Accesso privato Google per gli host on-premise

Gli host on-premise possono raggiungere le API e i servizi Google utilizzando Cloud VPN o Cloud Interconnect dalla tua rete on-premise a Google Cloud. Gli host on-premise possono inviare traffico dai seguenti tipi di indirizzi IP di origine:

  • un indirizzo IP privato, ad esempio un indirizzo RFC 1918
  • un indirizzo IP pubblico utilizzato privatamente, ad eccezione di un indirizzo IP pubblico di proprietà di Google. L'accesso privato Google per gli host on-premise non supporta il riutilizzo degli indirizzi IP pubblici di Google come origini nella rete on-premise.

Per abilitare l'accesso privato Google per gli host on-premise, devi configurare DNS, regole del firewall e route nelle reti on-premise e VPC. Non è necessario abilitare l'accesso privato Google per le subnet della rete VPC, come per l'accesso privato Google per le istanze VM Google Cloud.

Gli host on-premise devono connettersi alle API e ai servizi Google utilizzando gli indirizzi IP virtuali (VIP) per i domini restricted.googleapis.com o private.googleapis.com. Per ulteriori dettagli, consulta Domini e VIP specifici per l'accesso privato Google.

Google pubblica pubblicamente i record DNS A che risolvono i domini in un intervallo VIP. Anche se gli intervalli hanno indirizzi IP esterni, Google non pubblica route per questi intervalli. Pertanto, devi aggiungere una route annunciata personalizzata su un router Cloud e disporre di una route statica personalizzata appropriata nella rete VPC per la destinazione del VIP.

La route deve avere una destinazione corrispondente a uno degli intervalli VIP e un hop successivo corrispondente al gateway internet predefinito. Il traffico inviato all'intervallo VIP rimane all'interno della rete di Google anziché attraversare la rete internet pubblica perché Google non pubblica route per questi intervalli all'esterno.

Per informazioni sulla configurazione, consulta Configurare l'accesso privato Google per gli host on-premise.

Servizi supportati

I servizi disponibili per gli host on-premise sono limitati a quelli supportati dal nome di dominio e dal VIP utilizzati per accedervi. Per ulteriori informazioni, consulta Opzioni di dominio.

Esempio

Nell'esempio seguente, la rete on-premise è collegata a una rete VPC tramite un tunnel Cloud VPN. Il traffico dagli host on-premise alle API Google passa attraverso il tunnel fino alla rete VPC. Una volta che il traffico raggiunge la rete VPC, viene inviato tramite una route che utilizza il gateway internet predefinito come hop successivo. Questo hop successivo consente al traffico di uscire dalla rete VPC e di essere inviato a restricted.googleapis.com (199.36.153.4/30).

Caso d'uso di Accesso privato Google per il cloud ibrido.
Caso d'uso di accesso privato a Google per il cloud ibrido (fai clic per visualizzare ingrandito).
  • La configurazione DNS on-premise mappa le richieste *.googleapis.com a restricted.googleapis.com, che risolve in 199.36.153.4/30.
  • Il router Cloud è stato configurato per annunciare l'intervallo di indirizzi IP 199.36.153.4/30 tramite il tunnel Cloud VPN utilizzando una route annunciata personalizzata. Il traffico diretto alle API di Google viene indirizzato tramite il tunnel alla rete VPC.
  • Alla rete VPC è stata aggiunta una route statica personalizzata che indirizza il traffico con destinazione 199.36.153.4/30 al gateway internet predefinito (come hop successivo). Google inoltra quindi il traffico all'API o al servizio appropriato.
  • Se hai creato una zona privata gestita da Cloud DNS per*.googleapis.com che mappa a 199.36.153.4/30 e hai autorizzato la sua*.googleapis.comutilizzazione da parte della tua rete VPC, le richieste a qualsiasi elemento delgoogleapis.comdominio vengono inviate agli indirizzi IP utilizzati darestricted.googleapis.com. Con questa configurazione sono accessibili solo le API supportate, il che potrebbe causare l'irraggiungibilità di altri servizi. Cloud DNS non supporta le sostituzioni parziali. Se hai bisogno di sostituzioni parziali, utilizza BIND.

Passaggi successivi