Private Service Connect-Schnittstellen

Diese Seite bietet eine Übersicht über Private Service Connect-Schnittstellen.

Eine Private Service Connect-Schnittstelle ist eine Ressource, mit der das VPC-Netzwerk (Virtual Private Cloud) eines Erstellers Verbindungen zu verschiedenen Zielen in einem Nutzer-VPC-Netzwerk initiieren kann. Ersteller- und Nutzernetzwerke können sich in verschiedenen Projekten und Organisationen befinden.

Wenn Sie eine Private Service Connect-Schnittstelle erstellen, erstellen Sie eine VM-Instanz mit mindestens zwei Netzwerkschnittstellen. Die erste Schnittstelle stellt eine Verbindung zu einem Subnetz in einem Ersteller-VPC-Netzwerk her. Die zweite Schnittstelle ist eine Private Service Connect-Schnittstelle, die eine Verbindung zu einem Netzwerkanhang in einem Nutzernetzwerk anfordert. Wird die Verbindung akzeptiert, weist Google Cloud der Private Service Connect-Schnittstelle eine interne IP-Adresse aus dem Nutzersubnetz zu, das vom Netzwerkanhang angegeben wird.

Über diese Private Service Connect-Schnittstellenverbindung können Ersteller- und Nutzerorganisationen ihre VPC-Netzwerke so konfigurieren, dass die beiden Netzwerke verbunden sind und über interne IP-Adressen kommunizieren können. Beispielsweise kann die Erstellerorganisation das Ersteller-VPC-Netzwerk aktualisieren, um Routen für Nutzersubnetze hinzuzufügen.

Abbildung 1. Vm-1 in einem Ersteller-VPC-Netzwerk hat zwei Netzwerkschnittstellen. Eine Standardnetzwerkschnittstelle stellt eine Verbindung zu einem Subnetz im Netzwerk des Erstellers her, die andere eine Private Service Connect-Schnittstelle, die mit einem Netzwerkanhang in einem Nutzernetzwerk verbunden ist.

Eine Verbindung zwischen einer Private Service Connect-Schnittstelle und einem Netzwerkanhang ähnelt der Verbindung zwischen einer Private Service Connect-Endpunkt und einem Dienstanhang. Allerdings gibt es zwei wichtige Unterschiede:

  • Mit einer Private Service Connect-Schnittstelle kann ein Ersteller-VPC-Netzwerk Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren (verwalteter ausgehender Dienst-Traffic). Ein Endpunkt funktioniert in umgekehrter Richtung, sodass ein Nutzer-VPC-Netzwerk Verbindungen zu einem Ersteller-VPC-Netzwerk initiieren kann (verwalteter Dienst).
  • Private Service Connect-Schnittstellenverbindungen sind transitiv. Das bedeutet, dass Arbeitslasten in einem Erstellernetzwerk Verbindungen zu anderen Arbeitslasten initiieren können, die mit dem Nutzer-VPC-Netzwerk verbunden sind. Private Service Connect-Endpunkte können nur Verbindungen zum VPC-Netzwerk des Erstellers initiieren.

Abbildung 2. Mit Private Service Connect-Endpunkten können Dienstnutzer Verbindungen zu Diensterstellern initiieren, während Private Service Connect-Schnittstellen es Diensterstellern ermöglichen, eine Verbindung zu Dienstnutzern zu initiieren.

Verbindung zu Arbeitslasten in anderen Netzwerken herstellen

Da Private Service Connect-Schnittstellenverbindungen transitiv sind, wenn die Konfiguration des Nutzer-VPC-Netzwerks dies zulässt, können Ressourcen in Ersteller-VPC-Netzwerken mit Arbeitslasten kommunizieren, die mit dem Nutzernetzwerk verbunden sind. Der Support umfasst

Abbildung 3. Ein Ersteller-VPC-Netzwerk, das über eine Private Service Connect-Schnittstelle mit einem Nutzer-VPC-Netzwerk verbunden ist, kann mit Arbeitslasten kommunizieren, die mit der Nutzer-VPC verbunden sind.

Beispielanwendungsfälle

Ein Beispiel für einen Anwendungsfall für Private Service Connect-Schnittstellen ist ein verwalteter Dienst, der Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren muss, um auf Nutzerdaten zuzugreifen. Der Dienst benötigt möglicherweise auch Zugriff auf Daten oder Dienste, die im lokalen Netzwerk eines Nutzers, über ein VPN, über eine Cloud Interconnect-verbindung oder von einem Drittanbieterdienst verfügbar sind. Eine Verbindung zur Private Service Connect-Schnittstelle kann alle diese Anforderungen erfüllen.

