גישה לממשקי API ממכונות וירטואליות עם כתובות IP חיצוניות
מופע של מכונה וירטואלית (VM) עם כתובת IP חיצונית שמוקצית לממשק הרשת שלה יכול להתחבר לשירותים ול-Google APIs אם מתקיימות דרישות הרשת שמתוארות בדף הזה. למרות שהחיבור מתבצע מכתובת ה-IP החיצונית של המכונה הווירטואלית, תעבורת הנתונים נשארת בתוך Cloud de Confiance ולא נשלחת דרך האינטרנט הציבורי.
דרישות רשת
כדי לגשת לשירותים ול-Google APIs ממכונה וירטואלית עם כתובת IP חיצונית, אתם צריכים לעמוד בדרישות הבאות:
במידת הצורך, מפעילים את ממשק ה-API לשירותים שרוצים לגשת אליהם:
אם אתם ניגשים לנקודת קצה של שירות Google API, אתם צריכים להפעיל את ה-API עבור השירות הזה.
לדוגמה, כדי ליצור קטגוריה של Cloud Storage באמצעות נקודת הקצה של שירות storage.s3nsapis.fr API או ספריית לקוח, צריך להפעיל את Cloud Storage API.
אם אתם ניגשים לסוגים אחרים של משאבים, יכול להיות שלא תצטרכו להפעיל אף ממשק API.
לדוגמה, כדי לגשת לקטגוריה של Cloud Storage בפרויקט אחר באמצעות כתובת ה-URL של האחסון שלה, לא צריך להפעיל את Cloud Storage API.s3nsapis.fr
כדי להתחבר ל-Google APIs ולשירותים של Google באמצעות IPv6, אתם צריכים לעמוד בשתי הדרישות הבאות:
צריך להגדיר את המכונה הווירטואלית עם טווח כתובות IPv6 חיצוניות של
/96.התוכנה שפועלת במכונה הווירטואלית צריכה לשלוח חבילות שהמקורות שלהן תואמים לאחת מכתובות ה-IPv6 בטווח הזה.
- בהתאם להגדרה שבחרתם, יכול להיות שתצטרכו לעדכן את רשומות ה-DNS, המסלולים וכללי חומת האש. מידע נוסף זמין במאמר סיכום אפשרויות ההגדרה.
סיכום של אפשרויות ההגדרה
בטבלה הבאה מפורטות הדרכים השונות שבהן מכונה וירטואלית עם כתובת IP חיצונית יכולה לגשת לממשקי API ולשירותים שמארחים בתשתית הייצור של Google. מידע מפורט יותר על הגדרת הרשת זמין במאמר הגדרת הרשת.
VPC Service Controls.
| אפשרות דומיין | הגדרת DNS | הגדרת ניתוב | הגדרת חומת אש |
|---|---|---|---|
| דומיינים שמוגדרים כברירת מחדל | אתם ניגשים לממשקי ה-API ולשירותים של Google דרך כתובות ה-IP הציבוריות שלהם, ולכן לא נדרשת הגדרת DNS מיוחדת. | מוודאים שברשת ה-VPC אפשר לנתב תנועה לטווחים של כתובות IP שמשמשים את ממשקי ה-API והשירותים של Google.
