Portzuordnung für Private Service Connect

Diese Seite bietet eine Übersicht über die Portzuordnung für Private Service Connect.

Mit der Private Service Connect-Portzuordnung können VM-Instanzen von Nutzern über einen einzigen Private Service Connect-Endpunkt privat mit bestimmten Dienstports auf bestimmten Ersteller-VMs kommunizieren.

Ein Dienstnutzer sendet Traffic an verschiedene Client-Zielports des Endpunkts. Private Service Connect verwendet vom Ersteller definierte Zuordnungen, um Traffic an den angegebenen Dienstport und die Ersteller-VM weiterzuleiten. In einigen Netzwerkkontexten wird dieser Ansatz auch als Portweiterleitung bezeichnet.

Portzuordnung im Vergleich zur regulären Private Service Connect-Verbindung

Verwaltete Dienste werden häufig als Cluster von VMs konzipiert, wobei verschiedene VMs separate Instanzen desselben Dienstes darstellen. Jede VM stellt dieselben Vorgänge an denselben Ports bereit. Ein Datenbankdienst kann beispielsweise den Port 1000 für Lesevorgänge und den Port 2000 für Schreibvorgänge verwenden. Nutzer-VMs kommunizieren mit bestimmten Dienstinstanzen, indem sie auf Ports auf den VMs verweisen, die mit der Dienstinstanz verknüpft sind.

Eine reguläre (lastausgeglichene) Verbindung zwischen einem Private Service Connect-Endpunkt und einem Dienstanhang ist für diese Situation nicht ideal. Bei einer regulären Private Service Connect-Verbindung senden Nutzer-VMs Traffic an einen oder mehrere Ports der IP-Adresse des Endpunkts. Der gesamte Traffic wird über Load Balancing an eine fehlerfreie Ersteller-VM gesendet, die als Backend für den Port konfiguriert ist, über den der Traffic empfangen wird.

Bei der Portzuordnung für Private Service Connect wird hingegen kein Load Balancing verwendet. Mit diesem Ansatz können Nutzer-VMs basierend auf dem Client-Zielport, der den Traffic empfängt, auf bestimmte Dienstports bestimmter Ersteller-VMs ausgerichtet werden.

Bei der Private Service Connect-Portzuordnung wird Traffic von Client-Zielports eines Endpunkts an Dienstports von Ersteller-VMs weitergeleitet. Dabei wird eine Zuordnung verwendet, die für eine Portzuordnungs-NEG konfiguriert ist (zum Vergrößern klicken).

Mit der Private Service Connect-Portzuordnung können Nutzer-VMs über den folgenden Prozess mit bestimmten Ersteller-VMs kommunizieren:

  1. Die Verbraucher-VM sendet Pakete über einen bestimmten Client-Zielport an die IP-Adresse des Endpunkts. Der Zielport des Clients dient als eindeutige Kennung für die VM und den Port des beabsichtigten Ziels des Pakets.
  2. Private Service Connect verwendet die Zuordnung des Client-Zielports, der den Traffic empfängt, um das Ziel des Pakets zu ermitteln.
  3. Private Service Connect leitet den Traffic an die Ziel-VM und den Dienstport weiter.

In Abbildung 1 werden Pakete beispielsweise so weitergeleitet:

  • Pakete, die an den Clientzielport 1001 des Endpunkts gesendet werden, werden an den Dienstport 1000 von vm-1 weitergeleitet.
  • Pakete, die an den Clientzielport 1002 des Endpunkts gesendet werden, werden an den Dienstport 2000 von vm-1 weitergeleitet.
  • Pakete, die an den Clientzielport 1003 des Endpunkts gesendet werden, werden an den Dienstport 1000 von vm-2 weitergeleitet.
  • Pakete, die an den Clientzielport 1004 des Endpunkts gesendet werden, werden an den Dienstport 2000 von vm-2 weitergeleitet.

Bereitstellung

Das Bereitstellen einer Private Service Connect-Portzuordnungsverbindung unterscheidet sich in folgenden Punkten vom Bereitstellen einer regulären Private Service Connect-Endpunktverbindung für veröffentlichte Dienste:

  1. Der Dienstersteller erstellt einen Portzuordnungsdienst. Für Portzuordnungsdienste werden Portzuordnungs-Netzwerk-Endpunktgruppen (NEGs) verwendet. Diese Konfiguration ähnelt einem internen Passthrough-Network Load Balancer, der Traffic wird jedoch nicht ausgeglichen.
  2. Der Dienstanbieter konfiguriert die Netzwerkendpunkte der Portzuordnungs-NEG, um Zuordnungen von Clientzielports eines Private Service Connect-Endpunkts zu Dienstports bestimmter Ersteller-VMs anzugeben.
  3. Der Dienstersteller erstellt einen Dienstanhang, der mit der Weiterleitungsregel seines Portzuordnungsdienstes verknüpft ist.
  4. Der Dienstersteller gibt die Client-Zielports und ihre Zuordnungen an den Dienstnutzer weiter. Dies wird nicht automatisch von Google Cloud erledigt.
  5. Der Dienstnutzer konfiguriert Arbeitslasten mithilfe der vom Ersteller definierten Portzuordnungen, um mit verwalteten Diensten zu kommunizieren.

