Configure o acesso privado Google para anfitriões no local

O acesso privado à Google para anfitriões no local oferece uma forma de os sistemas no local se ligarem às APIs e aos serviços Google através do encaminhamento do tráfego por um túnel Cloud VPN ou uma associação de VLAN para o Cloud Interconnect. O acesso privado Google para anfitriões no local é uma alternativa à ligação a APIs e serviços Google através da Internet.

Este documento descreve como ativar o acesso privado do Google para anfitriões no local.

Especificações e requisitos

O acesso privado à Google para anfitriões no local tem os seguintes requisitos:

  • Tem de direcionar o tráfego das APIs e dos serviços Google enviado por sistemas no local para os endereços IP associados ao nome de domínio especial private.googleapis.com ou restricted.googleapis.com. Para ver detalhes sobre os serviços que podem ser acedidos em cada domínio, consulte Opções de domínio.

  • A sua rede nas instalações tem de estar ligada a uma rede VPC através de túneis do Cloud VPN ou anexos de VLAN.

  • A rede VPC à qual a sua rede no local está ligada tem de ter rotas adequadas para os intervalos de IP de destino private.googleapis.com ou restricted.googleapis.com. Para ver detalhes, consulte o artigo Encaminhamento de rede VPC.

  • A rede VPC à qual a sua rede nas instalações está ligada tem de ter trajetos adequados para alcançar a rede nas instalações. O próximo salto Os túneis da Cloud VPN ou os anexos de VLAN que estabelecem ligação à sua rede no local para estes trajetos têm de estar na mesma região onde o pedido foi originado. Se o próximo salto estiver numa região diferente da região de origem do pedido de acesso privado à Google, a resposta do acesso privado à Google não chega à rede no local.

  • A sua rede no local tem de ter rotas para os intervalos de IPs de destino private.googleapis.com ou restricted.googleapis.com. Estes trajetos têm de direcionar o tráfego para o túnel da Cloud VPN adequado ou a associação de VLAN que se liga à sua rede VPC. Para obter detalhes, consulte o artigo Encaminhamento no local com o Cloud Router.

  • Para permitir que os clientes IPv6 no seu ambiente no local acedam às APIs Google através de private.googleapis.com ou restricted.googleapis.com, tem de configurar a ligação à sua rede VPC para suportar IPv6. Para mais informações, consulte as seguintes páginas:

  • Os clientes nas instalações podem enviar pedidos a partir de quaisquer endereços GUA ou ULA IPv6, exceto o intervalo ULAfda3:e722:ac3:cc00::/64, que está reservado para utilização interna.

  • Se o seu projeto estiver a fornecer acesso às APIs Google apenas para anfitriões no local, não precisa de ativar as APIs Google para o projeto.

    No entanto, se os recursos no projeto precisarem de aceder às APIs Google, pode ter de ativar as APIs separadamente para os serviços aos quais precisam de aceder. Para mais informações sobre a utilização do acesso privado da Google para recursos num projeto, consulte o artigo Configurar o acesso privado da Google.

Autorizações

Os proprietários e os editores do projeto, bem como os principais da IAM com a função de administrador de rede, podem criar ou atualizar sub-redes e atribuir endereços IP.

Para mais informações sobre as funções, leia a documentação sobre as funções de IAM.

Configuração da rede

O acesso privado da Google para anfitriões no local tem requisitos de rede específicos para sistemas no local e para a rede VPC através da qual os sistemas no local enviam tráfego para as APIs e os serviços Google.

Opções de domínio

O acesso privado da Google para anfitriões no local requer que direcione os serviços para um dos seguintes domínios especiais. O domínio especial que escolher determina os serviços aos quais pode aceder.

Os VIPs private.googleapis.com e restricted.googleapis.com suportam apenas protocolos baseados em HTTP através de TCP (HTTP, HTTPS e HTTP/2). Todos os outros protocolos, incluindo MQTT e ICMP, não são suportados.

