Zugriff auf veröffentlichte Dienste über Endpunkte

Dieses Dokument bietet eine Übersicht über das Herstellen einer Verbindung zu Diensten in einem anderen VPC-Netzwerk mithilfe von Private Service Connect-Endpunkten. Sie können eine Verbindung zu Ihren eigenen Diensten oder denen anderer Dienstersteller herstellen, einschließlich Google.

Clients stellen über interne IP-Adressen eine Verbindung zum Endpunkt her. Private Service Connect führt eine Netzwerkadressübersetzung (NAT) durch, um die Anfrage an den Dienst weiterzuleiten.

Weitere Informationen zu veröffentlichten Diensten finden Sie unter Veröffentlichte Dienste.

Mit einem Private Service Connect-Endpunkt können Dienstnutzer Traffic vom VPC-Netzwerk des Nutzers an Dienste im VPC-Netzwerk des Dienstherstellers senden. Verbraucher, Endpunkt und Dienst müssen sich in derselben Region befinden. (Zum Vergrößern klicken)

Features und Kompatibilität

Nein-Symbol weist darauf hin, dass ein Feature nicht unterstützt wird.

Nutzerkonfiguration

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und Funktionen von Endpunkten zusammengefasst, die auf veröffentlichte Dienste zugreifen.

Nutzerkonfiguration (Endpunkt) Ersteller-LoadBalancer
Interner Passthrough-Network Load Balancer Regionaler interner Application Load Balancer Regionaler interner Proxy-Network Load Balancer Interne Protokollweiterleitung (Zielinstanz)
Globaler Nutzerzugriff

Unabhängig von der globalen Zugriffseinstellung auf dem Load-Balancer

Nur wenn globaler Zugriff auf dem Load-Balancer aktiviert ist, bevor der Dienst-Anhang erstellt wird

Nur wenn globaler Zugriff auf dem Load Balancer aktiviert ist, bevor der Dienst-Anhang erstellt wird

Unabhängig von der globalen Zugriffseinstellung auf dem Load Balancer

Interconnect-Traffic
Cloud VPN-Traffic
Automatische DNS-Konfiguration Nur IPv4 Nur IPv4 Nur IPv4 Nur IPv4
IPv4-Endpunkte
  • Weiterleitungsregeln des IPv4-Erstellers
  • Weiterleitungsregeln des IPv4-Erstellers
  • Weiterleitungsregeln des IPv4-Erstellers
  • Weiterleitungsregeln des IPv4-Erstellers

Erstellerkonfiguration

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und Funktionen veröffentlichter Dienste zusammengefasst, auf die Endpunkte zugreifen.

Erstellerkonfiguration (veröffentlichter Dienst) Ersteller-LoadBalancer
Interner Passthrough-Network Load Balancer Regionaler interner Application Load Balancer Regionaler interner Proxy-Network Load Balancer Interne Protokollweiterleitung (Zielinstanz)

Unterstützte Ersteller-Back-Ends
  • Zonale GCE_VM_IP-NEGs
  • Instanzgruppen
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
 Nicht zutreffend
Proxyprotokoll Nur TCP-Traffic Nur TCP-Traffic
Sitzungsaffinitätsmodi NONE (5-Tupel)
CLIENT_IP_PORT_PROTO		 Nicht zutreffend Nicht zutreffend Nicht zutreffend
IP-Version
  • Weiterleitungsregeln des IPv4-Erstellers
  • Weiterleitungsregeln des IPv4-Erstellers
  • Weiterleitungsregeln des IPv4-Erstellers
  • Weiterleitungsregeln des IPv4-Erstellers

Verschiedene Load-Balancer unterstützen unterschiedliche Portkonfigurationen. Einige Load-Balancer unterstützen einen einzelnen Port, andere einen Portbereich und andere alle Ports. Weitere Informationen finden Sie unter Angabe von Ports.

