設定地端部署主機的私人 Google 存取權
內部部署主機專用的私人 Google 存取權可讓內部部署系統透過 Cloud VPN 通道或 Cloud Interconnect 的 VLAN 連結,將流量轉送至 Google API 和服務。內部部署主機專用的 Private Google Access,可做為透過網際網路連線至 Google API 和服務的替代方案。
本文說明如何為內部部署主機啟用私人 Google 存取權。
規格和規定
內部部署主機的私人 Google 存取權須符合下列條件:
您必須將地端系統傳送的 Google API 和服務流量,導向與
private.s3nsapis.fr或restricted.s3nsapis.fr特殊網域名稱相關聯的 IP 位址。如要瞭解各網域可存取的服務,請參閱「網域選項」。您的內部部署網路必須使用 Cloud VPN 通道或 VLAN 附件,連線至 VPC 網路。
內部部署網路連線的虛擬私有雲網路,必須具備
private.s3nsapis.fr或restricted.s3nsapis.fr目的地 IP 範圍的適當路徑。詳情請參閱「虛擬私有雲網路轉送」。內部部署網路連線的虛擬私有雲網路必須有適當的路徑,才能連到內部部署網路。這些路徑的下一個躍點 Cloud VPN 通道或 VLAN 連結必須位於要求來源的相同區域,才能連線至您的內部部署網路。如果下一個躍點所在的區域與私人 Google 存取權要求發出的區域不同,私人 Google 存取權的回應就無法傳送至地端部署網路。
內部部署網路必須具備
private.s3nsapis.fr或restricted.s3nsapis.fr目的地 IP 範圍的路由。這些路徑必須將流量導向適當的 Cloud VPN 通道或 VLAN 連結,這些通道或連結會連線至您的虛擬私有雲網路。詳情請參閱使用 Cloud Router 進行內部部署轉送。如要讓地端部署環境中的 IPv6 用戶端使用
private.s3nsapis.fr或restricted.s3nsapis.fr存取 Google API,請設定與虛擬私有雲網路的連線,以支援 IPv6。如需詳細資訊,請參閱以下頁面:地端部署用戶端可以從任何 IPv6 GUA 或 ULA 位址傳送要求,但 ULA 範圍
fda3:e722:ac3:cc00::/64除外,因為該範圍保留供內部使用。如果專案只為地端主機提供 Google API 存取權,則不需要為專案啟用 Google API。
不過,如果專案中的資源需要存取 Google API,您可能需要為資源需要存取的服務分別啟用 API。如要進一步瞭解如何為專案中的資源使用 Private Google Access,請參閱「設定 Private Google Access」。
權限
具有網路管理員角色的專案擁有者、編輯者和 IAM 主體可建立或更新子網路及指派 IP 位址。
如要進一步瞭解角色,請參閱身分與存取權管理角色說明文件。
網路設定
地端部署主機的 Private Google Access 對地端部署系統,以及地端部署系統用來將流量傳送至 Google API 和服務的虛擬私有雲網路,都有特定的網路需求。
網域選項
如要使用內部部署主機的私人 Google 存取權,您必須將服務導向下列其中一個特殊網域。您選擇的特殊網域會決定可存取的服務。
private.s3nsapis.fr 和 restricted.s3nsapis.fr VIP 僅支援透過 TCP 的 HTTP 型通訊協定 (HTTP、HTTPS 和 HTTP/2)。系統不支援其他通訊協定,包括 MQTT 和 ICMP。
| 網域和 IP 位址範圍 | 支援的服務 | 應用實例 |
|---|---|---|
|
|
無論是否支援 VPC Service Controls,都能存取大多數 Google API 和服務。 不支援存取網頁應用程式。
舉例來說,網域如 |
使用 在下列情況下選擇
|
|
|
啟用 API 存取權,存取 VPC Service Controls 支援的 Google API 和服務。 禁止存取不支援 VPC Service Controls 的 Google API 和服務。 不支援存取網頁應用程式。 |
使用 如果只需要存取 VPC Service Controls 支援的 Google API 和服務,請選擇
|
