Private Service Connect-Schnittstellen

Diese Seite bietet eine Übersicht über Private Service Connect-Schnittstellen.

Eine Private Service Connect-Schnittstelle ist eine Ressource, mit der das VPC-Netzwerk (Virtual Private Cloud) eines Erstellers Verbindungen zu verschiedenen Zielen in einem Nutzer-VPC-Netzwerk initiieren kann. Ersteller- und Nutzernetzwerke können sich in verschiedenen Projekten und Organisationen befinden.

Wenn Sie eine Private Service Connect-Schnittstelle erstellen, erstellen Sie eine VM-Instanz mit mindestens zwei Netzwerkschnittstellen. Die erste Schnittstelle stellt eine Verbindung zu einem Subnetz in einem Ersteller-VPC-Netzwerk her. Die zweite Schnittstelle ist eine Private Service Connect-Schnittstelle, die eine Verbindung zu einem Netzwerkanhang in einem Nutzernetzwerk anfordert. Wird die Verbindung akzeptiert, weist Google Cloud der Private Service Connect-Schnittstelle eine interne IP-Adresse aus dem Nutzersubnetz zu, das vom Netzwerkanhang angegeben wird.

Mit dieser Verbindung zur Private Service Connect-Schnittstelle können Ersteller- und Nutzerorganisationen ihre VPC-Netzwerke so konfigurieren, dass die beiden Netzwerke verbunden sind und über interne IP-Adressen kommunizieren können. Die Organisation des Diensterstellers kann beispielsweise das VPC-Netzwerk des Diensterstellers aktualisieren, um Routen für Nutzersubnetze hinzuzufügen.

**Abbildung 1.** Vm-1 in einem Ersteller-VPC-Netzwerk hat zwei Netzwerkschnittstellen. Eine Standardnetzwerkschnittstelle stellt eine Verbindung zu einem Subnetz im Netzwerk des Erstellers her, die andere eine Private Service Connect-Schnittstelle, die mit einem Netzwerkanhang in einem Nutzernetzwerk verbunden ist (zum Vergrößern klicken).

Eine Verbindung zwischen einer Private Service Connect-Schnittstelle und einem Netzwerkanhang ähnelt der Verbindung zwischen einer Private Service Connect-Endpunkt und einem Dienstanhang. Allerdings gibt es zwei wichtige Unterschiede:

Mit einer Private Service Connect-Schnittstelle kann ein Ersteller-VPC-Netzwerk Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren (verwalteter ausgehender Dienst-Traffic). Ein Endpunkt funktioniert in umgekehrter Richtung, sodass ein Nutzer-VPC-Netzwerk Verbindungen zu einem Ersteller-VPC-Netzwerk initiieren kann (verwalteter Dienst-Ingress).
Private Service Connect-Schnittstellenverbindungen sind transitiv. Das bedeutet, dass Arbeitslasten in einem Erstellernetzwerk Verbindungen zu anderen Arbeitslasten initiieren können, die mit dem Nutzer-VPC-Netzwerk verbunden sind. Private Service Connect-Endpunkte können nur Verbindungen zum VPC-Netzwerk des Erstellers initiieren.

**Abbildung 2.** Mit Private Service Connect-Endpunkten können Dienstnutzer Verbindungen zu Diensterstellern initiieren, während Private Service Connect-Schnittstellen es Diensterstellern ermöglichen, eine Verbindung zu Dienstnutzern zu initiieren (zum Vergrößern klicken).

Verbindung zu Arbeitslasten in anderen Netzwerken herstellen

Da Private Service Connect-Schnittstellenverbindungen transitiv sind, können Ressourcen in Ersteller-VPC-Netzwerken mit Arbeitslasten kommunizieren, die mit dem Nutzernetzwerk verbunden sind, wenn die Nutzer-VPC-Netzwerkkonfiguration dies zulässt. Der Support umfasst

Arbeitslasten in Netzwerken, die über Cloud VPN-Tunnel, Cloud Interconnect oder VPC Netzwerk-Peering mit dem Nutzer-VPC-Netzwerk verbunden sind.
Arbeitslasten mit externen IP-Adressen, die über Cloud NAT vom VPC-Netzwerk des Kunden aus erreichbar sind.
Google APIs und Google-Dienste, die vom Nutzer-VPC-Netzwerk über den privaten Google-Zugriff oder VPC Service Controls erreichbar sind. Für die Verwendung von VPC Service Controls mit Private Service Connect-Schnittstellen ist eine zusätzliche Konfiguration erforderlich.
Veröffentlichte Dienste und Google APIs, die vom Nutzer-VPC-Netzwerk über Private Service Connect-Endpunkte und -Back-Ends erreichbar sind.
Arbeitslasten in VPC-Spokes, die mit dem VPC-Netzwerk des Nutzers verbunden sind.

**Abbildung 3.** Ein Ersteller-VPC-Netzwerk, das über eine Private Service Connect-Schnittstelle mit einem Nutzer-VPC-Netzwerk verbunden ist, kann mit Arbeitslasten kommunizieren, die mit der Nutzer-VPC verbunden sind (zum Vergrößern klicken).

Beispielanwendungsfälle

Ein Beispielanwendungsfall für Private Service Connect-Schnittstellen ist ein verwalteter Dienst, der Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren muss, um auf Nutzerdaten zuzugreifen. Der Dienst benötigt möglicherweise auch Zugriff auf Daten oder Dienste, die im lokalen Netzwerk eines Nutzers, über ein VPN, über eine Cloud Interconnect-verbindung oder von einem Drittanbieterdienst verfügbar sind. Eine Verbindung zur Private Service Connect-Schnittstelle erfüllt alle diese Anforderungen.

