הגדרת גישה פרטית ל-Google למארחים מקומיים

גישה פרטית ל-Google למארחים מקומיים מאפשרת למערכות מקומיות להתחבר לGoogle APIs ושירותים על ידי ניתוב תעבורה דרך מנהרת Cloud VPN או דרך צירוף ל-VLAN ל-Cloud Interconnect. גישה פרטית ל-Google למארחים מקומיים היא חלופה לחיבור ל-Google APIs ולשירותים של Google דרך האינטרנט.

במאמר הזה מוסבר איך להפעיל גישה פרטית ל-Google עבור מארחים מקומיים.

מפרטים ודרישות

כדי להשתמש בגישה פרטית ל-Google למארחים מקומיים, צריך לעמוד בדרישות הבאות:

  • אתם צריכים להפנות את התנועה של Google APIs ושירותים שנשלחת ממערכות מקומיות לכתובות ה-IP שמשויכות לשמות הדומיין המיוחדים private.googleapis.com או restricted.googleapis.com. פרטים על השירותים שאפשר לגשת אליהם בכל דומיין מופיעים במאמר אפשרויות דומיין.

  • הרשת המקומית שלכם צריכה להיות מחוברת לרשת VPC באמצעות מנהרות Cloud VPN או קבצים מצורפים של VLAN.

  • ברשת ה-VPC שאליה מחוברת הרשת המקומית שלכם צריכים להיות מסלולים מתאימים לטווח כתובות ה-IP של היעד private.googleapis.com או restricted.googleapis.com. פרטים נוספים זמינים במאמר בנושא ניתוב ברשת VPC.

  • ברשת ה-VPC שאליה מחוברת הרשת המקומית צריכים להיות נתיבים מתאימים כדי להגיע לרשת המקומית. מנהרות Cloud VPN או קבצים מצורפים של VLAN שמתחברים לרשת המקומית עבור הנתיבים האלה חייבים להיות באותו אזור שבו הבקשה נוצרה. אם הניתוב הבא הוא באזור שונה מהאזור שבו נוצרה הבקשה לגישה פרטית ל-Google, התגובה מהגישה הפרטית ל-Google לא תגיע לרשת המקומית.

  • ברשת המקומית שלכם צריכים להיות מסלולים לטווח כתובות ה-IP של היעד private.googleapis.com או restricted.googleapis.com. המסלולים האלה צריכים לנתב את התנועה למנהרת Cloud VPN המתאימה או לצירוף ה-VLAN שמקשר לרשת ה-VPC. פרטים נוספים מופיעים במאמר בנושא ניתוב מקומי באמצעות Cloud Router.

  • כדי לאפשר ללקוחות IPv6 בסביבה המקומית שלכם לגשת לממשקי Google API באמצעות private.googleapis.com או restricted.googleapis.com, אתם צריכים להגדיר את החיבור לרשת ה-VPC כך שיתמוך ב-IPv6. מידע נוסף זמין בדפים הבאים:

  • לקוחות מקומיים יכולים לשלוח בקשות מכל כתובת IPv6 GUA או ULA, למעט טווח ה-ULA‏ fda3:e722:ac3:cc00::/64, ששמור לשימוש פנימי.

  • אם הפרויקט מספק גישה לממשקי Google API רק למארחים מקומיים, לא צריך להפעיל את ממשקי Google API עבור הפרויקט.

    עם זאת, אם משאבים בתוך הפרויקט צריכים גישה ל-Google API, יכול להיות שתצטרכו להפעיל את ממשקי ה-API בנפרד עבור השירותים שהם צריכים לגשת אליהם. מידע נוסף על שימוש בגישה פרטית ל-Google עבור משאבים בפרויקט זמין במאמר הגדרת גישה פרטית ל-Google.

הרשאות

בעלי פרויקטים, עורכים וחשבונות ראשיים ב-IAM עם התפקיד Network Admin יכולים ליצור או לעדכן רשתות משנה ולהקצות כתובות IP.

מידע נוסף על תפקידים זמין במאמר בנושא תפקידי IAM.

