Informationen zu Richtlinien für Dienstverbindungen

In diesem Dokument wird erläutert, wie Netzwerkadministratoren mithilfe von Richtlinien für Dienstverbindungen eine Verbindung zu unterstützten verwalteten Dienstinstanzen über die Automatisierung von Dienstverbindungen herstellen können. Bevor Sie dieses Dokument lesen, sollten Sie mit den Konzepten vertraut sein, die im Hilfeartikel Automatisierung der Dienstverbindung erläutert werden.

Spezifikationen

Richtlinien für Dienstverbindungen haben die folgenden Spezifikationen:

• Sie können für jede Kombination aus Netzwerk, Region und Dienstklasse nur eine Richtlinie für Dienstverbindungen erstellen. Beispiel: Sie können nur eine Richtlinie für Dienstverbindungen für vpc1 in us-central1 für google-cloud-sql haben. Diese Validierung bedeutet, dass für einen bestimmten Private Service Connect-Endpunkt nur eine Richtlinie für Dienstverbindungen gilt.

• Administratoren von Dienstinstanzen können den Dienst über die administrative API oder die Benutzeroberfläche des Dienstes bereitstellen und die Verbindung mithilfe der Automatisierung von Dienstverbindungen konfigurieren.

• Die Subnetze, die in der Konfiguration der Dienstverbindungsrichtlinie enthalten sind, enthalten IP-Adressen, die Private Service Connect-Endpunkten zugewiesen werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden.

  Die Subnetze müssen reguläre Subnetze sein und sich in derselben Region wie die Richtlinie für Dienstverbindungen befinden. Reguläre Subnetze unterscheiden sich von Private Service Connect-Subnetzen.

  Wir empfehlen, die Subnetze nicht für andere Ressourcen zu verwenden. Wenn andere Ressourcen IP-Adressen aus dem Subnetz verbrauchen, stehen möglicherweise nicht mehr genügend IP-Adressen für die Zuweisung an Endpunkte zur Verfügung.

• Verwaltete Dienste, die Richtlinien für Dienstverbindungen verwenden, unterstützen möglicherweise die Verbindung zu Dienstinstanzen über IPv4-Endpunkte, IPv6-Endpunkte oder beide. Wenn der Dienst sowohl IPv4 als auch IPv6 unterstützt, können Administratoren von Dienstinstanzen beim Bereitstellen einer Dienstinstanz eine IP-Version auswählen.

• Sie können Richtlinien für Dienstverbindungen mit freigegebener VPC verwenden.

• Standardmäßig müssen sich die Dienstinstanz und die Endpunkte, die eine Verbindung zur Dienstinstanz herstellen, im selben Projekt befinden (oder im Fall einer freigegebenen VPC in verbundenen Projekten).

  Bei unterstützten Google-Diensten können Sie einen Umfang für benutzerdefinierte Dienstinstanzen konfigurieren.

• Auf Endpunkte, die über die Automatisierung von Dienstverbindungen erstellt werden, können vom Dienstanbieter Labels angewendet werden. Weitere Informationen zu Labels finden Sie unter Ressourcen mit Labels organisieren.

• Wenn Sie die Private Service Connect-Automatisierung von Dienstverbindungen mit mehreren VPC-Netzwerken im selben Projekt verwenden möchten, erstellen Sie für jedes Netzwerk eine Richtlinie für Dienstverbindungen.

• Optional können Sie ein Verbindungslimit konfigurieren, um die maximale Anzahl von Private Service Connect-Verbindungen anzugeben, die ein bestimmter Dienstersteller im VPC-Netzwerk und in der Region der Richtlinie erstellen kann.

• Endpunkte, die über Richtlinien für Dienstverbindungen erstellt werden, können über die Verbindungsweiterleitung in anderen VPC-Netzwerken verfügbar gemacht werden.

Autorisierung

Mit Richtlinien für Dienstverbindungen können Nutzer die Bereitstellung der Konnektivität an verwaltete Dienste delegieren. Der Dienstersteller hat keinen direkten Zugriff oder keine IAM-Berechtigungen für das Nutzerprojekt. Stattdessen konfiguriert der Ersteller eine Dienstverbindungszuordnung in seinem eigenen Projekt.

Wenn die Dienstverbindungszuordnung erstellt oder aktualisiert wird, in der Regel als Reaktion auf eine Anfrage eines Nutzerdienstadministrators an die administrative API oder Benutzeroberfläche des verwalteten Dienstes, führt die Automatisierung der Dienstverbindung eine Reihe von Autorisierungsüberprüfungen durch. Wenn alle Prüfungen bestanden werden, werden Private Service Connect-Endpunkte wie in der Anfrage angegeben erstellt.

Informationen zur Autorisierung finden Sie unter Autorisierungsmodell.

Verbindungsrichtlinien in freigegebenen VPC-Netzwerken

Mit Richtlinien für Dienstverbindungen kann die Verbindung zu Dienstinstanzen automatisiert werden, die sich in Hostprojekten oder in angehängten Dienstprojekten befinden.

Wenn Sie eine freigegebene VPC verwenden, müssen Sie die Richtlinie für die Dienstverbindung im Hostprojekt erstellen. Endpunkte werden in dem Projekt erstellt, das in der Konfiguration der Dienstinstanz angegeben ist.

Wenn Sie eine Richtlinie für Dienstverbindungen in einem freigegebenen VPC-Netzwerk erstellen und eine Dienstinstanz in einem Dienstprojekt bereitstellen, werden die Subnetze, die mit der Richtlinie für Dienstverbindungen verknüpft sind, freigegeben. Dazu wird das Network Connectivity Service Account des Dienstprojekts aktualisiert. Dieses Dienstkonto erhält die Rolle Compute-Netzwerknutzer (roles/compute.networkUser) für die freigegebenen Subnetze.

