Informationen zu Richtlinien für Dienstverbindungen
Diese Seite bietet eine Übersicht über Richtlinien für Dienstverbindungen.
Dienstnutzer können Richtlinien für Dienstverbindungenn erstellen, die die Bereitstellung und Konnektivität für berechtigte verwaltete Dienstinstanzen automatisieren. Dieser Vorgang wird als Private Service Connect-Automatisierung von Dienstverbindungen bezeichnet.
Ein Nutzerdienstadministrator kann beispielsweise ein Datenbankadministrator sein, der eine Datenbank bereitstellt und dann Private Service Connect so konfiguriert, dass diese Datenbank erreicht wird. Der Datenbankadministrator hat jedoch möglicherweise nicht die erforderlichen IAM-Anmeldedaten (Identity and Access Management) oder weiß nicht, wie er Netzwerkressourcen bereitstellen kann. Wenn eine Richtlinie für Dienstverbindungen vorhanden ist und der Erstellerdienst für die Dienstautomatisierung konfiguriert ist, kann der Datenbankadministrator anfordern, dass eine Instanz des Erstellerdienstes über die Automatisierung von Dienstverbindungen mit seinem Netzwerk verbunden wird.
Richtlinien für Dienstverbindungen sind für die folgenden Rollen nützlich:
- Nutzerdienstadministratoren können Instanzen verwalteter Erstellerdienste bereitstellen und die Konnektivität über die administrative API oder die Benutzeroberfläche des Erstellerdienstes konfigurieren. Es gibt keinen zusätzlichen Schritt, um Private Service Connect zu konfigurieren.
- Netzwerkadministratoren können eine Reihe von Richtlinien erstellen, die steuern, welche Dienste und Subnetze für Verbindungen verwendet werden.
- Dienstersteller können den Prozess der gemeinsamen Nutzung von Dienstanhängen und die Anleitung für Nutzer zur Bereitstellung der Konnektivität vereinfachen. Nutzer mit Richtlinien für Dienstverbindungen können einen Erstellerdienst über die administrative API oder die Benutzeroberfläche des Erstellers konfigurieren.
Dienstinstanzbereitstellung
Die Bereitstellung der Instanz eines verwalteten Dienstes mithilfe von Richtlinien für Dienstverbindungen umfasst die folgenden Schritte, die in Abbildung 1 dargestellt werden:
Ein Nutzer-Netzwerkadministrator erstellt eine Richtlinie für Dienstverbindungen für sein VPC-Netzwerk. Dieses Netzwerk kann optional ein freigegebenes VPC-Netzwerk sein.
Mit der Richtlinie für Dienstverbindungen kann Google Private Service Connect-Endpunkte im Namen des Nutzerdienstadministrators automatisch bereitstellen. Die Richtlinie für Dienstverbindungen verweist auf eine Dienstklasse – eine global eindeutige Ressource, die einen bestimmten Erstellerdienst identifiziert. Eine einzelne Richtlinie für Dienstverbindungen ist auf eine einzelne Dienstklasse und ein einzelnes Nutzer-VPC-Netzwerk beschränkt, das die Möglichkeit zum Konfigurieren einer Verbindung innerhalb dieses Bereichs delegiert.
Ein Nutzerdienstadministrator stellt eine verwaltete Dienstinstanz bereit und konfiguriert die Verbindung zu dieser Instanz mithilfe der administrativen API oder der Benutzeroberfläche des Dienstes.
Wenn Sie die Richtlinie für Dienstverbindungen in einem freigegebenen VPC-Netzwerk erstellt haben, können Sie die verwaltete Dienstinstanz in einem angehängten Dienstprojekt bereitstellen.
Der Ersteller empfängt die Verbindungskonfiguration des Nutzers und übergibt diese Informationen an eine Dienstverbindungszuordnung.
Das Network Connectivity-Dienstkonto erstellt einen Endpunkt im VPC-Netzwerk des Nutzers. Dieser Endpunkt stellt eine Verbindung zu einem Dienstanhang im VPC-Netzwerk des Erstellers her.
Unterstützte Dienste
Wenden Sie sich an den Dienstanbieter, um herauszufinden, ob ein verwalteter Dienst Richtlinien für Dienstverbindungen unterstützt. Wenn ein verwalteter Dienst Richtlinien für Dienstverbindungen unterstützt, kann Ihnen der Dienstanbieter die zugehörige Dienstklasse bereitstellen.
