Diese Seite wurde von der Cloud Translation API übersetzt.

Endpunktanhang erstellen

Zum Konfigurieren einer privaten Verbindung für die Integration Connectors müssen Sie einen PSC-Anhang (Private Service Connect) erstellen. Wenn Sie den PSC-Anhang verwenden möchten, müssen Sie jedoch auch einen Endpunktanhang erstellen, da Sie den PSC-Anhang nicht direkt verwenden können. Sie können sich den Endpunktanhang als eine Schnittstelle zum PSC-Dienstanhang vorstellen. Nach dem Erstellen können Sie die Details des Endpunktanhangs verwenden, um einen Connector für private Verbindungen zu konfigurieren. Auf dieser Seite wird erläutert, wie Sie einen Endpunktanhang erstellen. Dabei wird davon ausgegangen, dass Sie mit den folgenden Konzepten vertraut sind:

Sie können den Endpunktanhang entweder als IP-Adresse oder als Hostname erstellen.

Endpunktanhang als IP-Adresse erstellen
Endpunktanhang als Hostnamen erstellen

Endpunktanhang als IP-Adresse erstellen

Zum Erstellen eines Endpunktanhangs als IP-Adresse können Sie entweder die Cloud Console oder die Befehlszeile (gcloud) verwenden.

Zum Erstellen eines Endpunktanhangs benötigen Sie die Berechtigung connectors.endpointAttachments.create, die entweder in der IAM-Rolle roles/connectors.admin oder der IAM-Rolle roles/connectors.endpointAttachmentsAdmin verfügbar ist. Informationen zu den verschiedenen IAM-Rollen und den zugehörigen Berechtigungen, die für Integration Connectors verfügbar sind, finden Sie unter IAM-Rollen und -Berechtigungen für Integration Connectors.

Console

So erstellen Sie einen Endpunktanhang über die Cloud Console:

Öffnen Sie die Seite Endpunktanhänge für Integration Connectors.
Zu Endpunktanhängen
Klicken Sie auf + Erstellen. Die Seite Endpunktanhang erstellen wird geöffnet.
Geben Sie Werte für die folgenden Felder ein:
- Name: Ein Name für den Endpunktanhang. Der Name muss eindeutig sein. Es darf keine anderen Endpunktanhänge mit demselben Namen geben. Sie können den Namen auch später nicht mehr ändern. Der Name muss mit einem Kleinbuchstaben beginnen, gefolgt von bis zu 63 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein. Die Mindestlänge beträgt 2 Zeichen.
- Dienstanhangs-ID: Name des PSC-Dienstanhangs, den Sie bereits erstellt haben.
  Hinweis: Sie müssen die Projekt-ID des Dienstverzeichnisses abrufen, das mit Ihrem Google Cloud-Projekt verknüpft ist, und diese Projekt-ID dann in Ihrem Dienstanhang auf die Zulassungsliste setzen.
- Optional: Beschreibung: Geben Sie eine Beschreibung für den Endpunktanhang ein.
- Optional: Labels: Geben Sie Ressourcenlabels als Schlüssel/Wert-Paare ein. Weitere Informationen zu Labels finden Sie unter Was sind Labels?
- (Optional) Globalen Endpunktzugriff aktivieren: Wählen Sie diese Option aus, wenn Sie Traffic von einer Verbindung in einer beliebigen Region an Ihr Back-End senden möchten.
  Standardmäßig erfordert der Endpunktanhang, dass sich die Verbindung und das Back-End in derselben Region befinden müssen. Wenn Sie also den globalen Zugriff für den Endpunkt aktivieren, kann eine in einer beliebigen Region vorhandene Verbindung Traffic an Ihr Back-End senden.
  Hinweis:
  - Das Aktivieren dieser Option wirkt sich nicht auf die DRZ-Compliance aus und die verwaltete Zone bleibt regional.
  - Damit diese Option funktioniert, muss der globale Zugriff für den Load-Balancer aktiviert sein. Wenn Sie dagegen einen internen Passthrough-Load-Balancer verwenden, müssen Sie den globalen Zugriff nicht explizit aktivieren, da er standardmäßig aktiviert ist. Weitere Informationen finden Sie unter Globalen Zugriff aktivieren und Features und Kompatibilität.
Klicken Sie auf Erstellen.

