Zugriff auf veröffentlichte Dienste über Endpunkte

Dieses Dokument bietet eine Übersicht über das Herstellen einer Verbindung zu Diensten in einem anderen VPC-Netzwerk mithilfe von Private Service Connect-Endpunkten. Sie können eine Verbindung zu Ihren eigenen Diensten oder denen anderer Dienstersteller herstellen, einschließlich Google.

Clients stellen über interne IP-Adressen eine Verbindung zum Endpunkt her. Private Service Connect führt eine Netzwerkadressübersetzung (NAT) durch, um die Anfrage an den Dienst weiterzuleiten.

Weitere Informationen zu veröffentlichten Diensten finden Sie unter Veröffentlichte Dienste.

Mit einem Private Service Connect-Endpunkt können Dienstnutzer Traffic vom VPC-Netzwerk des Nutzers senden zu Diensten im VPC-Netzwerk des Diensterstellers. Nutzer, Endpunkt und Dienst müssen sich alle in derselben Region befinden. (Zum Vergrößern klicken)

Features und Kompatibilität

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und Funktionen von Endpunkten zusammengefasst, die auf veröffentlichte Dienste zugreifen.

In den folgenden Tabellen weist ein Häkchen darauf hin, dass ein Feature unterstützt wird, und ein Nein-Symbol weist darauf hin, dass ein Feature nicht unterstützt wird.

Nutzerkonfiguration (Endpunkt)	Ersteller-LoadBalancer
Nutzerkonfiguration (Endpunkt)	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer	Interne Protokollweiterleitung (Zielinstanz)
Globaler Nutzerzugriff	Unabhängig von der globalen Zugriffseinstellung auf dem Load-Balancer	Nur wenn globaler Zugriff auf dem Load-Balancer aktiviert ist	Nur wenn globaler Zugriff auf dem Load-Balancer aktiviert ist	Unabhängig von der globalen Zugriffseinstellung auf dem Load Balancer
Interconnect-Traffic
Cloud VPN-Traffic
Automatische DNS-Konfiguration
IP-Stack	IPv4	IPv4	IPv4	IPv4

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und Funktionen veröffentlichter Dienste zusammengefasst, auf die Endpunkte zugreifen.

Erstellerkonfiguration (veröffentlichter Dienst)	Ersteller-LoadBalancer
Erstellerkonfiguration (veröffentlichter Dienst)	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer	Interne Protokollweiterleitung (Zielinstanz)
Unterstützte Ersteller-Back-Ends	GCE_VM_IP-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen	Nicht zutreffend
Proxyprotokoll	Nur TCP-Traffic			Nur TCP-Traffic
Sitzungsaffinitätsmodi	NONE (5-Tupel) CLIENT_IP_PORT_PROTO	Nicht zutreffend	Nicht zutreffend	Nicht zutreffend

Verschiedene Load-Balancer unterstützen unterschiedliche Portkonfigurationen. Einige Load-Balancer unterstützen einen einzelnen Port, andere einen Portbereich und andere alle Ports. Weitere Informationen finden Sie unter Angabe von Ports.

Beschränkungen

Endpunkte, die auf einen veröffentlichten Dienst zugreifen, unterliegen den folgenden Einschränkungen:

Sie können keinen Endpunkt im selben VPC-Netzwerk wie der veröffentlichte Dienst erstellen, auf den Sie zugreifen.
Endpunkte sind über Peering-VPC-Netzwerke nicht erreichbar.
Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.
Nicht alle statischen Routen mit Load-Balancern als nächste Hops werden mit Private Service Connect unterstützt. Weitere Informationen finden Sie unter Statische Routen mit Load-Balancern als nächste Hops.

Lokaler Zugriff

Endpunkte, die Sie für den Zugriff auf Google APIs verwenden, können über unterstützte verbundene lokale Hosts aufgerufen werden. Weitere Informationen finden Sie unter Zugriff auf Endpunkte über Hybridnetzwerke.

Spezifikationen

Private Service Connect-Endpunkte müssen in derselben Region erstellt werden wie der veröffentlichte Dienst, der das Ziel des Endpunkts ist.
Der Endpunkt muss in einem anderen VPC-Netzwerk erstellt werden als das VPC-Netzwerk, das den Zieldienst enthält.
Auf den Endpunkt kann standardmäßig nur von Clients zugegriffen werden, die sich in derselben Region und demselben VPC-Netzwerk wie der Endpunkt befinden. Informationen dazu, wie Sie Endpunkte in anderen Regionen verfügbar machen, finden Sie unter Globaler Zugriff.
Die IP-Adresse, die Sie dem Endpunkt zuweisen, muss aus einem regulären Subnetz stammen.
Wenn Sie einen Endpunkt zum Herstellen einer Verbindung zu einem Dienst erstellen und der Dienst einen DNS-Domainnamen konfiguriert hat, werden in Ihrem VPC-Netzwerk für den Endpunkt automatisch private DNS-Einträge erstellt.
Jeder Endpunkt hat eine eigene eindeutige IP-Adresse und optional einen eigenen eindeutigen DNS-Namen.