Ein weiterer Anwendungsfall ist ein verwalteter Dienst, der ein API-Gateway bereitstellt. Wenn der Dienst Aufrufe für verschiedene APIs empfängt, verwendet er Private Service Connect-Schnittstellen, um Verbindungen zu Nutzer-VPC-Netzwerken zu initiieren. Der Gateway-Dienst sendet API-Anfragen an Backend-Ziele, die die Anfragen verarbeiten.

Private Service Connect-Schnittstellen und Private Service Connect-Endpunkte ergänzen sich und können im selben VPC-Netzwerk verwendet werden.

Beispiel: Abbildung 4 beschreibt die Netzwerkkonfiguration eines verwalteten Dienstes, der Analysen bereitstellt. Der Analysedienst kann über eine Private Service Connect-Schnittstelle Verbindungen zum VPC-Netzwerk des Nutzers herstellen. Mit einem Private Service Connect-Endpunkt im Nutzernetzwerk kann der Analysedienst Verbindungen zu einem Datenbankdienst in einem anderen VPC-Netzwerk initiieren. Der Traffic vom Analysedienst zum Datenbankdienst wird durch das Nutzernetzwerk geleitet, sodass der Nutzer den Traffic zwischen den beiden Diensten überwachen und Sicherheit bieten kann.

**Abbildung 4.** Private Service Connect-Schnittstellen und Private Service Connect-Endpunkte ergänzen sich in dieser Beispielkonfiguration. Über die Schnittstelle kann der Analysedienst Verbindungen zum Nutzer-VPC-Netzwerk initiieren. Mit dem Endpunkt kann der Analysedienst Verbindungen vom Nutzer-VPC-Netzwerk zum Datenbankdienst initiieren (zum Vergrößern klicken).

Spezifikationen

Eine Private Service Connect-Schnittstelle ist eine spezielle Art Netzwerkschnittstelle, die eine Verbindung zu einem Netzwerkanhang bereitstellt. Die Spezifikationen für Netzwerkschnittstellen gelten auch für Private Service Connect-Schnittstellen.
Wenn Sie eine VM für Private Service Connect-Schnittstellen erstellen, erstellen Sie mindestens zwei Netzwerkschnittstellen. Die erste Netzwerkschnittstelle ist immer die Standardnetzwerkschnittstelle mit dem Namen nic0. Diese Schnittstelle stellt eine Verbindung zu einem Ersteller-Subnetz her. Die zweite Schnittstelle ist eine Private Service Connect-Schnittstelle, die eine Verbindung zu einem Nutzersubnetz anfordert. Sie können bis zu sieben Private Service Connect-Schnittstellen zu einer einzelnen VM hinzufügen.
Wenn ein Nutzerprojekt eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, wird der Schnittstelle eine interne IPv4-Adresse zugewiesen. Diese Adresse wird aus dem Subnetzwerk übernommen, das vom Netzwerkanhang angegeben wird. Wenn das Subnetz Dual-Stack ist, können Sie der Schnittstelle auch eine interne IPv6-Adresse zuweisen.
Private Service Connect-Schnittstellen unterstützen Alias-IP-Bereiche. Alias-IP-Bereiche müssen aus dem primären IPv4-Adressbereich des Subnetzes der Netzwerkverbindung stammen.
Google Cloud sorgt dafür, dass sich die IP-Adressen, die einer Private Service Connect-Schnittstelle zugewiesen sind, nicht mit den Adressbereichen von Subnetzen überschneiden, die mit den anderen Netzwerkschnittstellen der VM verbunden sind. Wenn nicht genügend Adressen verfügbar sind, schlägt das Erstellen der VM fehl.
Eine Private Service Connect-Schnittstelle kommuniziert auf die gleiche Weise wie eine Netzwerkschnittstelle.
Verbindungen zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle sind bidirektional und transitiv. Arbeitslasten im Ersteller-VPC-Netzwerk können Verbindungen zu Arbeitslasten initiieren, die mit dem Nutzer-VPC-Netzwerk verbunden sind.

Beschränkungen

Eine Private Service Connect-Schnittstellenverbindung kann nur auf folgende Weise beendet werden:
- Ein Ersteller löscht die VM der Schnittstelle.
- Ein Nutzer löscht ein Projekt, das mit einer Private Service Connect-Schnittstelle verbunden ist. Dadurch wird die VM der Benutzeroberfläche beendet.
- Ein Nutzer deaktiviert die Compute Engine API in einem Projekt, das mit einer Private Service Connect-Schnittstelle verbunden ist. Dadurch wird die VM der Schnittstelle angehalten.
Achtung: Google empfiehlt, mehrmandantenfähige Architekturen zu vermeiden, in denen mehrere Nutzerprojekte eine Verbindung zur selben VM der Private Service Connect-Schnittstelle herstellen. Wenn ein Nutzer in einer mehrmandantenfähigen Architektur seine Private Service Connect-Schnittstelle beendet, verlieren andere Nutzer, die mit derselben VM verbunden sind, ebenfalls die Verbindung.
Private Service Connect-Schnittstellen unterstützen externe IP-Adressen nicht.
Private Service Connect-Schnittstellen können nicht der nächste Hop einer internen Weiterleitungsregel sein.
Sie können Private Service Connect-Schnittstellen nicht direkt mit GKE-Knoten oder -Pods (Google Kubernetes Engine) verknüpfen. Ausgehender Dienst-Traffic ist jedoch mit GKE über Private Service Connect-Schnittstellen möglich, die auf Proxy-VMs konfiguriert sind.

Preise

Die Preise für Private Service Connect-Schnittstellen werden auf der Seite der VPC-Preise beschrieben.

Nächste Schritte

Private Service Connect-Schnittstellen erstellen und verwalten.
Schließen Sie das Codelab für verwaltete Private Service Connect-Schnittstellen-Dienste ab.