Domínio e intervalos de endereços IP Serviços suportados Exemplo de utilização

private.googleapis.com

199.36.153.8/30

2600:2d00:0002:2000::/64

Permite o acesso à API à maioria das APIs e serviços Google, independentemente de serem suportados pelos VPC Service Controls. Inclui acesso à API do Google Maps, Google Ads Google Cloude à maioria das outras APIs Google, incluindo a lista seguinte. Não suporta aplicações Web do Google Workspace, como o Gmail e o Google Docs. Não suporta Websites interativos.

Nomes de domínio correspondentes:

  • accounts.google.com (só suporta caminhos necessários para a autenticação OAuth de contas de serviço; a autenticação de contas de utilizador é interativa e não é suportada)
  • *.aiplatform-notebook.cloud.google.com
  • *.aiplatform-notebook.googleusercontent.com
  • appengine.google.com
  • *.appspot.com
  • *.backupdr.cloud.google.com
  • backupdr.cloud.google.com
  • *.backupdr.googleusercontent.com
  • backupdr.googleusercontent.com
  • *.cloudfunctions.net
  • *.cloudproxy.app
  • *.composer.cloud.google.com
  • *.composer.googleusercontent.com
  • *.datafusion.cloud.google.com
  • *.datafusion.googleusercontent.com
  • *.dataproc.cloud.google.com
  • dataproc.cloud.google.com
  • *.dataproc.googleusercontent.com
  • dataproc.googleusercontent.com
  • dl.google.com
  • gcr.io ou *.gcr.io
  • *.googleapis.com
  • *.gke.goog
  • *.gstatic.com
  • *.kernels.googleusercontent.com
  • *.ltsapis.goog
  • *.notebooks.cloud.google.com
  • *.notebooks.googleusercontent.com
  • packages.cloud.google.com
  • pkg.dev ou *.pkg.dev
  • pki.goog ou *.pki.goog
  • *.run.app
  • source.developers.google.com
  • storage.cloud.google.com

Use private.googleapis.com para aceder a APIs e serviços Google através de um conjunto de endereços IP apenas encaminháveis a partir de Google Cloud.

Escolha private.googleapis.com nestas circunstâncias:

  • Não usa os VPC Service Controls.
  • Usa os VPC Service Controls, mas também precisa de aceder a APIs e serviços Google que não são suportados pelos VPC Service Controls. 1

restricted.googleapis.com

199.36.153.4/30

2600:2d00:0002:1000::/64

Ativa o acesso à API às APIs Google e aos serviços suportados pelo VPC Service Controls.

Bloqueia o acesso a APIs e serviços Google que não suportam os VPC Service Controls. Não suporta APIs Google Workspace nem aplicações Web Google Workspace, como o Gmail e o Google Docs.

Use restricted.googleapis.com para aceder a APIs e serviços Google através de um conjunto de endereços IP apenas encaminháveis a partir de Google Cloud.

Escolha restricted.googleapis.com quando precisar de acesso a APIs e serviços Google que são suportados pelos VPC Service Controls.

O domínio restricted.googleapis.com não permite o acesso às APIs Google e aos serviços que não suportam os VPC Service Controls. 1
1 Se precisar de restringir os utilizadores apenas às APIs e aos serviços Google que suportam os VPC Service Controls, use o restricted.googleapis.com, uma vez que oferece uma mitigação de riscos adicional para a exfiltração de dados. A utilização de restricted.googleapis.com nega o acesso a APIs Google e serviços que não são suportados pelos VPC Service Controls. Consulte o artigo Configurar a conetividade privada na documentação do VPC Service Controls para obter mais detalhes.

