גישה פרטית ל-Google מאפשרת קישוריות פרטית למארחים ברשת VPC או ברשת מקומית שמשתמשת בכתובות IP פרטיות כדי לגשת לשירותים ולממשקי Google API. אתם יכולים להרחיב את גבולות הגזרה לשירות של ענן וירטואלי פרטי (VPC) למארחים ברשתות האלה כדי לשלוט בגישה למשאבים מוגנים.
למארחים ברשת VPC צריכה להיות רק כתובת IP פרטית (לא כתובת IP ציבורית), והם צריכים להיות בתת-רשת שמופעלת בה גישה פרטית ל-Google.
כדי שמארחים מקומיים יוכלו לגשת לשירותי Google API מוגבלים, בקשות ל-Google API צריכות להישלח דרך רשת VPC, באמצעות מנהרת Cloud VPN או חיבור Cloud Interconnect.
בשני המקרים, מומלץ לשלוח את כל הבקשות לשירותים ולממשקי Google API לטווחים של כתובות IP וירטואליות (VIP) עבור restricted.googleapis.com. טווחי כתובות ה-IP לא מוכרזים באינטרנט. התנועה שנשלחת ל-VIP נשארת רק ברשת של Google Cloud.
אם אתם צריכים גישה לממשקי API ולשירותים אחרים של Google שלא נתמכים על ידי VPC Service Controls, אתם יכולים להשתמש ב-private.googleapis.com. עם זאת, כתובת VIP פרטית יכולה לאפשר גישה לשירותים שלא עומדים בדרישות של VPC Service Controls, ולכן עלולים להיות בהם סיכונים לזליגת נתונים. מומלץ להשתמש ב-restricted.googleapis.com, שמשתלב עם VPC Service Controls ומצמצם את הסיכונים לזליגת נתונים. השימוש ב-restricted.googleapis.com חוסם את הגישה לממשקי Google APIs ולשירותים שלא נתמכים על ידי VPC Service Controls.
מידע נוסף על כתובות ה-IP הווירטואליות private.googleapis.com ו-restricted.googleapis.com זמין במאמר הגדרת גישה פרטית ל-Google.
טווחים של כתובות IP עבור restricted.googleapis.com
יש שני טווחי כתובות IP שמשויכים לדומיין restricted.googleapis.com:
- טווח IPv4:
199.36.153.4/30 - טווח IPv6:
2600:2d00:0002:1000::/56
מידע על שימוש בטווח IPv6 כדי לגשת לממשקי Google API זמין במאמר תמיכה ב-IPv6.
דוגמה לרשת VPC
בדוגמה הבאה, גבולות הגזרה לשירות מכילים שני פרויקטים: אחד עם רשת VPC מורשית ואחד עם משאב Cloud Storage מוגן. ברשת ה-VPC, המכונות הווירטואליות צריכות להיות ברשת משנה שבה מופעלת גישה פרטית ל-Google, ונדרשת רק גישה לשירותים מוגבלים של הענן הווירטואלי הפרטי. שאילתות לממשקי Google API ולשירותים ממופעים של מכונות וירטואליות ברשת VPC המורשית מופנות לכתובת restricted.googleapis.com ויכולות לגשת למשאב המוגן.
- ה-DNS הוגדר ברשת ה-VPC למיפוי בקשות
*.googleapis.comאלrestricted.googleapis.com, שפותר ל-199.36.153.4/30. - נוסף מסלול סטטי מותאם אישית לרשת ה-VPC שמפנה תנועה עם היעד
199.36.153.4/30אלdefault-internet-gatewayכצעד הבא. למרות שנעשה שימוש ב-default-internet-gatewayכצעד הבא למעבר, התעבורה מנותבת באופן פרטי דרך הרשת של Google אל ה-API או השירות המתאימים. - רשת ה-VPC קיבלה הרשאה לגשת אל
My-authorized-gcs-projectכי שני הפרויקטים נמצאים באותו היקף שירות.
דוגמה לרשת מקומית
אפשר להשתמש בניתוב סטטי, פשוט על ידי הגדרת נתיב סטטי בנתב המקומי, או על ידי פרסום טווח הכתובות של Google API המוגבל באמצעות פרוטוקול BGP מ-Cloud Router.
כדי להשתמש בגישה פרטית ל-Google עבור מארחים מקומיים עם ענן וירטואלי פרטי, צריך להגדיר קישוריות פרטית למארחים מקומיים ואז להגדיר VPC. מגדירים גבולות גזרה לשירות לפרויקט שמכיל את רשת ה-VPC שמחוברת לרשת המקומית.
בתרחיש הבא, אפשר לגשת לקטגוריות האחסון בפרויקט sensitive-buckets רק ממכונות וירטואליות בפרויקט main-project ומאפליקציות מקומיות שמחוברות אליו. מארחים מקומיים יכולים לגשת לקטגוריות אחסון בפרויקט sensitive-buckets כי התעבורה עוברת דרך רשת VPC שנמצאת באותו גבולות גזרה לשירות כמו sensitive-buckets.
- הגדרת ה-DNS המקומית ממפה בקשות של
*.googleapis.comאלrestricted.googleapis.com, שמתורגמת ל-199.36.153.4/30. - ה-Cloud Router הוגדר לפרסם את טווח כתובות ה-IP
199.36.153.4/30דרך מנהרת ה-VPN. התעבורה שמיועדת לממשקי Google API מנותבת דרך המנהרה לרשת ה-VPC. - נוסף מסלול סטטי מותאם אישית לרשת ה-VPC שמפנה תנועה עם היעד
199.36.153.4/30אלdefault-internet-gatewayכצעד הבא. למרות שנעשה שימוש ב-default-internet-gatewayכצעד הבא למעבר, התעבורה מנותבת באופן פרטי דרך הרשת של Google אל ה-API או השירות המתאימים. - הרשת ב-VPC קיבלה הרשאה לגשת לפרויקטים
sensitive-buckets, ולמארחים מקומיים יש את אותה גישה. - מארחים מקומיים לא יכולים לגשת למשאבים אחרים שנמצאים מחוץ לגבולות השירות.
הפרויקט שמתחבר לרשת המקומית צריך להיות חלק מ-גבולות גזרה לשירות כדי לגשת למשאבים מוגבלים. גישה מקומית פועלת גם אם הפרויקטים הרלוונטיים מחוברים באמצעות גבולות גזרה מגושרים.
המאמרים הבאים
- כדי להגדיר קישוריות פרטית, אפשר לעיין במאמר בנושא הגדרת קישוריות פרטית.