In der Spalte IP-Adresse ist die IP-Adresse des Endpunktanhangs angegeben. Sie müssen diese IP-Adresse verwenden, wenn Sie einen Connector für private Verbindungen konfigurieren.

gcloud

So erstellen Sie einen Endpunktanhang über die Befehlszeile:

Rufen Sie die Ressource des PSC-Dienstanhangs ab:

gcloud compute service-attachments list

Der Befehl gibt die Liste der Dienstanhänge zurück. Beispiel:

NAME       REGION   TARGET_SERVICE                                       CONNECTION_PREFERENCE
demo-sa us-west1 k8s2-tcp-tgysilgj-apps-ingressgateway-fzdhwstg ACCEPT_AUTOMATIC

Sie benötigen diese Informationen zum Dienstanhang in den nachfolgenden Schritten.

Rufen Sie ein Authentifizierungstoken ab, bevor Sie die CreateEndpointAttachment API ausführen:
```
TOKEN="$(gcloud auth print-access-token)"
```
Erstellen Sie den Endpunktanhang mithilfe der CreateEndpointAttachment API. Beispiel:
```
curl -X POST -H "Authorization: Bearer $TOKEN" \
     -H "Content-Type: application/json" \
     -d '{
    "name": "projects/PROJECT_ID/locations/LOCATION/endpointAttachments/ENDPOINT_ATTACHMENT_NAME",
    "serviceAttachment": "projects/demo/serviceAttachments/?SERVICE_ATTACHMENT_NAME"
  }' \
     https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/endpointAttachments?endpointAttachmentId=ENDPOINT_ATTACHMENT_NAME
```
Wobei:
- LOCATION ist die Region des Dienstanhangs. Beispiel: us-west1.
- PROJECT_ID ist das Google Cloud-Projekt, in dem Sie den PSC-Dienstanhang erstellt haben.
- ENDPOINT_ATTACHMENT_NAME ist der Name des Endpunktanhangs. Der Name muss eindeutig sein. Es dürfen keine anderen Endpunktanhänge mit demselben Namen vorhanden sein und Sie können den Namen später nicht mehr ändern. Der Name muss mit einem Kleinbuchstaben beginnen, gefolgt von bis zu 31 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein. Die Mindestlänge beträgt 2 Zeichen.
- SERVICE_ATTACHMENT_NAME ist der Name des Dienstanhangs. Verwenden Sie den Namen des PSC-Dienstkontos, der vom zuvor ausgeführten Befehl gcloud compute service-attachments list zurückgegeben wurde.
Nachdem Sie die API aufgerufen haben, startet Integration Connectors einen Vorgang mit langer Ausführungszeit, der einige Zeit in Anspruch nehmen kann. Der Endpunktanhang wird erstellt, nachdem der Vorgang erfolgreich abgeschlossen wurde.
Rufen Sie die Projekt-ID des Dienstverzeichnisses ab, das mit Ihrem Google Cloud-Projekt verknüpft ist, und setzen Sie diese Projekt-ID dann auf die Zulassungsliste im Dienstanhang.

Prüfen Sie mit der GetEndpointAttachment API, ob der Endpunktanhang erstellt wurde. For example:

curl -X GET -H "Authorization: Bearer $TOKEN" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/us-central1/endpointAttachments/ENDPOINT_ATTACHMENT_NAME

Die API gibt in etwa folgende Antwort zurück:

{
  "name": "projects/demo-project/locations/us-central1/endpointAttachments/demo-ea",
  "createTime": "2023-04-17T04:34:59.569527046Z",
  "updateTime": "2023-04-17T04:37:25.189074195Z",
  "description": "demo endpoint attachment",
  "serviceAttachment": "projects/demo-project/regions/us-central1/serviceAttachments/demo-sa",
  "endpointIp": "10.0.0.0",
  "labels": {"team":"sre"},
}

Die IP-Adresse des Endpunktanhangs ist im Feld endpointIp verfügbar. In dieser Beispielantwort lautet die IP-Adresse 10.0.0.0. Verwenden Sie diese IP-Adresse, wenn Sie einen Connector für private Verbindungen konfigurieren.