Beschränkungen

Für Endpunkte, die auf einen veröffentlichten Dienst zugreifen, gelten die folgenden Einschränkungen:

  • Sie können keinen Endpunkt im selben VPC-Netzwerk wie der veröffentlichte Dienst erstellen, auf den Sie zugreifen.

  • Endpunkte sind über Peering-VPC-Netzwerke nicht erreichbar.

  • Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.

  • Nicht alle statischen Routen mit Load-Balancern als nächste Hops werden mit Private Service Connect unterstützt. Weitere Informationen finden Sie unter Statische Routen mit Load-Balancern als nächste Hops.

Lokaler Zugriff

Endpunkte, die Sie für den Zugriff auf Google APIs verwenden, können über unterstützte verbundene lokale Hosts aufgerufen werden. Weitere Informationen finden Sie unter Zugriff auf Endpunkte über Hybridnetzwerke.

Spezifikationen

  • Private Service Connect-Endpunkte müssen in derselben Region wie der veröffentlichte Dienst erstellt werden, der das Ziel des Endpunkts ist.
  • Der Endpunkt muss in einem anderen VPC-Netzwerk erstellt werden als das VPC-Netzwerk, das den Zieldienst enthält.
  • Wenn Sie eine freigegebene VPC verwenden, können Sie den Endpunkt entweder im Hostprojekt oder in einem Dienstprojekt erstellen.
  • Auf den Endpunkt kann standardmäßig nur von Clients zugegriffen werden, die sich in derselben Region und demselben VPC-Netzwerk (oder freigegebenen VPC-Netzwerk) wie der Endpunkt befinden. Informationen zum Bereitstellen von Endpunkten in anderen Regionen finden Sie unter Globaler Zugriff.
  • Die IP-Adresse, die Sie dem Endpunkt zuweisen, muss aus einem regulären Subnetz stammen.
  • Wenn Sie einen Endpunkt zum Herstellen einer Verbindung zu einem Dienst erstellen und der Dienst einen DNS-Domainnamen konfiguriert hat, werden automatisch private DNS-Einträge in Ihrem VPC-Netzwerk für den Endpunkt erstellt.
  • Jeder Endpunkt hat eine eigene eindeutige IP-Adresse und optional einen eigenen eindeutigen DNS-Namen.

Verbindungsstatus

Endpunkte, Back-Ends und Dienstanhänge von Private Service Connect haben einen Verbindungsstatus, der den Status ihrer Verbindung beschreibt. Die Nutzer- und Erstellerressourcen, die die beiden Seiten einer Verbindung bilden, haben immer denselben Status. Sie können Verbindungsstatus aufrufen, wenn Sie Endpunktdetails aufrufen, ein Backend beschreiben oder Details zu einem veröffentlichten Dienst ansehen.

In der folgenden Tabelle werden die möglichen Status beschrieben.

Verbindungsstatus Beschreibung
Angenommen Die Private Service Connect-Verbindung wird hergestellt. Die beiden VPC-Netzwerke haben eine Verbindung und funktionieren ordnungsgemäß.
Ausstehend

Die Private Service Connect-Verbindung wird nicht hergestellt und Netzwerk-Traffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine Verbindung kann aus den folgenden Gründen diesen Status haben:

Verbindungen, die aus diesen Gründen blockiert werden, bleiben auf unbestimmte Zeit im Status „Ausstehend“, bis das zugrunde liegende Problem behoben ist.
Abgelehnt

Die Private Service Connect-Verbindung wird nicht hergestellt. Netzwerk-Traffic kann nicht zwischen den beiden Netzwerken übertragen werden. Eine Verbindung kann diesen Status aus den folgenden Gründen haben:
Prüfung erforderlich Es gibt ein Problem auf der Producer-Seite der Verbindung. Einiger Traffic kann möglicherweise zwischen den beiden Netzwerken fließen, aber einige Verbindungen funktionieren möglicherweise nicht. Beispielsweise ist das NAT-Subnetz des Erstellers möglicherweise erschöpft und kann neuen Verbindungen keine IP-Adressen zuweisen.
Beschränkt

Der Dienstanhang wurde gelöscht und die Verbindung zu Private Service Connect wird geschlossen. Netzwerk-Traffic kann nicht zwischen den beiden Netzwerken übertragen werden.

