Endpunktanhang erstellen

Zum Konfigurieren privater Verbindungen für die Integration Connectors müssen Sie einen PSC-Anhang (Private Service Connect) erstellen. Für die Verwendung des PSC-Anhangs müssen Sie jedoch auch einen Endpunktanhang erstellen, da Sie den PSC-Anhang nicht direkt verwenden können. Sie können sich den Endpunktanhang als eine Schnittstelle zum PSC-Dienstanhang vorstellen. Nach dem Erstellen können Sie die Details des Endpunktanhangs verwenden, wenn Sie einen Connector für private Verbindungen konfigurieren. Auf dieser Seite wird erläutert, wie Sie einen Endpunktanhang erstellen. Dabei wird davon ausgegangen, dass Sie mit den folgenden Konzepten vertraut sind:

Sie können den Endpunktanhang entweder als IP-Adresse oder als Hostnamen erstellen.

Endpunktanhang als IP-Adresse erstellen
Endpunktanhang als Hostname erstellen

Endpunktanhang als IP-Adresse erstellen

Um einen Endpunktanhang als IP-Adresse zu erstellen, können Sie entweder die Cloud Console oder die Befehlszeile (gcloud) verwenden.

Zum Erstellen eines Endpunktanhangs benötigen Sie die Berechtigung connectors.endpointAttachments.create, die entweder in der IAM-Rolle roles/connectors.admin oder der IAM-Rolle roles/connectors.endpointAttachmentsAdmin verfügbar ist. Informationen zu den verschiedenen IAM-Rollen und den entsprechenden Berechtigungen für Integration Connectors finden Sie unter IAM-Rollen und -Berechtigungen für Integration Connectors.

Console

So erstellen Sie einen Endpunktanhang über die Cloud Console:

Öffnen Sie die Seite Endpunktanhänge für Integration Connectors.
Endpunktanhänge aufrufen
Klicken Sie auf + Erstellen. Die Seite Endpunktanhang erstellen wird geöffnet.
Geben Sie Werte in die folgenden Felder ein:
- Name: Ein Name für den Endpunktanhang. Der Name muss eindeutig sein. Es kann keinen anderen Endpunktanhänge mit demselben Namen geben und Sie können den Namen später nicht mehr ändern. Der Name muss mit einem Kleinbuchstaben beginnen, gefolgt von bis zu 63 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein. Die Mindestlänge beträgt 2 Zeichen.
- ID des Dienstanhangs: Name des PSC-Dienstanhangs, den Sie bereits erstellt haben.
  Hinweis: Sie müssen die Projekt-ID des Dienstverzeichnisses abrufen, das mit Ihrem Google Cloud-Projekt verknüpft ist, und diese Projekt-ID dann in Ihrem Dienstanhang auf die Zulassungsliste setzen.
- Optional: Beschreibung: Geben Sie eine Beschreibung für den Endpunktanhang ein.
- (Optional) Labels: Geben Sie Ressourcenlabels als Schlüssel/Wert-Paare ein. Weitere Informationen zu Labels finden Sie unter Was sind Labels?
Klicken Sie auf Erstellen.

In der Spalte IP-Adresse wird die IP-Adresse des Endpunktanhangs angegeben. Sie müssen diese IP-Adresse verwenden, wenn Sie einen Connector für private Verbindungen konfigurieren.

gcloud

So erstellen Sie einen Endpunktanhang über die Befehlszeile:

Rufen Sie die Ressource für den PSC-Dienstanhang ab:

gcloud compute service-attachments list

Der Befehl gibt die Liste der Dienstanhänge zurück. Beispiel:

NAME       REGION   TARGET_SERVICE                                       CONNECTION_PREFERENCE
demo-sa us-west1 k8s2-tcp-tgysilgj-apps-ingressgateway-fzdhwstg ACCEPT_AUTOMATIC

Sie benötigen diese Informationen zum Dienstanhang in den nachfolgenden Schritten.

Rufen Sie ein Authentifizierungstoken ab, bevor Sie die CreateEndpointAttachment API ausführen:
```
TOKEN="$(gcloud auth print-access-token)"
```
Erstellen Sie den Endpunktanhang mithilfe der CreateEndpointAttachment API. Beispiel:
```
curl -X POST -H "Authorization: Bearer $TOKEN" \
     -H "Content-Type: application/json" \
     -d '{
    "name": "projects/PROJECT_ID/locations/LOCATION/endpointAttachments/ENDPOINT_ATTACHMENT_NAME",
    "serviceAttachment": "projects/demo/serviceAttachments/?SERVICE_ATTACHMENT_NAME"
  }' \
     https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/endpointAttachments?endpointAttachmentId=ENDPOINT_ATTACHMENT_NAME
```
Wobei:
- LOCATION ist die Region des Dienstanhangs. Beispiel: us-west1.
- PROJECT_ID ist das Google Cloud-Projekt, in dem Sie den PSC-Dienstanhang erstellt haben.
- ENDPOINT_ATTACHMENT_NAME ist der Name des Endpunktanhangs. Der Name muss eindeutig sein. Es dürfen keine anderen Endpunktanhänge mit demselben Namen vorhanden sein und Sie können den Namen später nicht mehr ändern. Der Name muss mit einem Kleinbuchstaben beginnen, gefolgt von bis zu 31 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein. Die Mindestlänge beträgt 2 Zeichen.
- SERVICE_ATTACHMENT_NAME ist der Name des Dienstanhangs. Verwenden Sie den Namen des PSC-Dienstkontos, der vom zuvor ausgeführten Befehl gcloud compute service-attachments list zurückgegeben wurde.
Nachdem Sie die API aufgerufen haben, startet Integration Connectors einen lang andauernden Vorgang, der einige Zeit in Anspruch nehmen kann. Der Endpunktanhang wird erstellt, nachdem der Vorgang erfolgreich abgeschlossen wurde.
Rufen Sie die Projekt-ID des Dienstverzeichnisses ab, das Ihrem Google Cloud-Projekt zugeordnet ist, und setzen Sie diese Projekt-ID dann in den Dienstanhang auf die Zulassungsliste.