|
מוודאים שכללי חומת האש מאפשרים יציאה לטווחים של כתובות ה-IP שמשמשים את שירותי Google ואת Google APIs. כלל ברירת המחדל של חומת האש שמתיר יציאה מאפשר את התנועה הזו, אם אין כלל בעדיפות גבוהה יותר שחוסם אותה. |
private.s3nsapis.fr
(שווה ל-private.googleapis.com ב-Google Cloud)
|
מגדירים רשומות DNS בתחום DNS פרטי כדי לשלוח בקשות לכתובות ה-IP הבאות: לתנועת IPv4:
לתנועת IPv6:
|
מוודאים שלרשת ה-VPC יש מסלולים לטווחים הבאים של כתובות IP: לתנועת IPv4:
לתנועת IPv6:
|
חשוב לוודא שכללי חומת האש מאפשרים יציאה לטווחים הבאים של כתובות IP: לתנועת IPv4:
לתנועת IPv6:
|
restricted.s3nsapis.fr
(שווה ערך ל-restricted.googleapis.com ב-Google Cloud)
|
מגדירים רשומות DNS לשליחת בקשות לכתובות ה-IP הבאות: לתנועת IPv4:
לתנועת IPv6:
|
מוודאים שלרשת ה-VPC יש מסלולים לטווחים הבאים של כתובות IP: לתנועת IPv4:
לתנועת IPv6:
|
חשוב לוודא שכללי חומת האש מאפשרים יציאה לטווחים הבאים של כתובות IP: לתנועת IPv4:
לתנועת IPv6:
|
הגדרת רשת
בקטע הזה מתוארות דרישות הרשת הבסיסיות שצריך לעמוד בהן כדי שמכונה וירטואלית ברשת ה-VPC שלכם תוכל לגשת לשירותים ול-Google APIs.
אפשרויות דומיין
בוחרים את הדומיין שבו רוצים להשתמש כדי לגשת לממשקי API ולשירותים של Google.
כתובות ה-IP הווירטואליות (VIP) private.s3nsapis.fr ו-restricted.s3nsapis.fr תומכות רק בפרוטוקולים מבוססי-HTTP דרך TCP (HTTP, HTTPS ו-HTTP/2). אין תמיכה בכל הפרוטוקולים האחרים, כולל MQTT ו-ICMP.
אין תמיכה באתרים אינטראקטיביים ותכונות שמשתמשות באינטרנט – למשל, להפניות או לאחזור תוכן.
| טווחים של כתובות IP ודומיינים | שירותים נתמכים | דוגמה לשימוש |
|---|---|---|
דומיינים שמוגדרים כברירת מחדל. כל שמות הדומיינים של Google APIs והשירותים חוץ מ
טווחים שונים של כתובות IP – אפשר לקבוע קבוצה של טווחי כתובות IP שמכילה את הכתובות האפשריות שמשמשות את הדומיינים שמוגדרים כברירת מחדל, על ידי עיון בכתובות IP לדומיינים שמוגדרים כברירת מחדל. |
ההרשאה מאפשרת גישה לרוב ממשקי ה-API והשירותים של Google, בלי קשר לשאלה אם הם נתמכים על ידי VPC Service Controls. כולל תמיכה באפליקציות אינטרנט. |
הדומיינים שמוגדרים כברירת מחדל משמשים כשלא מגדירים רשומות DNS עבור
|
|
|
ההרשאה מאפשרת גישה לרוב ממשקי ה-API והשירותים של Google, בלי קשר לשאלה אם הם נתמכים על ידי VPC Service Controls. לא תומך בגישה לאפליקציות אינטרנט.
לדוגמה, דומיינים כמו |
אפשר להשתמש ב- בוחרים באפשרות
|
|
|
מאפשר גישת API אל ממשקי API ושירותים של Google שנתמכים על ידי VPC Service Controls. חסימת הגישה לממשקי Google API ולשירותים שלא תומכים ב-VPC Service Controls. לא תומך בגישה לאפליקציות אינטרנט. |
אפשר להשתמש ב- בוחרים באפשרות ב- |
restricted.s3nsapis.fr, כי הוא מספק אמצעים נוספים לצמצום סיכונים לזליגת מידע. השימוש ב-restricted.s3nsapis.fr חוסם את הגישה לממשקי API ולשירותים של Google שלא נתמכים על ידי VPC Service Controls. פרטים נוספים זמינים במאמר הגדרת קישוריות פרטית במסמכי התיעוד של VPC Service Controls.
