Es gibt verschiedene Möglichkeiten, Google Distributed Cloud-Cluster, die in Ihrem lokalen Rechenzentrum ausgeführt werden, mit dem Google Cloud-Netzwerk zu verbinden. Dazu gehören:
- Normale Internetverbindung
- HA VPN
- Partner Interconnect
- Dedicated Interconnect
Normale Internetverbindung
In bestimmten Fällen können Sie das Internet als Verbindung zwischen Google und Ihrem lokalen Rechenzentrum nutzen. Beispiel:
Ihre Google Distributed Cloud-Bereitstellung ist lokal eigenständig und Ihre lokalen Komponenten kommunizieren selten mit dem Google Cloud-Netzwerk. Sie verwenden die Verbindung hauptsächlich für die Clusterverwaltung. Geschwindigkeit, Zuverlässigkeit und Sicherheit der Verbindung sind nicht entscheidend.
Der lokale Cluster ist eigenständig, außer beim Zugriff auf einen Google-Dienst wie Cloud SQL. Für den Traffic zwischen dem lokalen Cluster und dem Google-Dienst werden öffentliche IP-Adressen verwendet. Aus Sicherheitsgründen konfigurieren Sie Firewallregeln.
HA VPN
Bei HA VPN und Cloud Router durchquert der Traffic zwischen Google und Ihrem lokalen Rechenzentrum das öffentliche Internet, ist jedoch verschlüsselt. Lokale Komponenten können über private IP-Adressen mit Cloud-Komponenten kommunizieren. Cloud Router tauscht Routen dynamisch zwischen Ihren Google Cloud-Netzwerken und Ihrem lokalen Netzwerk aus. Dynamisches Routing ist besonders nützlich, wenn Ihr Netzwerk erweitert und verändert wird, da es dafür sorgt, dass der richtige Routingzustand an Ihr lokales Rechenzentrum übertragen wird.
Partner Interconnect
Partner Interconnect stellt die Verbindung zwischen Ihrem lokalen Netzwerk und dem Google Cloud-Netzwerk über einen unterstützten Dienstanbieter her. Der Traffic zwischen Google und Ihrem lokalen Rechenzentrum durchläuft nicht das öffentliche Internet. Lokale Komponenten können über private IP-Adressen mit Cloud-Komponenten kommunizieren. Die Verbindung zu Google ist schnell, sicher und zuverlässig.
Dedicated Interconnect
Dedicated Interconnect stellt eine direkte physische Verbindung zwischen Ihrem lokalen Netzwerk und dem Google Cloud-Netzwerk bereit. Diese Art der Verbindung kann kostengünstig sein, wenn Sie eine hohe Bandbreite benötigen. Der Traffic zwischen Google und Ihrem lokalen Rechenzentrum durchläuft nicht das öffentliche Internet. Lokale Komponenten können über private IP-Adressen mit Cloud-Komponenten kommunizieren. Ihre Verbindung zu Google ist sicher und zuverlässig und sogar schneller als eine Verbindung über Partner Interconnect.
Auswirkungen einer vorübergehenden Trennung
Informationen dazu, was passiert, wenn Sie die Verbindung trennen, finden Sie unter Auswirkungen einer temporären Verbindungsunterbrechung zu Google Cloud.
Verbindungstyp auswählen
Weitere Informationen zur Auswahl eines Verbindungstyps finden Sie unter:
Netzwerküberwachung
Unabhängig davon, wie Sie eine grundlegende Verbindung zu Google herstellen, können Sie von den Erkenntnissen profitieren, die Ihnen das Netzwerk-Logging und -Monitoring bieten. Weitere Informationen finden Sie unter Logging und Monitoring für Google Distributed Cloud.
Grundlegende Verbindung optimieren
Sobald Ihre grundlegende Verbindung hergestellt wurde, können Sie Features hinzufügen, die den Zugriff, die Sicherheit und die Sichtbarkeit verbessern. Sie können beispielsweise den privaten Google-Zugriff oder Connect aktivieren.
In der restlichen Anleitung in diesem Thema wird davon ausgegangen, dass Sie für Ihre grundlegende Verbindung zu Google eine der folgenden Optionen verwenden:
Privater Google-Zugriff
Mit dem privaten Google-Zugriff können VMs, die nur private IP-Adressen haben, die IP-Adressen von Google APIs und Google-Diensten erreichen. Dieses Szenario umfasst den Fall, dass Ihre Google Distributed Cloud-Clusterknoten nur private IP-Adressen haben. Sie aktivieren den privaten Google-Zugriff auf der Subnetzebene.
Mit dem privaten Google-Zugriff durchlaufen Anfragen von Ihrem lokalen Rechenzentrum an Google-Dienste nicht das öffentliche Internet, sondern die Cloud Interconnect- oder Cloud VPN-Verbindung.
Verwenden Sie den privaten Google-Zugriff in folgenden Situationen:
Ihre lokalen VMs ohne öffentliche IP-Adressen müssen eine Verbindung zu Google-Diensten wie BigQuery, Pub/Sub oder Container Registry herstellen.
Sie möchten eine Verbindung zu Google-Diensten herstellen, ohne das öffentliche Internet zu durchlaufen.
Eine Liste der Dienste, die den privaten Google-Zugriff von lokalen VMs unterstützen, finden Sie unter Unterstützte Dienste. Informationen zur Verwendung des privaten Google-Zugriffs von lokalen VMs finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.
Dienste, die keinen privaten Google-Zugriff erfordern
Manchmal benötigen Sie privaten Google-Zugriff nicht, um einen Dienst von einer VM aus zu erreichen, die nur eine private IP-Adresse hat. Beispiel:
Sie erstellen eine Cloud SQL-Instanz mit einer öffentlichen IP-Adresse und einer privaten IP-Adresse. Anschließend können Ihre lokalen Komponenten über ihre private IP-Adresse auf die Cloud SQL-Instanz zugreifen. Sie benötigen in diesem Fall keinen privaten Google-Zugriff, da Sie nicht die öffentliche IP-Adresse eines Google-Dienstes erreichen müssen. Dieser Ansatz funktioniert nur, wenn Cloud Router Ihrem lokalen Netzwerk die private IP-Adresse der Cloud SQL-Instanz anbietet.
Sie haben einen Google Distributed Cloud-Cluster in Google Cloud und die Clusterknoten haben private IP-Adressen. Ihre lokalen Komponenten können auf einen NodePort-Dienst oder einen internen Load-Balancer-Dienst im Cloud-Cluster von Google Distributed Cloud zugreifen.
VPC Service Controls
Wenn Sie zusätzlichen Schutz vor der Daten-Exfiltration haben möchten, können Sie VPC Service Controls verwenden. Sie können Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.
Wenn Sie VPC Service Controls verwenden, treten möglicherweise Fehler auf, wenn Sie einige gkectl
-Befehle wie "Validation Category: GCP - [UNKNOWN] GCP
service: [Stackdriver] could not get GCP services"
ausführen. Fügen Sie Ihren Befehlen den Parameter --skip-validation-gcp
hinzu, um diese Fehler zu vermeiden.
Verbinden
Mit Connect können Sie Ihre lokalen Nutzercluster über die Google Cloud Console aufrufen und verwalten.