Mengakses API dari VM dengan alamat IP eksternal
Instance virtual machine (VM) dengan alamat IP eksternal yang ditetapkan ke antarmuka jaringannya dapat terhubung ke Google API dan layanan Google jika persyaratan jaringan yang dijelaskan pada halaman ini terpenuhi. Meskipun koneksi dibuat dari alamat IP eksternal VM, traffic tetap berada dalam Cloud de Confiance dan tidak dikirim melalui internet publik.
Persyaratan jaringan
Anda harus memenuhi persyaratan berikut untuk mengakses Google API dan layanan Google dari VM dengan alamat IP eksternal:
Jika perlu, Anda dapat mengaktifkan API untuk layanan yang ingin Anda akses:
Jika Anda mengakses endpoint layanan Google API, Anda harus mengaktifkan API untuk layanan tersebut.
Misalnya, untuk membuat bucket Cloud Storage melalui endpoint layanan storage.s3nsapis.fr API atau library klien, Anda harus mengaktifkan Cloud Storage API.
Jika mengakses jenis resource lain, Anda mungkin tidak perlu mengaktifkan API apa pun.
Misalnya, untuk mengakses bucket Cloud Storage di project lain melalui URL storage.s3nsapis.fr , Anda tidak perlu mengaktifkan Cloud Storage API.
Jika ingin terhubung ke Google API dan layanan Google menggunakan IPv6, Anda harus memenuhi kedua persyaratan berikut:
VM Anda harus dikonfigurasi dengan rentang alamat IPv6
/96eksternal.Software yang berjalan di VM harus mengirim paket yang sumbernya cocok dengan salah satu alamat IPv6 dari rentang tersebut.
- Tergantung pada konfigurasi yang dipilih, Anda mungkin perlu memperbarui entri DNS, rute, dan aturan firewall. Untuk mengetahui informasi selengkapnya, lihat Ringkasan opsi konfigurasi.
Ringkasan opsi konfigurasi
Tabel berikut merangkum berbagai cara VM, dengan alamat IP eksternal, dalam mengakses API dan layanan yang dihosting di infrastruktur produksi Google. Untuk mengetahui informasi konfigurasi yang lebih mendetail, lihat Konfigurasi jaringan.
| Opsi domain | Konfigurasi DNS | Konfigurasi pemilihan rute | Konfigurasi firewall |
|---|---|---|---|
| Domain default | Anda mengakses Google API dan layanan Google melalui alamat IP publiknya, sehingga tidak diperlukan konfigurasi DNS khusus. | Pastikan jaringan VPC Anda dapat merutekan traffic ke rentang alamat IP yang digunakan oleh Google API dan layanan Google.
|
Pastikan aturan firewall Anda mengizinkan traffic egress ke rentang alamat IP yang digunakan oleh Google API dan layanan Google. Aturan firewall yang mengizinkan traffic egress default mengizinkan traffic ini, jika tidak ada aturan prioritas yang lebih tinggi yang memblokirnya. |
private.s3nsapis.fr
(Setara dengan private.googleapis.com di Google Cloud)
|
Konfigurasi data DNS di zona DNS pribadi untuk mengirim permintaan ke alamat IP berikut: Untuk traffic IPv4:
Untuk traffic IPv6:
|
Pastikan jaringan VPC Anda memiliki rute ke rentang IP berikut: Untuk traffic IPv4:
Untuk traffic IPv6:
|
Pastikan aturan firewall Anda mengizinkan traffic egress ke rentang IP berikut: Untuk traffic IPv4:
Untuk traffic IPv6:
|
restricted.s3nsapis.fr
(Setara dengan restricted.googleapis.com di Google Cloud)
|
Konfigurasi data DNS untuk mengirim permintaan ke alamat IP berikut: Untuk traffic IPv4:
Untuk traffic IPv6:
|
Pastikan jaringan VPC Anda memiliki rute ke rentang IP berikut: Untuk traffic IPv4:
Untuk traffic IPv6:
|
Pastikan aturan firewall Anda mengizinkan traffic egress ke rentang IP berikut: Untuk traffic IPv4:
Untuk traffic IPv6:
|
Konfigurasi jaringan
Bagian ini menjelaskan persyaratan jaringan dasar yang harus Anda penuhi agar VM di jaringan VPC Anda dapat mengakses Google API dan layanan Google.