Eine geschlossene Verbindung ist ein Terminalstatus. Wenn Sie die Verbindung wiederherstellen möchten, müssen Sie sowohl den Dienstanhang als auch den Endpunkt oder das Backend neu erstellen.

Globaler Zugriff

Private Service Connect-Endpunkte, die für den Zugriff auf Dienste verwendet werden, sind regionale Ressourcen. Sie können einen Endpunkt jedoch in anderen Regionen verfügbar machen, indem Sie den globalen Zugriff konfigurieren.

Mit dem globalen Zugriff können Ressourcen in jeder Region Traffic an Private Service Connect-Endpunkte senden. Sie können den globalen Zugriff verwenden, um Hochverfügbarkeit für Dienste bereitzustellen, die in mehreren Regionen gehostet werden, oder um Clients den Zugriff auf einen Dienst zu ermöglichen, der sich nicht in derselben Region wie der Client befindet.

Das folgende Diagramm zeigt Clients in verschiedenen Regionen, die auf denselben Endpunkt zugreifen:

  • Der Endpunkt befindet sich in us-west1 und der globale Zugriff ist konfiguriert.

  • Die VM in us-west1 kann Traffic an den Endpunkt senden und der Traffic bleibt innerhalb derselben Region.

  • Die VM in us-east1 und die VM aus dem lokalen Netzwerk können auch den Endpunkt in us-west1 verbinden, obwohl sie sich in verschiedenen Regionen befinden. Die gestrichelten Linien stellen den interregionalen Trafficpfad dar.

    Mit einem Private Service Connect-Endpunkt mit globalem Zugriff können Dienstnutzer Traffic vom VPC-Netzwerk des Nutzers an Dienste im VPC-Netzwerk des Diensterstellers senden. Der Client kann sich in derselben Region oder in einer anderen Region wie der Endpunkt befinden (zum Vergrößern anklicken).

Spezifikationen für den globalen Zugriff

  • Sie können den globalen Zugriff für einen Endpunkt jederzeit aktivieren oder deaktivieren.

    • Das Aktivieren des globalen Zugriffs führt nicht zu einer Unterbrechung des Traffics für vorhandene Verbindungen.
    • Wenn Sie den globalen Zugriff deaktivieren, werden alle Verbindungen aus anderen Regionen als der Region, in der sich der Endpunkt befindet, beendet.

  • Nicht alle Private Service Connect-Dienste unterstützen Endpunkte mit globalem Zugriff. Erkundigen Sie sich bei Ihrem Dienstersteller, ob sein Dienst den globalen Zugriff unterstützt. Weitere Informationen finden Sie unter Unterstützte Konfigurationen.

  • Der globale Zugriff bietet keine einzelne globale IP-Adresse oder keinen einzelnen DNS-Namen für mehrere Endpunkte mit globalem Zugriff.

Freigegebene VPC

Dienstprojektadministratoren können Endpunkte in Dienstprojekten mit freigegebener VPC erstellen, die IP-Adressen aus freigegebenen VPC-Netzwerken verwenden. Die Konfiguration ist dieselbe wie bei einem regulären Endpunkt. Der Endpunkt verwendet jedoch eine IP-Adresse, die in einem freigegebenen Subnetz der freigegebenen VPC reserviert ist.

Die IP‑Adressressource kann im Dienstprojekt oder im Hostprojekt reserviert werden. Die Quelle der IP-Adresse muss ein Subnetz sein, das mit dem Dienstprojekt geteilt wird.

Weitere Informationen finden Sie unter Endpunkt mit einer IP-Adresse aus einem freigegebenen VPC-Netzwerk erstellen.

