Private Service Connect

Auf dieser Seite werden Konzepte im Zusammenhang mit Private Service Connect beschrieben. Sie können Private Service Connect für folgende Zwecke verwenden:

  • Sie können eine Verbindung zu einer Cloud SQL-Instanz von mehreren VPC-Netzwerken aus herstellen, die zu verschiedenen Gruppen, Teams, Projekten oder Organisationen gehören.
  • Verbindung zu einer primären Instanz oder einem ihrer Lesereplikate herstellen

Private Service Connect-Endpunkt

Sie können Private Service Connect-Endpunkte verwenden, um privat von Ihren VPC-Netzwerken auf Cloud SQL-Instanzen zuzugreifen. Diese Endpunkte sind interne IP-Adressen, die mit einer Weiterleitungsregel verknüpft sind, die auf einen Dienstanhang einer Cloud SQL-Instanz verweist.

Sie können den Endpunkt entweder automatisch von Cloud SQL erstellen lassen oder manuell erstellen.

So lassen Sie den Endpunkt automatisch von Cloud SQL erstellen:

  1. Erstellen Sie in Ihren VPC-Netzwerken eine Richtlinie für Dienstverbindungen.
  2. Erstellen Sie eine Cloud SQL-Instanz, für die Private Service Connect aktiviert ist, und konfigurieren Sie die Instanz so, dass automatisch ein Endpunkt erstellt wird. Geben Sie beim Erstellen der Instanz Parameter für die automatische Verbindung an, z. B. VPC-Netzwerke und Projekte.

    Cloud SQL sucht in diesen Netzwerken nach der Richtlinie für die Dienstverbindung und erstellt einen Private Service Connect-Endpunkt, der auf den Dienstanhang der Instanz verweist.

    Nachdem Sie die Instanz erstellt und Cloud SQL den Endpunkt erstellt hat, können die Clients in den entsprechenden VPC-Netzwerken über den Endpunkt eine Verbindung zur Instanz herstellen, entweder über eine IP-Adresse oder einen DNS-Eintrag. Diese Funktion, mit der der Endpunkt automatisch von Cloud SQL erstellt wird, ist im Vorabzugriff verfügbar.

So erstellen Sie den Endpunkt manuell:

  1. Erstellen Sie eine Cloud SQL-Instanz, für die Private Service Connect aktiviert ist.
  2. Rufen Sie den URI des Dienstanhangs ab, den Sie zum manuellen Erstellen des Endpunkts benötigen.
  3. Reservieren Sie eine interne IP-Adresse in Ihrem VPC-Netzwerk für den Endpunkt und erstellen Sie einen Endpunkt mit dieser Adresse.

    Nachdem Sie die Instanz erstellt und Cloud SQL den Endpunkt erstellt hat, können die Clients in den entsprechenden VPC-Netzwerken über den Endpunkt eine Verbindung zur Instanz herstellen, entweder über eine IP-Adresse oder einen DNS-Eintrag.

Richtlinie für Dienstverbindungen

Mit einer Richtlinie für Dienstverbindungen können Sie eine bestimmte Dienstklasse zum Erstellen einer Private Service Connect-Verbindung zwischen VPC-Netzwerken autorisieren. So können Sie Private Service Connect-Endpunkte automatisch bereitstellen. Diese Funktion ist in der Vorabversion verfügbar.

Sie können für jede Dienstklassen-, Regions- und VPC-Netzwerkkombination maximal eine Richtlinie erstellen. Eine Richtlinie legt die Automatisierung der Dienstverbindung für genau diese Kombination fest. Wenn Sie eine Richtlinie konfigurieren, wählen Sie ein Subnetz aus. Das Subnetz wird verwendet, um den Endpunkten IP-Adressen zuzuweisen, die Sie über die Richtlinie erstellen. Wenn mehrere Richtlinien für Dienstverbindungen dieselbe Region verwenden, können Sie dasselbe Subnetz für alle Richtlinien wiederverwenden.

Wenn Sie beispielsweise die Automatisierung der Dienstverbindung für zwei Dienste in drei verschiedenen Regionen verwenden möchten, erstellen Sie sechs Richtlinien. Sie können mindestens drei Subnetze verwenden: eines für jede Region.

Nachdem Sie eine Richtlinie für Dienstverbindungen erstellt haben, können Sie nur die Subnetze und Verbindungslimits der Richtlinie aktualisieren. Wenn Sie andere Felder aktualisieren möchten, gehen Sie so vor:

  1. Entfernen Sie alle Verbindungen, für die die Richtlinie verwendet wird.
  2. Löschen Sie die Richtlinie.
  3. Erstellen Sie eine neue Richtlinie.

