Automatisierung der Dienstverbindung

Mit der Automatisierung von Dienstverbindungen können Dienstnutzer die Bereitstellung von Verbindungen zu verwalteten Diensten automatisieren.

Angenommen, ein Datenbankadministrator stellt eine Datenbankinstanz bereit und möchte, dass Dienstnutzer diese Datenbank über einen Private Service Connect-Endpunkt erreichen können. Der Datenbankadministrator hat möglicherweise nicht die erforderlichen IAM-Anmeldedaten (Identity and Access Management) oder das erforderliche Fachwissen, um Netzwerkressourcen bereitzustellen.

Wenn ein verwalteter Dienst die Automatisierung von Dienstverbindungen unterstützt, können die Konfiguration der Dienstinstanz und die Netzwerkkonfiguration an die entsprechenden Administratoren delegiert werden:

  • Administratoren von Dienstinstanzen können festlegen, welche Netzwerke auf ihre Dienste zugreifen können.

  • Netzwerkadministratoren können festlegen, für welche Dienste Verbindungen zugelassen werden sollen.

Wenn diese Konfigurationen übereinstimmen, erstellt die Automatisierung der Dienstverbindung einen Endpunkt in den entsprechenden Netzwerken und stellt eine Verbindung zur verwalteten Dienstinstanz her.

Automatisierung der Dienstkonnektivität – Übersicht

Im folgenden Abschnitt wird eine grundlegende Konfiguration in einem einzelnen VPC-Netzwerk beschrieben, bei der die Automatisierung der Dienstverbindung verwendet wird. Informationen zu anderen Konfigurationen finden Sie unter Freigegebene VPC und Google-Dienste mit benutzerdefiniertem Dienstinstanzenbereich.

So stellen Sie eine Instanz eines verwalteten Dienstes bereit, der die Automatisierung der Dienstverbindung unterstützt:

  1. Ein Netzwerkadministrator erstellt eine Richtlinie für Dienstverbindungen für sein VPC-Netzwerk.

    Die Richtlinie für Dienstverbindungen verweist auf eine Dienstklasse – eine global eindeutige Ressource, die einen bestimmten Erstellerdienst identifiziert. Eine einzelne Richtlinie für Dienstverbindungen ist auf eine einzelne Dienstklasse und ein einzelnes Nutzer-VPC-Netzwerk beschränkt, das die Möglichkeit zum Konfigurieren einer Verbindung innerhalb dieses Bereichs delegiert.

  2. Ein Dienstinstanzadministrator stellt eine verwaltete Dienstinstanz bereit mithilfe der administrativen API oder der Benutzeroberfläche des Dienstes. In der Konfiguration der Dienstinstanz wird festgelegt, welche Netzwerke über die Automatisierung der Dienstverbindung auf den Dienst zugreifen können.

  3. Die Automatisierung der Dienstverbindung erstellt einen Endpunkt im VPC-Netzwerk des Nutzers. Über diesen Endpunkt können Anfragen an die Dienstinstanz gesendet werden.

Mit der Automatisierung der Dienstverbindung können Dienstabnehmer die Bereitstellung der Konnektivität zu verwalteten Diensten automatisieren (zum Vergrößern klicken).

Erstellerkonfiguration

In den folgenden Abschnitten werden Ressourcen beschrieben, mit denen Dienstersteller die Automatisierung von Dienstverbindungen konfigurieren.

Dienstklassen

Eine Dienstklasse ist eine global eindeutige Darstellung eines verwalteten Diensttyps. Jeder Ersteller ist der ausschließliche Eigentümer seiner Dienstklasse. Nutzer verweisen in ihren Richtlinien für Dienstverbindungen auf die Dienstklasse, wodurch die Bereitstellung autorisiert und die Konnektivität an den Ersteller delegiert wird.

Richtlinien für Dienstverbindungen können nur für Dienste mit einer Dienstklasse erstellt werden.

Dienstklassen sind für von Google veröffentlichte Dienste verfügbar. Dienstklassen sind auch in einer eingeschränkten Vorabversion für Dienste von Drittanbietern und intern verwaltete Dienste verfügbar, die selbst gehostet sind. Weitere Informationen finden Sie unter Unterstützte Dienste.

Karten mit Dienstverbindungen

Eine Dienstverbindungszuordnung ist eine vom Ersteller verwaltete Ressource, in der Details zum Autorisieren und Herstellen von Private Service Connect-Verbindungen zwischen VPC-Netzwerken von Nutzern und vom Ersteller verwalteten Dienstinstanzen gespeichert werden. In dieser Zuordnung werden die zulässigen Beziehungen zwischen Dienstinstanzen von Erstellern (dargestellt durch Dienstanhänge) und den Nutzerprojekten und VPC-Netzwerken definiert, die eine Verbindung zu den Dienstinstanzen herstellen dürfen.

