內部部署主機的私人 Google 存取

內部部署主機可以使用 Cloud VPNCloud Interconnect 從內部部署網路連線至 Google Cloud,以便存取 Google API 和服務。內部主機可以從下列來源 IP 位址傳送流量:

  • 私人 IP 位址,例如 RFC 1918 位址
  • 私人使用的公開 IP 位址 (Google 擁有的公開 IP 位址除外)。(內部部署主機的私人 Google 存取權不支援在內部部署網路中重複使用 Google 公開 IP 位址做為來源)。

如要啟用內部部署主機的私人 Google 存取權,您必須在內部部署與虛擬私人雲端網路中設定 DNS、防火牆規則與路徑。您不需要像啟用Google Cloud VM 執行個體的私人 Google 存取權一樣,在虛擬私有雲網路中啟用任何子網路的私人 Google 存取權。

內部部署主機必須使用 restricted.googleapis.comprivate.googleapis.com 網域的虛擬 IP 位址 (VIP) 連線至 Google API 和服務。詳情請參閱「私人 Google 存取權專屬網域和 VIP」。

Google 會公開發布 DNS A 記錄,將網域解析為 VIP 範圍。即使範圍有外部 IP 位址,Google 也不會發布這些路徑。因此,您必須在 Cloud Router 上新增自訂的通告路徑,並在虛擬私人雲端網路中針對 VIP 目的地設定適當的自訂靜態路徑。

路徑的目的地必須與其中一個 VIP 範圍相符,且下一個躍點為預設網際網路閘道。傳送至 VIP 範圍的流量會留在 Google 的網路內,而不是周遊公開網際網路,這是因為 Google 不會在外部將路徑發布至 VIP 範圍。

如需設定資訊,請參閱「為內部部署主機設定私人 Google 存取權」。

支援的服務

在內部主機上可使用的服務,僅限於網域名稱和用於存取服務的 VIP 支援的服務。詳情請參閱「網域選項」。

範例

在下列範例中,內部部署網路透過 Cloud VPN 通道連線至虛擬私人雲端網路。從內部部署主機流向 Google API 的流量透過通道傳輸至虛擬私人雲端網路。在流量抵達虛擬私人雲端網路之後,會透過使用預設網際網路閘道做為下一個躍點的路徑傳送。該下一個躍點允許流量離開虛擬私有雲網路,並傳送至 restricted.googleapis.com (199.36.153.4/30)。

混合式雲端的私人 Google 存取權使用案例。
混合式雲端的私人 Google 存取權使用案例 (按一下可放大)。
  • 內部部署 DNS 設定會將 *.googleapis.com 要求對應至 restricted.googleapis.com,進而解析為 199.36.153.4/30
  • Cloud Router 已設定為使用自訂宣傳路徑,透過 Cloud VPN 通道宣傳 199.36.153.4/30 IP 位址範圍。前往 Google API 的流量會透過通道轉送至虛擬私人雲端網路。
  • 系統已在 VPC 網路中新增自訂靜態路徑,將目的地 199.36.153.4/30 的流量導向預設網際網路閘道 (做為下一個躍點)。然後,Google 會將流量轉送至適當的 API 或服務。
  • 如果您為 *.googleapis.com 建立了 Cloud DNS 代管不公開區域,並且已授權該區域供 VPC 網路使用,則對 googleapis.com 網域中任何項目的請求都會傳送至 restricted.googleapis.com 使用的 IP 位址。199.36.153.4/30您只能使用這個設定存取支援的 API,而這可能會導致其他服務無法連線。Cloud DNS 不支援部分覆寫,如果您需要部分覆寫,請使用 BIND

後續步驟