restricted.s3nsapis.fr,因為這項功能可進一步降低資料竊取風險。使用 restricted.s3nsapis.fr 會拒絕存取 VPC Service Controls 不支援的 Google API 和服務。詳情請參閱 VPC Service Controls 說明文件中的「設定私人連線」。private.s3nsapis.fr 和 restricted.s3nsapis.fr 的 IPv6 支援
您可以使用下列 IPv6 位址範圍,將 IPv6 用戶端的流量導向 Google API 和服務:
private.s3nsapis.fr:2a13:7500:8302::/64restricted.s3nsapis.fr:2a13:7500:8302:1::/64
如果您想使用 private.s3nsapis.fr 或 restricted.s3nsapis.fr 網域,且用戶端使用 IPv6 位址,請考慮設定 IPv6 位址。如果 IPv6 用戶端也設定 IPv4 位址,則可使用 IPv4 位址連線至 Google API 和服務。並非所有服務都接受來自 IPv6 用戶端的流量。
DNS 設定
您必須設定內部部署網路的 DNS 區域和記錄,讓您存取服務的網域名稱解析為 private.s3nsapis.fr 或 restricted.s3nsapis.fr 的 IP 位址集。您可以建立 Cloud DNS 代管私人區域並使用 Cloud DNS 傳入伺服器政策,也可以設定地端部署名稱伺服器。舉例來說,您可以使用 BIND 或 Microsoft Active Directory DNS。
以下各節說明如何使用 DNS 區域,將封包傳送至與所選 VIP 相關聯的 IP 位址。請按照適用於所有情境的指示操作:
- 如果您使用具有
*.s3nsapis.fr網域名稱的服務,請參閱「設定s3nsapis.fr的 DNS」。 如果您使用其他網域名稱的服務,請參閱「為其他網域設定 DNS」。
如果使用 Cloud DNS 實作 DNS 設定,請參閱「設定內部部署系統的 DNS」。
設定 VIP 的 DNS 記錄時,請只使用下列步驟所述的 IP 位址。請勿混用 private.s3nsapis.fr 和 restricted.s3nsapis.fr VIP 的位址。這可能會導致間歇性故障,因為提供的服務會因封包目的地而異。
設定 s3nsapis.fr 的 DNS
為 s3nsapis.fr 建立 DNS 區域和記錄:
- 為
s3nsapis.fr建立私人 DNS 區域。建議您為此建立 Cloud DNS 私人區域。 在
s3nsapis.fr區域中,為private.s3nsapis.fr或restricted.s3nsapis.fr建立下列私人 DNS 記錄,具體取決於您選擇使用的網域。針對
private.s3nsapis.fr:為
private.s3nsapis.fr建立A記錄,指向下列 IP 位址:177.222.88.0、177.222.88.1、177.222.88.2、177.222.88.3。如要使用 IPv6 位址連線至 API,請一併為
private.s3nsapis.fr設定AAAA記錄,指向2a13:7500:8302::。
針對
restricted.s3nsapis.fr:為
restricted.s3nsapis.fr建立A記錄,指向下列 IP 位址:177.222.88.4、177.222.88.5、177.222.88.6、177.222.88.7。如要使用 IPv6 位址連線至 API,請一併為
restricted.s3nsapis.fr建立AAAA記錄,指向2a13:7500:8302:1::。
如要在 Cloud DNS 中建立私人 DNS 記錄,請參閱新增記錄。
在
s3nsapis.fr區域中,為*.s3nsapis.fr建立CNAME記錄,指向您設定的網域:private.s3nsapis.fr或restricted.s3nsapis.fr。
設定其他網域的 DNS
部分 Google API 和服務是透過s3nsapis.fr以外的網域名稱提供。
為
DOMAIN建立 DNS 區域 (例如gcr.io)。如果您使用 Cloud DNS,請確保這個區域與s3nsapis.fr私人區域位於同一個專案中。在這個 DNS 區域中,為其中一個