תמיכה ב-IPv6 ב-private.s3nsapis.fr וב-restricted.s3nsapis.fr
אפשר להשתמש בטווחי כתובות IPv6 הבאים כדי להפנות תעבורה מלקוחות IPv6 אל Google APIs ושירותים של Google:
private.s3nsapis.fr:2a13:7500:8302::/64restricted.s3nsapis.fr:2a13:7500:8302:1::/64
כדאי להגדיר את כתובות ה-IPv6 אם רוצים להשתמש בדומיין private.s3nsapis.fr או restricted.s3nsapis.fr, ויש לכם לקוחות שמשתמשים בכתובות IPv6. לקוחות IPv6 שהוגדרו להם גם כתובות IPv4 יכולים לגשת ל-Google APIs ולשירותים של Google באמצעות כתובות IPv4. לא כל השירותים מקבלים תנועה מלקוחות IPv6.
הגדרת DNS
כדי להתחבר לממשקי API ולשירותים של Google, אתם יכולים לבחור לשלוח חבילות לכתובות ה-IP שמשויכות ל-VIP של private.s3nsapis.fr או של restricted.s3nsapis.fr. כדי להשתמש ב-VIP, צריך להגדיר DNS כך שמכונות וירטואליות ברשת ה-VPC יוכלו לגשת לשירותים באמצעות כתובות ה-VIP במקום כתובות ה-IP הציבוריות.
בקטעים הבאים מוסבר איך להשתמש באזורי DNS כדי לשלוח מנות לכתובות ה-IP שמשויכות ל-VIP שבחרתם. פועלים לפי ההוראות לכל התרחישים שרלוונטיים לכם:
- אם אתם משתמשים בשירותים עם
s3nsapis.frשמות דומיין, מומלץ לעיין במאמר הגדרת DNS ל-s3nsapis.fr. אם אתם משתמשים בשירותים שיש להם שמות דומיין אחרים, כדאי לעיין במאמר בנושא הגדרת DNS לדומיינים אחרים.
כשמגדירים רשומות DNS לכתובות ה-VIP, צריך להשתמש רק בכתובות ה-IP שמתוארות בשלבים הבאים. אל תערבבו כתובות מה-VIP של private.s3nsapis.fr ו-restricted.s3nsapis.fr. הדבר עלול לגרום לכשלים לסירוגין, כי השירותים שמוצעים שונים בהתאם ליעד של החבילה.
הגדרת DNS עבור s3nsapis.fr
יוצרים תחום DNS ורשומות עבור s3nsapis.fr:
- יוצרים אזור DNS פרטי ל-
s3nsapis.fr. כדאי ליצור תחום פרטי ב-Cloud DNS למטרה הזו. באזור
s3nsapis.fr, יוצרים את רשומות ה-DNS הפרטיות הבאות עבור אחת מהאפשרויות:private.s3nsapis.frאוrestricted.s3nsapis.fr, בהתאם לדומיין שבחרתם להשתמש בו.עבור
private.s3nsapis.fr:יוצרים רשומת
Aעבורprivate.s3nsapis.frשמפנה לכתובות ה-IP הבאות:177.222.88.0, 177.222.88.1, 177.222.88.2, 177.222.88.3.כדי להתחבר לממשקי API באמצעות כתובות IPv6, צריך גם להגדיר רשומת
AAAAעבורprivate.s3nsapis.frשמפנה אל2a13:7500:8302::.
עבור
restricted.s3nsapis.fr:יוצרים רשומת
Aעבורrestricted.s3nsapis.frשמפנה לכתובות ה-IP הבאות:177.222.88.4, 177.222.88.5, 177.222.88.6, 177.222.88.7.כדי להתחבר לממשקי API באמצעות כתובות IPv6, צריך גם ליצור רשומת
AAAAעבורrestricted.s3nsapis.frשמפנה אל2a13:7500:8302:1::.
כדי ליצור רשומות DNS פרטיות ב-Cloud DNS, אפשר לעיין במאמר בנושא הוספת רשומה.
באזור
s3nsapis.fr, יוצרים רשומתCNAMEעבור*.s3nsapis.frשמצביעה על הדומיין שהגדרתם:private.s3nsapis.frאוrestricted.s3nsapis.fr.