Wenn der Endpunktanhang erfolgreich erstellt wurde, wird der neu erstellte Anhang auf der Seite Endpunktanhänge aufgelistet, ähnlich wie in der folgenden Abbildung:

Die bisher beschriebenen Schritte zeigen, wie ein Endpunktanhang als IP-Adresse erstellt wird. Sie können jedoch auch einen Endpunktanhang als Hostnamen erstellen und den Hostnamen verwenden, um einen Connector für private Verbindungen zu konfigurieren. Informationen zum Erstellen eines Endpunktanhangs mit einem Hostnamen finden Sie unter Endpunktanhang als Hostnamen erstellen.

Endpunktanhang als Hostnamen erstellen

Führen Sie die folgenden Aufgaben aus, um einen Endpunktanhang als Hostnamen zu erstellen:

Erstellen Sie einen Endpunktanhang als IP-Adresse. Weitere Informationen finden Sie unter Endpunktanhang als IP-Adresse erstellen.
Erstellen Sie in einem Ihrer Google Cloud-Projekte eine private verwaltete Cloud DNS-Zone.
In dieser DNS-Zone müssen Sie einen Hostnamen hinzufügen, den Sie für die Connector-Konfiguration verwenden möchten, und den Hostnamen der IP-Adresse des Endpunktanhangs zuordnen, die Sie in Schritt 1 erhalten haben. Informationen zum Erstellen einer privaten verwalteten Cloud DNS-Zone finden Sie unter Private Zone erstellen und Eintrag hinzufügen.
Erstellen Sie in Ihrem Google Cloud-Projekt eine von Integration Connectors verwaltete Zone, die Sie für die Integration Connectors verwenden. Die verwaltete Zone von Integration Connectors (Peering-Zone) kommuniziert zur Namensauflösung mit der in Schritt 2 erstellten privaten verwalteten Cloud DNS-Zone.

Bevor Sie die verwaltete Zone erstellen, müssen Sie die folgenden Rollen und Berechtigungen gewähren:
- Gewähren Sie dem Nutzer, der die verwaltete Zone von Integration Connectors erstellt, die Berechtigung connectors.managedZones.create.
  Die Berechtigung connectors.managedZones.create ist entweder in der IAM-Rolle roles/connectors.admin oder der IAM-Rolle roles/connectors.managedZonesAdmin verfügbar. Informationen zu den verschiedenen IAM-Rollen und den zugehörigen Berechtigungen, die für Integration Connectors verfügbar sind, finden Sie unter IAM-Rollen und -Berechtigungen für Integration Connectors.
- Gewähren Sie dem Integration Connectors-Dienstkonto service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com die Rolle role/dns.peer.
  Wenn sich das Cloud DNS-Google Cloud-Projekt vom Google Cloud-Projekt Integration Connectors unterscheidet, weisen Sie dem Integration Connectors-Dienstkonto im Google Cloud-Projekt von Google Cloud DNS die Rolle roles/dns.peer zu. Angenommen, Sie möchten die verwaltete Zone von Integration Connectors im Google Cloud-Projekt 12345 erstellen und das Cloud DNS befindet sich im Google Cloud-Projekt 67890. In diesem Fall müssen Sie dem Dienstkonto service-12345@gcp-sa-connectors.iam.gserviceaccount.com im Google Cloud-Projekt 67890 die Rolle roles/dns.peer zuweisen.
Zum Erstellen einer von Integration Connectors verwalteten Zone können Sie entweder die Cloud Console oder die Befehlszeile (gcloud) verwenden.
Console

