Automatisierung der Dienstverbindung
Mit der Automatisierung von Dienstverbindungen können Dienstnutzer die Bereitstellung von Verbindungen zu verwalteten Diensten automatisieren.
Angenommen, ein Datenbankadministrator stellt eine Datenbankinstanz bereit und möchte, dass Dienstnutzer diese Datenbank über einen Private Service Connect-Endpunkt erreichen können. Der Datenbankadministrator hat möglicherweise nicht die erforderlichen IAM-Anmeldedaten (Identity and Access Management) oder das erforderliche Fachwissen, um Netzwerkressourcen bereitzustellen.
Wenn ein verwalteter Dienst die Automatisierung von Dienstverbindungen unterstützt, können die Konfiguration der Dienstinstanz und die Netzwerkkonfiguration an die entsprechenden Administratoren delegiert werden:
Administratoren von Dienstinstanzen können festlegen, welche Netzwerke auf ihre Dienste zugreifen können.
Netzwerkadministratoren können festlegen, für welche Dienste Verbindungen zugelassen werden sollen.
Wenn diese Konfigurationen übereinstimmen, erstellt die Automatisierung der Dienstverbindung einen Endpunkt in den entsprechenden Netzwerken und stellt eine Verbindung zur verwalteten Dienstinstanz her.
Automatisierung der Dienstkonnektivität – Übersicht
Im folgenden Abschnitt wird eine grundlegende Konfiguration in einem einzelnen VPC-Netzwerk beschrieben, bei der die Automatisierung der Dienstverbindung verwendet wird. Informationen zu anderen Konfigurationen finden Sie unter Freigegebene VPC und Google-Dienste mit benutzerdefiniertem Dienstinstanzenbereich.
So stellen Sie eine Instanz eines verwalteten Dienstes bereit, der die Automatisierung der Dienstverbindung unterstützt:
Ein Netzwerkadministrator erstellt eine Richtlinie für Dienstverbindungen für sein VPC-Netzwerk.
Die Richtlinie für Dienstverbindungen verweist auf eine Dienstklasse – eine global eindeutige Ressource, die einen bestimmten Erstellerdienst identifiziert. Eine einzelne Richtlinie für Dienstverbindungen ist auf eine einzelne Dienstklasse und ein einzelnes Nutzer-VPC-Netzwerk beschränkt, das die Möglichkeit zum Konfigurieren einer Verbindung innerhalb dieses Bereichs delegiert.
Ein Dienstinstanzadministrator stellt eine verwaltete Dienstinstanz bereit mithilfe der administrativen API oder der Benutzeroberfläche des Dienstes. In der Konfiguration der Dienstinstanz wird festgelegt, welche Netzwerke über die Automatisierung der Dienstverbindung auf den Dienst zugreifen können.
Die Automatisierung der Dienstverbindung erstellt einen Endpunkt im VPC-Netzwerk des Nutzers. Über diesen Endpunkt können Anfragen an die Dienstinstanz gesendet werden.
Erstellerkonfiguration
In den folgenden Abschnitten werden Ressourcen beschrieben, mit denen Dienstersteller die Automatisierung von Dienstverbindungen konfigurieren.
Dienstklassen
Eine Dienstklasse ist eine global eindeutige Darstellung eines verwalteten Diensttyps. Jeder Ersteller ist der ausschließliche Eigentümer seiner Dienstklasse. Nutzer verweisen in ihren Richtlinien für Dienstverbindungen auf die Dienstklasse, wodurch die Bereitstellung autorisiert und die Konnektivität an den Ersteller delegiert wird.
Richtlinien für Dienstverbindungen können nur für Dienste mit einer Dienstklasse erstellt werden.
Dienstklassen sind für von Google veröffentlichte Dienste verfügbar. Dienstklassen sind auch in einer eingeschränkten Vorabversion für Dienste von Drittanbietern und intern verwaltete Dienste verfügbar, die selbst gehostet sind. Weitere Informationen finden Sie unter Unterstützte Dienste.