הגדרת רשת

לגישה פרטית ל-Google עבור מארחים מקומיים יש דרישות רשת ספציפיות למערכות מקומיות ולרשת ה-VPC שדרכה המערכות המקומיות שולחות תעבורה לשירותים ולממשקי ה-API של Google.

אפשרויות דומיין

כדי להשתמש בגישה פרטית ל-Google למארחים מקומיים, צריך להפנות שירותים לאחד מהדומיינים המיוחדים הבאים. הדומיין המיוחד שתבחרו יקבע לאילו שירותים תהיה לכם גישה.

כתובות ה-VIP‏ private.googleapis.com ו-restricted.googleapis.com תומכות רק בפרוטוקולים מבוססי-HTTP דרך TCP ‏ (HTTP,‏ HTTPS ו-HTTP/2). אין תמיכה בפרוטוקולים אחרים, כולל MQTT ו-ICMP.

דומיין וטווחי כתובות IP שירותים נתמכים דוגמאות לשימוש

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/56

מאפשר גישת API לרוב ממשקי ה-API והשירותים של Google, בלי קשר לשאלה אם הם נתמכים על ידי VPC Service Controls. כולל גישה ל-API של מפות Google,‏ Google Ads,‏ Google Cloudורוב ממשקי ה-API האחרים של Google, כולל הרשימה הבאה. לא תומך באפליקציות אינטרנט של Google Workspace כמו Gmail ו-Google Docs. אין תמיכה באתרים אינטראקטיביים.

שמות דומיין שתואמים:

  • accounts.google.com (תומך רק בנתיבים שנדרשים לאימות OAuth של חשבונות שירות; אימות של חשבונות משתמשים הוא אינטראקטיבי ולא נתמך)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • *.developerconnect.dev
  • dl.google.com
  • gcr.io או *.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • gstatic.com או *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.byoid.googleusercontent.com
  • *.notebooks.cloud.google.com
  • notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev או *.pkg.dev
  • pki.goog או *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

אתם יכולים להשתמש ב-private.googleapis.com כדי לגשת לשירותים ולממשקי Google API באמצעות קבוצה של כתובות IP שניתן לנתב רק מתוך Google Cloud.

בוחרים באפשרות private.googleapis.com במקרים הבאים:

  • אתם לא משתמשים ב-VPC Service Controls.
  • אתם משתמשים ב-VPC Service Controls, אבל אתם גם צריכים לגשת ל-Google APIs ולשירותים שלא נתמכים על ידי VPC Service Controls. 1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/56

מאפשר גישת API אל ממשקי API ושירותים של Google שנתמכים על ידי VPC Service Controls.

חסימת הגישה לממשקי Google API ולשירותים שלא תומכים ב-VPC Service Controls. אין תמיכה בממשקי API של Google Workspace או באפליקציות אינטרנט של Google Workspace, כמו Gmail ו-Google Docs.

אתם יכולים להשתמש ב-restricted.googleapis.com כדי לגשת לשירותים ולממשקי Google API באמצעות קבוצה של כתובות IP שניתן לנתב רק מתוך Google Cloud.

בוחרים באפשרות restricted.googleapis.com כשרק צריך גישה לממשקי API ולשירותים של Google שנתמכים על ידי VPC Service Controls.

בדומיין restricted.googleapis.com אין אפשרות לגשת לשירותים ולממשקי API של Google שלא תומכים ב-VPC Service Controls. 1
1 אם אתם צריכים להגביל את המשתמשים רק לשירותים ולממשקי Google API שתומכים ב-VPC Service Controls, כדאי להשתמש ב-restricted.googleapis.com, כי הוא מספק אמצעים נוספים לצמצום הסיכון לזליגת נתונים. השימוש ב-restricted.googleapis.com חוסם את הגישה לממשקי API ולשירותים של Google שלא נתמכים על ידי VPC Service Controls. פרטים נוספים זמינים במאמר הגדרת קישוריות פרטית במסמכי VPC Service Controls.

