Zugriff auf private Dienste aktivieren

Als Dienstersteller können Sie Dienstnutzern die Bereitstellung von Ressourcen mit privaten (RFC 1918) oder öffentlichen IP-Adressen ermöglichen. Wenn Dienstnutzer private IP-Adressen verwenden möchten, ist dazu der Zugriff auf private Dienste notwendig. Dienstnutzer können jedoch nur auf private Dienste zugreifen, wenn Ihr verwalteter Dienst diese Option auch anbietet. Für die Bereitstellung privater Verbindungen müssen Sie diese einmalig einrichten.

Für die Einrichtung müssen Sie die Service Networking API und die Mandanteneinheiten verwenden. Ihr Google-Ansprechpartner stellt Ihnen gerne detaillierte Schritt-für-Schritt-Anweisungen bereit.

Überblick

In den folgenden Abschnitten werden die Komponenten und die allgemeine Netzwerktopologie beschrieben, die erforderlich sind, um den Zugriff auf private Dienste für Ihren verwalteten Dienst zu ermöglichen.

Mandanteneinheiten

Wenn ein Dienstnutzer Ihren verwalteten Dienst aktiviert, erstellt der Dienst eine Mandanteneinheit, um eine Beziehung zwischen Ihrer Google Cloud-Organisation und dem Projekt des Dienstnutzers zu formalisieren. Mandanteneinheiten isolieren Ressourcen und Abrechnungskosten zwischen verschiedenen Dienstnutzern.

Für jeden Dienstnutzer stehen Ihnen zwei Mandanteneinheiten zur Verfügung. Eine für Ihren verwalteten Dienst und eine für den Dienst der privaten Zugriffsverwaltung. Der verwaltete Dienst ist der externe Dienst, den Sie den Dienstnutzern anbieten. Der Dienst der privaten Zugriffsverwaltung verwaltet private Verbindungen zu VPC-Netzwerken der Dienstnutzer. Diese Mandanteneinheiten müssen sich in derselben Google Cloud-Organisation wie Ihr verwalteter Dienst befinden.

Dienstnetzwerk

Dienstnetzwerke automatisieren die Einrichtung privater Verbindungen (mit VPC-Netzwerk-Peering) zwischen Ihnen und dem Dienstnutzer. Sie aktivieren und verwenden Dienstnetzwerke in demselben Projekt, in dem Sie den Dienst der privaten Zugriffsverwaltung erstellt haben. Dies ist jedoch nicht das Projekt, das Ihren verwalteten Dienst enthält.

Wenn ein Dienstnutzer eine private Verbindung zu Ihrem verwalteten Dienst aufbaut, erstellt das Dienstnetzwerk ein freigegebenes VPC-Hostprojekt und ein freigegebenes VPC-Netzwerk für Sie. Das Hostprojekt und das Netzwerk werden in Ihrer Organisation in einem vordefinierten Google Cloud-Ordner erstellt. Sie geben diesen Ordnernamen im Rahmen des Einrichtungsprozesses an. Das Projekt und das Netzwerk sind in einer Mandanteneinheit enthalten. Sie sind also isoliert und können nur von einem bestimmten Dienstnutzer verwendet werden.

Nachdem das Dienstnetzwerk das freigegebene VPC-Netzwerk erstellt hat, baut das Dienstnetzwerk automatisch eine VPC-Netzwerk-Peering-Verbindung zwischen dem freigegebenen VPC-Netzwerk und dem vom Dienstnutzer festgelegten VPC-Netzwerk auf.

Dienstnutzer müssen außerdem einen zugewiesenen IP-Adressbereich angeben, wenn sie die private Verbindung herstellen. Durch diese Zuordnung werden IP-Adressen reserviert, die nur von Ihnen als Dienstersteller verwendet werden können. Stellt ein Dienstnutzer beispielsweise eine Ressource bereit, erstellen Sie mithilfe des Dienstnetzwerks Subnetze im freigegebenen VPC-Netzwerk. Für den IP-Adressbereich des Subnetzes wird vom Dienstnetzwerk automatisch ein Bereich aus dem zugewiesenen Bereich ausgewählt. Dieser Prozess verhindert Konflikte zwischen dem freigegebenen VPC-Netzwerk und dem VPC-Netzwerk des Dienstnutzers.

Freigegebene VPC-Dienstprojekte

Die erste Bereitstellung der Ressource eines Dienstnutzers durch Ihren verwalteten Dienst erfolgt in einem freigegebenen VPC-Dienstprojekt, das mit dem Hostprojekt des Dienstnetzwerks verbunden ist. Durch diese Beziehung über eine freigegebene VPC können Ressourcen im Dienstprojekt Subnetze im freigegebenen VPC-Netzwerk verwenden.

Der verwaltete Dienst erstellt das Dienstprojekt in einer Mandanteneinheit und in einem vordefinierten, während der Einrichtung festgelegten Ordner. Der Ordner und die Mandanteneinheit beziehen sich auf Ihren verwalteten Dienst und unterscheiden sich von denen, die das Dienstnetzwerk verwendet.

Netzwerktopologie

Das folgende Beispiel zeigt einen einzelnen Dienstnutzer mit einer privaten Verbindung zu einem einzelnen Dienstersteller. Der Dienstnutzer hat zwei Ressourcen in verschiedenen Regionen bereitgestellt. Da sich jede Ressource in einer anderen Region befindet, unterscheiden sich auch die Subnetze.