Opsi domain
Pilih domain yang ingin Anda gunakan untuk mengakses Google API dan layanan Google.
Alamat IP virtual (VIP) private.s3nsapis.fr dan restricted.s3nsapis.fr hanya mendukung protokol berbasis HTTP melalui TCP (HTTP, HTTPS, dan HTTP/2). Semua protokol lainnya, termasuk MQTT dan ICMP, tidak didukung.
Situs dan fitur interaktif yang menggunakan internet—misalnya, untuk pengalihan atau
pengambilan konten—tidak didukung.
| Domain dan rentang alamat IP | Layanan dukungan | Contoh penggunaan |
|---|---|---|
Domain default. Semua nama domain untuk Google API dan layanan Google kecuali untuk Beragam rentang alamat IP—Anda dapat menentukan sekumpulan rentang IP yang berisi kemungkinan alamat yang digunakan oleh domain default dengan mereferensikan alamat IP untuk domain default. |
Mengaktifkan akses API ke sebagian besar Google API dan layanan Google terlepas dari apakah keduanya didukung oleh Kontrol Layanan VPC. Mencakup dukungan untuk aplikasi web. |
Domain default digunakan jika Anda tidak mengonfigurasi data DNS untuk |
|
|
Mengaktifkan akses API ke sebagian besar Google API dan layanan Google terlepas dari apakah keduanya didukung oleh Kontrol Layanan VPC. Tidak mendukung akses ke aplikasi web.
Misalnya, domain seperti |
Gunakan Pilih
|
|
|
Mengaktifkan akses API ke Google API dan layanan Google yang didukung oleh Kontrol Layanan VPC. Memblokir akses ke Google API dan layanan Google yang tidak mendukung Kontrol Layanan VPC. Tidak mendukung akses ke aplikasi web. |
Gunakan Pilih Domain |
restricted.s3nsapis.fr karena memberikan mitigasi risiko tambahan untuk pemindahan data yang tidak sah. restricted.s3nsapis.fr menolak akses ke Google API dan layanan Google yang tidak didukung oleh Kontrol Layanan VPC. Lihat
Menyiapkan konektivitas
pribadi dalam dokumentasi Kontrol Layanan VPC untuk mengetahui detail selengkapnya.
Dukungan IPv6 untuk private.s3nsapis.fr dan restricted.s3nsapis.fr
Rentang alamat IP IPv6 berikut dapat digunakan untuk mengarahkan traffic dari klien IPv6 ke Google API dan layanan Google:
private.s3nsapis.fr:2a13:7500:8302::/64restricted.s3nsapis.fr:2a13:7500:8302:1::/64
Pertimbangkan untuk mengonfigurasi alamat IPv6 jika Anda ingin menggunakan domain private.s3nsapis.fr atau restricted.s3nsapis.fr, dan Anda
memiliki klien yang juga menggunakan alamat IPv6. Klien IPv6 yang juga telah mengonfigurasi alamat IPv4 dapat
menjangkau Google API dan layanan Google menggunakan alamat IPv4. Tidak semua layanan Google menerima traffic dari
klien IPv6.
Konfigurasi DNS
Untuk konektivitas ke Google API dan layanan Google, Anda dapat memilih untuk mengirim paket ke alamat IP yang terkait dengan VIP private.s3nsapis.fr atau restricted.s3nsapis.fr. Untuk menggunakan VIP, Anda harus mengonfigurasi DNS sehingga VM di jaringan VPC Anda dapat menjangkau layanan menggunakan alamat VIP, bukan alamat IP publik.
