Acceso privado de Google con Controles de Servicio de VPC

El acceso privado a Google ofrece conectividad privada a los hosts de una red de VPC o de una red on-premise que utiliza direcciones IP privadas para acceder a las APIs y los servicios de Google. Puedes ampliar el perímetro de servicio de una nube privada virtual a los hosts de esas redes para controlar el acceso a los recursos protegidos.

Los hosts de una red de VPC solo deben tener una dirección IP privada (no una pública) y estar en una subred con la función Acceso privado de Google habilitada.

Para que los hosts on-premise puedan acceder a los servicios de las APIs de Google restringidos, las solicitudes a las APIs de Google deben enviarse a través de una red VPC, ya sea mediante un túnel de Cloud VPN o una conexión de Cloud Interconnect.

En ambos casos, te recomendamos que envíes todas las solicitudes a las APIs y los servicios de Google a los intervalos de direcciones IP virtuales (VIP) de restricted.googleapis.com. Los intervalos de direcciones IP no se anuncian en Internet. El tráfico enviado a la dirección IP virtual permanece solo en la red de Google Cloud.

Si necesitas acceder a otras APIs y servicios de Google que no sean compatibles con Controles de Servicio de VPC, puedes usar private.googleapis.com. Sin embargo, una IP virtual privada puede permitir el acceso a servicios que no cumplan los requisitos de Controles de Servicio de VPC y que puedan suponer un riesgo de filtración de datos. Te recomendamos que uses restricted.googleapis.com, que se integra con Controles de Servicio de VPC y mitiga los riesgos de filtración externa de datos. Si usas restricted.googleapis.com, se deniega el acceso a las APIs y los servicios de Google que no son compatibles con Controles de Servicio de VPC.

Para obtener más información sobre las VIPs private.googleapis.com y restricted.googleapis.com, consulta el artículo Configurar Acceso privado a Google.

Intervalos de direcciones IP de restricted.googleapis.com

Hay dos intervalos de direcciones IP asociados al dominio restricted.googleapis.com:

  • Intervalo de IPv4: 199.36.153.4/30
  • Intervalo de IPv6: 2600:2d00:0002:1000::/64

Para obtener información sobre cómo usar el intervalo de IPv6 para acceder a las APIs de Google, consulta Compatibilidad con IPv6.

Ejemplo de red de VPC

En el siguiente ejemplo, el perímetro de servicio contiene dos proyectos: uno con una red de VPC autorizada y otro con el recurso de Cloud Storage protegido. En la red de VPC, las instancias de VM deben estar en una subred con la función Acceso privado de Google habilitada y solo requieren acceso a servicios restringidos de nube privada virtual. Las consultas a las APIs y los servicios de Google desde instancias de VM de la red de VPC autorizada se resuelven en restricted.googleapis.com y pueden acceder al recurso protegido.

Acceso privado de Google con Controles de Servicio de VPC (haz clic para ampliar)
Acceso privado a Google con Controles de Servicio de VPC (haz clic en la imagen para ampliarla)
  • Se ha configurado el DNS en la red de VPC para asignar solicitudes de *.googleapis.com a restricted.googleapis.com, que se resuelve en 199.36.153.4/30.
  • Se ha añadido una ruta estática personalizada a la red de VPC que dirige el tráfico con el destino 199.36.153.4/30 al default-internet-gateway como salto siguiente. Aunque se use default-internet-gateway como siguiente salto, el tráfico se enruta de forma privada a través de la red de Google a la API o al servicio correspondientes.
  • La red de VPC se ha autorizado para acceder a My-authorized-gcs-project porque ambos proyectos están en el mismo perímetro de servicio.

Ejemplo de red local

Puedes usar el enrutamiento estático configurando una ruta estática en el router local o anunciando el intervalo de direcciones de la API de Google restringida mediante el protocolo de pasarela de frontera (BGP) desde Cloud Router.

Para usar Acceso privado de Google para hosts on-premise con una nube privada virtual, configura la conectividad privada para los hosts on-premise y, a continuación, configura la VPC. Define un perímetro de servicio para el proyecto que contenga la red de VPC conectada a tu red on-premise.

En la siguiente situación, solo se puede acceder a los contenedores de almacenamiento del proyecto sensitive-buckets desde las instancias de VM del proyecto main-project y desde las aplicaciones locales conectadas. Los hosts on-premise pueden acceder a los contenedores de almacenamiento del proyecto sensitive-buckets porque el tráfico pasa por una red de VPC que está dentro del mismo perímetro de servicio que sensitive-buckets.

  • La configuración de DNS local asigna las solicitudes *.googleapis.com a restricted.googleapis.com, que se resuelve como 199.36.153.4/30.
  • Cloud Router se ha configurado para anunciar el intervalo de direcciones IP 199.36.153.4/30 a través del túnel VPN. El tráfico que se dirige a las APIs de Google se enruta a través del túnel a la red de VPC.
  • Se ha añadido una ruta estática personalizada a la red de VPC que dirige el tráfico con el destino 199.36.153.4/30 al default-internet-gateway como siguiente salto. Aunque se use default-internet-gateway como siguiente salto, el tráfico se enruta de forma privada a través de la red de Google a la API o al servicio correspondientes.
  • La red de VPC se ha autorizado para acceder a los proyectos sensitive-buckets, y los hosts on-premise tienen el mismo acceso.
  • Los hosts on-premise no pueden acceder a otros recursos que estén fuera del perímetro de servicio.

El proyecto que se conecta a tu red local debe ser miembro del perímetro de servicio para acceder a los recursos restringidos. El acceso local también funciona si los proyectos correspondientes están conectados mediante un puente perimetral.

Siguientes pasos