Version 1.3. Diese Version wird nicht mehr unterstützt, wie in der Supportrichtlinie für Anthos-Versionen beschrieben. Führen Sie ein Upgrade auf eine unterstützte Version durch, um die neuesten Patches und Updates für Sicherheitslücken, Kontakte und Probleme bei Anthos-Clustern in VMware (GKE On-Prem) zu erhalten. Die neueste Version finden Sie hier.

Verbindung zu Google herstellen

Es gibt verschiedene Möglichkeiten, um GKE On-Prem-Cluster, die in Ihrem lokalen Rechenzentrum ausgeführt werden, mit dem Google-Netzwerk zu verbinden. Dazu gehören:

Normale Internetverbindung

In bestimmten Fällen können Sie das Internet als Verbindung zwischen Google und Ihrem lokalen Rechenzentrum nutzen. Beispiel:

  • Ihre GKE On-Prem-Bereitstellung ist bei Ihnen vor Ort eigenständig und die lokalen Komponenten kommunizieren nur selten mit dem Netzwerk von Google. Sie verwenden die Verbindung hauptsächlich für die Clusterverwaltung. Geschwindigkeit, Zuverlässigkeit und Sicherheit der Verbindung sind nicht entscheidend.

  • Der lokale Cluster ist eigenständig, außer beim Zugriff auf einen Google-Dienst wie Cloud SQL. Für den Traffic zwischen dem lokalen Cluster und dem Google-Dienst werden öffentliche IP-Adressen verwendet. Sie konfigurieren Firewallregeln aus Sicherheitsgründen.

Cloud VPN mit statischen Routen

Mit Cloud VPN durchläuft der Traffic zwischen Google und Ihrem lokalen Rechenzentrum das öffentliche Internet, ist jedoch verschlüsselt. Lokale Komponenten können über private IP-Adressen mit Cloudkomponenten kommunizieren. Bei statischen Routen müssen Sie Routen zwischen Ihren Google Cloud-Netzwerken und Ihrem lokalen Netzwerk manuell konfigurieren. Verwenden Sie Cloud VPN, wenn Sicherheit wichtig ist, die Geschwindigkeit jedoch weniger wichtig ist.

Cloud VPN mit Cloud Router

Mit Cloud VPN und Cloud Router durchquert der Traffic zwischen Google und Ihrem lokalen Rechenzentrum das öffentliche Internet, ist jedoch verschlüsselt. Lokale Komponenten können über private IP-Adressen mit Cloudkomponenten kommunizieren. Cloud Router tauscht Routen dynamisch zwischen Ihren Google Cloud-Netzwerken und Ihrem lokalen Netzwerk aus. Dynamisches Routing ist besonders nützlich, wenn Ihr Netzwerk erweitert und verändert wird, da es dafür sorgt, dass der richtige Routingzustand an Ihr lokales Rechenzentrum übertragen wird.

Partner Interconnect

Partner Interconnect stellt über einen unterstützten Dienstanbieter eine Verbindung zwischen Ihrem lokalen Netzwerk und dem Netzwerk von Google her. Der Traffic zwischen Google und Ihrem lokalen Rechenzentrum durchläuft nicht das öffentliche Internet. Lokale Komponenten können über private IP-Adressen mit Cloud-Komponenten kommunizieren. Die Verbindung zu Google ist schnell, sicher und zuverlässig.

Dedicated Interconnect

Dedicated Interconnect stellt eine direkte physische Verbindung zwischen Ihrem lokalen Netzwerk und dem Netzwerk von Google bereit. Dies kann bei hohen Bandbreitenanforderungen kostengünstig sein. Der Traffic zwischen Google und Ihrem lokalen Rechenzentrum durchläuft nicht das öffentliche Internet. Lokale Komponenten können über private IP-Adressen mit Cloud-Komponenten kommunizieren. Ihre Verbindung zu Google ist sicher und zuverlässig und sogar schneller als eine Verbindung über Partner Interconnect.

Verbindungstyp auswählen

Weitere Informationen zur Auswahl eines Verbindungstyps finden Sie unter:

Netzwerküberwachung

Unabhängig davon, wie Sie eine grundlegende Verbindung zu Google herstellen, können Sie von den Erkenntnissen profitieren, die Ihnen das Netzwerk-Logging und -Monitoring bieten. Weitere Informationen finden Sie unter Logging und Monitoring für GKE On-Prem.

Grundlegende Verbindung optimieren

Sobald Ihre grundlegende Verbindung hergestellt wurde, können Sie Features hinzufügen, die den Zugriff, die Sicherheit und die Sichtbarkeit verbessern. Sie können beispielsweise den privaten Google-Zugriff, VPC Service Controls oder Connect aktivieren.

In der restlichen Anleitung in diesem Thema wird davon ausgegangen, dass Sie für Ihre grundlegende Verbindung zu Google eine der folgenden Optionen verwenden:

Privater Google-Zugriff

Mit dem privaten Google-Zugriff können VMs, die nur private IP-Adressen haben, die IP-Adressen von Google APIs und Google-Diensten erreichen. Dies gilt auch, wenn Ihre GKE On-Prem-Clusterknoten nur private IP-Adressen haben. Sie aktivieren den privaten Google-Zugriff auf der Subnetzebene.

Mit dem privaten Google-Zugriff durchlaufen Anfragen von Ihrem lokalen Rechenzentrum an Google-Dienste nicht das öffentliche Internet, sondern die Cloud Interconnect- oder Cloud VPN-Verbindung.

Verwenden Sie den privaten Google-Zugriff in folgenden Situationen:

  • Ihre lokalen VMs ohne öffentliche IP-Adressen müssen eine Verbindung zu Google-Diensten wie BigQuery, Pub/Sub oder Container Registry herstellen.

  • Sie möchten eine Verbindung zu Google-Diensten herstellen, ohne das öffentliche Internet zu durchlaufen.

Eine Liste der Dienste, die den privaten Google-Zugriff von lokalen VMs unterstützen, finden Sie unter Unterstützte Dienste. Informationen zur Verwendung des privaten Google-Zugriffs von lokalen VMs finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Dienste, die keinen privaten Google-Zugriff erfordern

In einigen Fällen benötigen Sie keinen privaten Google-Zugriff, um einen Dienst von einer VM aus zu erreichen, die nur eine private IP-Adresse hat. Beispiel:

  • Sie erstellen eine Cloud SQL-Instanz mit einer öffentlichen IP-Adresse und einer privaten IP-Adresse. Anschließend können Ihre lokalen Komponenten über ihre private IP-Adresse auf die Cloud SQL-Instanz zugreifen. Sie benötigen in diesem Fall keinen privaten Google-Zugriff, da Sie nicht die öffentliche IP-Adresse eines Google-Dienstes erreichen müssen. Dies funktioniert nur, wenn Cloud Router Ihrem lokalen Netzwerk die private IP-Adresse der Cloud SQL-Instanz nennt.

  • Sie haben einen GKE-Cluster in der Cloud von Google und die Clusterknoten haben private IP-Adressen. Ihre lokalen Komponenten können auf einen NodePort-Service oder einen internen Load-Balancing-Service im Cloud-GKE-Cluster zugreifen.

VPC Service Controls

Wenn Sie zusätzlichen Schutz vor der Daten-Exfiltration haben möchten, können Sie VPC Service Controls verwenden. Sie können Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.

Verbinden

Mit Connect können Sie Ihre lokalen Nutzercluster über die Google Cloud Console aufrufen und verwalten.

Nächste Schritte