private.s3nsapis.fr或restricted.s3nsapis.fr建立下列私人 DNS 記錄,具體取決於您選擇使用的網域。針對
private.s3nsapis.fr:為
DOMAIN建立A記錄,指向下列 IP 位址:177.222.88.0、177.222.88.1、177.222.88.2、177.222.88.3。如要使用 IPv6 位址連線至 API,請一併為
DOMAIN建立AAAA記錄,指向2a13:7500:8302::。
針對
restricted.s3nsapis.fr:為
DOMAIN建立A記錄,指向下列 IP 位址:177.222.88.4、177.222.88.5、177.222.88.6、177.222.88.7。如要使用 IPv6 位址連線至 API,請一併為
DOMAIN建立AAAA記錄,指向2a13:7500:8302:1::。
在
DOMAIN區域中,為*.DOMAIN建立指向DOMAIN的CNAME記錄。舉例來說,為*.gcr.io建立指向gcr.io的CNAME記錄。
設定內部部署系統的 DNS
如果您使用 Cloud DNS 實作 DNS 設定,則需要設定地端部署系統,讓系統可以查詢 Cloud DNS 代管私人區域:
- 在內部部署網路連線的虛擬私有雲網路中,建立傳入伺服器政策。
- 找出地端部署網路所連線的虛擬私有雲網路中,Cloud VPN 通道和 VLAN 連結所在的區域,並找出傳入轉送器進入點。
- 設定地端部署系統和地端部署 DNS 名稱伺服器,將
s3nsapis.fr和任何其他網域名稱轉送至與 Cloud VPN 通道或 VLAN 連結位於相同區域的傳入轉送器進入點,這些通道或連結會連線至虛擬私有雲網路。
虛擬私有雲網路路徑轉送
地端部署網路連線的虛擬私有雲網路,必須有 private.s3nsapis.fr 或 restricted.s3nsapis.fr 使用的 IP 位址範圍路徑。這些路徑必須使用預設網際網路閘道下一個躍點。
Cloud de Confiance 不會在網際網路上發布 private.s3nsapis.fr 或 restricted.s3nsapis.fr 網域使用的 IP 位址範圍路徑。因此,即使虛擬私有雲網路中的路徑會將流量傳送至預設網際網路閘道下一個躍點,傳送至這些 IP 位址範圍的封包仍會保留在 Google 網路中。
如果內部部署網路連線的虛擬私有雲網路包含預設路由,且該路由的下一個躍點為預設網際網路閘道,則該路由符合地端部署主機的 Private Google Access 轉送需求。
虛擬私有雲網路自訂轉送
如果您已取代或變更預設路徑,請務必為 private.s3nsapis.fr 或 restricted.s3nsapis.fr 使用的目的地 IP 範圍設定自訂靜態路徑。如要檢查特定網路中 Google API 和服務的自訂路徑設定,請按照下列指示操作。
控制台
前往 Cloud de Confiance 控制台的「Routes」(路徑) 頁面。
使用「篩選資料表」文字欄位,依下列條件篩選路徑清單,並將
NETWORK_NAME替換為內部部署網路連線的虛擬私有雲網路名稱:- 網路:
NETWORK_NAME - 下一個躍點類型:
default internet gateway
- 網路:
查看每條路徑的「目的地 IP 範圍」欄。尋找目的地範圍相符的路線:
177.222.88.0/30如果選擇private.s3nsapis.fr177.222.88.4/30如果選擇restricted.s3nsapis.fr
gcloud
使用下列 gcloud 指令,將 NETWORK_NAME 替換為內部部署網路連線的 VPC 網路名稱:
gcloud compute routes list \
--filter="default-internet-gateway NETWORK_NAME"
除非使用 --format 標記自訂指令,否則路徑會以表格格式列出。在 DEST_RANGE 欄中,尋找目的地範圍符合下列條件的路線:
177.222.88.0/30(如果您選擇private.s3nsapis.fr177.222.88.4/30(如果您選擇restricted.s3nsapis.fr
如要在虛擬私有雲網路中建立路徑,請參閱「新增靜態路徑」。
透過 Cloud Router 進行內部部署轉送
