8/30
e2600:2d00:0002:2000::/64
restricted.googleapis.com
:199.36.153.4/30
e2600:2d00:0002:1000::/64
Inoltre, ti consigliamo di aggiungere percorsi per 34.126.0.0/18
e 2001:4860:8040::/42
. Per ulteriori informazioni, consulta Riepilogo delle opzioni di configurazione.
Per controllare la configurazione delle route personalizzate per le API e i servizi Google in una determinata rete, segui queste istruzioni.
Console
Nella console Google Cloud, vai alla pagina Route.
Utilizza il campo di testo Filtra tabella per filtrare l'elenco di route utilizzando i seguenti criteri, sostituendo
NETWORK_NAME
con il nome della tua rete VPC.- Rete:
NETWORK_NAME
- Tipo di hop successivo:
default internet gateway
- Rete:
Esamina la colonna Intervallo IP di destinazione per ogni route. Se hai scelto i domini predefiniti, controlla la presenza di diverse route statiche personalizzate, una per ogni intervallo di indirizzi IP utilizzato dal dominio predefinito. Se hai scelto
private.googleapis.com
orestricted.googleapis.com
, cerca l'intervallo IP del dominio.
gcloud
Utilizza il seguente comando gcloud
, sostituendo NETWORK_NAME
con il nome della rete da ispezionare:
gcloud compute routes list \ --filter="default-internet-gateway NETWORK_NAME"
I percorsi sono elencati in formato tabella, a meno che non personalizzi il comando con il
--format
flag. Cerca la destinazione di ogni percorso nella colonna DEST_RANGE
. Se hai scelto i domini predefiniti, controlla la presenza di diversi percorsi statici personalizzati, uno per ogni intervallo di indirizzi IP utilizzato dal dominio predefinito. Se hai scelto private.googleapis.com
o
restricted.googleapis.com
, cerca l'intervallo IP del dominio.
Se devi creare route, consulta l'articolo Aggiunta di una route statica.
Configurazione del firewall
La configurazione del firewall della rete VPC deve consentire l'accesso dalle VM agli indirizzi IP utilizzati dalle API e dai servizi Google. La regola implicita
allow egress
soddisfa questo requisito.
In alcune configurazioni del firewall, devi creare regole di autorizzazione in uscita specifiche.
Ad esempio, supponiamo che tu abbia creato una regola di rifiuto in uscita che blocchi il traffico verso tutte le destinazioni (0.0.0.0
per IPv4 o ::/0
per IPv6). In questo caso, devi creare una regola firewall di uscita consentita la cui priorità è superiore alla regola di divieto di uscita per ogni intervallo di indirizzi IP utilizzato dal dominio scelto per le API e i servizi Google.
- Domini predefiniti: tutti gli intervalli di indirizzi IP per le API e i servizi Google.
private.googleapis.com
:199.36.153.8/30
e2600:2d00:0002:2000::/64
restricted.googleapis.com
:199.36.153.4/30
e2600:2d00:0002:1000::/64
Inoltre, ti consigliamo di includere 34.126.0.0/18
e
2001:4860:8040::/42
nella regola del firewall che consente l'uscita. Per ulteriori informazioni, consulta Riepilogo delle opzioni di configurazione.
Per creare regole firewall, consulta la sezione Creare regole firewall. Puoi limitare le VM a cui si applicano le regole del firewall quando definisci la destinazione di ogni regola di autorizzazione in uscita.
Indirizzi IP per i domini predefiniti
Questa sezione descrive come creare un elenco di intervalli IP dei domini predefiniti utilizzati dalle API e dai servizi Google. Questi intervalli vengono allocati in modo dinamico e cambiano spesso, pertanto non è possibile definire intervalli IP specifici per singoli servizi o API. Per mantenere un elenco accurato, configura l'automazione in modo da eseguire lo script ogni giorno. Per alternative alla gestione di un elenco di intervalli di indirizzi IP, ti consigliamo di utilizzare il VIP private.googleapis.com o Private Service Connect.
Segui questi passaggi per determinare gli intervalli di indirizzi IP utilizzati dai domini predefinite, ad esempio *.googleapis.com
e *.gcr.io
.
Google pubblica l'elenco completo degli intervalli IP che mette a disposizione degli utenti su internet in goog.json.
Google pubblica inoltre un elenco degli intervalli di indirizzi IP esterni globali e a livello di area geografica disponibili per le risorse Google Cloud dei clienti in cloud.json.
Gli indirizzi IP utilizzati dai domini predefiniti per le API e i servizi Google rientrano nell'elenco degli intervalli calcolati sottraendo tutti gli intervalli in cloud.json
da quelli in goog.json
. Questi elenchi vengono aggiornati di frequente.
Puoi utilizzare il seguente script Python per creare un elenco di intervalli di indirizzi IP che includono quelli utilizzati dai domini predefiniti per le API e i servizi Google.
