Informationen zu Richtlinien für Dienstverbindungen

In diesem Dokument wird erläutert, wie Netzwerkadministratoren mithilfe von Richtlinien für Dienstverbindungen eine Verbindung zu unterstützten verwalteten Dienstinstanzen über die Automatisierung von Dienstverbindungen herstellen können. Bevor Sie dieses Dokument lesen, sollten Sie mit den Konzepten vertraut sein, die im Hilfeartikel Automatisierung der Dienstverbindung erläutert werden.

Spezifikationen

Richtlinien für Dienstverbindungen haben die folgenden Spezifikationen:

  • Sie können für jede Kombination aus Netzwerk, Region und Dienstklasse nur eine Richtlinie für Dienstverbindungen erstellen. Beispiel: Sie können nur eine Richtlinie für Dienstverbindungen für vpc1 in us-central1 für google-cloud-sql haben. Diese Validierung bedeutet, dass für einen bestimmten Private Service Connect-Endpunkt nur eine Richtlinie für Dienstverbindungen gilt.

  • Administratoren von Dienstinstanzen können den Dienst über die administrative API oder die Benutzeroberfläche des Dienstes bereitstellen und die Verbindung mithilfe der Automatisierung von Dienstverbindungen konfigurieren.

  • Die Subnetze, die in der Konfiguration der Dienstverbindungsrichtlinie enthalten sind, enthalten IP-Adressen, die Private Service Connect-Endpunkten zugewiesen werden. Diese Subnetze müssen reguläre Subnetze sein und sich in derselben Region wie die Richtlinie für Dienstverbindungen befinden. Reguläre Subnetze unterscheiden sich von Private Service Connect-Subnetzen.

    Wir empfehlen, die Subnetze nicht für andere Ressourcen zu verwenden. Wenn andere Ressourcen IP-Adressen aus dem Subnetz verbrauchen, stehen möglicherweise nicht mehr genügend IP-Adressen für die Zuweisung an Endpunkte zur Verfügung.

  • Sie können Richtlinien für Dienstverbindungen mit freigegebener VPC verwenden.

  • Standardmäßig müssen sich die Dienstinstanz und die Endpunkte, die eine Verbindung zur Dienstinstanz herstellen, im selben Projekt befinden (oder im Fall einer freigegebenen VPC in verbundenen Projekten).

    Bei unterstützten Google-Diensten können Sie einen Umfang für benutzerdefinierte Dienstinstanzen konfigurieren.

  • Auf Endpunkte, die über die Automatisierung von Dienstverbindungen erstellt werden, können vom Dienstanbieter Labels angewendet werden. Weitere Informationen zu Labels finden Sie unter Ressourcen mit Labels organisieren.

  • Wenn Sie die Private Service Connect-Automatisierung von Dienstverbindungen mit mehreren VPC-Netzwerken im selben Projekt verwenden möchten, erstellen Sie für jedes Netzwerk eine Richtlinie für Dienstverbindungen.

  • Optional können Sie ein Verbindungslimit konfigurieren, um die maximale Anzahl von Private Service Connect-Verbindungen anzugeben, die ein bestimmter Dienstersteller im VPC-Netzwerk und in der Region der Richtlinie erstellen kann.

  • Endpunkte, die über Richtlinien für Dienstverbindungen erstellt werden, können über die Verbindungsweiterleitung in anderen VPC-Netzwerken verfügbar gemacht werden.

Autorisierung

Mit Richtlinien für Dienstverbindungen können Nutzer die Bereitstellung der Konnektivität an verwaltete Dienste delegieren. Der Dienstersteller hat keinen direkten Zugriff oder keine IAM-Berechtigungen für das Nutzerprojekt. Stattdessen konfiguriert der Ersteller eine Dienstverbindungszuordnung in seinem eigenen Projekt.

Wenn die Dienstverbindungszuordnung erstellt oder aktualisiert wird, in der Regel als Reaktion auf eine Anfrage eines Nutzerdienstadministrators an die administrative API oder Benutzeroberfläche des verwalteten Dienstes, führt die Automatisierung der Dienstverbindung eine Reihe von Autorisierungsüberprüfungen durch. Wenn alle Prüfungen bestanden werden, werden Private Service Connect-Endpunkte wie in der Anfrage angegeben erstellt.