Suporte de IPv6 para private.googleapis.com e restricted.googleapis.com

Os seguintes intervalos de endereços IPv6 podem ser usados para direcionar o tráfego de clientes IPv6 para APIs e serviços Google:

  • private.googleapis.com: 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 2600:2d00:0002:1000::/64

Considere configurar os endereços IPv6 se quiser usar o domínio private.googleapis.com ou restricted.googleapis.com e tiver clientes que usam endereços IPv6. Os clientes IPv6 que também tenham endereços IPv4 configurados podem aceder às APIs e aos serviços Google através dos endereços IPv4. Nem todos os serviços aceitam tráfego de clientes IPv6.

Configuração de DNS

A sua rede no local tem de ter zonas e registos DNS configurados para que os nomes de domínios da Google sejam resolvidos para o conjunto de endereços IP de private.googleapis.com ou restricted.googleapis.com. Pode criar zonas privadas geridas do Cloud DNS e usar uma política de servidor de entrada do Cloud DNS ou configurar servidores de nomes no local. Por exemplo, pode usar BIND ou Microsoft Active Directory DNS.

As secções seguintes descrevem como usar zonas DNS para enviar pacotes para os endereços IP associados ao VIP escolhido. Siga as instruções para todos os cenários que se aplicam a si:

Quando configurar os registos DNS para os VIPs, use apenas os endereços IP descritos nos passos seguintes. Não misture endereços de VIPs do grupo private.googleapis.com e restricted.googleapis.com. Isto pode causar falhas intermitentes porque os serviços oferecidos diferem com base no destino de um pacote.

Configure o DNS para googleapis.com

Crie uma zona DNS e registos para googleapis.com:

  1. Crie uma zona DNS privada para googleapis.com. Considere criar uma zona privada do Cloud DNS para este fim.

  2. Na zona googleapis.com, crie os seguintes registos de DNS privados para private.googleapis.com ou restricted.googleapis.com, consoante o domínio que optou por usar.

    • Para private.googleapis.com:

      1. Crie um registo A para private.googleapis.com que aponte para os seguintes endereços IP: 199.36.153.8, 199.36.153.9, 199.36.153.10 e 199.36.153.11.

      2. Para estabelecer ligação a APIs através de endereços IPv6, também tem de configurar um registo AAAAAprivate.googleapis.com que aponte para 2600:2d00:0002:2000::.

    • Para restricted.googleapis.com:

      1. Crie um registo A para restricted.googleapis.com que aponte para os seguintes endereços IP: 199.36.153.4, 199.36.153.5, 199.36.153.6 e 199.36.153.7.

      2. Para estabelecer ligação a APIs através de endereços IPv6, também tem de criar um registo AAAA para restricted.googleapis.com que aponte para 2600:2d00:0002:1000::.

    Para criar registos de DNS privados no Cloud DNS, consulte o artigo sobre como adicionar um registo.

  3. Na zona googleapis.com, crie um registo CNAME para *.googleapis.com que aponte para o domínio que configurou: private.googleapis.com ou restricted.googleapis.com.

Configure o DNS para outros domínios

Algumas APIs e serviços Google são fornecidos através de nomes de domínio adicionais, incluindo *.gcr.io, *.gstatic.com, *.pkg.dev, pki.goog, *.run.app e *.gke.goog. Consulte a tabela de intervalos de endereços IP e domínios nas Opções de domínio para determinar se os serviços do domínio adicional podem ser acedidos através de private.googleapis.com ou restricted.googleapis.com. Em seguida, para cada um dos domínios adicionais:

  1. Crie uma zona DNS para DOMAIN (por exemplo, gcr.io). Se estiver a usar o Cloud DNS, certifique-se de que esta zona está localizada no mesmo projeto que a sua zona privada googleapis.com.

  2. Nesta zona de DNS, crie os seguintes registos de DNS privados para private.googleapis.com ou restricted.googleapis.com, consoante o domínio que optou por usar.

    • Para private.googleapis.com:

      1. Crie um registo A para DOMAIN a apontar para os seguintes endereços IP: 199.36.153.8, 199.36.153.9, 199.36.153.10 e 199.36.153.11.