Per informazioni sull'esecuzione di questo script, consulta Come eseguire.
Configurazione dell'accesso privato Google
Puoi attivare l'accesso privato Google dopo aver soddisfatto i requisiti della rete nella tua rete VPC.
Abilita l'accesso privato Google
Per attivare l'accesso privato Google:
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome della rete contenente la subnet per la quale devi attivare l'accesso privato Google.
Per una subnet esistente:
- Fai clic sul nome della sottorete. Viene visualizzata la pagina Dettagli subnet.
- Fai clic su Modifica.
- Nella sezione Accesso privato Google, seleziona On.
- Fai clic su Salva.
Per una nuova subnet:
- Fai clic su Aggiungi subnet.
- Inserisci un nome.
- Seleziona una Regione.
- Per Tipo di stack IP, seleziona Solo IPv4 (stack singolo) o IPv4 e IPv6 (stack doppio).
Inserisci un intervallo IPv4. Si tratta dell'intervallo IPv4 primario per la subnet.
Se selezioni un intervallo che non è un indirizzo RFC 1918, verifica che l'intervallo non entri in conflitto con una configurazione esistente. Per ulteriori informazioni, consulta Intervalli di subnet IPv4.
Se stai creando una subnet a doppio stack, seleziona un tipo di accesso IPv6: Interno o Esterno.
Se vuoi impostare il tipo di accesso su Interno, ma l'opzione Interno non è disponibile, verifica che sulla rete sia assegnato un intervallo IPv6 interno.
Effettua altre selezioni per la nuova subnet in base alle tue esigenze. Ad esempio, potresti dover creare intervalli IP di subnet secondarie o attivare i log di flusso VPC.
Seleziona On nella sezione Accesso privato Google.
Fai clic su Aggiungi.
gcloud
Per una subnet esistente:
Determina il nome e la regione della subnet. Per elencare le subnet di una determinata rete, utilizza il seguente comando:
gcloud compute networks subnets list --filter=NETWORK_NAME
Esegui il seguente comando per attivare l'accesso privato Google:
gcloud compute networks subnets update SUBNET_NAME \ --region=REGION \ --enable-private-ip-google-access
Verifica che l'accesso privato Google sia abilitato eseguendo questo comando:
gcloud compute networks subnets describe SUBNET_NAME \ --region=REGION \ --format="get(privateIpGoogleAccess)"
In tutti i comandi precedenti, sostituisci quanto segue con valori validi:
SUBNET_NAME
: il nome della subnetREGION
: la regione della subnetNETWORK_NAME
: il nome della rete VPC che contiene la subnet
Quando crei una nuova
subnet, utilizza il
flag --enable-private-ip-google-access
per attivare l'accesso privato Google:
gcloud compute networks subnets create SUBNET_NAME \ --region=REGION \ --network=NETWORK_NAME \ --range=PRIMARY_IP_RANGE \ [ --stack-type=STACK_TYPE ] \ [ --ipv6-access-type=IPv6_ACCESS_TYPE ] \ --enable-private-ip-google-access
Sostituisci quanto segue con valori validi:
SUBNET_NAME
: il nome della subnetREGION
: la regione della subnetNETWORK_NAME
: il nome della rete VPC che contiene la subnetPRIMARY_IP_RANGE
: l'intervallo di indirizzi IP principale della subnetSTACK_TYPE
è il tipo di stack per la subnet:IPV4_ONLY
oIPV4_IPV6
.IPv6_ACCESS_TYPE
è il tipo di accesso IPv6:EXTERNAL
oINTERNAL
. Specifica il tipo di accesso IPv6 solo se hai specificato anche--stack-type=IPV4_IPV6
.
Disattivare l'accesso privato Google
Per disabilitare l'accesso privato Google per una subnet esistente:
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic sul nome della rete che contiene la subnet per la quale devi disabilitare l'accesso privato Google.
Fai clic sul nome di una sottorete esistente. Viene visualizzata la pagina Dettagli subnet.
Fai clic su Modifica.
Nella sezione Accesso privato Google, seleziona Off.
Fai clic su Salva.
gcloud
Determina il nome e la regione della subnet. Per elencare le subnet di una determinata rete, utilizza il seguente comando:
gcloud compute networks subnets list \ --filter=NETWORK_NAME
Esegui questo comando per disattivare l'accesso privato Google:
gcloud compute networks subnets update SUBNET_NAME \ --region=REGION \ --no-enable-private-ip-google-access
Esegui il seguente comando per verificare che l'accesso privato Google sia disabilitato:
gcloud compute networks subnets describe SUBNET_NAME \ --region=REGION \ --format="get(privateIpGoogleAccess)"
In tutti i comandi precedenti, sostituisci quanto segue con valori validi:
SUBNET_NAME
: il nome della subnetREGION
: la regione della subnetNETWORK_NAME
: il nome della rete VPC che contiene la subnet