Bagian berikut menjelaskan cara menggunakan zona DNS untuk mengirim paket ke alamat IP yang terkait dengan VIP yang Anda pilih. Ikuti petunjuk untuk semua skenario yang berlaku untuk Anda:
- Jika Anda menggunakan layanan yang memiliki nama domain
s3nsapis.fr, lihat Mengonfigurasi DNS untuks3nsapis.fr. Jika Anda menggunakan layanan yang memiliki nama domain lain, lihat Mengonfigurasi DNS untuk domain lain.
Saat mengonfigurasi data DNS untuk VIP, hanya gunakan alamat IP yang
dijelaskan pada langkah berikut. Jangan mencampur alamat dari
VIP private.s3nsapis.fr dan restricted.s3nsapis.fr. Hal ini dapat
menyebabkan kegagalan berkala karena layanan yang ditawarkan berbeda
berdasarkan tujuan paket.
Mengonfigurasi DNS untuk s3nsapis.fr
Membuat zona dan data DNS untuk s3nsapis.fr:
- Membuat zona DNS pribadi untuk
s3nsapis.fr. Pertimbangkan untuk membuat zona pribadi Cloud DNS untuk tujuan ini. Di zona
s3nsapis.fr, buat data DNS pribadi berikut untukprivate.s3nsapis.frataurestricted.s3nsapis.fr, bergantung pada domain yang Anda pilih untuk digunakan.Untuk
private.s3nsapis.fr:Buat data
Auntukprivate.s3nsapis.fryang mengarah ke alamat IP berikut:177.222.88.0,177.222.88.1,177.222.88.2,177.222.88.3.Untuk terhubung ke API menggunakan alamat IPv6, konfigurasikan juga data
AAAAuntukprivate.s3nsapis.fryang mengarah ke2a13:7500:8302::.
Untuk
restricted.s3nsapis.fr:Buat data
Auntukrestricted.s3nsapis.fryang mengarah ke alamat IP berikut:177.222.88.4,177.222.88.5,177.222.88.6,177.222.88.7.Agar terhubung ke API menggunakan alamat IPv6, buat juga data
AAAAuntukrestricted.s3nsapis.fryang mengarah ke2a13:7500:8302:1::.
Untuk membuat data DNS pribadi di Cloud DNS, lihat bagian menambahkan data.
Di zona
s3nsapis.fr, buat dataCNAMEuntuk*.s3nsapis.fryang mengarah ke domain yang telah Anda konfigurasi:private.s3nsapis.frataurestricted.s3nsapis.fr.
Mengonfigurasi DNS untuk domain lain
Beberapa Google API dan layanan Google disediakan menggunakan nama domain selain s3nsapis.fr.
Buat zona DNS untuk
DOMAIN(misalnya,gcr.io). Jika Anda menggunakan Cloud DNS, pastikan zona ini berada di project yang sama dengans3nsapis.frzona pribadi Anda.Di zona DNS ini, buat data DNS pribadi berikut untuk baik
private.s3nsapis.frmaupunrestricted.s3nsapis.fr, tergantung domain yang Anda pilih untuk digunakan:Untuk
private.s3nsapis.fr:Buat data
AuntukDOMAINyang mengarah ke alamat IP berikut:177.222.88.0,177.222.88.1,177.222.88.2,177.222.88.3.Agar terhubung ke API menggunakan alamat IPv6, buat juga data
AAAAuntukDOMAINyang mengarah ke2a13:7500:8302::.
Untuk
restricted.s3nsapis.fr:Buat data
AuntukDOMAINyang mengarah ke alamat IP berikut:177.222.88.4,177.222.88.5,177.222.88.6,177.222.88.7.Agar terhubung ke API menggunakan alamat IPv6, buat juga data
AAAAuntukDOMAINyang mengarah ke2a13:7500:8302:1::.
Di zona
DOMAIN, buat dataCNAMEuntuk*.DOMAINyang mengarah keDOMAIN. Misalnya, buat dataCNAMEuntuk*.gcr.ioyang mengarah kegcr.io.