      2. Para estabelecer ligação a APIs através de endereços IPv6, também tem de criar um registo AAAA para DOMAIN que aponte para 2600:2d00:0002:2000::.

    • Para restricted.googleapis.com:

      1. Crie um registo A para DOMAIN a apontar para os seguintes endereços IP: 199.36.153.4, 199.36.153.5, 199.36.153.6 e 199.36.153.7.

      2. Para estabelecer ligação a APIs através de endereços IPv6, também tem de criar um registo AAAA para restricted.googleapis.com que aponte para 2600:2d00:0002:1000::.

  3. Na zona DOMAIN, crie um registo CNAME para *.DOMAIN que aponte para DOMAIN. Por exemplo, crie um registo CNAME para *.gcr.io que aponte para gcr.io.

Configure o DNS para nomes de domínio personalizados do Cloud Storage

Se estiver a usar contentores do Cloud Storage e enviar pedidos para um nome de domínio personalizado do Cloud Storage, a configuração de registos DNS para o nome de domínio personalizado do Cloud Storage de modo a apontar para os endereços IP de private.googleapis.com ou restricted.googleapis.com não é suficiente para permitir o acesso aos contentores do Cloud Storage.

Se quiser enviar pedidos para um nome do domínio personalizado do Cloud Storage, também tem de definir explicitamente o cabeçalho Host do pedido HTTP e o SNI TLS como storage.googleapis.com. Os endereços IP de private.googleapis.com e restricted.googleapis.com não suportam nomes de anfitrião personalizados do Cloud Storage em cabeçalhos Host de pedidos HTTP e SNIs TLS.

Configure o DNS para sistemas no local

Se implementou a configuração de DNS através do Cloud DNS, tem de configurar os sistemas no local para que possam fazer consultas às zonas privadas geridas do Cloud DNS:

  • Crie uma política de servidor de entrada na rede VPC à qual a sua rede no local se liga.
  • Identifique os pontos de entrada do encaminhador de entrada, nas regiões onde os seus túneis da Cloud VPN e anexos de VLAN estão localizados, na rede VPC à qual a sua rede no local se liga.
  • Configure os sistemas no local e os servidores de nomes DNS no local para encaminhar googleapis.com e qualquer um dos nomes de domínio adicionais para um ponto de entrada de encaminhador de entrada na mesma região que o túnel de VPN na nuvem ou a associação de VLAN que se liga à rede VPC.

Encaminhamento da rede da VPC

A rede VPC à qual a sua rede no local se liga tem de ter rotas para os intervalos de endereços IP usados pelo private.googleapis.com ou pelo restricted.googleapis.com. Estas rotas têm de usar o próximo salto do gateway de Internet predefinido.

A Google não publica rotas na Internet para os intervalos de endereços IP usados pelos domínios private.googleapis.com ou restricted.googleapis.com. Consequentemente, embora as rotas na rede VPC enviem tráfego para o próximo salto do gateway de Internet predefinido, os pacotes enviados para esses intervalos de endereços IP permanecem na rede da Google.

Se a rede VPC à qual a sua rede no local se liga contiver uma rota predefinida cujo próximo salto seja o gateway de Internet predefinido, essa rota cumpre os requisitos de encaminhamento para o acesso privado à Google para anfitriões no local.

Encaminhamento personalizado da rede VPC

Se substituiu ou alterou a sua rota predefinida, certifique-se de que tem rotas estáticas personalizadas configuradas para os intervalos de IP de destino usados pelo private.googleapis.com ou restricted.googleapis.com. Para verificar a configuração de rotas personalizadas para APIs e serviços Google numa determinada rede, siga estas instruções.

