Google Play App(以及其后台服务)在运行时会调用大量 Google 自有域名,用于应用浏览、下载、鉴权、统计、云消息等场景。综合近期资料,可把这些域名按“必须放行”和“按需放行”两级整理如下,方便防火墙/代理白名单配置。
一、必须放行(无替代 CDN,阻断即闪退或无法下载)
1. play.google.com – 商店首页、搜索、详情页、购买页
2. android.clients.google.com – 检查更新、拉取应用列表、下载令牌
3. android.l.google.com – 下载二进制 APK/OBB 文件(复用同一证书,IP 池与 1.2. 类似)
4. *.googleapis.com – 所有 Google API 入口,Play 接口也走这里 • play.googleapis.com • androidenterprise.googleapis.com • firebaseappcheck.googleapis.com(部分游戏/付费验证)
5. accounts.google.com – 登录、OAuth、Token 刷新
6. ssl.gstatic.com / www.gstatic.com – 通用静态 JS/字体/图标
7. fonts.gstatic.com – 界面字体
8. www.google.com / google.com – 通用跳转、短链、TOS 等
9. safebrowsing.google.com – 恶意软件/网址黑名单校验
10. *.googleusercontent.com – 用户头像、评论图片、开发者网站图标等
二、按需放行(国内常走专用 CDN,海外走同一证书 IP)
1. services.googleapis.cn – 国行手机或国产 ROM 默认解析到北京节点;若解析到 203.208.x.x 失败,可强制走代理解析到海外 IP l3zc.com
2. *.xn--ngstr-lra8j.com(形如 rr1---sn-ni5on-j5o8.xn--ngstr-lra8j.com) – 国内 CDN 边缘节点,用于 APK 分片下载;若节点 IP 被封锁,可整域放行或强制代理 l3zc.com
3. play-lh.googleusercontent.com – 应用截图/视频/图标高分辨率图片
4. firebase.googleapis.com / *.firebaseapp.com – 若应用使用 Firebase 远程配置、Crashlytics、App Distribution
5. dl.google.com – 少量 Google 官方独立安装包(如 GMS 升级包)
6. update.googleapis.com – 后台静默升级 Google 组件
7. connectivitycheck.gstatic.com / clients3.google.com – Android 系统网络检测,阻断不会导致商店不可用,但状态栏会提示“网络受限”
根据以上配置防火墙策略路由。
添加域名组google_domain
*.clients6.google.com *.googletagservices.com *.corp.google.com *.googleusercontent.com *.google.com *.googleapis.com *.google-analytics.com *.googletagmanager.com *.googlesyndication.com *.google.com.hk *.googlevideo.com accounts.google.com.hk *.adtrafficquality.google deepmind.google *.google.dev *.gstatic.com play.googleapis.com play-lh.googleusercontent.com csp.withgoogle.com services.googleapis.cn *.xn--ngstr-lra8j.com *.ytimg.com以华为防火墙为例,还在开启dns透明代理
并给以上域名配置指写dns服务器ip来解析
配置代理策略
分别添加基于域名和应用的策略路由让从sdwan线路出,只配置域名路由会出现应用无法下载现象,需同时配置基于应用的策略路由(GOOGLE_PLAY即可,图片是把其他应用也顺便放行了)
安全策略可以配置哪些ip能访问GOOGLE,请根据实际需要配置。
流量优化,通过会话查GOOGLE_PLAY应用,测试目的ip如果在国内可以直接访问再建个基于ip的策略路由走国内专线访问,节省国际专线访问流量。
可以在手机断开wifi使用4g流量来进行测试,能用tcping能正常访问的ip就放国内专线访问。
有好多好多ip其实是可以用国内专线直接访问的,不过这需要大量时间去处理,优化路由。
这里有个注意要点:在科研单位或搞互联网开发的公司,很多人会从这个storage.googleapis.com域名下载数据,这个域名在国内是可正常访问的,而且数据下载量特别大。千万不要把*.storage.googleapis.com直接放sdwan出去,分分秒秒拉满线路。