Prüfen Sie mithilfe der GetEndpointAttachment API, ob der Endpunktanhang erstellt wurde. Beispiel:

curl -X GET -H "Authorization: Bearer $TOKEN" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/us-central1/endpointAttachments/ENDPOINT_ATTACHMENT_NAME

Die API gibt in etwa folgende Antwort zurück:

{
  "name": "projects/demo-project/locations/us-central1/endpointAttachments/demo-ea",
  "createTime": "2023-04-17T04:34:59.569527046Z",
  "updateTime": "2023-04-17T04:37:25.189074195Z",
  "description": "demo endpoint attachment",
  "serviceAttachment": "projects/demo-project/regions/us-central1/serviceAttachments/demo-sa",
  "endpointIp": "10.0.0.0",
  "labels": {"team":"sre"},
}

Die IP-Adresse des Endpunktanhangs ist im Feld endpointIp verfügbar. In dieser Beispielantwort lautet die IP-Adresse 10.0.0.0. Verwenden Sie diese IP-Adresse, wenn Sie einen Connector für private Verbindungen konfigurieren.

Wenn der Endpunktanhang erfolgreich erstellt wurde, wird er auf der Seite Endpunktanhänge aufgeführt, ähnlich wie in der folgenden Abbildung:

Die bisher beschriebenen Schritte zeigen, wie Sie einen Endpunktanhang als IP-Adresse erstellen. Sie können jedoch auch einen Endpunktanhang als Hostname erstellen und den Hostnamen verwenden, um einen Connector für private Verbindungen zu konfigurieren. Informationen zum Erstellen eines Endpunktanhangs mit einem Hostnamen finden Sie unter Endpunktanhang als Hostname erstellen.

Endpunktanhang als Hostname erstellen

Führen Sie die folgenden Aufgaben aus, um einen Endpunktanhang als Hostname zu erstellen:

Erstellen Sie einen Endpunktanhang als IP-Adresse. Weitere Informationen finden Sie unter Endpunktanhang als IP-Adresse erstellen.
Sie können in einem Ihrer Google Cloud-Projekte eine private verwaltete Cloud DNS-Zone erstellen.
In dieser DNS-Zone müssen Sie einen Hostnamen hinzufügen, den Sie für die Connector-Konfiguration verwenden möchten, und den Hostnamen der IP-Adresse des Endpunktanhangs zuordnen, die Sie in Schritt 1 erhalten haben. Informationen zum Erstellen einer privaten verwalteten Cloud DNS-Zone finden Sie unter Private Zone erstellen und Eintrag hinzufügen.
Erstellen Sie in Ihrem Google Cloud-Projekt eine verwaltete Zone von Integration Connectors, die Sie für Integration Connectors verwenden. Die von Integration Connectors verwaltete Zone (Peering-Zone) kommuniziert zur Namensauflösung mit der privaten verwalteten Zone von Cloud DNS, die in Schritt 2 erstellt wurde.

Bevor Sie die verwaltete Zone erstellen, müssen Sie die folgenden Rollen und Berechtigungen gewähren:
- Gewähren Sie dem Nutzer, der die verwaltete Zone von Integration Connectors erstellt, die Berechtigung connectors.managedZones.create.
  Die Berechtigung connectors.managedZones.create ist entweder in der IAM-Rolle roles/connectors.admin oder roles/connectors.managedZonesAdmin verfügbar. Informationen zu den verschiedenen IAM-Rollen und den entsprechenden Berechtigungen für Integration Connectors finden Sie unter IAM-Rollen und -Berechtigungen für Integration Connectors.
- Weisen Sie dem Integration Connectors-Dienstkonto service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com die Rolle role/dns.peer zu.
  Wenn sich das Google Cloud-Projekt von Cloud DNS vom Google Cloud-Projekt von Integration Connectors unterscheidet, weisen Sie dem Integration Connectors-Dienstkonto im Cloud DNS-Google Cloud-Projekt die Rolle roles/dns.peer zu. Angenommen, Sie möchten die verwaltete Zone von Integration Connectors im Google Cloud-Projekt 12345 erstellen und das Cloud DNS befindet sich im Google Cloud-Projekt 67890. In diesem Fall müssen Sie dem Dienstkonto service-12345@gcp-sa-connectors.iam.gserviceaccount.com im Google Cloud-Projekt 67890 die Rolle roles/dns.peer zuweisen.
Zum Erstellen einer verwalteten Zone für Integration Connectors können Sie entweder die Cloud Console oder die Befehlszeile (gcloud) verwenden.
Console