Consola

  1. Na Google Cloud consola, aceda à página Rotas.

    Aceda a Trajetos

  2. Use o campo de texto Filtrar tabela para filtrar a lista de rotas com os seguintes critérios, substituindo NETWORK_NAME pelo nome da rede VPC à qual a sua rede no local se liga:

    • Rede: NETWORK_NAME
    • Tipo de salto seguinte: default internet gateway

  3. Consulte a coluna Intervalo de IPs de destino para cada trajeto. Procure um percurso cuja gama de destinos corresponda:

    • 199.36.153.8/30 se escolheu private.googleapis.com
    • 199.36.153.4/30 se escolheu restricted.googleapis.com

gcloud

Use o seguinte comando gcloud, substituindo NETWORK_NAME pelo nome da rede VPC à qual a sua rede no local se liga:

gcloud compute routes list \
    --filter="default-internet-gateway NETWORK_NAME"

As rotas são apresentadas no formato de tabela, a menos que personalize o comando com a flag --format. Procure na coluna DEST_RANGE uma rota cujo intervalo de destino corresponda:

  • 199.36.153.8/30 se escolheu private.googleapis.com
  • 199.36.153.4/30 se escolheu restricted.googleapis.com

Se precisar de criar rotas na sua rede VPC, consulte o artigo Adicionar uma rota estática.

Encaminhamento no local com o Cloud Router

Os trajetos na sua rede no local têm de ser configurados para direcionar o tráfego para os intervalos de endereços IP usados pelos domínios private.googleapis.com ou restricted.googleapis.com para os túneis da Cloud VPN de próximo salto ou as associações de VLAN que se ligam à sua rede VPC.

Pode usar anúncios de rotas personalizadas do Cloud Router para anunciar rotas para os intervalos de IP usados pelos domínios private.googleapis.com e restricted.googleapis.com.

As rotas IPv6 são anunciadas apenas em sessões BGP onde o IPv6 está ativado.

Consola

Para atualizar o modo de anúncio de rotas para todas as sessões de BGP num Cloud Router, exceto para as sessões de BGP que usam anúncios de BGP personalizados:

  1. Na Google Cloud consola, aceda à página Cloud Router.

    Aceda ao Cloud Router

  2. Selecione o Cloud Router que gere as sessões BGP para os túneis da VPN na nuvem ou as associações de VLAN que ligam a sua rede no local à sua rede VPC.

  3. Na página de detalhes do Cloud Router, selecione Editar.

  4. Expanda a secção Rotas anunciadas.

  5. Para Trajetos, selecione Criar trajetos personalizados.

  6. Se quiser anunciar todas as rotas de sub-rede disponíveis para o Cloud Router, selecione Anunciar todas as sub-redes visíveis para o Cloud Router. Esta definição replica a configuração predefinida na sua configuração personalizada.

  7. Para cada trajeto anunciado que quer adicionar, faça o seguinte:

    1. Selecione Adicionar trajeto personalizado.
    2. Para Origem, selecione Intervalo de IPs personalizado.
    3. Para o Intervalo de endereços IP, introduza um dos intervalos que quer usar:
      • Se usar o private.googleapis.com:
        • Para a conetividade IPv4: 199.36.153.8/30
        • Para a conetividade IPv6: 2600:2d00:0002:2000::/64
      • Se usar o restricted.googleapis.com:
        • Para a conetividade IPv4: 199.36.153.4/30
        • Para a conetividade IPv6: 2600:2d00:0002:1000::/64
    4. Clique em Concluído.

  8. Quando terminar de adicionar trajetos, selecione Guardar.

Para atualizar o modo de anúncio de rotas de uma sessão de BGP específica:

  1. Na Google Cloud consola, aceda à página Cloud Router.

    Aceda ao Cloud Router

  2. Selecione o Cloud Router que gere a sessão BGP para um túnel de VPN na nuvem ou uma associação de VLAN que ligue a sua rede nas instalações à sua rede VPC.

  3. Na página de detalhes do Cloud Router, selecione a sessão BGP que quer atualizar.

  4. Na página de detalhes da sessão BGP, clique em Editar.

  5. Para Trajetos, selecione Criar trajetos personalizados.

  6. Selecione Anunciar todas as sub-redes visíveis para o Cloud Router para anunciar todas as rotas de sub-redes disponíveis para o Cloud Router se quiser o comportamento predefinido do Cloud Router.