Übersicht über Dienstnetzwerke für Dienstersteller (zum Vergrößern klicken)
  • Es gibt zwei Endpoints-Projekte: eines für den verwalteten Dienst und ein weiteres für den Dienst der privaten Zugriffsverwaltung. Diese müssen sich in derselben Google Cloud-Organisation befinden.

  • In der Google Cloud-Organisation gibt es zwei Ordner, einen für jeden Endpoints-Dienst. Der Ordner für den Dienst der privaten Zugriffsverwaltung enthält ein freigegebenes VPC-Hostprojekt für die private Verbindung. Der Ordner für verwaltete Dienste umfasst ein Dienstprojekt für die Ressourcen von Dienstnutzern.

    • Die Projekte für den Dienstnutzer sind in jedem Ordner in Mandanteneinheiten enthalten. Beide Mandanteneinheiten sind mit consumer-project-a verknüpft.
  • Dienstnutzer müssen die private Verbindung initialisieren, die zugleich eine VPC-Netzwerk-Peering-Verbindung ist. Sie müssen für die private Verbindung einen zugewiesenen IP-Adressbereich bereitstellen, aus dem die Subnetz-IP-Adressen stammen. Weitere Informationen zu den Schritten des Dienstnutzers finden Sie unter Zugriff auf private Dienste konfigurieren.

    • Wenn Sie mehrere Dienste anbieten, benötigen Dienstnutzer nur eine einzige private Verbindung. Der gesamte Traffic zum und vom Dienstnutzer erfolgt über das freigegebene VPC-Hostprojekt.
  • Im Projekt eines Dienstnutzers können sich mehrere VPC-Netzwerke privat mit Ihren Diensten verbinden. Dazu ist für jedes verbundene VPC-Netzwerk ein freigegebenes VPC-Hostprojekt erforderlich. Alle diese Projekte können jedoch in derselben consumer-project-a-Mandanteneinheit enthalten sein.

  • Im Hostprojekt müssen Sie Firewallregeln und -routen für die Verbindung zu neuen Ressourcen konfigurieren. Da die Nutzung desselben freigegebenen VPC-Netzwerks auch für andere Dienste möglich ist, können diese Regeln die Verbindung zwischen den verschiedenen Diensten zulassen oder verbieten.

Einrichtungsprozess

Die folgende Liste gibt einen allgemeinen Überblick über den Einrichtungsprozess. Dieser Vorgang ist für jeden verwalteten Dienst mit einer privaten Verbindung notwendig. Wenden Sie sich an Ihren Google-Ansprechpartner, um weitere Informationen zu erhalten.

  1. Erstellen Sie einen Peering-Verwaltungsdienst.

    Dies ist ein verwalteter Dienst, den ein Dienstersteller über die Service Management und Endpoints API erstellt. Weitere Informationen erhalten Sie von Ihrem Google-Ansprechpartner.

  2. Teilen Sie Ihrem Google-Ansprechpartner die folgenden Informationen zur Konfiguration mit:

    • Den minimal erforderlichen IP-Adressbereich, den Dienstnutzer zuweisen müssen, wenn sie eine Verbindung zu Ihnen erstellen. Dazu wird die IPv4-Präfixlänge angegeben. Wenn Sie mehrere Dienste anbieten, möchten Sie möglicherweise, dass Nutzer einen größeren IP-Adressbereich zuweisen, z. B. /16.
    • Die Ordner-ID, in der Ihr Dienst der privaten Zugriffsverwaltung freigegebene VPC-Hostprojekte erstellt. Die Ordner-ID können Sie mithilfe von Resource Manager ermitteln.
    • Das Rechnungskonto, das der Organisation zugeordnet ist, in der Ihr Dienst der privaten Zugriffsverwaltung freigegebene VPC-Hostprojekte erstellt.
    • Die Mitglieder (normalerweise Dienstkonto-IDs), die die Netzwerk-Firewallregeln des Hostprojekts verwalten.
  3. Aktivieren Sie die Compute Engine API.

    Aktivieren Sie für jedes freigegebene VPC-Hostprojekt die compute.googleapis.com-API, die Sie über die Service Usage APIs oder in der Projektkonfiguration vornehmen können.

    Konfigurieren Sie nach der Bereitstellung der Ressourcen die Firewallregeln für das freigegebene VPC-Netzwerk im Hostprojekt. Sie müssen die Identität verwenden, die Sie während des Einrichtungsprozesses angegeben haben, um auf das VPC-Netzwerk zuzugreifen. Wenn Sie andere Dienste anbieten, verwenden diese möglicherweise dasselbe VPC-Netzwerk. Erstellen Sie keine Regeln, die unbeabsichtigt Traffic zu anderen Diensten zulassen oder ablehnen.

  4. Informieren Sie die Dienstnutzer.

    Informieren Sie die Dienstnutzer darüber, dass sie eine private Verbindung herstellen müssen. Weitere Informationen finden Sie unter Zugriff auf private Dienste konfigurieren. Die Dienstnutzer müssen die folgenden Informationen angeben:

    • Den Namen ihres Projekts und des Netzwerks, in dem private Verbindungen hergestellt werden sollen.
    • Die Cloud-Region, in der die Ressource bereitgestellt werden muss.

Weitere Informationen