Accesso privato Google con Controlli di servizio VPC

L'accesso privato Google offre connettività privata agli host in una rete VPC o in una rete on-premise che utilizza indirizzi IP privati per accedere ad API e servizi Google. Puoi estendere un perimetro di servizio Virtual Private Cloud agli host di queste reti per controllare l'accesso alle risorse protette.

Gli host in una rete VPC devono avere solo un indirizzo IP privato (nessun indirizzo IP pubblico) e trovarsi in una subnet con l'accesso privato Google abilitato.

Affinché gli host on-premise possano raggiungere i servizi limitati delle API di Google, le richieste alle API di Google devono essere inviate tramite una rete VPC, mediante un tunnel Cloud VPN o una connessione Cloud Interconnect.

In entrambi i casi, ti consigliamo di inviare tutte le richieste alle API e ai servizi Google agli intervalli di indirizzi IP virtuali (VIP) per restricted.googleapis.com. Gli intervalli di indirizzi IP non vengono annunciati su internet. Il traffico inviato al VIP rimane solo all'interno della rete di Google Cloud.

Se hai bisogno di accedere ad altre API e servizi Google non supportati dai Controlli di servizio VPC, puoi utilizzare private.googleapis.com. Tuttavia, il VIP privato può consentire l'accesso a servizi non conformi ai Controlli di servizio VPC che potrebbero presentare rischi di esfiltrazione di dati. Ti consigliamo di utilizzare restricted.googleapis.com, che si integra con i Controlli di servizio VPC e mitiga i rischi di esfiltrazione di dati. L'utilizzo di restricted.googleapis.com nega l'accesso alle API e ai servizi Google non supportati dai Controlli di servizio VPC.

Per saperne di più sui VIP private.googleapis.com e restricted.googleapis.com, consulta Configura l'accesso privato Google.

Intervalli di indirizzi IP per restricted.googleapis.com

Gli intervalli di indirizzi IP associati al dominio restricted.googleapis.com sono due:

  • Intervallo IPv4: 199.36.153.4/30
  • Intervallo IPv6: 2600:2d00:0002:1000::/64

Per informazioni sull'utilizzo dell'intervallo IPv6 per accedere alle API di Google, consulta Supporto di IPv6.

Esempio di rete VPC

Nell'esempio seguente, il perimetro di servizio contiene due progetti: uno con una rete VPC autorizzata e un altro con la risorsa Cloud Storage protetta. Nella rete VPC, le istanze VM devono trovarsi in una subnet con l'accesso privato Google abilitato e richiedere solo l'accesso ai servizi limitati da Virtual Private Cloud. Le query alle API e ai servizi Google dalle istanze VM nella rete VPC autorizzata vengono risolte in restricted.googleapis.com e possono accedere alla risorsa protetta.

Accesso privato Google con Controlli di servizio VPC (fai clic per ingrandire)
Accesso privato Google con Controlli di servizio VPC (fai clic per ingrandire)
  • Il DNS è stato configurato nella rete VPC per mappare le richieste *.googleapis.com a restricted.googleapis.com, che viene risolto in 199.36.153.4/30.
  • È stata aggiunta una route statica personalizzata alla rete VPC che indirizza il traffico con la destinazione 199.36.153.4/30 a default-internet-gateway come hop successivo. Anche se default-internet-gateway viene utilizzato come hop successivo, il traffico viene instradato privatamente attraverso la rete di Google all'API o al servizio in questione.
  • La rete VPC è stata autorizzata ad accedere a My-authorized-gcs-project perché entrambi i progetti si trovano nello stesso perimetro di servizio.

Esempio di rete on-premise

Puoi utilizzare il routing statico configurando semplicemente una route statica nel router on-premise oppure annunciando l'intervallo di indirizzi delle API di Google limitate tramite il protocollo BGP (Border Gateway Protocol) dal router Cloud.

Per utilizzare l'accesso privato Google per gli host on-premise con Virtual Private Cloud, configura la connettività privata per gli host on-premise e poi configura VPC. Definisci un perimetro di servizio per il progetto che contiene la rete VPC connessa alla tua rete on-premise.

Nello scenario seguente, i bucket di archiviazione nel progetto sensitive-buckets sono accessibili solo dalle istanze VM nel progetto main-project e dalle applicazioni on-premise connesse. Gli host on-premise possono accedere ai bucket di archiviazione nel progetto sensitive-buckets perché il traffico passa attraverso una rete VPC che si trova all'interno dello stesso perimetro di servizio di sensitive-buckets.

  • La configurazione DNS on-premise mappa le richieste *.googleapis.com a restricted.googleapis.com, che viene risolto in 199.36.153.4/30.
  • Il router Cloud è stato configurato per annunciare l'intervallo di indirizzi IP 199.36.153.4/30 tramite il tunnel VPN. Il traffico diretto alle API di Google viene instradato tramite il tunnel alla rete VPC.
  • È stata aggiunta una route statica personalizzata alla rete VPC che indirizza il traffico con la destinazione 199.36.153.4/30 a default-internet-gateway come hop successivo. Anche se default-internet-gateway viene utilizzato come hop successivo, il traffico viene instradato privatamente attraverso la rete di Google all'API o al servizio in questione.
  • La rete VPC è stata autorizzata ad accedere ai progetti sensitive-buckets e gli host on-premise hanno lo stesso accesso.
  • Gli host on-premise non possono accedere ad altre risorse all'esterno del perimetro di servizio.

Il progetto che si connette alla tua rete on-premise deve essere membro del perimetro di servizio per raggiungere le risorse limitate. L'accesso on-premise funziona anche se i progetti pertinenti sono collegati da un bridge del perimetro.

Passaggi successivi