Dienstklassen, mit denen Ersteller ihre Dienste im Namen des Nutzers automatisieren können, sind für Ersteller in begrenzter Vorschau verfügbar. Informationen zum Automatisieren der Verbindungen für Ihre eigenen verwalteten Dienste über Dienstklassen erhalten Sie von Ihrem Google Cloud-Vertriebsmitarbeiter.
Richtlinien für Dienstverbindungen
Eine Richtlinie für Dienstverbindungen ist eine regionale Google Cloud-Ressource. Ein Netzwerkadministrator kann damit angeben, welche Erstellerdienste bereitgestellt und über die Automatisierung von Dienstverbindungen verbunden werden können. Wenn für einen verwalteten Dienst eine Dienstverbindungsrichtlinie vorhanden ist, kann ein Administrator diesen für Nutzerdienste bereitstellen.
Richtlinien für Dienstverbindungen haben die folgenden Felder:
- Dienstklasse: Gibt den Typ des verwalteten Dienstes an, für den die Richtlinie gilt. Jeder Ersteller, der Richtlinien für Dienstverbindungen unterstützt, hat eine eigene global eindeutige Dienstklasse.
- VPC-Netzwerk: Gibt das VPC-Netzwerk an, für das die Richtlinie gilt.
- Subnetze: Gibt die Subnetze an, aus denen IP-Adressen für Private Service Connect-Endpunkte zugewiesen werden.
- Verbindungslimit: Gibt die maximale Anzahl von Private Service Connect-Verbindungen an, die ein Ersteller im VPC-Netzwerk und in der Region der Richtlinie erstellen kann.
Spezifikationen
Richtlinien für Dienstverbindungen haben die folgenden Spezifikationen:
- Sie können eine einzelne Richtlinie für Dienstverbindungen pro Kombination aus Netzwerk, Region und Dienstklasse erstellen. Dadurch wird sichergestellt, dass nur eine Richtlinie die Erstellung eines Private Service Connect-Endpunkts steuert.
- Wenn für eine bestimmte Dienstklasse eine Richtlinie für Dienstverbindungen vorhanden ist, können Administratoren von Nutzerdiensten die administrative API oder die Benutzeroberfläche des Dienstes verwenden, um diesen Dienst bereitzustellen und die Verbindung mithilfe der Automatisierung von Dienstverbindungen zu konfigurieren.
- Die in der Konfiguration der Dienstverbindungsrichtlinie enthaltenen Subnetze stellen IP-Adressen bereit, die Private Service Connect-Endpunkten zugewiesen sind. Diese Subnetze müssen reguläre Subnetze sein und sich in derselben Region wie die Dienstverbindungsrichtlinie befinden. Reguläre Subnetze unterscheiden sich von private Service Connect-Subnetzen.
- Als Best Practice empfiehlt Google die Verwendung dedizierter Subnetze mit Richtlinien für Dienstverbindungen. Dadurch wird sichergestellt, dass die IP-Adressen der Subnetze nicht für verschiedene Ressourcen wiederverwendet werden.
- Richtlinien für Dienstverbindungen können nur im selben Projekt wie das VPC-Netzwerk erstellt werden, für das die Richtlinie gilt.
- Wenn Sie die Private Service Connect-Automatisierung von Dienstverbindungen mit mehreren VPC-Netzwerken im selben Projekt verwenden möchten, erstellen Sie für jedes Netzwerk eine Richtlinie für Dienstverbindungen.
- Sie können Richtlinien für Dienstverbindungen mit freigegebener VPC verwenden.
Erstellerkonfiguration
In den folgenden Abschnitten werden Ressourcen beschrieben, mit denen Dienstersteller die Automatisierung von Dienstverbindungen konfigurieren.
Karte der Dienstverbindung
Eine Dienstverbindungszuordnung ist eine erstellerseitige Ressource, mit der ein Ersteller eine Zuordnung zwischen Dienstanhängen und Private Service Connect-Endpunkten angeben kann. Diese Zuordnung enthält eine Liste von VPC-Netzwerk- und Projektkombinationen, die einer Liste von Dienstanhängen zugeordnet werden können.
Ersteller definieren anhand von Dienstverbindungszuordnungen, welche Nutzerprojekte und Private Service Connect-Netzwerke verwendet werden sollen, wenn Endpunkte über die Dienstautomatisierung erstellt werden.