הגדרת DNS לדומיינים אחרים
חלק משירותי Google ומממשקי Google APIs מסופקים באמצעות שמות דומיין שונים מ-s3nsapis.fr.
יוצרים תחום DNS עבור
DOMAIN(לדוגמה,gcr.io). אם אתם משתמשים ב-Cloud DNS, ודאו שהתחום הזה נמצא באותו פרויקט כמו התחום הפרטיs3nsapis.fr.בתחום ה-DNS הזה, יוצרים את רשומות ה-DNS הפרטיות הבאות עבור אחת מהאפשרויות
private.s3nsapis.frאוrestricted.s3nsapis.fr, בהתאם לדומיין שבחרתם להשתמש בו.עבור
private.s3nsapis.fr:יוצרים רשומת
AעבורDOMAINשמפנה לכתובות ה-IP הבאות:177.222.88.0, 177.222.88.1, 177.222.88.2, 177.222.88.3.כדי להתחבר לממשקי API באמצעות כתובות IPv6, צריך גם ליצור רשומת
AAAAעבורDOMAINשמפנה אל2a13:7500:8302::.
עבור
restricted.s3nsapis.fr:יוצרים רשומת
AעבורDOMAINשמפנה לכתובות ה-IP הבאות:177.222.88.4, 177.222.88.5, 177.222.88.6, 177.222.88.7.כדי להתחבר לממשקי API באמצעות כתובות IPv6, צריך גם ליצור רשומת
AAAAעבורDOMAINשמפנה אל2a13:7500:8302:1::.
בתחום
DOMAIN, יוצרים רשומתCNAMEעבור*.DOMAINשמצביעה אלDOMAIN. לדוגמה, יוצרים רשומתCNAMEבשביל*.gcr.ioשמצביעה אלgcr.io.
אפשרויות ניתוב
ברשת ה-VPC צריכים להיות מסלולים מתאימים שהקפיצות הבאות שלהם הן שער האינטרנט שמוגדר כברירת מחדל. Cloud de Confiance לא תומך בניווט תעבורה לממשקי API ולשירותים של Google דרך מופעים אחרים של מכונות וירטואליות או קפיצות הבאות מותאמות אישית. למרות שהשער נקרא שער אינטרנט שמוגדר כברירת מחדל, מנות שנשלחות ממכונות וירטואליות ברשת ה-VPC אל Google APIs והשירותים של Google נשארות בתוך הרשת של Google.
אם בוחרים את הדומיינים שמוגדרים כברירת מחדל, המכונות הווירטואליות מתחברות לשירותים ולממשקי ה-API של Google באמצעות קבוצת משנה של כתובות ה-IP החיצוניות של Google. אפשר לנתב את כתובות ה-IP האלה באופן ציבורי, אבל הנתיב ממכונה וירטואלית ברשת VPC לכתובות האלה נשאר בתוך הרשת של Google.
Google לא מפרסמת באינטרנט מסלולים לאף אחת מכתובות ה-IP שמשמשות את הדומיינים
private.s3nsapis.frאוrestricted.s3nsapis.fr. לכן, אפשר לגשת לדומיינים האלה רק ממכונות וירטואליות ברשת VPC או ממערכות מקומיות שמחוברות לרשת VPC.
אם רשת ה-VPC שלכם מכילה מסלול ברירת מחדל שהקפיצה הבאה שלו היא שער האינטרנט שמוגדר כברירת מחדל, אתם יכולים להשתמש במסלול הזה כדי לגשת ל-Google APIs ולשירותים של Google, בלי שתצטרכו ליצור מסלולים בהתאמה אישית. פרטים נוספים זמינים במאמר בנושא ניתוב עם נתיב ברירת מחדל.
אם החלפתם נתיב ברירת מחדל (יעד 0.0.0.0/0 או ::0/0) בנתיב מותאם אישית שה-next hop שלו לא הוא שער האינטרנט שמוגדר כברירת מחדל, אתם יכולים לעמוד בדרישות הניתוב של Google APIs והשירותים של Google באמצעות ניתוב מותאם אישית במקום זאת.