תמיכה ב-IPv6 ב-private.googleapis.com וב-restricted.googleapis.com

אפשר להשתמש בטווחי כתובות ה-IPv6 הבאים כדי להפנות תעבורה מלקוחות IPv6 אל ממשקי API ושירותים של Google:

  • private.googleapis.com: 2600:2d00:0002:2000::/56
  • restricted.googleapis.com: 2600:2d00:0002:1000::/56

כדאי להגדיר את כתובות ה-IPv6 אם רוצים להשתמש בדומיין private.googleapis.com או restricted.googleapis.com, ויש לכם לקוחות שמשתמשים בכתובות IPv6. לקוחות IPv6 שהוגדרו להם גם כתובות IPv4 יכולים לגשת לשירותים ולממשקי API של Google באמצעות כתובות ה-IPv4. לא כל השירותים מקבלים תנועה מלקוחות IPv6.

הגדרת DNS

צריך להגדיר את האזורים והרשומות של ה-DNS ברשת המקומית כך ששמות הדומיינים של השירותים שאליהם אתם ניגשים יפוענחו לסט של כתובות IP עבור private.googleapis.com או restricted.googleapis.com. אתם יכולים ליצור תחומים פרטיים מנוהלים ב-Cloud DNS ולהשתמש במדיניות שרתים נכנסים ב-Cloud DNS, או להגדיר שרתי שמות מקומיים. לדוגמה, אפשר להשתמש ב-BIND או ב-Microsoft Active Directory DNS.

בקטעים הבאים מוסבר איך להשתמש באזורי DNS כדי לשלוח מנות לכתובות ה-IP שמשויכות ל-VIP שבחרתם. פועלים לפי ההוראות לכל התרחישים הרלוונטיים:

כשמגדירים רשומות DNS לכתובות ה-VIP, צריך להשתמש רק בכתובות ה-IP שמתוארות בשלבים הבאים. אל תערבבו כתובות מה-VIP של private.googleapis.com ומה-VIP של restricted.googleapis.com. הדבר עלול לגרום לכשלים לסירוגין כי השירותים שמוצעים שונים בהתאם ליעד של החבילה.

הגדרת DNS עבור googleapis.com

יוצרים תחום DNS ורשומות עבור googleapis.com:

  1. יוצרים שרת DNS פרטי בשביל googleapis.com. כדאי ליצור תחום פרטי ב-Cloud DNS למטרה הזו.

  2. באזור googleapis.com, יוצרים את רשומות ה-DNS הפרטיות הבאות עבור אחת מהאפשרויות private.googleapis.com או restricted.googleapis.com, בהתאם לדומיין שבחרתם להשתמש בו.

    • עבור private.googleapis.com:

      1. יוצרים רשומת A עבור private.googleapis.com שמפנה לכתובות ה-IP הבאות: 199.36.153.8, ‏ 199.36.153.9, ‏ 199.36.153.10, ‏ 199.36.153.11.

      2. כדי להתחבר לממשקי API באמצעות כתובות IPv6, צריך גם להגדיר רשומת AAAA עבור private.googleapis.com שמפנה אל 2600:2d00:0002:2000::.

    • עבור restricted.googleapis.com:

      1. יוצרים רשומת A עבור restricted.googleapis.com שמפנה לכתובות ה-IP הבאות: 199.36.153.4, ‏ 199.36.153.5, ‏ 199.36.153.6, ‏ 199.36.153.7.

      2. כדי להתחבר לממשקי API באמצעות כתובות IPv6, צריך גם ליצור רשומת AAAA בשביל restricted.googleapis.com שמפנה אל 2600:2d00:0002:1000::.

    כדי ליצור רשומות DNS פרטיות ב-Cloud DNS, אפשר לעיין במאמר בנושא הוספת רשומה.

  3. באזור googleapis.com, יוצרים רשומת CNAME עבור *.googleapis.com שמצביעה על הדומיין שהגדרתם: private.googleapis.com או restricted.googleapis.com.