Dienstanhang

Wenn Sie eine Cloud SQL-Instanz erstellen und die Instanz für die Verwendung von Private Service Connect konfigurieren, erstellt Cloud SQL automatisch einen Dienstanhang für die Instanz. Ein Dienstanhang ist ein Verknüpfungspunkt, über den VPC-Netzwerke auf die Instanz zugreifen.

Sie erstellen einen Private Service Connect-Endpunkt, über den das VPC-Netzwerk eine Verbindung zum Dienstanhang herstellt. Dadurch kann das Netzwerk auf die Instanz zugreifen.

Jede Cloud SQL-Instanz hat einen Dienstanhang, zu dem der Private Service Connect-Endpunkt über das VPC-Netzwerk eine Verbindung herstellen kann. Wenn mehrere Netzwerke vorhanden sind, hat jedes Netzwerk einen eigenen Endpunkt.

DNS-Namen und -Einträge

Bei Instanzen, auf denen Private Service Connect aktiviert ist, empfehlen wir die Verwendung des DNS-Namens, da verschiedene Netzwerke eine Verbindung zur selben Instanz herstellen können und Private Service Connect-Endpunkte in jedem Netzwerk unterschiedliche IP-Adressen haben können. Außerdem benötigt der Cloud SQL Auth-Proxy DNS-Namen, um eine Verbindung zu diesen Instanzen herzustellen.

Cloud SQL erstellt DNS-Einträge nicht automatisch. Stattdessen wird ein Vorschlag für einen DNS-Namen aus der API-Antwort auf die Instanzsuche erstellt. Wir empfehlen, den DNS-Eintrag in einer privaten DNS-Zone im entsprechenden VPC-Netzwerk zu erstellen. Dies stellt einen konsistenten Ansatz zum Herstellen einer Verbindung aus verschiedenen Netzwerken bereit.

Zulässige Private Service Connect-Projekte

Zulässige Projekte sind Projekte, die mit VPC-Netzwerken verknüpft und für die einzelnen Cloud SQL-Instanzen spezifisch sind. Wenn eine Instanz nicht in einem zulässigen Projekt enthalten ist, können Sie Private Service Connect nicht für die Instanz aktivieren.

Bei diesen Projekten können Sie für jede Instanz Private Service Connect-Endpunkte erstellen. Wenn ein Projekt nicht explizit zugelassen ist, können Sie weiterhin einen Endpunkt für die Instanzen im Projekt erstellen. Der Endpunkt hat jedoch weiterhin den Status PENDING.

Private Service Connect-Endpunktweitergabe

Standardmäßig sind Private Service Connect-Verbindungen nicht transitiv von VPC-Peering-Netzwerken aus. Sie müssen in jedem VPC-Netzwerk, das eine Verbindung zu Ihrer Cloud SQL-Instanz herstellen muss, einen Private Service Connect-Endpunkt erstellen. Wenn Sie beispielsweise drei VPC-Netzwerke haben, die eine Verbindung zu Ihrer Instanz herstellen müssen, müssen Sie drei Private Service Connect-Endpunkte erstellen – einen Endpunkt für jedes VPC-Netzwerk.

Wenn Sie Private Service Connect-Endpunkte jedoch über den Network Connectivity Center-Hub weiterleiten, können diese Endpunkte von jedem anderen Spoke-VPC-Netzwerk im selben Hub erreicht werden. Der Hub bietet ein zentrales Modell zur Verwaltung der Konnektivität, um Spoke-VPC-Netzwerke mit Private Service Connect-Endpunkten zu verbinden.

Die Funktion zur Verbindungsweitergabe im Network Connectivity Center bietet folgende Vorteile für Private Service Connect-Implementierungen:

Sie können ein VPC-Netzwerk für gemeinsame Dienste verwenden, um mehrere Private Service Connect-Endpunkte zu erstellen. Wenn Sie dem Network Connectivity Center-Hub ein einzelnes VPC-Netzwerk für gemeinsame Dienste hinzufügen, sind alle Private Service Connect-Endpunkte im VPC-Netzwerk über den Hub indirekt für andere VPC-Spoke-Netzwerke zugänglich. Dank dieser Konnektivität müssen die einzelnen Private Service Connect-Endpunkte in jedem VPC-Netzwerk nicht einzeln verwaltet werden.

Informationen dazu, wie Sie mit dem Network Connectivity Center-Hub Private Service Connect-Endpunkte an VPC-Spoke-Netzwerke weitergeben, finden Sie im Codelab „Network Connectivity Center – Private Service Connect-Weitergabe“.

Nächste Schritte