So erstellen Sie über die Cloud Console eine verwaltete Zone für Integration Connectors:
1. Rufen Sie die Seite „Verwaltete Zonen“ für Integration Connectors auf.
  Zu verwalteten Zonen
2. Geben Sie Werte in die folgenden Felder ein:
  1. Name: Ein Name für die verwaltete Zone.
  2. Name des Ziel-DNS: Der Cloud DNS-Name, für den Sie die verwaltete (Peering-)Zone erstellen.
  3. Zielprojekt: Name des Google Cloud-Projekts mit der privaten Cloud DNS-Zone.
  4. Zielnetzwerk: Name des VPC-Netzwerk, in dem die private Cloud DNS-Zone verwaltet wird.
  5. Optional: Beschreibung: Geben Sie eine Beschreibung für den Endpunktanhang ein.
  6. (Optional) Labels: Geben Sie Ressourcenlabels als Schlüssel/Wert-Paare ein. Weitere Informationen zu Labels finden Sie unter Was sind Labels?
3. Klicken Sie auf Erstellen.
gcloud

So erstellen Sie eine verwaltete Zone für Integration Connectors über die Befehlszeile:
1. Rufen Sie ein Authentifizierungstoken ab, bevor Sie die CreateManagedZone API ausführen:
```
TOKEN="$(gcloud auth print-access-token)"
```
2. Erstellen Sie die verwaltete Zone mithilfe der CreateManagedZone API. Beispiel:
```
curl -X POST -H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{
  "description": "DESCRIPTION",
  "dns": "DNS_NAME",
  "target_project": "TARGET_PROJECT",
  "target_vpc": "TARGET_VPC"
}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/managedZones?managedZoneId=MANAGED_ZONE_NAME
```
  Wobei:
  - DESCRIPTION ist eine optionale Beschreibung für die verwaltete Zone.
  - DNS_NAME ist der Cloud DNS-Name, für den Sie die verwaltete (Peering-)Zone erstellen.
  - TARGET_PROJECT ist der Name des Google Cloud-Projekts mit der privaten Cloud DNS-Zone.
  - TARGET_NETWORK ist der Name des VPC-Netzwerk, in dem die private Cloud DNS-Zone verwaltet wird.
  - PROJECT_ID ist Ihr Google Cloud-Projekt, das Sie für Integration Connectors verwenden.
  - MANAGED_ZONE_NAME ist der Name der verwalteten Zone. Der Name muss eindeutig sein. Es darf keine anderen verwalteten Zonen mit demselben Namen geben und Sie können den Namen später nicht mehr ändern. Der Name muss mit einem Kleinbuchstaben beginnen, gefolgt von bis zu 63 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein. Die Mindestlänge beträgt 2 Zeichen.
  Nachdem Sie die API aufgerufen haben, startet Integration Connectors einen Vorgang mit langer Ausführungszeit. Dieser Vorgang kann einige Zeit dauern. Die verwaltete Zone wird erstellt, nachdem der Vorgang erfolgreich abgeschlossen wurde.
3. Prüfen Sie mithilfe der GetManagedZone API, ob die verwaltete Zone erstellt wurde. Beispiel:
```
curl -X GET -H "Authorization: Bearer $TOKEN" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/managedZones/MANAGED_ZONE_NAME
```
  Die API gibt in etwa folgende Antwort zurück:
```
{
  "name": "projects/demo-project/locations/global/managedZones/demo-mz",
  "createTime": "2023-04-17T04:34:59.569527046Z",
  "updateTime": "2023-04-17T04:37:25.189074195Z",
  "description": "demo managed zone",
  "dns": "api.private.service.com.",
  "targetVpc": "target-project-vpc",
  "targetProject": "target-project"
}
```

Wenn die verwaltete Zone erfolgreich erstellt wurde, wird die neu erstellte verwaltete Zone auf der Seite Verwaltete Zonen ähnlich wie in der folgenden Abbildung aufgeführt:

Einrichtung des Endpunktanhangs prüfen

Sie können die Endpunktverbindung prüfen, indem Sie eine Verbindung zu Ihrem Back-End-System herstellen. Wählen Sie beim Erstellen der Verbindung im Abschnitt Destinations den Destination type als Hostname aus und geben Sie dann die entsprechende Endpunkt-IP-Adresse oder den entsprechenden Hostnamen ein. Wenn die Verbindung erfolgreich erstellt wurde, lautet der Status der neu erstellten Verbindung in der Cloud Console auf der Seite „Verbindungen“ Active.