Autorisierungsmodell

Mit Richtlinien für Dienstverbindungen können Nutzer die Bereitstellung der Konnektivität an verwaltete Dienste delegieren. Der Dienstersteller hat keinen direkten Zugriff oder keine IAM-Berechtigungen für das Nutzerprojekt. Stattdessen konfiguriert der Ersteller eine Dienstverbindungszuordnung in seinem eigenen Projekt.

Wenn die Dienstverbindungszuordnung erstellt oder aktualisiert wird, in der Regel als Reaktion auf eine Anfrage eines Nutzerdienstadministrators an die administrative API oder Benutzeroberfläche des verwalteten Dienstes, führt die Automatisierung der Dienstverbindung eine Reihe von Autorisierungsüberprüfungen durch. Wenn alle Prüfungen bestanden werden, werden Private Service Connect-Endpunkte wie in der Anfrage angegeben erstellt.

  • Netzwerkkonfiguration (Richtlinie für Dienstverbindungen):

    • Netzwerkautorisierung Das VPC-Netzwerk des Nutzers muss eine gültige Richtlinie für Dienstverbindungen haben, die das in der Anfrage angegebene VPC-Netzwerk, die Region und die Dienstklasse autorisiert. Mit dieser Prüfung wird sichergestellt, dass ein Administrator eines Kundennetzwerks mit IAM-Berechtigungen für das VPC-Netzwerk explizit die Möglichkeit delegiert, Private Service Connect-Endpunkte für den angegebenen Diensttyp zu erstellen.
    • Dienstinstanzbereich Wenn die verwaltete Dienstinstanz ein Google-Dienst ist und in der Richtlinie für Dienstverbindungen ein benutzerdefinierter Bereich für die Dienstinstanz (custom-resource-hierarchy-levels) angegeben ist, wird bei der Automatisierung der Dienstverbindung die Liste der bereitgestellten Resource Manager-Knoten (--allowed-google-producers-resource-hierarchy-level) geprüft. Das Projekt, das der Administrator der Dienstinstanz in der Benutzeroberfläche oder API des verwalteten Dienstes für die Bereitstellung und Verwaltung der Dienstinstanz angegeben hat, muss sich innerhalb des zulässigen Bereichs befinden, der in dieser Liste definiert ist. Der Umfang kann eine Kombination aus Organisationen, Ordnern und Projekten sein.
    • Endpunktprojektvalidierung Das Projekt, in dem die Verbindungsrichtlinie erstellt wird, muss mit dem VPC-Netzwerk verknüpft sein, in dem der Endpunkt erstellt werden soll. Das Projekt muss entweder das VPC-Netzwerk enthalten oder ein Dienstprojekt sein, das mit dem freigegebenen VPC-Netzwerk verbunden ist.
  • Konfiguration der Dienstinstanz:

    • IAM-Autorisierung für den Dienstadministrator Der Administrator des Verbraucherdiensts muss die IAM-Berechtigungen haben, die zum Erstellen oder Aktualisieren der Instanz des Produzentendienstes erforderlich sind. Diese Berechtigungen variieren je nach bereitgestelltem Dienst.

    • Administratorberechtigung für die Dienstinstanz In der administrativen API des Dienstes muss der Administrator der Dienstinstanz, der die Dienstinstanz erstellt hat, die Instanz so konfiguriert haben, dass Verbindungen aus dem VPC-Netzwerk zugelassen werden, das die Verbindung anfordert.

  • Erstellerkonfiguration:

    • IAM-Berechtigungen für Produzenten Der Administrator des Erstellerdienstes, der die Dienstverbindungszuordnung erstellt oder aktualisiert, muss IAM-Berechtigungen für die zugehörige Dienstklasse haben. So wird verhindert, dass eine öffentliche Dienstleistung falsch dargestellt wird.

Wenn jede Bedingung erfüllt ist, erstellt das Network Connectivity-Dienstkonto die angeforderten Endpunkte in den autorisierten Netzwerken. Das Network Connectivity-Dienstkonto ist ein Dienst-Agent.

Freigegebene VPC

Mit der Automatisierung von Dienstverbindungen können Sie automatisch Private Service Connect-Endpunkte in freigegebenen VPC-Netzwerken erstellen. Da der Endpunkt mit einer IP-Adresse aus dem freigegebenen VPC-Netzwerk konfiguriert ist, kann er über das Hostprojekt und alle angehängten Dienstprojekte aufgerufen werden.

Um die im folgenden Diagramm dargestellte Konfiguration zu erstellen, werden die folgenden Aufgaben ausgeführt:

  1. Der Netzwerkadministrator erstellt eine Richtlinie für Dienstverbindungen für das vpc1-Netzwerk im project1-Hostprojekt und erlaubt die Verbindung zu Dienstinstanzen, die die Dienstklasse google-cloud-sql verwenden. Endpunkt-IP-Adressen werden aus dem endpoint-subnet-Subnetz zugewiesen.

