Google云 - 私人Google訪問不工作

我們正在嘗試從 GCP VPC 中執行 Packer。

出於安全原因，我們已禁用所有實例的外部 IP 地址。

為了訪問 Google API，我們設置了Private Google Access並通過以下方式驗證了它是否正常工作：

$ traceroute -T -p 443 www.googleapis.com
traceroute to www.googleapis.com (199.36.153.4), 30 hops max, 44 byte packets
1  gateway (172.17.0.1)  0.081 ms  0.017 ms  0.016 ms
2  199.36.153.4 (199.36.153.4)  3.949 ms  3.942 ms  4.992 ms

現在在實例中，當我們執行時，我們無法使用Google api 訪問Google云圖像，它失敗了：

<p><b>404.</b> <ins>That’s an error.</ins>
<p>The requested URL <code>/batch/compute/v1</code> was not found on this server.  
<ins>That’s all we know.</ins>

這是否意味著我們的設置在某些方面是錯誤的？誰能告訴我驗證私人訪問是否有效的正確方法？

首先，確保您按照我們的公共文件中概述的所有步驟設置從 VPC 網路到 GCP 服務的私有連接。

要將服務邊界內的 Private Google Access 限制為僅支持 VPC Service Controls 的 Google API 和服務，您的 VM 實例必須將請求發送到 restricted.googleapis.com 而不是 *.googleapis.com。

受限制的.googleapis.com 主機充當代理。您的請求必須包含您嘗試訪問的原始 API 的標頭。

接下來，**請注意，對 Compute Engine 的 VPC Service Controls 支持使您能夠在服務邊界內使用 VPC 網路。**但是存在一些限制，例如，您無法使用服務邊界保護 Compute Engine API。

嘗試訪問 VPC Service Controls 受限 VIP 不支持的 API 將導致 404 錯誤。

您遇到的錯誤是 VPC Service Controls 不支持且在受限 VIP 上不可用的服務。因此，請確保您嘗試呼叫的 API 是VPC Service Controls 支持的服務的一部分。如果是，那麼您應該檢查已知的服務限制和受限制 VIP 的不受支持的服務，看看它是否是已知的限制。否則，應報告該問題。

公共問題跟踪器是報告此類問題的工具和完美論壇，這些問題與 Google Cloud Platform 服務和產品的配置或行為有關。它使您可以與專家互動，有時還可以與建構產品的工程師互動。在此處了解更多資訊。如果您仍然遇到障礙，您甚至可能希望使用它來報告此問題。

塞繆爾的答復是有效的。關於您的 Compute Engine API 觀察，這也是正確的 - VPC 服務控制不支持它。

在您發現 Compute Engine 限制的同一頁面上，有一個說明如何使用圖像。

您應該將使用者添加到外圍的訪問級別。

引用自：https://serverfault.com/questions/972876