Ein Beispiel für eine Bereitstellung finden Sie unter Freigegebene VPC.

Verbindungsrichtlinien mit benutzerdefiniertem Dienstinstanzbereich

Standardmäßig werden durch die Automatisierung von Dienstverbindungen Endpunkte für Dienstinstanzen und zugehörige Richtlinien für Dienstverbindungen erstellt, die sich im selben Google Cloud-Projekt befinden (oder im Fall einer freigegebenen VPC in verbundenen Projekten). Bei unterstützten Google-Diensten können sich Dienstinstanzen und verbindende Endpunkte auch in verschiedenen Projekten oder Organisationen befinden.

Nicht alle Google-Dienste unterstützen die Konfiguration eines benutzerdefinierten Dienstinstanzbereichs. Ob ein Dienst einen benutzerdefinierten Bereich für Dienstinstanzen unterstützt, finden Sie in der Dokumentation des jeweiligen Dienstes.

Mit der Einstellung Scope of service instance (--producer-instance-location) können Sie die Verbindung zu Dienstinstanzen konfigurieren, die sich in anderen Resource Manager-Knoten (Projekten, Ordnern und Organisationen) befinden.

• Wenn der Wert auf no_producer_instance_location festgelegt ist, werden Endpunkte nur im selben Projekt erstellt. Dies ist der Standardwert.
• Wenn es auf custom_resource_hierarchy_levels festgelegt ist, geben Sie die Liste der Resource Manager-Knoten im Feld --allowed-google-producers-resource-hierarchy-level an.

Wenn Sie den Gültigkeitsbereich der Dienstinstanz für eine Richtlinie für Dienstverbindungen aktualisieren, sind vorhandene Endpunkte nicht betroffen.

Ein Beispiel für die Bereitstellung finden Sie unter Google-Dienste mit benutzerdefiniertem Dienstinstanzenbereich.

IP-Versionen des Endpunkts

Die möglichen IP-Versionen von Endpunkten, die mit Dienstinstanzen verbunden sind (IPv4, IPv6 oder beides), werden vom Dienstanbieter und nicht von der Automatisierung der Dienstverbindung bestimmt. Wenn der Dienst sowohl IPv4 als auch IPv6 unterstützt, können Administratoren von Dienstinstanzen beim Bereitstellen einer Instanz über die administrative API eines Dienstes eine IP-Version auswählen. Informationen zu den unterstützten IP-Versionen eines Dienstes finden Sie in der Dokumentation des Dienstes.

Wenn ein Administrator einer Dienstinstanz eine IP-Version auswählt, prüft die Automatisierung der Dienstverbindung in der Richtlinie für Dienstverbindungen nach kompatiblen Subnetzwerken, die zum Erstellen von Endpunkt-IP-Adressen verwendet werden können:

• Nur-IPv4-Subnetze unterstützen IPv4-Endpunkte.
• Dual-Stack-Subnetze unterstützen sowohl IPv4- als auch IPv6-Endpunkte.
• Reine IPv6-Subnetze (Vorabversion) unterstützen IPv6-Endpunkte.

Wenn die Richtlinie für Dienstverbindungen kein kompatibles Subnetz hat, schlägt die Anfrage fehl und es wird kein Endpunkt erstellt.

Außerdem muss die IP-Version des Endpunkts mit der IP-Version der Dienstinstanz kompatibel sein. Diese wird durch die Weiterleitungsregel des zugehörigen Dienstanhangs bestimmt. Private Service Connect unterstützt die folgenden Kombinationen von IP-Versionen:

• IPv4-Endpunkt zum IPv4-Dienstanhang
• IPv6-Endpunkt zum IPv6-Dienstanhang

• IPv6-Endpunkt zum IPv4-Dienstanhang

  In dieser Konfiguration übersetzt Private Service Connect automatisch zwischen den beiden IP-Versionen.

Die Verbindung eines IPv4-Endpunkts mit einem IPv6-Dienstanhang wird nicht unterstützt.

Wenn Sie sowohl IPv4- als auch IPv6-Clients auf eine verwaltete Dienstinstanz zugreifen lassen möchten, konfigurieren Sie die Konnektivität für separate IPv4- und IPv6-Endpunkte, die mit demselben Dienst verbunden sind.

Beschränkungen

• Richtlinien für Dienstverbindungen unterstützen nur die Automatisierung der Erstellung von Private Service Connect-Endpunkten. Das Erstellen von Private Service Connect-Back-Ends oder -Dienstanhängen wird nicht unterstützt.
• Sie können Private Service Connect-Endpunkte, die durch die Dienstverbindungsautomatisierung erstellt werden, nicht direkt löschen. Wenn Sie das Löschen dieser Endpunkte auslösen möchten, deaktivieren Sie die Dienstverbindung.
• Sie können nur die Subnetze und das Verbindungslimit für eine Richtlinie für Dienstverbindungen aktualisieren. Wenn Sie andere Felder aktualisieren möchten, löschen Sie die Richtlinie und erstellen Sie eine neue Richtlinie.
• Richtlinien für Dienstverbindungen unterstützen das Erstellen von Endpunkten mit IPv4-Adressen. Das Erstellen von Endpunkten mit IPv6-Adressen wird nicht unterstützt.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Nächste Schritte

• Richtlinien für Dienstverbindungen konfigurieren