Private Google Access 搭配 VPC Service Controls

Private Google Access 提供私人連線,讓虛擬私有雲網路或地端部署網路中使用私人 IP 位址的主機存取 Google API 和服務。您可以將 VPC Service Controls service perimeter 擴充至這些網路中的主機,控管受保護資源的存取權。

虛擬私有雲網路中的主機必須僅使用私人 IP 位址 (未使用公開 IP 位址),並位於啟用 Private Google Access 的子網路中。

如要讓地端部署主機存取受限制的 Google API 服務,必須透過虛擬私有雲網路向 Google API 發出要求。傳送至虛擬私有雲網路時,可以經由 Cloud VPN 通道或 Cloud Interconnect 連線。

在上述兩種情況下,建議將所有對 Google API 和服務的要求傳送至 restricted.googleapis.com 的虛擬 IP (VIP) 位址範圍。這些 IP 位址範圍不會在網際網路上公布,傳送至 VIP 的流量只會留在 Google 的網路中。

如要進一步瞭解 private.googleapis.comrestricted.googleapis.com VIP,請參閱「設定 Private Google Access」。

restricted.googleapis.com 的 IP 位址範圍

有兩個與 restricted.googleapis.com 網域相關聯的 IP 位址範圍:

  • IPv4 範圍:199.36.153.4/30
  • IPv6 範圍:2600:2d00:0002:1000::/64

如要瞭解如何使用 IPv6 範圍存取 Google API,請參閱「IPv6 支援」。

虛擬私有雲網路範例

在以下範例中,service perimeter 包含兩項專案:一個擁有已授權的虛擬私有雲網路,另一個擁有受保護的 Cloud Storage 資源。在虛擬私有雲網路中,VM 執行個體必須位於啟用 Private Google Access 的子網路中,而且只需要存取受 VPC Service Controls 限制的服務。在已授權的虛擬私有雲網路中,VM 執行個體發出的 Google API 和服務查詢會解析為 restricted.googleapis.com,可以存取受保護的資源。

Private Google Access 搭配 VPC Service Controls (按一下即可放大)
Private Google Access 搭配 VPC Service Controls (按一下即可放大)
  • 在虛擬私有雲網路中,DNS 已設為將 *.googleapis.com 要求對應 restricted.googleapis.com,該網域會解析為 199.36.153.4/30
  • 虛擬私有雲網路中已新增自訂靜態轉送規則,將目的地為 199.36.153.4/30 的流量導向 default-internet-gateway,做為下一個躍點。即使使用 default-internet-gateway 做為下一個躍點,流量依然會經由 Google 網路,以私密連線方式轉送到適當的 API 或服務。
  • 虛擬私有雲網路有權存取 My-authorized-gcs-project,因為這兩個專案位於相同 service perimeter 內。

地端部署網路範例

有兩種使用靜態轉送的方式,一種是直接在地端部署路由器上設定靜態轉送規則,另一種是從 Cloud Router 透過邊界閘道通訊協定 (BGP) 宣告受限制的 Google API 位址範圍。

如要在啟用 VPC Service Controls 的情況下,將 Private Google Access 用於地端部署主機,請為地端部署主機設定私人連線,然後設定 VPC Service Controls。此外,請針對當中虛擬私有雲網路連線至地端部署網路的專案定義 service perimeter。

在下列情境中,只能從專案 main-project 中的 VM 執行個體和連線的地端部署應用程式,存取專案 sensitive-buckets 中的儲存空間 bucket。地端部署主機可存取專案 sensitive-buckets 中的儲存空間 bucket,因為流量會通過與 sensitive-buckets 相同 service perimeter 內的虛擬私有雲網路。

  • 地端部署 DNS 設定會將 *.googleapis.com 要求對應 restricted.googleapis.com,該網域會解析為 199.36.153.4/30
  • Cloud Router 已設為透過 VPN 通道宣告 199.36.153.4/30 IP 位址範圍。傳輸至 Google API 的流量會經由通道,轉送至虛擬私有雲網路。
  • 虛擬私有雲網路中已新增自訂靜態轉送規則,將目的地為 199.36.153.4/30 的流量導向 default-internet-gateway,做為下一個躍點。即使使用 default-internet-gateway 做為下一個躍點,流量依然會經由 Google 網路,以私密連線方式轉送到適當的 API 或服務。
  • 虛擬私有雲網路有權存取 sensitive-buckets 專案,地端部署主機也具有相同的存取權。
  • 地端部署主機無法存取 service perimeter 外的其他資源。

與地端部署網路連線的專案必須在 service perimeter 內,才能連線至受限制的資源。如果相關專案透過 perimeter bridge 連結,也能從地端部署環境存取。

後續步驟