הגדרת DNS לדומיינים אחרים

חלק משירותי Google ומממשקי Google API מסופקים באמצעות שמות דומיין נוספים, כולל *.gcr.io,‏ *.gstatic.com,‏ *.pkg.dev,‏ pki.goog,‏ *.run.app ו-*.gke.goog. כדי לדעת אם אפשר לגשת לשירותים של הדומיין הנוסף באמצעות private.googleapis.com או restricted.googleapis.com, כדאי לעיין בטבלה של טווחי כתובות ה-IP והדומיינים בקטע אפשרויות לדומיין. לאחר מכן, לכל אחד מהדומיינים הנוספים:

  1. יוצרים תחום DNS עבור DOMAIN (לדוגמה, gcr.io). אם אתם משתמשים ב-Cloud DNS, ודאו שהתחום הזה נמצא באותו פרויקט כמו התחום הפרטי googleapis.com.

  2. בתחום ה-DNS הזה, יוצרים את רשומות ה-DNS הפרטיות הבאות עבור אחת מהאפשרויות: private.googleapis.com או restricted.googleapis.com, בהתאם לדומיין שבחרתם להשתמש בו.

    • עבור private.googleapis.com:

      1. יוצרים רשומת A עבור DOMAIN שמפנה לכתובות ה-IP הבאות: 199.36.153.8, ‏ 199.36.153.9, ‏ 199.36.153.10, ‏ 199.36.153.11.

      2. כדי להתחבר לממשקי API באמצעות כתובות IPv6, צריך גם ליצור רשומת AAAA ל-DOMAIN שמפנה אל 2600:2d00:0002:2000::.

    • עבור restricted.googleapis.com:

      1. יוצרים רשומת A עבור DOMAIN שמפנה לכתובות ה-IP הבאות: 199.36.153.4, ‏ 199.36.153.5, ‏ 199.36.153.6, ‏ 199.36.153.7.

      2. כדי להתחבר לממשקי API באמצעות כתובות IPv6, צריך גם ליצור רשומת AAAA בשביל DOMAIN שמפנה אל 2600:2d00:0002:1000::.

  3. בתחום DOMAIN, יוצרים רשומת CNAME בשביל *.DOMAIN שמצביעה אל DOMAIN. לדוגמה, יוצרים רשומת CNAME בשביל *.gcr.io שמצביעה אל gcr.io.

הגדרת DNS לשמות דומיינים מותאמים אישית ב-Cloud Storage

אם אתם משתמשים בקטגוריות של Cloud Storage ושולחים בקשות לשם דומיין מותאם אישית של Cloud Storage, הגדרת רשומות DNS לשם הדומיין המותאם אישית של Cloud Storage כך שיפנו לכתובות ה-IP של private.googleapis.com או restricted.googleapis.com לא מספיקה כדי לאפשר גישה לקטגוריות של Cloud Storage.

אם רוצים לשלוח בקשות לשם דומיין מותאם אישית ב-Cloud Storage, צריך גם להגדיר באופן מפורש את כותרת המארח של בקשת ה-HTTP ואת TLS SNI ל-storage.googleapis.com כתובות ה-IP של private.googleapis.com ו-restricted.googleapis.com לא תומכות בשמות מארחים מותאמים אישית של Cloud Storage בכותרות מארח של בקשות HTTP וב-TLS SNI.

הגדרת DNS למערכות מקומיות

אם הטמעתם את הגדרת ה-DNS באמצעות Cloud DNS, תצטרכו להגדיר מערכות מקומיות כדי שיוכלו לבצע שאילתות לתחומים פרטיים מנוהלים ב-Cloud DNS:

  • יוצרים מדיניות שרת נכנסת ברשת ה-VPC שאליה מחוברת הרשת המקומית.
  • מזהים את נקודות הכניסה של מעביר התנועה הנכנסת באזורים שבהם נמצאים מנהרות Cloud VPN וצירופים ל-VLAN ברשת ה-VPC שאליה מחוברת הרשת המקומית.
  • מגדירים את המערכות המקומיות ואת שרתי השמות של ה-DNS המקומיים להעברה של googleapis.com ושל כל אחד משמות הדומיין הנוספים לנקודת כניסה של מעביר נתונים נכנסים באותו אזור כמו מנהרת Cloud VPN או צירוף ל-VLAN שמחובר לרשת ה-VPC.