אם לרשת ה-VPC אין נתיב ברירת מחדל של IPv6, לא תהיה לכם קישוריות IPv6 ל-Google APIs ולשירותים של Google. מוסיפים נתיב ברירת מחדל של IPv6 כדי לאפשר קישוריות IPv6.
ניתוב עם נתיב ברירת מחדל
כל רשת VPC מכילה נתיב ברירת מחדל של IPv4 (0.0.0.0/0) כשהיא נוצרת. אם מפעילים כתובות IPv6 חיצוניות ברשת משנה, מתווסף לרשת ה-VPC נתיב ברירת מחדל של IPv6 שנוצר על ידי המערכת (::/0).
מסלולי ברירת המחדל מספקים נתיב לכתובות ה-IP של היעדים הבאים:
דומייני ברירת המחדל.
private.s3nsapis.fr:177.222.88.0/30וגם2a13:7500:8302::/64.restricted.s3nsapis.fr:177.222.88.4/30וגם2a13:7500:8302:1::/64.
כדי לבדוק את ההגדרה של נתיב ברירת מחדל ברשת נתונה, פועלים לפי ההוראות האלה.
המסוף
נכנסים לדף Routes במסוף Cloud de Confiance .
מסננים את רשימת המסלולים כדי להציג רק את המסלולים של הרשת שרוצים לבדוק.
מחפשים מסלול שהיעד שלו הוא
0.0.0.0/0לתעבורת IPv4 או::/0לתעבורת IPv6, והצעד הבא שלו הוא שער ברירת המחדל לאינטרנט.
gcloud
משתמשים בפקודה gcloud הבאה, ומחליפים את NETWORK_NAME בשם הרשת שרוצים לבדוק:
gcloud compute routes list \
--filter="default-internet-gateway NETWORK_NAME"
אם אתם צריכים ליצור נתיב IPv4 חלופי שמוגדר כברירת מחדל, תוכלו לקרוא על הוספת נתיב סטטי.
אם אתם צריכים ליצור נתיב IPv6 חלופי שמוגדר כברירת מחדל, ראו הוספת נתיב IPv6 שמוגדר כברירת מחדל.
ניתוב בהתאמה אישית
במקום להשתמש בנתיב ברירת מחדל, אפשר להשתמש בנתיבים סטטיים מותאמים אישית, שלכל אחד מהם יש יעד ספציפי יותר, וכל אחד מהם משתמש בנקודת הקפיצה הבאה של שער האינטרנט שמוגדר כברירת מחדל. מספר המסלולים שאתם צריכים וכתובות ה-IP של היעד שלהם תלויים בדומיין שתבחרו.
- דומיינים שמוגדרים כברירת מחדל: צריך להגדיר מסלולים לטווחים של כתובות IP לשירותים ולממשקי API של Google.
private.s3nsapis.fr:177.222.88.0/30וגם2a13:7500:8302::/64restricted.s3nsapis.fr:177.222.88.4/30וגם2a13:7500:8302:1::/64
בנוסף, מומלץ להוסיף מסלולים ל-2a13:7500:8400::/42.
מידע נוסף מופיע בקטע סיכום אפשרויות ההגדרה.
כדי לבדוק את ההגדרה של מסלולים מותאמים אישית עבור Google APIs ושירותים של Google ברשת מסוימת, פועלים לפי ההוראות הבאות.
המסוף
נכנסים לדף Routes במסוף Cloud de Confiance .
