Dies ist die Dokumentation für eine frühere Version von Anthos GKE On-Prem. Aktuelle Dokumentation ansehen

Verbindung zu Google herstellen

Es gibt verschiedene Möglichkeiten, um GKE-Lokale Cluster, die in Ihrem lokalen Rechenzentrum ausgeführt werden, mit dem Google-Netzwerk zu verbinden. Zu den Möglichkeiten gehören:

Normale Internetverbindung

In bestimmten Fällen können Sie das Internet als Verbindung zwischen Google und Ihrem lokalen Rechenzentrum nutzen. Beispiel:

  • Ihre GKE On-Prem-Bereitstellung ist in Ihrem Unternehmen eigenständig und Ihre Komponenten vor Ort kommunizieren nur selten mit dem Google-Netzwerk. Sie verwenden die Verbindung hauptsächlich für die Clusterverwaltung. Geschwindigkeit, Zuverlässigkeit und Sicherheit der Verbindung sind nicht entscheidend.

  • Ihr lokaler Cluster ist eigenständig, mit Ausnahme des Zugriffs auf einen Google-Dienst wie Cloud SQL. Der Traffic zwischen Ihrem lokalen Cluster und dem Google-Dienst verwendet öffentliche IP-Adressen. Sie konfigurieren Firewallregeln aus Sicherheitsgründen.

Cloud VPN mit statischen Routen

Mit Cloud VPN durchläuft der Traffic zwischen Google und Ihrem lokalen Rechenzentrum das öffentliche Internet, ist jedoch verschlüsselt. Lokale Komponenten können über private IP-Adressen mit Cloudkomponenten kommunizieren. Bei statischen Routen müssen Sie Routen zwischen Ihren Google Cloud-Netzwerken und Ihrem lokalen Netzwerk manuell konfigurieren. Verwenden Sie Cloud VPN, wenn Sicherheit wichtig ist, die Geschwindigkeit jedoch weniger wichtig ist.

Cloud VPN mit Cloud Router

Mit Cloud VPN und Cloud Router durchquert der Traffic zwischen Google und Ihrem lokalen Rechenzentrum das öffentliche Internet, ist jedoch verschlüsselt. Lokale Komponenten können über private IP-Adressen mit Cloudkomponenten kommunizieren. Cloud Router tauscht Routen dynamisch zwischen Ihren Google Cloud-Netzwerken und Ihrem lokalen Netzwerk aus. Dynamisches Routing ist besonders nützlich, wenn Ihr Netzwerk erweitert und geändert wird, da es sicherstellt, dass der richtige Routing-Status zu Ihrem lokalen Rechenzentrum übertragen wird.

Partner Interconnect

Partner Interconnect stellt über einen unterstützten Dienstanbieter eine Verbindung zwischen Ihrem lokalen Netzwerk und dem Google-Netzwerk her. Der Traffic zwischen Google und Ihrem internen Rechenzentrum verläuft nicht über das öffentliche Internet. Lokale Komponenten können über private IP-Adressen mit Cloudkomponenten kommunizieren. Ihre Verbindung zu Google ist schnell, sicher und zuverlässig.

Dedicated Interconnect

Dedicated Interconnect stellt eine direkte physische Verbindung zwischen Ihrem lokalen Netzwerk und dem Netzwerk von Google bereit. Dies kann bei hohen Bandbreitenanforderungen kostengünstig sein. Der Traffic zwischen Google und Ihrem internen Rechenzentrum verläuft nicht über das öffentliche Internet. Lokale Komponenten können über private IP-Adressen mit Cloudkomponenten kommunizieren. Ihre Verbindung zu Google ist sicher und zuverlässig und sogar schneller als eine Verbindung mit Partner Interconnect.

Auswählen eines Verbindungstyps

Weitere Informationen zur Auswahl eines Verbindungstyps finden Sie unter:

Netzwerküberwachung

Unabhängig davon, wie Sie eine grundlegende Verbindung zu Google herstellen, profitieren Sie von den Erkenntnissen, die Ihnen das Netzwerk-Logging und die Überwachung bietet. Weitere Informationen finden Sie unter Logging und Monitoring für GKE On-Prem.

Optimieren Sie Ihre grundlegende Verbindung

Nachdem Ihre grundlegende Verbindung hergestellt wurde, können Sie Funktionen hinzufügen, die den Zugriff, die Sicherheit und die Sichtbarkeit verbessern. Sie können beispielsweise Privater Google-Zugriff, VPC Service Controls oder Verbinden aktivieren.

In den restlichen Anleitungen in diesem Thema wird davon ausgegangen, dass Sie eine der folgenden Optionen für Ihre grundlegende Verbindung zu Google verwenden:

Privater Google-Zugriff

Mit dem privaten Google-Zugriff können VMs, die nur private IP-Adressen haben, die IP-Adressen von Google APIs und Google-Diensten erreichen. Dies gilt auch, wenn Ihre GKE On-Prem-Clusterknoten nur private IP-Adressen haben. Sie aktivieren den privaten Google-Zugriff auf der Subnetzebene.

Mit privatem Google-Zugriff durchlaufen Anfragen von Ihrem lokalen Rechenzentrum an Google-Dienste Ihre Cloud Interconnect- oder Cloud VPN-Verbindung, anstatt das öffentliche Internet zu durchqueren.

Verwenden Sie den privaten Google-Zugriff in folgenden Situationen:

  • Ihre lokalen VMs ohne öffentliche IP-Adressen müssen eine Verbindung zu Google-Diensten wie BigQuery, Pub/Sub oder Container Registry herstellen.

  • Sie möchten eine Verbindung zu Google-Diensten herstellen, ohne das öffentliche Internet zu durchlaufen.

Eine Liste der Dienste, die Google Private Access von lokalen VMs unterstützen, finden Sie unter Unterstützte Dienste. Informationen zur Verwendung des privaten Google-Zugriffs von lokalen VMs finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Dienste, die keinen privaten Google-Zugriff erfordern

In einigen Fällen benötigen Sie keinen privaten Google-Zugriff, um einen Dienst von einer VM aus zu erreichen, die nur eine private IP-Adresse hat. Beispiel:

  • Sie erstellen eine Cloud SQL-Instanz mit einer öffentlichen IP-Adresse und einer privaten IP-Adresse. Anschließend können Ihre lokalen Komponenten über ihre private IP-Adresse auf die Cloud SQL-Instanz zugreifen. Sie benötigen in diesem Fall keinen privaten Google-Zugriff, da Sie die öffentliche IP-Adresse eines Google-Dienstes nicht erreichen müssen. Dies funktioniert nur, wenn Cloud Router die private IP-Adresse der Cloud SQL-Instanz für Ihr lokales Netzwerk ankündigt.

  • Sie haben einen GKE-Cluster in der Google-Cloud und die Clusterknoten haben private IP-Adressen. Ihre lokalen Komponenten können auf einen NodePort-Dienst oder einen internen Load-Balancing-Dienst im Cloud-GKE-Cluster zugreifen.

VPC Service Controls

Wenn Sie einen zusätzlichen Schutz vor Datenweitergabe wünschen, können Sie VPC Service Controls verwenden. Sie können Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.

Verbinden

Mit Connect können Sie Ihre lokalen Nutzercluster über die Google Cloud Console aufrufen und verwalten.

Nächste Schritte