Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Acesso privado do Google para hosts locais
Hosts locais podem acessar serviços e APIs do Google usando
o Cloud VPN ou o Cloud Interconnect
da rede local até o Google Cloud. Hosts locais podem enviar tráfego dos seguintes tipos de endereços IP de origem:
Um endereço IP público de uso privado, exceto um endereço IP público do Google (O Acesso privado do Google para hosts locais não é compatível com a reutilização de endereços IP públicos do Google como origens na rede local.)
Para ativar o Acesso privado do Google para hosts locais, você precisa configurar o DNS, as regras de firewall e as rotas nas suas redes locais e VPC. Você não precisa ativar o Acesso privado do Google para qualquer sub-rede na sua rede VPC, como faria para o Acesso privado do Google para instâncias de VM do Google Cloud.
Hosts locais precisam se conectar aos serviços e às APIs do Google usando os endereços IP virtuais (VIPs) de um destes domínios: restricted.googleapis.com ou private.googleapis.com. Consulte VIPs e domínios específicos de Acesso privado do Google para mais detalhes.
O Google divulga publicamente os registros A de DNS que resolvem os domínios para um intervalo de VIPs.
Mesmo que os intervalos tenham endereços IP externos, o Google não divulga rotas para eles. Portanto, você deve adicionar uma divulgação de rota personalizada em um Cloud Router e ter uma rota estática personalizada apropriada em sua rede VPC para o destino do VIP.
A rota deve ter um destino correspondente a um dos intervalos de VIPs e ter o gateway de Internet padrão como próximo salto. O tráfego enviado para o intervalo de VIPs permanece dentro da rede do Google em vez de passar pela Internet pública porque o Google não divulga rotas para eles externamente.
Os serviços disponíveis para hosts locais são limitados àqueles compatíveis com o nome de domínio e VIP usados para acessá-los. Para mais informações, consulte Opções de domínio.
Exemplo
No exemplo a seguir, a rede local é conectada a uma rede VPC por meio de um túnel do Cloud VPN. O tráfego de hosts locais para as APIs do Google viaja pelo túnel até a rede VPC. Depois que o tráfego atinge essa rede, ele é enviado por meio de uma rota que usa o gateway de Internet padrão como próximo salto. Esse próximo salto permite que o tráfego deixe a rede VPC e seja entregue a restricted.googleapis.com (199.36.153.4/30).
Acesso privado do Google para caso de uso de nuvem híbrida (clique para ampliar).
A configuração de DNS local mapeia as solicitações *.googleapis.com para restricted.googleapis.com, que são resolvidas para 199.36.153.4/30.
O Cloud Router foi configurado para divulgar o intervalo de endereços IP 199.36.153.4/30 por meio do túnel do Cloud VPN usando uma divulgação de rota divulgada.
O tráfego encaminhado para as APIs do Google é roteado pelo túnel até a
rede VPC.
Uma rota estática personalizada foi adicionada à rede VPC, que
direciona o tráfego com o destino 199.36.153.4/30 para o gateway padrão da
Internet (como o próximo salto). O Google então o direciona para a API ou o serviço apropriado.
Se você criou uma zona privada gerenciada do Cloud DNS para *.googleapis.com mapeada para 199.36.153.4/30 e autorizou que ela fosse usada pela rede VPC, as solicitações para qualquer coisa no domínio googleapis.com são enviadas para os endereços IP usados por restricted.googleapis.com. Somente as APIs compatíveis são acessíveis com essa configuração, o que pode tornar outros serviços inacessíveis. O Cloud DNS não aceita modificações parciais. Se você precisar de modificações parciais, utilize o BIND.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2024-12-06 UTC."],[],[],null,["# Private Google Access for on-premises hosts\n===========================================\n\nOn-premises hosts can reach Google APIs and services by using\n[Cloud VPN](/network-connectivity/docs/vpn) or [Cloud Interconnect](/network-connectivity/docs/interconnect)\nfrom your on-premises network to Google Cloud. On-premises hosts can\nsend traffic from the following types of source IP addresses:\n\n- a private IP address, such as an [RFC\n 1918](https://tools.ietf.org/html/rfc1918) address\n- a privately used public IP address, except for a Google-owned public IP address. (Private Google Access for on-premises hosts does not support re-using Google public IP addresses as sources in your on-premises network.)\n\nTo enable Private Google Access for on-premises hosts, you must configure\nDNS, firewall rules, and routes in your on-premises and VPC\nnetworks. You don't need to enable Private Google Access for any subnets in\nyour VPC network as you would for Private Google Access for\nGoogle Cloud VM instances.\n\nOn-premises hosts must connect to Google APIs and services by using the virtual\nIP addresses (VIPs) for either the `restricted.googleapis.com` or\n`private.googleapis.com` domains. Refer to [Private Google Access-specific\ndomains and VIPs](#private-vips) for more details.\n\nGoogle publicly publishes DNS A records that resolve the domains to a VIP range.\nEven though the ranges have external IP addresses, Google does not publish\nroutes for them. Therefore, you must add a custom advertised route on a\nCloud Router and have an appropriate custom static route in your\nVPC network for the VIP's destination.\n\nThe route must have a destination matching one of the VIP ranges and a next hop\nbeing the default internet gateway. Traffic sent to the VIP range stays within\nGoogle's network instead of traversing the public internet because Google does\nnot publish routes to them externally.\n\nFor configuration information, see [Configure\nPrivate Google Access for on-premises hosts](/vpc/docs/configure-private-google-access-hybrid).\n\n### Supported services\n\nServices available to on-premises hosts are limited to those supported by the\ndomain name and VIP used to access them. For more information, see\n[Domain options](/vpc/docs/configure-private-google-access-hybrid#domain-options).\n\nExample\n-------\n\nIn the following example, the on-premises network is connected to a\nVPC network through a Cloud VPN tunnel. Traffic from\non-premises hosts to Google APIs travels through the tunnel to the\nVPC network. After traffic reaches the VPC\nnetwork, it is sent through a route that uses the default internet gateway as\nits next hop. This next hop allows traffic to leave the VPC\nnetwork and be delivered to `restricted.googleapis.com` (`199.36.153.4/30`).\n[](/static/vpc/images/pga-onprem.svg) Private Google Access for hybrid cloud use case (click to enlarge).\n\n- The on-premises DNS configuration maps `*.googleapis.com` requests to `restricted.googleapis.com`, which resolves to the `199.36.153.4/30`.\n- Cloud Router has been configured to advertise the `199.36.153.4/30` IP address range through the Cloud VPN tunnel by using a custom advertised route. Traffic going to Google APIs is routed through the tunnel to the VPC network.\n- A custom static route was added to the VPC network that directs traffic with the destination `199.36.153.4/30` to the default internet gateway (as the next hop). Google then routes traffic to the appropriate API or service.\n- If you created a Cloud DNS managed private zone for `*.googleapis.com` that maps to `199.36.153.4/30` and have authorized that zone for use by your VPC network, requests to anything in the `googleapis.com` domain are sent to the IP addresses that are used by `restricted.googleapis.com`. Only the [supported\n APIs](#supported-services-onprem) are accessible with this configuration, which might cause other services to be unreachable. Cloud DNS doesn't support partial overrides. If you require partial overrides, use [BIND](https://www.wikipedia.org/wiki/BIND).\n\nWhat's next\n-----------\n\n- To configure Private Google Access for on-premises hosts, see [Configure\n Private Google Access for on-premises\n hosts](/vpc/docs/configure-private-google-access-hybrid)."]]
