Akses Google Pribadi dengan Kontrol Layanan VPC

Akses Google Pribadi menawarkan konektivitas pribadi ke host di jaringan VPC atau jaringan lokal yang menggunakan alamat IP pribadi untuk mengakses API dan layanan Google. Anda dapat memperluas perimeter layanan Virtual Private Cloud ke host di jaringan tersebut untuk mengontrol akses ke resource yang dilindungi.

Host di jaringan VPC hanya boleh memiliki alamat IP pribadi (bukan alamat IP publik) dan berada di subnet dengan Akses Google Pribadi telah diaktifkan.

Agar host lokal dapat menjangkau layanan API Google yang dibatasi, permintaan ke API Google harus dikirim melalui jaringan VPC, entah itu melalui tunnel Cloud VPN atau koneksi Cloud Interconnect.

Dalam kedua kasus, sebaiknya Anda mengirim semua permintaan ke API dan layanan Google ke rentang alamat IP virtual (VIP) untuk restricted.googleapis.com. Rentang alamat IP ini tidak diberitahukan di internet. Traffic yang dikirim ke VIP akan tetap berada dalam jaringan Google Cloud.

Jika memerlukan akses ke API dan layanan Google lain yang tidak didukung oleh Kontrol Layanan VPC, Anda dapat menggunakan private.googleapis.com. Namun, VIP pribadi dapat mengizinkan akses ke layanan yang tidak mematuhi Kontrol Layanan VPC yang mungkin memiliki risiko pemindahan data yang tidak sah. Sebaiknya gunakan restricted.googleapis.com, yang terintegrasi dengan Kontrol Layanan VPC dan memitigasi risiko pemindahan data yang tidak sah. VIP restricted.googleapis.com menolak akses ke API dan layanan Google yang tidak didukung oleh Kontrol Layanan VPC.

Untuk mengetahui informasi selengkapnya tentang VIP private.googleapis.com dan restricted.googleapis.com, baca Mengonfigurasi Akses Google Pribadi.

Rentang alamat IP untuk restricted.googleapis.com

Ada dua rentang alamat IP yang terkait dengan domain restricted.googleapis.com:

  • Rentang IPv4: 199.36.153.4/30
  • Rentang IPv6: 2600:2d00:0002:1000::/64

Untuk mengetahui informasi tentang penggunaan rentang IPv6 untuk mengakses API Google, lihat Dukungan IPv6.

Contoh jaringan VPC

Dalam contoh berikut, perimeter layanan berisi dua project: project pertama dengan jaringan VPC yang diizinkan, dan project kedua dengan resource Cloud Storage yang dilindungi. Di jaringan VPC, instance VM harus berada di subnet dengan Akses Google Pribadi telah diaktifkan dan hanya memerlukan akses ke layanan yang dibatasi Virtual Private Cloud. Kueri ke API dan layanan Google dari instance VM di jaringan VPC yang diizinkan akan di-resolve ke restricted.googleapis.com dan dapat mengakses resource yang dilindungi.

Akses Google Pribadi dengan Kontrol Layanan VPC (klik untuk memperbesar)
Akses Google Pribadi dengan Kontrol Layanan VPC (klik untuk memperbesar)
  • DNS dikonfigurasi di jaringan VPC untuk memetakan permintaan *.googleapis.com ke restricted.googleapis.com, yang di-resolve ke 199.36.153.4/30.
  • Rute statis kustom telah ditambahkan ke jaringan VPC yang mengalihkan traffic dengan tujuan 199.36.153.4/30 ke default-internet-gateway sebagai next hop. Meskipun default-internet-gateway digunakan sebagai next hop, traffic dirutekan secara pribadi melalui jaringan Google ke API atau layanan yang sesuai.
  • Jaringan VPC diberi izin untuk mengakses My-authorized-gcs-project karena kedua project berada dalam perimeter layanan yang sama.

Contoh jaringan lokal

Anda dapat menggunakan perutean statis, dengan mengonfigurasi rute statis di router lokal, atau dengan memberitahukan rentang alamat IP API Google yang dibatasi melalui border gateway protocol (BGP) dari Cloud Router.

Untuk menggunakan Akses Google Pribadi bagi host lokal dengan Virtual Private Cloud, siapkan konektivitas pribadi untuk host lokal, lalu konfigurasi VPC. Tentukan perimeter layanan untuk project yang berisi jaringan VPC yang terhubung ke jaringan lokal Anda.

Dalam skenario berikut, bucket penyimpanan di project sensitive-buckets hanya dapat diakses dari instance VM di project main-project dan dari aplikasi lokal yang terhubung. Host lokal dapat mengakses bucket penyimpanan di project sensitive-buckets karena traffic melewati jaringan VPC yang berada di dalam perimeter layanan yang sama dengan sensitive-buckets.

  • Konfigurasi DNS lokal memetakan permintaan *.googleapis.com ke restricted.googleapis.com, yang di-resolve ke 199.36.153.4/30.
  • Cloud Router dikonfigurasi untuk memberitahukan rentang alamat IP 199.36.153.4/30 melalui tunnel VPN. Traffic yang menuju ke API Google dirutekan melalui tunnel ini ke jaringan VPC.
  • Rute statis kustom telah ditambahkan ke jaringan VPC yang mengalihkan traffic dengan tujuan 199.36.153.4/30 ke default-internet-gateway sebagai next hop. Meskipun default-internet-gateway digunakan sebagai next hop, traffic dirutekan secara pribadi melalui jaringan Google ke API atau layanan yang sesuai.
  • Jaringan VPC diberi izin untuk mengakses project sensitive-buckets, dan host lokal memiliki akses yang sama.
  • Host lokal tidak dapat mengakses resource lain yang berada di luar perimeter layanan.

Project yang terhubung ke jaringan lokal Anda harus menjadi anggota perimeter layanan itu untuk mengakses resource yang dibatasi. Akses lokal juga dapat digunakan jika beberapa project yang relevan terhubung melalui perantara perimeter.

Langkah berikutnya