Opsi pemilihan rute
Jaringan VPC Anda harus memiliki rute yang sesuai dengan next hop yang merupakan gateway internet default. Cloud de Confiance tidak mendukung perutean traffic ke Google API dan layanan Google melalui instance VM lain atau next hop kustom. Meskipun disebut sebagai gateway internet default, paket yang dikirim dari VM di jaringan VPC Anda ke Google API dan layanan Google tetap berada dalam jaringan Google.
Jika Anda memilih domain default, instance VM Anda akan terhubung ke Google API dan layanan Google menggunakan sebagian alamat IP eksternal Google. Alamat IP ini dapat dirutekan secara publik, tetapi jalur dari VM dalam jaringan VPC ke alamat tersebut tetap berada dalam jaringan Google.
Google tidak memublikasikan rute di internet ke alamat IP mana pun yang digunakan oleh domain
private.s3nsapis.frataurestricted.s3nsapis.fr. Akibatnya, domain ini hanya dapat diakses oleh VM di jaringan VPC atau sistem lokal yang terhubung ke jaringan VPC.
Jika jaringan VPC Anda berisi rute default yang next hop-nya adalah gateway internet default, Anda dapat menggunakan rute tersebut untuk mengakses Google API dan layanan Google, tanpa perlu membuat rute kustom. Lihat pemilihan rute dengan rute default untuk mengetahui detailnya.
Jika Anda telah mengganti rute default (tujuan 0.0.0.0/0 atau ::0/0) dengan rute kustom yang next hop-nya bukan gateway internet default, Anda dapat memenuhi persyaratan pemilihan rute untuk Google API dan layanan Google menggunakan pemilihan rute kustom.
Jika jaringan VPC Anda tidak memiliki rute default IPv6, Anda tidak akan memiliki konektivitas IPv6 ke Google API dan layanan Google. Tambahkan rute default IPv6 untuk mengizinkan konektivitas IPv6.
Pemilihan rute dengan rute default
Setiap jaringan VPC berisi rute default IPv4 (0.0.0.0/0) saat dibuat. Jika Anda mengaktifkan alamat IPv6 eksternal di subnet, rute default IPv6 yang dihasilkan sistem (::/0) akan ditambahkan ke jaringan VPC tersebut.
Rute default menyediakan jalur ke alamat IP untuk tujuan berikut:
Domain default.
private.s3nsapis.fr:177.222.88.0/30dan2a13:7500:8302::/64.restricted.s3nsapis.fr:177.222.88.4/30dan2a13:7500:8302:1::/64.
Untuk memeriksa konfigurasi rute default di jaringan tertentu, ikuti petunjuk berikut.
Konsol
Di konsol Cloud de Confiance , buka halaman Rute.
Filter daftar rute untuk hanya menampilkan rute untuk jaringan yang perlu Anda periksa.
Cari rute yang tujuannya
0.0.0.0/0untuk traffic IPv4 atau::/0untuk traffic IPv6 dan yang next hop-nya adalah gateway internet default.
gcloud
Gunakan perintah gcloud berikut, dengan mengganti NETWORK_NAME dengan nama jaringan yang akan diperiksa:
gcloud compute routes list \
--filter="default-internet-gateway NETWORK_NAME"
Jika Anda perlu membuat rute IPv4 default pengganti, lihat Menambahkan rute statis.
Jika Anda perlu membuat rute IPv6 default pengganti, lihat Menambahkan rute default IPv6.
Pemilihan rute kustom
Sebagai alternatif rute default, Anda dapat menggunakan rute statis kustom, yang masing-masing memiliki tujuan yang lebih spesifik, dan menggunakan next hop gateway internet default. Jumlah rute yang Anda butuhkan dan alamat IP tujuan bergantung pada domain yang Anda pilih.
- Domain default: Anda harus memiliki rute untuk rentang alamat IP untuk Google API dan layanan Google.
private.s3nsapis.fr:177.222.88.0/30dan2a13:7500:8302::/64restricted.s3nsapis.fr:177.222.88.4/30dan2a13:7500:8302:1::/64
Selain itu, sebaiknya tambahkan rute untuk 2a13:7500:8400::/42.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan opsi konfigurasi.