ניתוב ברשת VPC

ברשת ה-VPC שאליה מחוברת הרשת המקומית שלכם צריכים להיות מסלולים לטווחים של כתובות ה-IP שמשמשים את private.googleapis.com או את restricted.googleapis.com. במסלולים האלה צריך להשתמש ב-next hop של שער האינטרנט שמוגדר כברירת מחדל.

Google Cloud לא מפרסם נתיבים באינטרנט לטווחים של כתובות IP שמשמשים את הדומיינים private.googleapis.com או restricted.googleapis.com. לכן, למרות שהנתיבים ברשת ה-VPC שולחים תעבורת נתונים לניתוב הקפיצה הבא של שער האינטרנט שמוגדר כברירת מחדל, החבילות שנשלחות לטווחים של כתובות ה-IP האלה נשארות בתוך הרשת של Google.

אם רשת ה-VPC שאליה מתחברת הרשת המקומית מכילה מסלול ברירת מחדל שהניתוב הבא שלו הוא שער האינטרנט שמוגדר כברירת מחדל, המסלול הזה עומד בדרישות הניתוב לגישה פרטית ל-Google עבור מארחים מקומיים.

ניתוב בהתאמה אישית ברשת VPC

אם החלפתם או שיניתם את נתיב ברירת המחדל, ודאו שהגדרתם נתיבים סטטיים מותאמים אישית לטווחי כתובות ה-IP של היעד שבהם נעשה שימוש ב-private.googleapis.com או ב-restricted.googleapis.com. כדי לבדוק את ההגדרה של מסלולים מותאמים אישית עבור Google APIs ושירותים של Google ברשת נתונה, פועלים לפי ההוראות הבאות.

המסוף

  1. נכנסים לדף Routes במסוף Google Cloud .

    לדף Routes

  2. משתמשים בשדה הטקסט Filter table כדי לסנן את רשימת המסלולים לפי הקריטריונים הבאים, ומחליפים את NETWORK_NAME בשם של רשת ה-VPC שאליה הרשת המקומית שלכם מתחברת:

    • רשת: NETWORK_NAME
    • סוג הצעד הבא: default internet gateway

  3. בודקים את העמודה Destination IP range (טווח כתובות ה-IP של היעד) בכל מסלול. מחפשים מסלול שטווח היעד שלו תואם:

    • 199.36.153.8/30 אם בחרתם באפשרות private.googleapis.com
    • 199.36.153.4/30 אם בחרתם באפשרות restricted.googleapis.com

gcloud

משתמשים בפקודה gcloud הבאה ומחליפים את NETWORK_NAME בשם של רשת ה-VPC שאליה מתחברת הרשת המקומית:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

המסלולים מפורטים בפורמט טבלה, אלא אם משתמשים בדגל --format כדי להתאים אישית את הפקודה. בודקים בעמודה DEST_RANGE אם יש מסלול שטווח היעד שלו תואם:

  • 199.36.153.8/30 אם בחרתם באפשרות private.googleapis.com
  • 199.36.153.4/30 אם בחרתם באפשרות restricted.googleapis.com

אם אתם צריכים ליצור מסלולים ברשת ה-VPC, תוכלו לעיין במאמר בנושא הוספת מסלול סטטי.

ניתוב מקומי באמצעות Cloud Router

צריך להגדיר את המסלולים ברשת המקומית כך שיפנו את התנועה לטווח כתובות ה-IP שמשמשות את הדומיינים private.googleapis.com או restricted.googleapis.com למנהרות Cloud VPN או לצירופי VLAN של הצעד הבא, שמקשרים לרשת ה-VPC שלכם.

אתם יכולים להשתמש בהודעות על מסלולים בהתאמה אישית ב-Cloud Router כדי להודיע על מסלולים לטווחי כתובות ה-IP שמשמשים את הדומיינים private.googleapis.com ו-restricted.googleapis.com.

מסלולי IPv6 מפורסמים רק בסשנים של BGP שבהם מופעל IPv6.