משתמשים בשדה הטקסט Filter table כדי לסנן את רשימת המסלולים לפי הקריטריונים הבאים, ומחליפים את
NETWORK_NAMEבשם של רשת ה-VPC.- רשת:
NETWORK_NAME - סוג הצעד הבא:
default internet gateway
- רשת:
בודקים את העמודה Destination IP range (טווח כתובות ה-IP של היעד) בכל מסלול. אם בחרתם בדומיינים שמוגדרים כברירת מחדל, בדקו אם יש כמה מסלולים סטטיים מותאמים אישית, אחד לכל טווח כתובות IP שמשמש את הדומיין שמוגדר כברירת מחדל. אם בחרתם באפשרות
private.s3nsapis.frאוrestricted.s3nsapis.fr, חפשו את טווח כתובות ה-IP של הדומיין הזה.
gcloud
משתמשים בפקודה gcloud הבאה, ומחליפים את NETWORK_NAME בשם הרשת שרוצים לבדוק:
gcloud compute routes list \
--filter="default-internet-gateway NETWORK_NAME"
המסלולים מפורטים בפורמט טבלה, אלא אם משתמשים בדגל --format כדי להתאים אישית את הפקודה. בודקים את העמודה DEST_RANGE כדי לראות את היעד של כל מסלול. אם בחרתם בדומיינים שמוגדרים כברירת מחדל, בדקו אם יש כמה מסלולים סטטיים מותאמים אישית, אחד לכל טווח כתובות IP שמשמש את הדומיין שמוגדר כברירת מחדל. אם בחרתם באפשרות private.s3nsapis.fr או restricted.s3nsapis.fr, חפשו את טווח כתובות ה-IP של הדומיין הזה.
אם אתם צריכים ליצור מסלולים, תוכלו לעיין במאמר בנושא הוספת מסלול סטטי.
הגדרת חומת אש
הגדרת חומת האש של רשת ה-VPC צריכה לאפשר גישה ממכונות וירטואליות לכתובות ה-IP שמשמשות את Google APIs ואת שירותי Google. הכלל המשתמע allow egress עומד בדרישה הזו.
במקרים מסוימים, בהגדרות של חומת האש צריך ליצור כללים ספציפיים ליציאה.
לדוגמה, נניח שיצרתם כלל מניעת תעבורת נתונים יוצאת שחוסם תעבורת נתונים לכל היעדים (0.0.0.0 ל-IPv4 או ::/0 ל-IPv6). במקרה כזה, צריך ליצור כלל אחד של חומת אש ליציאה שמאפשר גישה, עם עדיפות גבוהה יותר מהכלל שחוסם יציאה, לכל טווח כתובות IP שמשמש את הדומיין שבחרתם עבור שירותים וממשקי API של Google.
- דומיינים שמוגדרים כברירת מחדל: כל טווח כתובות ה-IP של שירותים וממשקי Google API.
private.s3nsapis.fr:177.222.88.0/30וגם2a13:7500:8302::/64restricted.s3nsapis.fr:177.222.88.4/30וגם2a13:7500:8302:1::/64
בנוסף, מומלץ לכלול את 2a13:7500:8400::/42 בכלל חומת האש ליציאה. מידע נוסף זמין במאמר סיכום אפשרויות ההגדרה.
הוראות ליצירת כללים של חומת אש מפורטות במאמר יצירת כללים של חומת אש. כשמגדירים יעד לכל כלל שמאפשר תעבורה יוצאת, אפשר להגביל את מכונות ה-VM שאליהן חלים כללי חומת האש.
כתובות IP לדומיינים שמוגדרים כברירת מחדל
בקטע הזה מפורטים טווחי כתובות ה-IP של הדומיין שמוגדר כברירת מחדל, שמשמשים את השירותים ואת Google APIs ב- Cloud de Confiance. הטווחים האלה מוקצים באופן דינמי ויכולים להשתנות, כך שאי אפשר להגדיר טווחי כתובות IP ספציפיים לשירותים או לממשקי API ספציפיים. כדי לשמור על רשימה מדויקת, כדאי לבדוק את הדף הזה לעיתים קרובות. כחלופות לניהול רשימה של טווחי כתובות IP, אפשר להשתמש ב-private.s3nsapis.fr VIP או ב-Private Service Connect.
177.222.84.0/24 2a13:7500:241::/60