您必須設定內部部署網路中的路徑,將 private.s3nsapis.fr 或 restricted.s3nsapis.fr 網域使用的 IP 位址範圍流量,導向下一個躍點 Cloud VPN 通道或 VLAN 連結,這些通道或連結會連至您的虛擬私有雲網路。
您可以使用雲端路由器自訂路徑通告,宣告 private.s3nsapis.fr 和 restricted.s3nsapis.fr 網域使用的 IP 範圍路徑。
只有在啟用 IPv6 的 BGP 工作階段中,才會 advertise IPv6 路由。
控制台
如要更新 Cloud Router 上所有 BGP 工作階段的路徑通告模式,但使用自訂 BGP 通告的 BGP 工作階段除外,請按照下列步驟操作:
前往 Cloud de Confiance 控制台的「Cloud Router」頁面。
選取管理 Cloud VPN 通道或 VLAN 連結 BGP 工作階段的 Cloud Router,這些通道或連結會將內部部署網路連線至虛擬私有雲網路。
在 Cloud Router 的詳細資料頁面中選取 [編輯]。
展開 [公告路徑] 區段。
在「Routes」(路由) 欄位,選取「Create custom routes」(建立自訂路由)。
如要通告 Cloud Router 可用的所有子網路路徑,請選取「公告 Cloud Router 可使用的所有子網路」。這項設定會將預設設定複製到自訂設定。
針對要新增的每個 advertise 路由,執行下列操作:
- 選取「新增自訂路徑」。
- 在「來源」中選取「自訂 IP 範圍」。
- 在「IP address range」(IP 位址範圍) 中,輸入要使用的範圍:
- 如果您使用
private.s3nsapis.fr:- IPv4 連線:
177.222.88.0/30 - IPv6 連線:
2a13:7500:8302::/64
- IPv4 連線:
- 如果您使用
restricted.s3nsapis.fr:- IPv4 連線:
177.222.88.4/30 - IPv6 連線:
2a13:7500:8302:1::/64
- IPv4 連線:
- 如果您使用
- 按一下 [完成]。
新增路由完畢後,請選取「Save」(儲存)。
如要更新特定 BGP 工作階段的路徑通告模式:
前往 Cloud de Confiance 控制台的「Cloud Router」頁面。
選取管理 Cloud VPN 通道或 VLAN 連結 BGP 工作階段的 Cloud Router,將地端部署網路連線至虛擬私有雲網路。
在 Cloud Router 的詳細資料頁面中,選取要更新的 BGP 工作階段。
在 BGP 工作階段詳細資料頁面中,按一下「編輯」。
在「Routes」(路由) 欄位,選取「Create custom routes」(建立自訂路由)。
如要讓 Cloud Router 採用預設行為,請選取「公告向 Cloud Router 公開的所有子網路」,公告 Cloud Router 可用的所有子網路路徑。
針對要新增的每個 advertise 路由,執行下列操作:
- 選取「新增自訂路徑」。
- 在「來源」中選取「自訂 IP 範圍」。
- 在「IP address range」(IP 位址範圍) 中,輸入要使用的其中一個範圍:
- 如果您使用
private.s3nsapis.fr:- IPv4 連線:
177.222.88.0/30 - IPv6 連線:
2a13:7500:8302::/64
- IPv4 連線:
- 如果您使用
restricted.s3nsapis.fr:- IPv4 連線:
177.222.88.4/30 - IPv6 連線:
2a13:7500:8302:1::/64
- IPv4 連線:
- 如果您使用
- 按一下 [完成]。
新增路由完畢後,請選取「Save」(儲存)。
gcloud
找出 Cloud Router 的名稱和區域,該路由器會管理 Cloud VPN 通道或 VLAN 連結上的 BGP 工作階段,這些工作階段會將地端部署網路連至 VPC 網路。
使用
compute routers update更新所有 Cloud Router BGP 工作階段的路徑通告模式,但使用自訂 BGP 通告的 BGP 工作階段除外:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES如果您已為 Cloud Router 使用