Verbindungsstatus

Endpunkte, Back-Ends und Dienstanhänge von Private Service Connect haben einen Verbindungsstatus, der den Status ihrer Verbindung beschreibt. Die Nutzer- und Erstellerressourcen, die die beiden Seiten einer Verbindung bilden, haben immer denselben Status. Sie können Verbindungsstatus aufrufen, wenn Sie Endpunktdetails aufrufen, ein Backend beschreiben oder Details zu einem veröffentlichten Dienst ansehen.

In der folgenden Tabelle werden die möglichen Status beschrieben.

Verbindungsstatus	Beschreibung
Angenommen	Die Private Service Connect-Verbindung wird hergestellt. Die beiden VPC-Netzwerke haben eine Verbindung und funktionieren ordnungsgemäß.
Ausstehend	Die Private Service Connect-Verbindung wird nicht hergestellt und Netzwerk-Traffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine Verbindung kann diesen Status aus folgenden Gründen haben: Der Dienstanhang erfordert eine explizite Genehmigung und der Nutzer ist nicht in der Annahmeliste für Nutzer enthalten. Die Anzahl der Verbindungen überschreitet das Verbindungslimit des Dienstanhangs. Verbindungen, die aus diesen Gründen blockiert werden, bleiben auf unbestimmte Zeit im Status „Ausstehend“, bis das zugrunde liegende Problem behoben ist.
Abgelehnt	Die Private Service Connect-Verbindung wird nicht hergestellt. Der Netzwerktraffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine Verbindung kann diesen Status aus folgenden Gründen haben: Die Organisationsrichtlinie eines Erstellers hat die Verbindung abgelehnt. Eine Ablehnungsliste für Nutzer hat die Verbindung abgelehnt.
Prüfung erforderlich	Es gibt ein Problem auf der Producer-Seite der Verbindung. Einiger Traffic kann möglicherweise zwischen den beiden Netzwerken fließen, aber einige Verbindungen funktionieren möglicherweise nicht. Beispielsweise ist das NAT-Subnetz des Erstellers möglicherweise erschöpft und kann neuen Verbindungen keine IP-Adressen zuweisen.
Beschränkt	Der Dienstanhang wurde gelöscht und die Private Service Connect-Verbindung wird geschlossen. Der Netzwerktraffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine geschlossene Verbindung ist ein Terminalstatus. Wenn Sie die Verbindung wiederherstellen möchten, müssen Sie sowohl den Dienstanhang als auch den Endpunkt oder das Backend neu erstellen.

Globaler Zugriff

Private Service Connect-Endpunkte, die für den Zugriff auf Dienste verwendet werden, sind regionale Ressourcen. Sie können einen Endpunkt jedoch in anderen Regionen verfügbar machen, indem Sie den globalen Zugriff konfigurieren.

Mit globalem Zugriff können Ressourcen in jeder Region Traffic an Private Service Connect-Endpunkte senden. Sie können globalen Zugriff verwenden, um Hochverfügbarkeit für Dienste bereitzustellen, die in mehreren Regionen gehostet werden, oder um Clients den Zugriff auf einen Dienst zu ermöglichen, der sich nicht in derselben Region wie der Client befindet.

Das folgende Diagramm veranschaulicht Clients in verschiedenen Regionen, die auf denselben Endpunkt zugreifen:

Der Endpunkt befindet sich in us-west1 und hat den globalen Zugriff konfiguriert.
Die VM in us-west1 kann Traffic an den Endpunkt senden und der Traffic bleibt innerhalb derselben Region.
Die VM in us-east1 und die VM aus dem lokalen Netzwerk können auch den Endpunkt in us-west1 verbinden, obwohl sie sich in verschiedenen Regionen befinden. Die gepunkteten Linien stellen den interregionalen Trafficpfad dar.

Abbildung 2. Mit einem Private Service Connect-Endpunkt mit globalem Zugriff können Dienstnutzer Traffic vom VPC-Netzwerk des Nutzers an Dienste im VPC-Netzwerk des Diensterstellers senden. Der Client kann sich in derselben Region oder in einer anderen Region wie der Endpunkt befinden (zum Vergrößern klicken).

Spezifikationen für globalen Zugriff

Sie können den globalen Zugriff für einen Endpunkt jederzeit aktivieren oder deaktivieren.
- Das Aktivieren des globalen Zugriffs führt nicht zu einer Unterbrechung des Traffics für vorhandene Verbindungen.
- Durch das Deaktivieren des globalen Zugriffs werden alle Verbindungen aus anderen Regionen als der Region beendet, in der sich der Endpunkt befindet.
Endpunkte mit globalem Zugriff können in einem freigegebenen VPC-Hostprojekt oder Dienstprojekt erstellt werden. Die Client-VM, der Cloud VPN-Tunnel oder der VLAN-Anhang für Cloud Interconnect müssen sich nicht im selben Projekt wie der Endpunkt befinden.
Nicht alle Private Service Connect-Dienste unterstützen Endpunkte mit globalem Zugriff. Erkundigen Sie sich bei Ihrem Dienstersteller, ob sein Dienst globalen Zugriff unterstützt. Weitere Informationen finden Sie unter Unterstützte Konfigurationen.
Der globale Zugriff bietet keine einzelne globale IP-Adresse oder einen DNS-Namen für mehrere globale Zugriffsendpunkte.

