Verbindung zu Google herstellen

Es gibt verschiedene Möglichkeiten, GKE On-Prem-Cluster, die in Ihrem lokalen Rechenzentrum ausgeführt werden, mit dem Google-Netzwerk zu verbinden. Zu den Möglichkeiten gehören:

Regelmäßige Internetverbindung

In bestimmten Fällen können Sie das Internet als Verbindung zwischen Google und Ihrem lokalen Rechenzentrum nutzen. Beispiel:

  • Ihre GKE On-Prem-Bereitstellung ist in Ihrem Unternehmen eigenständig und Ihre Komponenten vor Ort kommunizieren nur selten mit dem Google-Netzwerk. Sie verwenden die Verbindung hauptsächlich für die Clusterverwaltung. Geschwindigkeit, Zuverlässigkeit und Sicherheit der Verbindung sind nicht entscheidend.

  • Der lokale Cluster ist eigenständig, außer beim Zugriff auf einen Google-Dienst wie Cloud SQL. Für den Traffic zwischen dem lokalen Cluster und dem Google-Dienst werden öffentliche IP-Adressen verwendet. Sie konfigurieren Firewallregeln aus Sicherheitsgründen.

Cloud VPN mit statischen Routen

Mit Cloud VPN durchläuft der Traffic zwischen Google und Ihrem lokalen Rechenzentrum das öffentliche Internet, ist jedoch verschlüsselt. Lokale Komponenten können über private IP-Adressen mit Cloudkomponenten kommunizieren. Bei statischen Routen müssen Sie Routen zwischen Ihren Google Cloud-Netzwerken und Ihrem lokalen Netzwerk manuell konfigurieren. Verwenden Sie Cloud VPN, wenn Sicherheit wichtig ist, die Geschwindigkeit jedoch weniger wichtig ist.

Cloud VPN mit Cloud Router

Mit Cloud VPN und Cloud Router durchquert der Traffic zwischen Google und Ihrem lokalen Rechenzentrum das öffentliche Internet, ist jedoch verschlüsselt. Lokale Komponenten können über private IP-Adressen mit Cloudkomponenten kommunizieren. Cloud Router tauscht Routen dynamisch zwischen Ihren Google Cloud-Netzwerken und Ihrem lokalen Netzwerk aus. Dynamisches Routing ist besonders nützlich, wenn Ihr Netzwerk erweitert und geändert wird, da es für die Übertragung des richtigen Routing-Status zu Ihrem lokalen Rechenzentrum sorgt.

Partner Interconnect

Partner Interconnect stellt über einen unterstützten Dienstanbieter eine Verbindung zwischen Ihrem lokalen Netzwerk und dem Google-Netzwerk her. Der Traffic zwischen Google und Ihrem internen Rechenzentrum verläuft nicht über das öffentliche Internet. Lokale Komponenten können über private IP-Adressen mit Cloudkomponenten kommunizieren. Die Verbindung zu Google ist schnell, sicher und zuverlässig.

Dedicated Interconnect

Dedicated Interconnect stellt eine direkte physische Verbindung zwischen Ihrem lokalen Netzwerk und dem Google-Netzwerk her. Dies kann bei hohen Bandbreitenanforderungen kostengünstig sein. Der Traffic zwischen Google und Ihrem internen Rechenzentrum verläuft nicht über das öffentliche Internet. Lokale Komponenten können über private IP-Adressen mit Cloudkomponenten kommunizieren. Ihre Verbindung zu Google ist sicher und zuverlässig und sogar schneller als eine Verbindung über Partner Interconnect.

Verbindungstyp auswählen

Weitere Informationen zur Auswahl eines Verbindungstyps finden Sie unter:

Netzwerküberwachung

Unabhängig davon, wie Sie eine grundlegende Verbindung zu Google herstellen, können Sie von den Erkenntnissen profitieren, die Ihnen das Netzwerk-Logging und -Monitoring bieten. Weitere Informationen finden Sie unter Logging und Monitoring für GKE On-Prem.

Grundlegende Verbindung optimieren

Sobald Ihre grundlegende Verbindung hergestellt wurde, können Sie Features hinzufügen, die den Zugriff, die Sicherheit und die Sichtbarkeit verbessern. Sie können beispielsweise den privaten Google-Zugriff, VPC Service Controls oder Connect aktivieren.

In der restlichen Anleitung in diesem Thema wird davon ausgegangen, dass Sie für Ihre grundlegende Verbindung zu Google eine der folgenden Optionen verwenden:

Privater Google-Zugriff

Mit dem privaten Google-Zugriff können VMs, die nur private IP-Adressen haben, die IP-Adressen von Google APIs und Google-Diensten erreichen. Dies gilt auch, wenn Ihre GKE On-Prem-Clusterknoten nur private IP-Adressen haben. Sie aktivieren den privaten Google-Zugriff auf der Subnetzebene.

Mit privatem Google-Zugriff durchlaufen Anfragen von Ihrem lokalen Rechenzentrum an Google-Dienste Ihre Cloud Interconnect- oder Cloud VPN-Verbindung, anstatt das öffentliche Internet zu durchqueren.

Verwenden Sie den privaten Google-Zugriff in folgenden Situationen:

  • Ihre lokalen VMs ohne öffentliche IP-Adressen müssen eine Verbindung zu Google-Diensten wie BigQuery, Pub/Sub oder Container Registry herstellen.

  • Sie möchten eine Verbindung zu Google-Diensten herstellen, ohne das öffentliche Internet zu durchlaufen.

Eine Liste der Dienste, die Google Private Access von lokalen VMs unterstützen, finden Sie unter Unterstützte Dienste. Informationen zur Verwendung des privaten Google-Zugriffs von lokalen VMs finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Dienste, die keinen privaten Google-Zugriff erfordern

In einigen Fällen benötigen Sie keinen privaten Google-Zugriff, um einen Dienst von einer VM aus zu erreichen, die nur eine private IP-Adresse hat. Beispiel:

  • Sie erstellen eine Cloud SQL-Instanz mit einer öffentlichen IP-Adresse und einer privaten IP-Adresse. Anschließend können Ihre lokalen Komponenten über ihre private IP-Adresse auf die Cloud SQL-Instanz zugreifen. Sie benötigen in diesem Fall keinen privaten Google-Zugriff, da Sie die öffentliche IP-Adresse eines Google-Dienstes nicht erreichen müssen. Dies funktioniert nur, wenn Cloud Router die private IP-Adresse der Cloud SQL-Instanz für Ihr lokales Netzwerk ankündigt.

  • Sie haben einen GKE-Cluster in der Google-Cloud und die Clusterknoten haben private IP-Adressen. Ihre lokalen Komponenten können auf einen NodePort-Dienst oder einen internen Load-Balancing-Dienst im Cloud-GKE-Cluster zugreifen.

VPC Service Controls

Wenn Sie zusätzlichen Schutz vor der Daten-Exfiltration haben möchten, können Sie VPC Service Controls verwenden. Sie können Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.

Verbinden

Mit Connect können Sie Ihre lokalen Nutzercluster über die Google Cloud Console aufrufen und verwalten.

Weitere Informationen