Private Verbindungen für lokale oder andere Cloud-Anbieter

Auf dieser Seite wird beschrieben, wie Sie eine private Verbindung von Integration Connectors zu Ihrem Back-End-Dienst wie MySQL, Postgres und SQL Server einrichten, der in Ihrem lokalen Rechenzentrum oder bei anderen Cloud-Anbietern gehostet wird.

Die folgende Abbildung zeigt die Einrichtung der privaten Netzwerkverbindung von Integration Connectors zu Ihrem Backend-Dienst, der in Ihrem lokalen Netzwerk gehostet wird.

Auf dieser Seite wird davon ausgegangen, dass Sie mit den folgenden Konzepten vertraut sind:

• Endpunktanhänge
• Verwaltete Zonen
• Private Service Connect (PSC)
• Google Cloud Load Balancer

Hinweise

Beachten Sie beim Erstellen eines PSC-Dienstanhangs die folgenden wichtigen Punkte:

• Als Dienstersteller müssen Sie einen PSC-Dienstanhang konfigurieren, mit dem Integration Connectors den Dienst nutzen können. Wenn der Dienstanhang bereit ist, können Sie die Verbindung so konfigurieren, dass der Dienstanhang mithilfe eines Endpunktanhangs genutzt wird.
• Der PSC-Dienstanhang und der Load Balancer müssen sich in verschiedenen Subnetzen innerhalb desselben VPC befinden. Der Dienstanhang muss sich in einem NAT-Subnetz befinden.
• Software, die auf Ihren Back-End-VMs ausgeführt wird, muss sowohl auf Load-Balancing Traffic- und Systemdiagnoseprüfungen, die an jede Weiterleitung gesendet werden IP-Adresse der Regel (die Software muss 0.0.0.0:<port> überwachen) und nicht an eine bestimmte IP-Adresse, die einer Netzwerkschnittstelle zugewiesen ist). Weitere Informationen finden Sie unter Systemdiagnose.
• Konfigurieren Sie die Firewallregeln, um den Trafficfluss zu erleichtern.

  Regeln für eingehenden Traffic

  • Der Traffic aus dem Subnetz des PSC-Dienstanhangs muss das Subnetz des ILB erreichen.
  • Innerhalb des Subnetzes des ILB muss der ILB Traffic an Ihr Backendsystem senden können.
  • Der Systemdiagnosetest muss auf Ihr Back-End-System zugreifen können. Die Google Cloud-Systemdiagnose-Proben haben einen festen IP-Bereich (35.191.0.0/16, 130.211.0.0/22). Daher können diese IPs Traffic an Ihren Back-End-Server senden.

  Regeln für ausgehenden Traffic

  Ausgehender Traffic ist in einem Google Cloud-Projekt standardmäßig aktiviert, sofern nicht speziell Ablehnungsregeln konfiguriert sind.

• Alle Google Cloud-Komponenten wie der PSC-Dienstanhang und der Load-Balancer müssen sich in derselben Region befinden.

• Ihr Backend-System darf nicht für das öffentliche Netzwerk zugänglich sein, da dies ein Sicherheitsrisiko darstellen kann. Achten Sie jedoch darauf, dass Ihr Backend-System Traffic in folgenden Fällen zulässt:

  Proxybasierte/HTTP(S)-Load Balancer (L4-Proxy-ILB, L7-ILB): Alle neuen Anfragen stammen vom Load Balancer. Daher muss Ihr Back-End Anfragen vom Proxy-Subnetz Ihres VPC-Netzwerk. Weitere Informationen finden Sie unter Nur-Proxy-Subnetze für Envoy-basierte Load-Balancer.

Private Verbindung konfigurieren

Führen Sie die folgenden Aufgaben aus, um private Verbindungen zu konfigurieren:

1. Erstellen Sie einen PSC-Dienstanhang.
2. Erstellen Sie einen Endpunktanhang, um den PSC-Dienstanhang zu verwenden.
3. Konfigurieren Sie die Verbindung so, dass der Endpunktanhang verwendet wird.

PSC-Dienstanhang erstellen

Wenn Sie private Verbindungen von Integrations-Connectors herstellen möchten, müssen Sie den Dienst mithilfe eines PSC-Dienstanhangs für Integration Connectors verfügbar machen. Ein Dienstanhang ist immer auf einen Load-Balancer ausgerichtet. Wenn Ihr Dienst also nicht hinter einem Load Balancer ausgeführt wird, muss ein Load Balancer konfiguriert werden.