  7. Para cada trajeto anunciado que quer adicionar, faça o seguinte:

    1. Selecione Adicionar trajeto personalizado.
    2. Para Origem, selecione Intervalo de IPs personalizado.
    3. Para o Intervalo de endereços IP, introduza um dos intervalos que quer usar:
      • Se usar o private.googleapis.com:
        • Para a conetividade IPv4: 199.36.153.8/30
        • Para a conetividade IPv6: 2600:2d00:0002:2000::/64
      • Se usar o restricted.googleapis.com:
        • Para a conetividade IPv4: 199.36.153.4/30
        • Para a conetividade IPv6: 2600:2d00:0002:1000::/64
    4. Clique em Concluído.

  8. Quando terminar de adicionar trajetos, selecione Guardar.

gcloud

  1. Identifique o nome e a região do Cloud Router que gere as sessões BGP nos túneis da Cloud VPN ou as associações de VLAN que ligam a sua rede no local à sua rede VPC.

  2. Use compute routers update para atualizar o modo de anúncio de rotas em todas as sessões de BGP do Cloud Router, exceto nas sessões de BGP que usam anúncios de BGP personalizados:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Pode anexar novos intervalos de anúncios se já estiver a usar o CUSTOM modo de anúncio para o Cloud Router. Esta ação atualiza o modo de anúncio de rotas em todas as sessões de BGP do Cloud Router, exceto nas sessões de BGP que usam anúncios de BGP personalizados:

    gcloud compute routers update ROUTER_NAME \
    --region=REGION \
    --add-advertisement-ranges=CUSTOM_RANGES

  3. Em alternativa, use compute routers update-bgp-peer para configurar um ponto de troca de tráfego BGP específico no Cloud Router:

    Se estiver a adicionar intervalos personalizados IPv6 e o tráfego IPv6 estiver desativado para a sessão BGP, pode ativá-lo com a flag --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --advertisement-mode=CUSTOM \
    --set-advertisement-groups=ALL_SUBNETS \
    --set-advertisement-ranges=CUSTOM_RANGES

    Pode anexar novos intervalos de anúncios se já estiver a usar o CUSTOMmodo de anúncio para uma sessão BGP num Cloud Router

    Se estiver a adicionar intervalos personalizados IPv6 e o tráfego IPv6 estiver desativado para a sessão BGP, pode ativá-lo com a flag --enable-ipv6. 

    gcloud compute routers update-bgp-peer ROUTER_NAME \
    --region=REGION \
    --peer-name=PEER_NAME \
    --add-advertisement-ranges=CUSTOM_RANGES

    Nos comandos acima, substitua o seguinte por valores válidos:

Considerações sobre a firewall

Google Cloud As regras de firewall na rede da VPC à qual a sua rede no local se liga não têm efeito sobre:

  • Pacotes enviados através de um túnel do Cloud VPN ligado à rede VPC
  • Pacotes enviados através de uma associação VLAN ligada à rede da VPC
  • Pacotes recebidos para endereços IP do encaminhador de entrada do Cloud DNS na rede VPC

Deve garantir que a configuração da firewall dos sistemas no local permite o tráfego de saída e as respostas estabelecidas dos endereços IP adequados:

  • Se usar o private.googleapis.com:
    • Para a conetividade IPv4: 199.36.153.8/30
    • Para a conetividade IPv6: 2600:2d00:0002:2000::/64
  • Se usar o restricted.googleapis.com:
    • Para a conetividade IPv4: 199.36.153.4/30
    • Para a conetividade IPv6: 2600:2d00:0002:1000::/64
  • Quaisquer endereços IP do encaminhador de entrada do Cloud DNS, se estiver a usar o Cloud DNS para a configuração de DNS

O que se segue?