Freigegebene VPC

Dienstprojektadministratoren können Endpunkte in freigegebenen VPC-Dienstprojekten erstellen, die IP-Adressen aus freigegebenen VPC-Netzwerken verwenden. Die Konfiguration ist mit der eines regulären Endpunkts identisch, aber der Endpunkt verwendet eine IP-Adresse, die aus einem freigegebenen Subnetz der freigegebenen VPC reserviert ist.

Die IP-Adressressource kann im Dienstprojekt oder im Hostprojekt reserviert werden. Die Quelle der IP-Adresse muss ein Subnetz sein, das für das Dienstprojekt freigegeben ist.

Weitere Informationen finden Sie unter Endpunkt mit einer IP-Adresse aus einem freigegebenen VPC-Netzwerk erstellen.

VPC Service Controls

VPC Service Controls und Private Service Connect sind miteinander kompatibel. Wenn sich das VPC-Netzwerk, in dem der Private Service Connect-Endpunkt bereitgestellt wird, in einem VPC Service Controls-Perimeter befindet, ist der Endpunkt Teil desselben Perimeters. Alle von VPC Service Controls unterstützten Dienste, auf die über den Endpunkt zugegriffen wird, unterliegen den Richtlinien dieses VPC Service Controls-Perimeters.

Wenn Sie einen Endpunkt erstellen, werden zwischen den Nutzer- und Erstellerprojekten API-Aufrufe auf Steuerungsebene ausgeführt, um eine Private Service Connect-Verbindung herzustellen. Das Einrichten einer Private Service Connect-Verbindung zwischen Nutzer- und Herstellerprojekten, die sich nicht im selben VPC Service Controls-Perimeter befinden, erfordert keine explizite Autorisierung mit Richtlinien für ausgehenden Traffic. Die Kommunikation mit von VPC Service Controls unterstützten Diensten über den Endpunkt ist durch den VPC Service Controls-Perimeter geschützt.

Statische Routen mit Load-Balancern als nächste Hops

Statische Routen können so konfiguriert werden, dass sie die Weiterleitungsregel eines internen Passthrough-Network Load Balancers als nächsten Hop (--next-hop-ilb) verwenden. Nicht alle Routen dieses Typs werden mit Private Service Connect unterstützt.

Statische Routen, die --next-hop-ilb verwenden, um den Namen einer internen Weiterleitungsregel für den Passthrough-Network Load Balancer anzugeben, können für das Senden und Empfangen von Traffic an einen Private Service Connect-Endpunkt verwendet werden, wenn die Route und der Endpunkt sich im selben VPC-Netzwerk und in derselben Region befinden.

Die folgenden Routingkonfigurationen werden für Private Service Connect nicht unterstützt:

Statische Routen, die --next-hop-ilb verwenden, um die IP-Adresse einer internen Weiterleitungsregel für den Passthrough-Network Load Balancer anzugeben.
Statische Routen, die --next-hop-ilb verwenden, um den Namen oder die IP-Adresse einer Private Service Connect-Endpunktweiterleitungsregel anzugeben.

Logging

Sie können VPC-Flusslogs in Subnetzen aktivieren, die VMs enthalten, die auf Dienste in einem anderen VPC-Netzwerk über Endpunkte zugreifen. Die Logs zeigen Abläufe zwischen den VMs und dem Endpunkt.
Sie können Änderungen am Verbindungsstatus für Endpunkte mithilfe von Audit-Logs aufrufen. Änderungen des Verbindungsstatus für den Endpunkt werden in Systemereignismetadaten für den Ressourcentyp GCE-Weiterleitungsregel erfasst. Sie können nach pscConnectionStatus filtern, um diese Einträge aufzurufen.

Wenn ein Dienstersteller beispielsweise Verbindungen von Ihrem Projekt zulässt, ändert sich der Verbindungsstatus des Endpunkts von PENDING in ACCEPTED. Diese Änderung wird in den Audit-Logs angezeigt.
- Informationen zum Anzeigen von Audit-Logs finden Sie unter Logs ansehen.
- Informationen zum Festlegen von Benachrichtigungen auf Basis von Audit-Logs finden Sie unter Logbasierte Benachrichtigungen verwalten.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Kontingente

Die Anzahl der Endpunkte, die Sie für den Zugriff auf veröffentlichte Dienste erstellen können, wird durch das Kontingent PSC Internal LB Forwarding Rules gesteuert. Weitere Informationen finden Sie unter Kontingente.

Einschränkungen für Organisationsrichtlinien

Ein Administrator für Organisationsrichtlinien kann mit der Einschränkung constraints/compute.disablePrivateServiceConnectCreationForConsumers die Gruppe von Endpunkttypen definieren, für die Nutzer keine Weiterleitungsregeln erstellen können.

Informationen zum Erstellen einer Organisationsrichtlinie, die diese Einschränkung verwendet, finden Sie unter Nutzer daran hindern, Endpunkte nach Verbindungstyp bereitzustellen.

Nächste Schritte