המסוף

כדי לעדכן את מצב הפרסום של המסלול לכל סשני ה-BGP ב-Cloud Router, למעט סשני ה-BGP שמשתמשים בפרסומי BGP מותאמים אישית:

  1. נכנסים לדף Cloud Router במסוף Google Cloud .

    כניסה ל-Cloud Router

  2. בוחרים את Cloud Router שמנהל את סשני ה-BGP עבור מנהרות Cloud VPN או קובצי VLAN שמקשרים את הרשת המקומית לרשת ה-VPC.

  3. בדף הפרטים של Cloud Router, בוחרים באפשרות עריכה.

  4. מרחיבים את הקטע מסלולים שמתפרסמים.

  5. בקטע מסלולים, בוחרים באפשרות יצירת מסלולים בהתאמה אישית.

  6. אם רוצים לפרסם את כל המסלולים ברשתות המשנה שזמינים ל-Cloud Router, בוחרים באפשרות Advertise all subnets visible to the Cloud Router (פרסום כל רשתות המשנה שגלויות ל-Cloud Router). ההגדרה הזו משכפלת את הגדרת ברירת המחדל להגדרה המותאמת אישית.

  7. לכל מסלול פרסום שרוצים להוסיף, מבצעים את הפעולות הבאות:

    1. בוחרים באפשרות הוספת נתיב בהתאמה אישית.
    2. בשדה מקור, בוחרים באפשרות טווח כתובות IP בהתאמה אישית.
    3. בשדה IP address range (טווח כתובות IP), מזינים אחד מהטווחים שרוצים להשתמש בהם:
      • אם משתמשים ב-private.googleapis.com:
        • לקישוריות IPv4: ‏ 199.36.153.8/30
        • לקישוריות IPv6: 2600:2d00:0002:2000::/56
      • אם משתמשים ב-restricted.googleapis.com:
        • לקישוריות IPv4: ‏ 199.36.153.4/30
        • לקישוריות IPv6: 2600:2d00:0002:1000::/56
    4. לוחצים על סיום.

  8. כשמסיימים להוסיף מסלולים, לוחצים על שמירה.

כדי לעדכן את מצב פרסום הניתוב עבור סשן BGP מסוים:

  1. נכנסים לדף Cloud Router במסוף Google Cloud .

    כניסה ל-Cloud Router

  2. בוחרים את Cloud Router שמנהל את סשן ה-BGP עבור מנהרת Cloud VPN או צירוף ל-VLAN שמקשר את הרשת המקומית לרשת ה-VPC.

  3. בדף הפרטים של Cloud Router, בוחרים את סשן ה-BGP שרוצים לעדכן.

  4. בדף הפרטים של סשן BGP, לוחצים על עריכה.

  5. בקטע מסלולים, בוחרים באפשרות יצירת מסלולים בהתאמה אישית.

  6. כדי להשתמש בהתנהגות ברירת המחדל של Cloud Router, בוחרים באפשרות Advertise all subnets visible to the Cloud Router (פרסום כל רשתות המשנה שגלויות ל-Cloud Router).

  7. לכל מסלול פרסום שרוצים להוסיף, מבצעים את הפעולות הבאות:

    1. בוחרים באפשרות הוספת נתיב בהתאמה אישית.
    2. בשדה מקור, בוחרים באפשרות טווח כתובות IP בהתאמה אישית.
    3. בשדה IP address range (טווח כתובות IP), מזינים אחד מהטווחים שרוצים להשתמש בהם:
      • אם משתמשים ב-private.googleapis.com:
        • לקישוריות IPv4: ‏ 199.36.153.8/30
        • לקישוריות IPv6: 2600:2d00:0002:2000::/56
      • אם משתמשים ב-restricted.googleapis.com:
        • לקישוריות IPv4: ‏ 199.36.153.4/30
        • לקישוריות IPv6: 2600:2d00:0002:1000::/56
    4. לוחצים על סיום.

  8. כשמסיימים להוסיף מסלולים, לוחצים על שמירה.

gcloud

  1. מזהים את השם והאזור של Cloud Router שמנהל את סשני ה-BGP במנהרות Cloud VPN או בחיבורי ה-VLAN שמחברים את הרשת המקומית לרשת ה-VPC.