So erstellen Sie einen PSC-Dienstanhang:

1. Erstellen Sie eine Systemdiagnose und dann einen Load Balancer. Informationen zum Einrichten eines regionalen internen Proxy-Network Load Balancers finden Sie unter Regionalen internen Proxy-Network Load Balancer mit Hybridkonnektivität einrichten.
2. Erstellen Sie einen Dienstanhang in derselben Region wie der Load-Balancer des Dienstes. Informationen zum Erstellen eines Dienstanhangs finden Sie unter Dienst veröffentlichen.

Endpunktanhang erstellen

Endpunktanhang als IP-Adresse

Eine Anleitung zum Erstellen eines Endpunktanhangs als IP-Adresse finden Sie unter Endpunktanhang als IP-Adresse erstellen.

Endpunktanhang als Hostname

In bestimmten Fällen, z. B. bei TLS-fähigen Back-Ends, müssen Sie für das Ziel Folgendes verwenden: statt privater IP-Adressen verwenden, um die TLS-Validierung durchzuführen. Wenn anstelle einer IP-Adresse für das Hostziel ein privates DNS verwendet wird, müssen Sie nicht nur einen Endpunkt-Anhang als IP-Adresse erstellen, sondern auch verwaltete Zonen konfigurieren. Eine Anleitung zum Erstellen eines Endpunkt-Anhangs als Hostnamen finden Sie unter Endpunkt-Anhang als Hostnamen erstellen.

Wenn Sie die Verbindung später für die Verwendung des Endpunktanhangs konfigurieren, können Sie diesen Endpunktanhang auswählen.

Verbindung für die Verwendung des Endpunktanhangs konfigurieren

Nachdem Sie einen Endpunktanhang erstellt haben, verwenden Sie ihn in Ihrer Verbindung. Wenn Sie eine neue Verbindung erstellen oder eine vorhandene Verbindung aktualisieren, wählen Sie im Abschnitt „Ziele“ die Option Endpunktanhang als Zieltyp aus. Wählen Sie dann den von Ihnen erstellten Endpunktanhang aus der Liste Endpunktanhang aus.

Wenn Sie eine verwaltete Zone erstellt haben, wählen Sie Hostadresse als Zieltyp aus und verwenden Sie den A-Eintrag, den Sie beim Erstellen der verwalteten Zone erstellt haben.

Tipps zur Fehlerbehebung

Wenn Sie Probleme mit der privaten Verbindung haben, folgen Sie den in diesem Abschnitt aufgeführten Richtlinien, um häufige Probleme zu vermeiden.

• Prüfen Sie den Verbindungsstatus, um sicherzustellen, dass die Endpunktverknüpfung richtig eingerichtet und die PSC-Verbindung hergestellt ist. Weitere Informationen finden Sie unter Verbindung des Endpunktanhangs prüfen.
• Achten Sie auf die folgende Konfiguration für die Firewallregeln:
  • Traffic vom Subnetz des PSC-Dienstanhangs muss Ihren Back-End-Dienst erreichen.
  • Der Load-Balancer muss Traffic an Ihr Back-End-System senden können. Hybrid-NEGs sind werden nur auf Proxy-Load-Balancern unterstützt. Anfragen von einem Proxy-Load-Balancer stammen vom aus dem Nur-Proxy-Subnetz der Region. Daher müssen Ihre Firewallregeln konfiguriert werden. um Anfragen aus Nur-Proxy-Subnetzbereichen Ihr Back-End zu erreichen.
  • Der Systemdiagnosetest muss auf Ihr Backendsystem zugreifen können. Die Google Cloud-Systemdiagnosen haben einen festen IP-Bereich (35.191.0.0/16, 130.211.0.0/22). Daher müssen diese IP-Adressen den Traffic an Ihren Backend-Server senden dürfen.
• Mit dem Google Cloud-Konnektivitätstest können Sie Lücken in Ihrer Netzwerkkonfiguration erkennen. Weitere Informationen finden Sie unter Konnektivitätstests erstellen und ausführen
• Achten Sie darauf, dass Firewallregeln in lokalen oder anderen Cloud-Umgebungen aktualisiert werden, um Traffic zuzulassen aus dem Nur-Proxy-Subnetz der Google Cloud-Region.