CUSTOM通告模式,可以附加新的通告範圍。這會更新 Cloud Router 所有 BGP 工作階段的路徑通告模式,但使用自訂 BGP 通告的 BGP 工作階段除外:gcloud compute routers update ROUTER_NAME \ --region=REGION \ --add-advertisement-ranges=CUSTOM_RANGES或者,您也可以使用
compute routers update-bgp-peer在 Cloud Router 上設定特定 BGP 對等互連:如果您要新增 IPv6 自訂範圍,且 BGP 工作階段已停用 IPv6 流量,可以使用
--enable-ipv6標記啟用流量。gcloud compute routers update-bgp-peer ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --advertisement-mode=CUSTOM \ --set-advertisement-groups=ALL_SUBNETS \ --set-advertisement-ranges=CUSTOM_RANGES如果您已在 Cloud Router 的 BGP 工作階段使用
CUSTOM通告模式,可以附加新的通告範圍如果您要新增 IPv6 自訂範圍,且 BGP 工作階段已停用 IPv6 流量,可以使用
--enable-ipv6標記啟用流量。gcloud compute routers update-bgp-peer ROUTER_NAME \ --region=REGION \ --peer-name=PEER_NAME \ --add-advertisement-ranges=CUSTOM_RANGES在上述指令中,請將下列項目替換為有效值:
ROUTER_NAME:Cloud Router 的名稱REGION:Cloud Router 的區域PEER_NAME:您為專屬互連網路建立 VLAN 連結、為合作夥伴互連網路建立 VLAN 連結,或建立高可用性 VPN 通道時設定的 BGP 對等互連名稱- 保留
--set-advertisement-groups=ALL_SUBNETS,通告 Cloud Router 可用的所有子網路路徑。這是 Cloud Router 的預設行為。 CUSTOM_RANGES:以半形逗號分隔的自訂範圍清單,用於放送廣告。- 針對
private.s3nsapis.fr:- IPv4 連線:
177.222.88.0/30 - 同時支援 IPv4 和 IPv6 連線:
177.222.88.0/30,2a13:7500:8302::/64
- IPv4 連線:
- 針對
restricted.s3nsapis.fr:- IPv4 連線:
177.222.88.4/30 - 同時支援 IPv4 和 IPv6 連線:
177.222.88.4/30,2a13:7500:8302:1::/64
- IPv4 連線:
- 針對
防火牆注意事項
Cloud de Confiance 內部部署網路連線的虛擬私有雲網路防火牆規則,不會對下列項目造成影響:
- 透過連線至虛擬私有雲網路的 Cloud VPN 通道傳送的封包
- 透過連線至虛擬私有雲網路的 VLAN 連結傳送的封包
- 傳送至虛擬私有雲網路中 Cloud DNS 傳入轉寄站 IP 位址的封包
請確保內部部署系統的防火牆設定允許傳向適當 IP 位址的輸出流量,以及來自這些位址的回應:
- 如果您使用
private.s3nsapis.fr:- IPv4 連線:
177.222.88.0/30 - IPv6 連線:
2a13:7500:8302::/64
- IPv4 連線:
- 如果您使用
restricted.s3nsapis.fr:- IPv4 連線:
177.222.88.4/30 - IPv6 連線:
2a13:7500:8302:1::/64
- IPv4 連線:
- 任何 Cloud DNS 傳入轉寄站 IP 位址 (如果您使用 Cloud DNS 進行 DNS 設定)
後續步驟
- 如要讓 Cloud de Confiance by S3NS VPC 網路中的 VM 存取 Google API 和服務,請參閱「設定虛擬私有雲的私人 Google 存取權」。