Accesso privato Google per gli host on-premise

Gli host on-premise possono raggiungere le API e i servizi Google utilizzando Cloud VPN o Cloud Interconnect dalla rete on-premise a Google Cloud. Gli host on-premise possono inviare traffico dai seguenti tipi di indirizzi IP di origine:

  • un indirizzo IP privato, ad esempio un indirizzo RFC 1918
  • un indirizzo IP pubblico utilizzato privatamente, ad eccezione di un indirizzo IP pubblico di proprietà di Google. L'accesso privato Google per gli host on-premise non supporta il riutilizzo degli indirizzi IP pubblici di Google come origini nella tua rete on-premise.

Per abilitare l'accesso privato Google per gli host on-premise, devi configurare DNS, regole firewall e route nelle reti on-premise e VPC. Non è necessario abilitare l'accesso privato Google per le subnet nella rete VPC come faresti per l'accesso privato Google per le istanze VMGoogle Cloud .

Gli host on-premise devono connettersi alle API e ai servizi Google utilizzando gli indirizzi IP virtuali (VIP) per i domini restricted.googleapis.com o private.googleapis.com. Per maggiori dettagli, consulta Domini e VIP specifici per l'accesso privato Google.

Google pubblica pubblicamente i record A DNS che risolvono i domini in un intervallo VIP. Anche se gli intervalli hanno indirizzi IP esterni, Google non pubblica route per questi intervalli. Pertanto, devi aggiungere una route annunciata personalizzata su un router Cloud e disporre di una route statica personalizzata appropriata nella tua rete VPC per la destinazione del VIP.

La route deve avere una destinazione corrispondente a uno degli intervalli VIP e un hop successivo che sia il gateway internet predefinito. Il traffico inviato all'intervallo VIP rimane all'interno della rete di Google anziché attraversare la rete internet pubblica perché Google non pubblica route esterni.

Per informazioni sulla configurazione, vedi Configurazione dell'accesso privato Google per gli host on-premise.

Servizi supportati

I servizi disponibili per gli host on-premise sono limitati a quelli supportati dal nome di dominio e dal VIP utilizzati per accedervi. Per saperne di più, vedi Opzioni di dominio.

Esempio

Nell'esempio seguente, la rete on-premise è connessa a una rete VPC tramite un tunnel Cloud VPN. Il traffico dagli host on-premise alle API di Google passa attraverso il tunnel alla rete VPC. Dopo che il traffico raggiunge la rete VPC, viene inviato tramite una route che utilizza il gateway internet predefinito come hop successivo. Questo hop successivo consente al traffico di uscire dalla rete VPC e di essere recapitato a restricted.googleapis.com (199.36.153.4/30).

Accesso privato Google per il caso d'uso del cloud ibrido.
Accesso Google privato per lo scenario d'uso del cloud ibrido (fai clic per ingrandire).
  • La configurazione DNS on-premise mappa le richieste *.googleapis.com a restricted.googleapis.com, che viene risolto in 199.36.153.4/30.
  • Router Cloud è stato configurato per annunciare l'intervallo di indirizzi IP 199.36.153.4/30 tramite il tunnel Cloud VPN utilizzando una route annunciata personalizzata. Il traffico diretto alle API di Google viene instradato attraverso il tunnel alla rete VPC.
  • È stata aggiunta una route statica personalizzata alla rete VPC che indirizza il traffico con la destinazione 199.36.153.4/30 al gateway internet predefinito (come hop successivo). Google quindi indirizza il traffico all'API o al servizio appropriato.
  • Se hai creato una zona privata gestita di Cloud DNS per *.googleapis.com che esegue il mapping a 199.36.153.4/30 e hai autorizzato l'utilizzo di questa zona da parte della tua rete VPC, le richieste a qualsiasi elemento del dominio googleapis.com vengono inviate agli indirizzi IP utilizzati da restricted.googleapis.com. Con questa configurazione sono accessibili solo le API supportate, il che potrebbe rendere irraggiungibili altri servizi. Cloud DNS non supporta gli override parziali. Se hai bisogno di sostituzioni parziali, utilizza BIND.

Passaggi successivi