Untuk memeriksa konfigurasi rute kustom untuk Google API dan layanan Google di jaringan tertentu, ikuti petunjuk berikut.
Konsol
Di konsol Cloud de Confiance , buka halaman Rute.
Gunakan kolom teks Filter table untuk memfilter daftar rute menggunakan kriteria berikut, yang mengganti
NETWORK_NAMEdengan nama jaringan VPC Anda.- Jaringan:
NETWORK_NAME - Jenis next hop:
default internet gateway
- Jaringan:
Lihat kolom Destination IP range untuk setiap rute. Jika Anda memilih domain default, periksa beberapa rute statis kustom, satu rute untuk setiap rentang alamat IP yang digunakan oleh domain default. Jika Anda memilih
private.s3nsapis.frataurestricted.s3nsapis.fr, cari rentang IP domain tersebut.
gcloud
Gunakan perintah gcloud berikut, dengan mengganti NETWORK_NAME dengan nama jaringan yang akan diperiksa:
gcloud compute routes list \
--filter="default-internet-gateway NETWORK_NAME"
Rute dicantumkan dalam format tabel kecuali jika Anda menyesuaikan perintah dengan flag --format. Lihat di kolom DEST_RANGE untuk tujuan setiap rute. Jika Anda memilih domain default, periksa beberapa rute statis kustom, satu rute untuk setiap rentang alamat IP yang digunakan oleh domain default. Jika Anda memilih private.s3nsapis.fr atau restricted.s3nsapis.fr, cari rentang IP domain tersebut.
Jika Anda perlu membuat rute, lihat Menambahkan rute statis.
Konfigurasi firewall
Konfigurasi firewall jaringan VPC Anda harus mengizinkan akses dari VM ke alamat IP yang digunakan oleh Google API dan layanan Google. Aturan allow egress tersirat memenuhi persyaratan ini.
Di beberapa konfigurasi firewall, Anda harus membuat aturan yang mengizinkan traffic egress khusus.
Misalnya, anggaplah Anda telah membuat aturan tolak traffic egress yang memblokir traffic ke semua tujuan (0.0.0.0 untuk IPv4 atau ::/0 untuk IPv6). Dalam hal ini, Anda harus membuat satu aturan firewall yang mengizinkan traffic egress yang prioritasnya lebih tinggi daripada aturan tolak traffic egress untuk setiap rentang alamat IP yang digunakan oleh domain yang Anda pilih untuk Google API dan layanan Google.
- Domain default: semua rentang alamat IP untuk Google API dan layanan Google.
private.s3nsapis.fr:177.222.88.0/30dan2a13:7500:8302::/64restricted.s3nsapis.fr:177.222.88.4/30dan2a13:7500:8302:1::/64
Selain itu, sebaiknya sertakan
2a13:7500:8400::/42 dalam aturan firewall yang mengizinkan traffic egress. Untuk mengetahui informasi selengkapnya, lihat Ringkasan opsi konfigurasi.
Untuk membuat aturan firewall, baca artikel Membuat aturan firewall. Anda dapat membatasi VM yang menerapkan aturan firewall saat Anda menentukan target dari setiap aturan yang mengizinkan traffic egress.
Alamat IP untuk domain default
Bagian ini mencantumkan rentang IP domain default yang digunakan oleh Google API dan layanan Google di Cloud de Confiance. Rentang ini dialokasikan secara dinamis dan dapat berubah, sehingga tidak mungkin untuk menentukan rentang IP tertentu untuk setiap layanan atau API. Untuk mempertahankan daftar yang akurat, periksa halaman ini secara berkala. Sebagai alternatif untuk mempertahankan daftar rentang alamat IP, pertimbangkan untuk menggunakan private.s3nsapis.fr VIP atau Private Service Connect.
177.222.84.0/24 2a13:7500:241::/60