VPC Service Controls

VPC Service Controls und Private Service Connect sind miteinander kompatibel. Wenn sich das VPC-Netzwerk, in dem der Private Service Connect-Endpunkt bereitgestellt wird, in einem VPC Service Controls-Perimeter befindet, ist der Endpunkt Teil desselben Perimeters. Alle von VPC Service Controls unterstützten Dienste, auf die über den Endpunkt zugegriffen wird, unterliegen den Richtlinien dieses VPC Service Controls-Perimeters.

Wenn Sie einen Endpunkt erstellen, werden zwischen den Nutzer- und Erstellerprojekten API-Aufrufe auf Steuerungsebene ausgeführt, um eine Private Service Connect-Verbindung herzustellen. Das Einrichten einer Private Service Connect-Verbindung zwischen Nutzer- und Herstellerprojekten, die sich nicht im selben VPC Service Controls-Perimeter befinden, erfordert keine explizite Autorisierung mit Richtlinien für ausgehenden Traffic. Die Kommunikation mit von VPC Service Controls unterstützten Diensten über den Endpunkt ist durch den VPC Service Controls-Perimeter geschützt.

Statische Routen mit Load-Balancern als nächste Hops

Statische Routen können so konfiguriert werden, dass sie die Weiterleitungsregel eines internen Passthrough-Network Load Balancers als nächsten Hop (--next-hop-ilb) verwenden. Nicht alle Routen dieses Typs werden mit Private Service Connect unterstützt.

Statische Routen, die --next-hop-ilb verwenden, um den Namen einer internen Weiterleitungsregel für den Passthrough-Network Load Balancer anzugeben, können für das Senden und Empfangen von Traffic an einen Private Service Connect-Endpunkt verwendet werden, wenn die Route und der Endpunkt sich im selben VPC-Netzwerk und in derselben Region befinden.

Die folgenden Routingkonfigurationen werden für Private Service Connect nicht unterstützt:

  • Statische Routen, die --next-hop-ilb verwenden, um die IP-Adresse einer internen Weiterleitungsregel für den Passthrough-Network Load Balancer anzugeben.
  • Statische Routen, die --next-hop-ilb verwenden, um den Namen oder die IP-Adresse einer Private Service Connect-Endpunktweiterleitungsregel anzugeben.

Logging

  • Sie können VPC-Flusslogs in Subnetzen aktivieren, die VMs enthalten, die auf Dienste in einem anderen VPC-Netzwerk über Endpunkte zugreifen. Die Logs zeigen Abläufe zwischen den VMs und dem Endpunkt.

  • Sie können Änderungen am Verbindungsstatus für Endpunkte mithilfe von Audit-Logs aufrufen. Änderungen des Verbindungsstatus für den Endpunkt werden in Systemereignismetadaten für den Ressourcentyp GCE-Weiterleitungsregel erfasst. Sie können nach pscConnectionStatus filtern, um diese Einträge aufzurufen.

    Wenn ein Dienstersteller beispielsweise Verbindungen von Ihrem Projekt zulässt, ändert sich der Verbindungsstatus des Endpunkts von PENDING in ACCEPTED. Diese Änderung wird in den Audit-Logs angezeigt.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Kontingente

Die Anzahl der Endpunkte, die Sie für den Zugriff auf veröffentlichte Dienste erstellen können, wird durch das Kontingent PSC Internal LB Forwarding Rules gesteuert. Weitere Informationen finden Sie unter Kontingente.

Einschränkungen für Organisationsrichtlinien

Ein Administrator für Organisationsrichtlinien kann mit der Einschränkung constraints/compute.disablePrivateServiceConnectCreationForConsumers die Gruppe von Endpunkttypen definieren, für die Nutzer keine Weiterleitungsregeln erstellen können.

Informationen zum Erstellen einer Organisationsrichtlinie, die diese Einschränkung verwendet, finden Sie unter Nutzer daran hindern, Endpunkte nach Verbindungstyp bereitzustellen.

Nächste Schritte