So erstellen Sie eine von Integration Connectors verwaltete Zone über die Cloud Console:
1. Rufen Sie die Seite „Verwaltete Zonen“ für Integration Connectors auf.
  Zu „Verwaltete Zonen“
2. Geben Sie Werte für die folgenden Felder ein:
  1. Name: Ein Name für die verwaltete Zone.
  2. Ziel-DNS-Name: vollständiger Cloud DNS-Name, für den Sie die verwaltete (Peering-)Zone erstellen. Beispiel: server8.stage.user.private.
  3. Zielprojekt: Name des Google Cloud-Projekts, das die private Cloud DNS-Zone enthält.
  4. Zielnetzwerk: Name des VPC-Netzwerk, in dem die private Cloud DNS-Zone verwaltet wird.
  5. Optional: Beschreibung: Geben Sie eine Beschreibung für den Endpunktanhang ein.
  6. Optional: Labels: Geben Sie Ressourcenlabels als Schlüssel/Wert-Paare ein. Weitere Informationen zu Labels finden Sie unter Was sind Labels?
3. Klicken Sie auf Erstellen.
gcloud

So erstellen Sie eine von Integration Connectors verwaltete Zone über die Befehlszeile:
1. Rufen Sie ein Authentifizierungstoken ab, bevor Sie die CreateManagedZone API ausführen:
```
TOKEN="$(gcloud auth print-access-token)"
```
2. Erstellen Sie die verwaltete Zone mithilfe der CreateManagedZone API. Beispiel:
```
curl -X POST -H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{
  "description": "DESCRIPTION",
  "dns": "DNS_NAME",
  "target_project": "TARGET_PROJECT",
  "target_vpc": "TARGET_VPC"
}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/managedZones?managedZoneId=MANAGED_ZONE_NAME
```
  Wobei:
  - DESCRIPTION ist eine optionale Beschreibung für die verwaltete Zone.
  - DNS_NAME: Vollständiger Cloud DNS-Name, für den Sie die verwaltete (Peering-)Zone erstellen. Beispiel: server8.stage.user.private.
  - TARGET_PROJECT ist der Name des Google Cloud-Projekts, das die private Cloud DNS-Zone enthält.
  - TARGET_NETWORK ist der Name des VPC-Netzwerk, in dem die private Cloud DNS-Zone verwaltet wird.
  - PROJECT_ID ist das Google Cloud-Projekt, das Sie für Integration Connectors verwenden.
  - MANAGED_ZONE_NAME ist der Name der verwalteten Zone. Der Name muss eindeutig sein. Es können keine anderen verwalteten Zonen mit demselben Namen vorhanden sein und Sie können den Namen später nicht mehr ändern. Der Name muss mit einem Kleinbuchstaben beginnen, gefolgt von bis zu 63 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein. Die Mindestlänge beträgt 2 Zeichen.
  Nachdem Sie die API aufgerufen haben, startet Integration Connectors einen Vorgang mit langer Ausführungszeit, der einige Zeit in Anspruch nehmen kann. Die verwaltete Zone wird erstellt, nachdem der Vorgang erfolgreich abgeschlossen wurde.
3. Prüfen Sie mit der GetManagedZone API, ob die verwaltete Zone erstellt wurde. For example:
```
curl -X GET -H "Authorization: Bearer $TOKEN" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/managedZones/MANAGED_ZONE_NAME
```
  Die API gibt in etwa folgende Antwort zurück:
```
{
  "name": "projects/demo-project/locations/global/managedZones/demo-mz",
  "createTime": "2023-04-17T04:34:59.569527046Z",
  "updateTime": "2023-04-17T04:37:25.189074195Z",
  "description": "demo managed zone",
  "dns": "api.private.service.com.",
  "targetVpc": "target-project-vpc",
  "targetProject": "target-project"
}
```

Wenn die verwaltete Zone erfolgreich erstellt wurde, wird sie auf der Seite Verwaltete Zonen wie in der folgenden Abbildung aufgeführt:

Einrichtung des Endpunktanhangs prüfen

Sie können die Endpunktverbindung prüfen, indem Sie eine Verbindung zu Ihrem Back-End-System erstellen. Wählen Sie beim Erstellen der Verbindung im Abschnitt Destinations die Destination type als Endpoint attachment und dann den entsprechenden Endpunktanhang aus. Wenn die Verbindung erstellt wurde, lautet der Status der neu erstellten Verbindung auf der Seite „Verbindungen“ in der Cloud Console Active.