  2. משתמשים ב-compute routers update כדי לעדכן את מצב פרסום הנתיבים בכל סשני ה-BGP של Cloud Router, למעט סשני ה-BGP שמשתמשים בעצמם בפרסומי BGP בהתאמה אישית:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    אם אתם כבר משתמשים בCUSTOMמצב הפרסום של Cloud Router, אתם יכולים להוסיף טווחי פרסום חדשים. הפעולה הזו מעדכנת את מצב הפרסום של הנתיב בכל סשנים של BGP ב-Cloud Router, למעט סשנים של BGP שמשתמשים בעצמם בפרסומים מותאמים אישית של BGP:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES

  3. אפשר גם להשתמש ב-compute routers update-bgp-peer כדי להגדיר עמית BGP ספציפי ב-Cloud Router:

    אם אתם מוסיפים טווחי IPv6 בהתאמה אישית, ותעבורת IPv6 מושבתת בסשן BGP, אתם יכולים להפעיל אותה באמצעות הדגל --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    אם אתם כבר משתמשים במצב הפרסום CUSTOM עבור סשן BGP ב-Cloud Router, אתם יכולים להוסיף טווחי פרסום חדשים.

    אם אתם מוסיפים טווחי IPv6 בהתאמה אישית, ותעבורת IPv6 מושבתת בסשן BGP, אתם יכולים להפעיל אותה באמצעות הדגל --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES

    בפקודות שלמעלה, מחליפים את הערכים הבאים בערכים תקינים:

    • ROUTER_NAME: השם של Cloud Router
    • REGION: האזור של Cloud Router
    • PEER_NAME: השם של עמית ה-BGP שהוגדר כשיוצרים צירוף ל-VLAN ל-Dedicated Interconnect, כשיוצרים צירוף ל-VLAN ל-Partner Interconnect או כשיוצרים מנהרת HA VPN.
    • משאירים את --set-advertisement-groups=ALL_SUBNETS כדי לפרסם את כל נתיבי רשתות המשנה שזמינים ל-Cloud Router. זוהי התנהגות ברירת המחדל של Cloud Router.
    • CUSTOM_RANGES: רשימה מופרדת בפסיקים של טווחים מותאמים אישית לפרסום.
      • ב-private.googleapis.com:
        • לקישוריות IPv4: ‏ 199.36.153.8/30
        • לקישוריות IPv4 ו-IPv6: 199.36.153.8/30,2600:2d00:0002:2000::/56
      • ב-restricted.googleapis.com:
        • לקישוריות IPv4: ‏ 199.36.153.4/30
        • לקישוריות IPv4 ו-IPv6: 199.36.153.4/30,2600:2d00:0002:1000::/56

שיקולים לגבי חומת האש

Google Cloud כללי חומת האש ברשת ה-VPC שאליה מחוברת הרשת המקומית לא משפיעים על:

  • חבילות שנשלחות דרך מנהרת Cloud VPN שמחוברת לרשת VPC
  • חבילות שנשלחות דרך צירוף ל-VLAN שמחובר לרשת ה-VPC
  • מנות נכנסות לכתובות ה-IP של מעביר התעבורה הנכנסת של Cloud DNS ברשת ה-VPC

צריך לוודא שהגדרת חומת האש במערכות המקומיות מאפשרת תעבורת נתונים יוצאת ותגובות מכתובות ה-IP המתאימות:

  • אם משתמשים ב-private.googleapis.com:
    • לקישוריות IPv4: ‏ 199.36.153.8/30
    • לקישוריות IPv6: 2600:2d00:0002:2000::/56
  • אם משתמשים ב-restricted.googleapis.com:
    • לקישוריות IPv4: ‏ 199.36.153.4/30
    • לקישוריות IPv6: 2600:2d00:0002:1000::/56
  • כל כתובות ה-IP של מעבירי התנועה הנכנסת של Cloud DNS, אם אתם משתמשים ב-Cloud DNS להגדרת ה-DNS

המאמרים הבאים