Informationen zur Autorisierung finden Sie unter Autorisierungsmodell.

Verbindungsrichtlinien in freigegebenen VPC-Netzwerken

Mit Richtlinien für Dienstverbindungen kann die Verbindung zu Dienstinstanzen automatisiert werden, die sich in Hostprojekten oder in angehängten Dienstprojekten befinden.

Wenn Sie eine freigegebene VPC verwenden, müssen Sie die Richtlinie für die Dienstverbindung im Hostprojekt erstellen. Endpunkte werden in dem Projekt erstellt, das in der Konfiguration der Dienstinstanz angegeben ist.

Wenn Sie eine Richtlinie für Dienstverbindungen in einem freigegebenen VPC-Netzwerk erstellen und eine Dienstinstanz in einem Dienstprojekt bereitstellen, werden die Subnetze, die mit der Richtlinie für Dienstverbindungen verknüpft sind, freigegeben. Dazu wird das Network Connectivity Service Account des Dienstprojekts aktualisiert. Dieses Dienstkonto erhält die Rolle Compute-Netzwerknutzer (roles/compute.networkUser) für die freigegebenen Subnetze.

Ein Beispiel für eine Bereitstellung finden Sie unter Freigegebene VPC.

Verbindungsrichtlinien mit benutzerdefiniertem Dienstinstanzbereich

Standardmäßig werden durch die Automatisierung von Dienstverbindungen Endpunkte für Dienstinstanzen und zugehörige Richtlinien für Dienstverbindungen erstellt, die sich im selben Google Cloud-Projekt befinden (oder im Fall einer freigegebenen VPC in verbundenen Projekten). Bei unterstützten Google-Diensten können sich Dienstinstanzen und verbindende Endpunkte auch in verschiedenen Projekten oder Organisationen befinden.

Nicht alle Google-Dienste unterstützen die Konfiguration eines benutzerdefinierten Dienstinstanzbereichs. Ob ein Dienst einen benutzerdefinierten Bereich für Dienstinstanzen unterstützt, finden Sie in der Dokumentation des jeweiligen Dienstes.

Mit der Einstellung Scope of service instance (--producer-instance-location) können Sie die Verbindung zu Dienstinstanzen konfigurieren, die sich in anderen Resource Manager-Knoten (Projekten, Ordnern und Organisationen) befinden.

  • Wenn der Wert auf no_producer_instance_location festgelegt ist, werden Endpunkte nur im selben Projekt erstellt. Dies ist der Standardwert.
  • Wenn es auf custom_resource_hierarchy_levels festgelegt ist, geben Sie die Liste der Resource Manager-Knoten im Feld --allowed-google-producers-resource-hierarchy-level an.

Wenn Sie den Gültigkeitsbereich der Dienstinstanz für eine Richtlinie für Dienstverbindungen aktualisieren, sind vorhandene Endpunkte nicht betroffen.

Ein Beispiel für die Bereitstellung finden Sie unter Google-Dienste mit benutzerdefiniertem Dienstinstanzenbereich.

Beschränkungen

  • Richtlinien für Dienstverbindungen unterstützen nur die Automatisierung der Erstellung von Private Service Connect-Endpunkten. Das Erstellen von Private Service Connect-Back-Ends oder -Dienstanhängen wird nicht unterstützt.
  • Sie können Private Service Connect-Endpunkte, die durch die Dienstverbindungsautomatisierung erstellt werden, nicht direkt löschen. Wenn Sie das Löschen dieser Endpunkte auslösen möchten, deaktivieren Sie die Dienstverbindung.
  • Sie können nur die Subnetze und das Verbindungslimit für eine Richtlinie für Dienstverbindungen aktualisieren. Wenn Sie andere Felder aktualisieren möchten, löschen Sie die Richtlinie und erstellen Sie eine neue Richtlinie.
  • Richtlinien für Dienstverbindungen unterstützen das Erstellen von Endpunkten mit IPv4-Adressen. Das Erstellen von Endpunkten mit IPv6-Adressen wird nicht unterstützt.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Nächste Schritte