  2. Der Administrator der Dienstinstanz stellt zwei verwaltete Dienstinstanzen bereit: db-test im Projekt service-project-test und db-prod im Projekt service-project-prod. Der Administrator konfiguriert die Dienstinstanz so, dass die Automatisierung der Dienstverbindung Endpunkte in vpc1 in project1 bereitstellen kann, die eine Verbindung zu den Dienstinstanzen herstellen.

  3. Da alle Autorisierungsüberprüfungen erfolgreich sind, werden durch die Automatisierung der Dienstkonnektivität zwei Endpunkte erstellt, die mit endpoint-subnet verbunden sind, einer für jede Dienstinstanz. Alle VMs, die mit dem Subnetz vm-subnet verbunden sind, können auf die Endpunkte zugreifen, da sie mit demselben freigegebenen VPC-Netzwerk wie die Endpunkte verbunden sind.

Mit einer Dienstverbindungsrichtlinie in einem freigegebenen VPC-Netzwerk können Sie eine Verbindung zu Dienstinstanzen herstellen, die in Dienstprojekten bereitgestellt werden (zum Vergrößern anklicken).

Google-Dienste mit benutzerdefiniertem Dienstinstanzbereich

Für die Automatisierung der Dienstverbindung ist standardmäßig erforderlich, dass sich die Dienstinstanz und die Endpunkte, die eine Verbindung zur Dienstinstanz herstellen, im selben Projekt befinden (oder im Fall einer freigegebenen VPC in verbundenen Projekten). Bei unterstützten Google-Diensten können Dienstinstanzen und verbindende Endpunkte in verschiedenen Projekten oder Organisationen sein.

Um die im folgenden Diagramm dargestellte Konfiguration zu erstellen, werden die folgenden Aufgaben ausgeführt:

  1. Die Netzwerkadministratoren für vpc-1, vpc-2 und vpc-3 erstellen Richtlinien für Dienstverbindungen in ihren jeweiligen VPC-Netzwerken. Sie ermöglichen die Verbindung zu Dienstinstanzen, die die Dienstklasse google-cloud-sql verwenden und in Projekt project-1 in der Organisation org-1 bereitgestellt werden.

  2. Der Administrator der Dienstinstanz stellt eine verwaltete Dienstinstanz db-1 in project-1 bereit, indem er die administrative API oder Benutzeroberfläche des Dienstes verwendet. Der Administrator konfiguriert die Dienstinstanz so, dass die Automatisierung der Dienstverbindung Endpunkte in vpc-1 und vpc-2 bereitstellen kann, die eine Verbindung zu db-1 herstellen.

  3. Für vpc-1 und vpc-2 bestehen alle Autorisierungsüberprüfungen und die Automatisierung der Dienstverbindung erstellt einen Endpunkt in jedem Netzwerk. VMs in diesen Netzwerken können Traffic über die Endpunkte an die Dienstinstanz senden.

    In vpc-3 wird jedoch kein Endpunkt erstellt, da dieses Netzwerk in der Konfiguration der db-1-Dienstinstanz nicht für eine automatische Verbindung konfiguriert ist.

    Wenn vpc-3 auf die Dienstinstanz db-1 zugreifen muss, kann der Netzwerkadministrator den Datenbankadministrator bitten, vpc-3 der Konnektivitätskonfiguration für db-1 hinzuzufügen.

Sie können die Verbindung zu unterstützten Google-Diensten aus verschiedenen Projekten, Ordnern oder Organisationen automatisieren (zum Vergrößern anklicken).

Unterstützte Dienste

Die folgenden Google-Dienste unterstützen die Automatisierung von Dienstverbindungen.

Google-Dienst Zugriff gewährt
Cloud SQL Sie können damit das Erstellen von Verbindungen zu Cloud SQL-Instanzen automatisieren.
Memorystore for Redis Cluster Ermöglicht das automatische Erstellen von Verbindungen zu Memorystore for Redis Cluster-Instanzen.
Memorystore for Valkey Ermöglicht das automatische Erstellen von Verbindungen zu Memorystore for Valkey-Instanzen.
Vertex AI Vektorsuche Damit können Sie das Erstellen von Verbindungen zu Vektorsuchendpunkten automatisieren.

Wenden Sie sich an den Dienstanbieter, um herauszufinden, ob ein verwalteter Dienst von Drittanbietern Richtlinien für Dienstverbindungen unterstützt. Wenn ein Dienst Richtlinien für Dienstverbindungen unterstützt, kann Ihnen der Dienstanbieter die zugehörige Dienstklasse bereitstellen.

Erstellerseitige Automatisierungsressourcen sind in der eingeschränkten Vorschau verfügbar. Wenn Sie die Verbindung auf Nutzerseite für Ihren eigenen verwalteten Dienst automatisieren möchten, wenden Sie sich an Ihren Google Cloud Vertriebsmitarbeiter.