Acceso privado de Google para hosts on‑premise

Los hosts on-premise pueden acceder a las APIs y los servicios de Google mediante Cloud VPN o Cloud Interconnect desde tu red on-premise a Google Cloud. Los hosts locales pueden enviar tráfico desde los siguientes tipos de direcciones IP de origen:

  • una dirección IP privada, como una dirección RFC 1918
  • una dirección IP pública usada de forma privada, excepto una dirección IP pública propiedad de Google. El acceso privado de Google para hosts on-premise no permite reutilizar direcciones IP públicas de Google como fuentes en tu red on-premise.

Para habilitar Acceso privado de Google para hosts on-premise, debes configurar el DNS, las reglas de cortafuegos y las rutas en tus redes on-premise y de VPC. No es necesario que habilites el acceso privado de Google en ninguna subred de tu red de VPC, como sí tendrías que hacer en el caso de las instancias de VM deGoogle Cloud .

Los hosts on-premise deben conectarse a las APIs y los servicios de Google mediante las direcciones IP virtuales (VIPs) de los dominios restricted.googleapis.com o private.googleapis.com. Consulta más información sobre los dominios y las IPs virtuales específicos del Acceso privado a Google.

Google publica públicamente registros A de DNS que resuelven los dominios en un intervalo de VIPs. Aunque los intervalos tienen direcciones IP externas, Google no publica rutas para ellos. Por lo tanto, debe añadir una ruta anunciada personalizada en un router de Cloud y tener una ruta estática personalizada adecuada en su red de VPC para el destino de la IP virtual.

La ruta debe tener un destino que coincida con uno de los intervalos de VIP y un siguiente salto que sea la pasarela de Internet predeterminada. El tráfico enviado al intervalo de IPs virtuales permanece en la red de Google en lugar de atravesar la red pública de Internet, ya que Google no publica rutas a ellas externamente.

Para obtener información sobre la configuración, consulta Configurar Acceso privado de Google para hosts on-premise.

Servicios admitidos

Los servicios disponibles para los hosts locales se limitan a los que admite el nombre de dominio y el VIP que se usan para acceder a ellos. Para obtener más información, consulta Opciones de dominio.

Ejemplo

En el siguiente ejemplo, la red local está conectada a una red de VPC a través de un túnel de Cloud VPN. El tráfico de los hosts on-premise a las APIs de Google se desplaza a través del túnel a la red de VPC. Cuando el tráfico llega a la red VPC, se envía a través de una ruta que usa la pasarela de Internet predeterminada como siguiente salto. Este siguiente salto permite que el tráfico salga de la red de VPC y se envíe a restricted.googleapis.com (199.36.153.4/30).

Acceso privado de Google para un caso práctico de nube híbrida.
Acceso privado a Google para el caso práctico de nube híbrida (haz clic para ampliar).
  • La configuración de DNS local asigna las solicitudes *.googleapis.com a restricted.googleapis.com, que se resuelve en 199.36.153.4/30.
  • Cloud Router se ha configurado para anunciar el intervalo de direcciones IP 199.36.153.4/30 a través del túnel de Cloud VPN mediante una ruta anunciada personalizada. El tráfico que va a las APIs de Google se enruta a través del túnel a la red de VPC.
  • Se ha añadido una ruta estática personalizada a la red de VPC que dirige el tráfico con el destino 199.36.153.4/30 a la puerta de enlace de Internet predeterminada (como siguiente salto). A continuación, Google dirige el tráfico a la API o el servicio correspondientes.
  • Si has creado una zona privada gestionada de Cloud DNS para *.googleapis.com que se asigna a 199.36.153.4/30 y has autorizado el uso de esa zona en tu red de VPC, las solicitudes a cualquier elemento del dominio googleapis.com se envían a las direcciones IP que usa restricted.googleapis.com. Con esta configuración, solo se puede acceder a las APIs admitidas, lo que puede provocar que no se pueda acceder a otros servicios. Cloud DNS no admite anulaciones parciales. Si necesitas anulaciones parciales, usa BIND.

Siguientes pasos