Wenn ein Nutzerdienstadministrator eine Anfrage zur Bereitstellung einer Dienstinstanz über die Automatisierung der Dienstverbindung stellt, gibt der Administrator ein VPC-Netzwerk an. Der verwaltete Dienst verwendet diese Informationen, um die entsprechende Dienstverbindungszuordnung zu aktualisieren und anzugeben, mit welchem Dienstanhang der Nutzer verbunden werden soll.
Dienstklasse
Eine Dienstklasse ist eine global eindeutige Darstellung eines verwalteten Diensttyps. Jeder Ersteller ist der ausschließliche Eigentümer seiner Dienstklasse. Nutzer verweisen auf die Dienstklasse in ihren Richtlinien für Dienstverbindungen, autorisieren die Bereitstellung und delegieren die Konnektivität an den Ersteller.
Dienstklassen können für von Google veröffentlichte Dienste, Dienste von Drittanbietern und intern verwaltete Dienste vorhanden sein, die selbst gehostet sind. Richtlinien für Dienstverbindungen können nur für Dienste mit einer Dienstklasse erstellt werden.
Autorisierungsmodell
Mit Richtlinien für Dienstverbindungen können Nutzer die Bereitstellung der Konnektivität an Ersteller delegieren. Der Ersteller hat weder direkten Zugriff noch IAM-Berechtigungen für das Nutzerprojekt. Stattdessen konfiguriert der Ersteller eine Dienstverbindungszuordnung in seinem eigenen Projekt. Dadurch kann der Ersteller die Nutzerprojekte und VPC-Netzwerke angeben, in denen Endpunkte bereitgestellt werden sollen.
Wenn eine Dienstverbindungszuordnung von einem Ersteller erstellt oder aktualisiert wird, führt Google Cloud die folgenden Autorisierungsprüfungen durch:
- Der Erstellernutzer, der die Verbindungszuordnung erstellt oder aktualisiert, hat die IAM-Inhaberschaft für die zugehörige Dienstklasse. Mit dieser Prüfung können falsche Darstellungen einer öffentlichen Dienstklasse verhindert werden.
- Das Nutzernetzwerk hat eine gültige Richtlinie für Dienstverbindungen, die das von der Dienstverbindungszuordnung angegebene VPC-Netzwerk, die Region und die Dienstklasse autorisiert. Mit dieser Prüfung wird sichergestellt, dass ein Administrator mit IAM-Berechtigungen für das VPC-Netzwerk explizit die Möglichkeit delegiert, Private Service Connect-Endpunkte für den angegebenen Diensttyp zu erstellen.
- Das Projekt, das der Nutzer für die Verbindung über die Benutzeroberfläche oder API des verwalteten Dienstes angegeben hat, ist der verwalteten Dienstinstanz zugeordnet. Mit dieser Prüfung können Sie das Spoofing oder Manipulieren eines verwalteten Dienstes dahingehend verhindern, eine Verbindung für nicht autorisierte Projekte zu erstellen.
Wenn jede Bedingung erfüllt ist, erstellt das Network Connectivity-Dienstkonto die angeforderten Endpunkte im Nutzernetzwerk. Das Network Connectivity-Dienstkonto ist ein Dienst-Agent.
Beschränkungen
- Richtlinien für Dienstverbindungen unterstützen nur die Automatisierung von Private Service Connect-Endpunkten innerhalb eines Nutzer-VPC-Netzwerks. Private Service Connect-Back-Ends oder -Dienstanhänge werden nicht unterstützt.
- Sie können Private Service Connect-Endpunkte, die durch die Dienstverbindungsautomatisierung erstellt werden, nicht direkt löschen. Wenn Sie das Löschen dieser Endpunkte auslösen möchten, deaktivieren Sie die Dienstverbindung.
- Sie können nur die Subnetze und das Verbindungslimit für eine Dienstverbindungsrichtlinie aktualisieren. Wenn Sie andere Felder aktualisieren möchten, löschen Sie die Richtlinie und erstellen Sie eine neue Richtlinie.
- Richtlinien für Dienstverbindungen unterstützen das Erstellen von Endpunkten mit IPv4-Adressen. Das Erstellen von Endpunkten mit IPv6-Adressen wird nicht unterstützt.
Preise
Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.