Spezifikationen

Die Portzuordnung für Private Service Connect hat die folgenden Spezifikationen:

  • Für eine Private Service Connect-Portzuordnungsverbindung ist ein Private Service Connect-Endpunkt in einem Nutzer-VPC-Netzwerk erforderlich, der mit einem Dienstanhang in einem Ersteller-VPC-Netzwerk verbunden ist.
  • Der Dienstanhang ist mit einem Portzuordnungsdienst verknüpft. Portzuordnungsdienste werden ähnlich wie interne Passthrough-Network Load Balancer konfiguriert, der Traffic wird jedoch nicht ausgeglichen. Portzuordnungsdienste bestehen aus folgenden Elementen:
    • Eine Weiterleitungsregel, die eine Verbindung zu einem Backend-Dienst herstellt. Die Weiterleitungsregel muss entweder für TCP- oder UDP-Traffic konfiguriert sein. Die Weiterleitungsregel muss so konfiguriert sein, dass Traffic an alle Clientzielports weitergeleitet wird. Geben Sie dazu beispielsweise --ports=ALL in der Google Cloud CLI an. Sie müssen jedoch nur Zuordnungen in der NEG für die Portzuordnung für die Client-Zielanschlüsse definieren, die Sie verwenden möchten.
    • Ein Backend-Dienst, der für die Verwendung einer Portzuordnungs-Netzwerk-Endpunktgruppe (NEG) konfiguriert ist. Dienstanbieter verwenden die Netzwerkendpunkte der NEG für die Portzuordnung, um eindeutige Zuordnungen von Client-Zielanschlüssen des Private Service Connect-Endpunkts zu einer Kombination aus Dienstport und Ersteller-VM zu definieren.
  • Anstatt den Traffic auszugleichen, leitet der Portzuordnungsdienst den Traffic ausschließlich basierend auf den Zuordnungen weiter, die in der NEG für die Portzuordnung konfiguriert sind.
  • Der Erstellerdienst muss dem Nutzer die gültigen Client-Zielports und ihre jeweiligen Zuordnungen mitteilen. Diese Informationen werden von Private Service Connect nicht an den Nutzer weitergegeben.
  • Der Nutzer muss seine Arbeitslasten so konfigurieren, dass sie mit verwalteten Diensten kommunizieren. Dazu verwendet er die vom Ersteller definierten Portzuordnungen.
  • Die Private Service Connect-Portzuordnung unterstützt Private Service Connect-Endpunkte unabhängig davon, ob die Endpunkte für die Verwendung des globalen Zugriffs konfiguriert sind.
  • Die Portzuordnung für Private Service Connect unterstützt den Hybridzugriff. Die lokale Arbeitslast eines Nutzers kann über Cloud Interconnect- oder Cloud VPN-Verbindungen auf den Private Service Connect-Endpunkt zugreifen und so die VMs des Diensterstellers erreichen.

Beschränkungen

  • Die Portzuordnung für Private Service Connect unterstützt keinen IPv6-Traffic.
  • Systemdiagnosen werden für Back-End-Dienste, die NEGs für die Portzuordnung haben, nicht unterstützt. Die Validierung verhindert die Konfiguration einer Systemdiagnose, wenn der Back-End-Dienst eine Portzuordnungs-NEG hat.
  • Die Portzuordnung für Private Service Connect unterstützt nicht die Verbindung mehrerer Dienstanhänge oder Weiterleitungsregeln mit demselben Portzuordnungs-Backenddienst.

Load Balancing mit Private Service Connect-Portzuordnung verwenden

Bei der Private Service Connect-Portzuordnung wird der Traffic ausschließlich basierend auf dem Client-Zielport weitergeleitet, der den Traffic empfängt. Wenn Sie Load Balancing mit Private Service Connect-Portzuordnung verwenden möchten, gehen Sie so vor:

  • Bitten Sie den Kunden, Load Balancing auf der Kundenseite zu implementieren. Software, die auf Nutzer-VMs ausgeführt wird, kann Traffic an wechselnde Client-Zielanschlüsse senden.
  • Erstellen Sie im VPC-Netzwerk des Diensterstellers einen zweiten Dienstanhang, der eine Verbindung zu einem Load Balancer statt zu einem Portzuordnungsdienst herstellt. Verwenden Sie dieselben VMs, die sich in der Portzuordnungs-NEG befinden, als Back-Ends im Back-End-Dienst des Load Balancers. Der Nutzer kann Traffic, für den ein Load-Balancing durchgeführt werden muss, an einen Endpunkt senden, der mit dem zweiten Dienstanhang verknüpft ist.

Kontingente

Informationen zu Kontingenten und Limits im Zusammenhang mit der Portzuordnung für Private Service Connect finden Sie unter Kontingente und Limits.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Nächste Schritte