Ein weiterer Anwendungsfall ist ein verwalteter Dienst, der ein API-Gateway bereitstellt. Wenn der Dienst Aufrufe für verschiedene APIs erhält, verwendet er Private Service Connect-Schnittstellen, um Verbindungen zu Nutzer-VPC-Netzwerken zu initiieren. Der Gateway-Dienst sendet API-Anfragen an Backend-Ziele, die die Anfragen verarbeiten.

Private Service Connect-Schnittstellen und Private Service Connect-Endpunkte ergänzen sich und können zusammen im selben VPC-Netzwerk verwendet werden.

Beispiel: Abbildung 4 beschreibt die Netzwerkkonfiguration eines verwalteten Dienstes, der Analysen bereitstellt. Der Analysedienst kann über eine Private Service Connect-Schnittstelle Verbindungen zum Nutzer-VPC-Netzwerk initiieren. Mit einem Private Service Connect-Endpunkt im Nutzernetzwerk kann der Analysedienst Verbindungen zu einem Datenbankdienst in einem anderen VPC-Netzwerk initiieren. Der Traffic vom Analysedienst zum Datenbankdienst wird durch das Nutzernetzwerk geleitet, sodass der Nutzer den Traffic zwischen den beiden Diensten überwachen und Sicherheit bieten kann.

Abbildung 4. Private Service Connect-Schnittstellen und Private Service Connect-Endpunkte ergänzen sich in dieser Beispielkonfiguration. Über die Schnittstelle kann der Analysedienst Verbindungen zum VPC-Netzwerk des Nutzers initiieren. Mit dem Endpunkt kann der Analysedienst Verbindungen vom Nutzer-VPC-Netzwerk zum Datenbankdienst initiieren.

Spezifikationen

  • Eine Private Service Connect-Schnittstelle ist eine spezielle Art Netzwerkschnittstelle, die eine Verbindung zu einem Netzwerkanhang bereitstellt. Spezifikationen für Netzwerkschnittstellen gelten auch für Private Service Connect-Schnittstellen.
  • Wenn Sie eine VM für Private Service Connect-Schnittstellen erstellen, erstellen Sie mindestens zwei Netzwerkschnittstellen. Die erste Netzwerkschnittstelle ist immer die Standard-Netzwerkschnittstelle mit dem Namen nic0. Diese Schnittstelle stellt eine Verbindung zu einem Ersteller-Subnetz her. Die zweite Schnittstelle ist eine Private Service Connect-Schnittstelle, die eine Verbindung zu einem Nutzersubnetz anfordert. Sie können bis zu sieben Private Service Connect-Schnittstellen zu einer einzelnen VM hinzufügen.
  • Wenn ein Nutzerprojekt eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, wird der Schnittstelle eine interne IPv4-Adresse zugewiesen. Diese Adresse wird aus dem Subnetzwerk übernommen, das vom Netzwerkanhang angegeben wird. Wenn das Subnetz ein Dual-Stack-Subnetz ist, können Sie der Schnittstelle auch eine interne IPv6-Adresse zuweisen.
  • Private Service Connect-Schnittstellen unterstützen Alias-IP-Bereiche. Alias-IP-Bereiche müssen aus dem primären IPv4-Adressbereich des Subnetzes des Netzwerkanhangs stammen.
  • Google Cloud stellt sicher, dass sich IP-Adressen, die einer Private Service Connect-Schnittstelle zugewiesen sind, nicht mit den Adressbereichen von Subnetzen überschneiden, die mit den anderen Netzwerkschnittstellen der VM verbunden sind. Wenn nicht genügend Adressen verfügbar sind, schlägt das Erstellen der VM fehl.
  • Eine Private Service Connect-Schnittstelle kommuniziert auf die gleiche Weise wie eine Netzwerkschnittstelle.
  • Verbindungen zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle sind bidirektional und transitiv. Arbeitslasten im Ersteller-VPC-Netzwerk können Verbindungen zu Arbeitslasten initiieren, die mit dem Nutzer-VPC-Netzwerk verbunden sind.

Beschränkungen

  • Eine Private Service Connect-Schnittstellenverbindung kann nur beendet werden, wenn die VM der Schnittstelle gelöscht wird.
  • Private Service Connect-Schnittstellen unterstützen externe IP-Adressen nicht.
  • Private Service Connect-Schnittstellen können nicht der nächste Hop einer internen Weiterleitungsregel sein.
  • Sie können Private Service Connect-Schnittstellen nicht direkt mit GKE-Knoten oder -Pods (Google Kubernetes Engine) verknüpfen. Ausgehender Dienst-Traffic ist jedoch mit GKE über Private Service Connect-Schnittstellen möglich, die auf Proxy-VMs konfiguriert sind.

Preise

Die Preise für Private Service Connect-Schnittstellen werden auf der Seite der VPC-Preise beschrieben.

Nächste Schritte