內部部署主機的私人 Google 存取

內部部署主機可以透過從內部部署網路連到 Google Cloud的 Cloud VPNCloud Interconnect 連線至 Google API 與服務。地端主機可以從下列類型的來源 IP 位址傳送流量:

  • 私人 IP 位址,例如 RFC 1918 位址
  • 私人使用的公開 IP 位址,但 Google 擁有的公開 IP 位址除外。(內部部署主機的私人 Google 存取權不支援在內部部署網路中,將 Google 公開 IP 位址重複做為來源使用)。

如要啟用內部部署主機的私人 Google 存取權,您必須在內部部署與虛擬私人雲端網路中設定 DNS、防火牆規則與路徑。您不需要像啟用Google Cloud VM 執行個體的私人 Google 存取權一樣,在虛擬私有雲網路中啟用任何子網路的私人 Google 存取權。

內部部署主機必須使用 restricted.googleapis.comprivate.googleapis.com 網域的虛擬 IP 位址 (VIP),連線至 Google API 和服務。詳情請參閱私人 Google 存取權專屬網域和 VIP

Google 會公開發布 DNS A 記錄,將網域解析為 VIP 範圍。即使範圍有外部 IP 位址,Google 也不會發布這些路徑。因此,您必須在 Cloud Router 上新增自訂通告路徑,並在虛擬私有雲網路中針對 VIP 目的地設定適當的自訂靜態路徑。

路徑的目的地必須符合其中一個 VIP 範圍,且下一個躍點為預設網際網路閘道。傳送至 VIP 範圍的流量會留在 Google 的網路內,而不是周遊公開網際網路,這是因為 Google 不會在外部將路徑發布至這些範圍。

如需設定資訊,請參閱設定內部部署主機的私人 Google 存取權

支援的服務

地端主機可用的服務僅限於存取服務時使用的網域名稱和 VIP 所支援的服務。詳情請參閱網域選項

範例

在下列範例中,內部部署網路透過 Cloud VPN 通道連線至虛擬私人雲端網路。從內部部署主機流向 Google API 的流量透過通道傳輸至虛擬私人雲端網路。在流量抵達虛擬私有雲網路之後,會透過使用預設網際網路閘道做為下一個躍點的路徑傳送。該下一個躍點允許流量離開虛擬私有雲網路,並傳送至 restricted.googleapis.com (199.36.153.4/30)。

混合式雲端的私人 Google 存取權使用案例。
混合式雲端的私人 Google 存取權使用案例 (按一下可放大)。
  • 內部部署 DNS 設定會將 *.googleapis.com 要求對應至 restricted.googleapis.com,進而解析為 199.36.153.4/30
  • Cloud Router 已設定為透過 Cloud VPN 通道,使用自訂通告路徑通告 199.36.153.4/30 IP 位址範圍。前往 Google API 的流量會透過通道轉送至虛擬私有雲網路。
  • 系統已在虛擬私有雲網路中新增自訂靜態路徑,將目的地為 199.36.153.4/30 的流量導向預設網際網路閘道 (做為下一個躍點)。然後,Google 會將流量轉送至適當的 API 或服務。
  • 如果您為 *.googleapis.com 建立對應至 199.36.153.4/30 的 Cloud DNS 代管不公開區域,並授權虛擬私有雲網路使用該區域,則對 googleapis.com 網域中任何項目的要求,都會傳送至 restricted.googleapis.com 使用的 IP 位址。您只能使用這個設定存取支援的 API,而這可能會導致其他服務無法連線。Cloud DNS 不支援部分覆寫,如果您需要部分覆寫,請使用 BIND

後續步驟