Karten mit Dienstverbindungen
Eine Dienstverbindungszuordnung ist eine vom Ersteller verwaltete Ressource, in der Details zum Autorisieren und Herstellen von Private Service Connect-Verbindungen zwischen VPC-Netzwerken von Nutzern und vom Ersteller verwalteten Dienstinstanzen gespeichert werden. In dieser Zuordnung werden die zulässigen Beziehungen zwischen Dienstinstanzen von Erstellern (dargestellt durch Dienstanhänge) und den Nutzerprojekten und VPC-Netzwerken definiert, die eine Verbindung zu den Dienstinstanzen herstellen dürfen.
Autorisierungsmodell
Mit Richtlinien für Dienstverbindungen können Nutzer die Bereitstellung der Konnektivität an verwaltete Dienste delegieren. Der Dienstersteller hat keinen direkten Zugriff oder keine IAM-Berechtigungen für das Nutzerprojekt. Stattdessen konfiguriert der Ersteller eine Dienstverbindungszuordnung in seinem eigenen Projekt.
Wenn die Dienstverbindungszuordnung erstellt oder aktualisiert wird, in der Regel als Reaktion auf eine Anfrage eines Nutzerdienstadministrators an die administrative API oder Benutzeroberfläche des verwalteten Dienstes, führt die Automatisierung der Dienstverbindung eine Reihe von Autorisierungsüberprüfungen durch. Wenn alle Prüfungen bestanden werden, werden Private Service Connect-Endpunkte wie in der Anfrage angegeben erstellt.
Netzwerkkonfiguration (Richtlinie für Dienstverbindungen):
- Netzwerkautorisierung Das VPC-Netzwerk des Nutzers muss eine gültige Richtlinie für Dienstverbindungen haben, die das in der Anfrage angegebene VPC-Netzwerk, die Region und die Dienstklasse autorisiert. Mit dieser Prüfung wird sichergestellt, dass ein Administrator eines Kundennetzwerks mit IAM-Berechtigungen für das VPC-Netzwerk explizit die Möglichkeit delegiert, Private Service Connect-Endpunkte für den angegebenen Diensttyp zu erstellen.
- Dienstinstanzbereich Wenn die verwaltete Dienstinstanz ein Google-Dienst ist und in der Richtlinie für Dienstverbindungen ein benutzerdefinierter Bereich für die Dienstinstanz (
custom-resource-hierarchy-levels) angegeben ist, wird bei der Automatisierung der Dienstverbindung die Liste der bereitgestellten Resource Manager-Knoten (--allowed-google-producers-resource-hierarchy-level) geprüft. Das Projekt, das der Administrator der Dienstinstanz in der Benutzeroberfläche oder API des verwalteten Dienstes für die Bereitstellung und Verwaltung der Dienstinstanz angegeben hat, muss sich innerhalb des zulässigen Bereichs befinden, der in dieser Liste definiert ist. Der Umfang kann eine Kombination aus Organisationen, Ordnern und Projekten sein. - Endpunktprojektvalidierung Das Projekt, in dem die Verbindungsrichtlinie erstellt wird, muss mit dem VPC-Netzwerk verknüpft sein, in dem der Endpunkt erstellt werden soll. Das Projekt muss entweder das VPC-Netzwerk enthalten oder ein Dienstprojekt sein, das mit dem freigegebenen VPC-Netzwerk verbunden ist.
Konfiguration der Dienstinstanz:
IAM-Autorisierung für den Dienstadministrator Der Administrator des Verbraucherdiensts muss die IAM-Berechtigungen haben, die zum Erstellen oder Aktualisieren der Instanz des Produzentendienstes erforderlich sind. Diese Berechtigungen variieren je nach bereitgestelltem Dienst.
Administratorberechtigung für die Dienstinstanz In der administrativen API des Dienstes muss der Administrator der Dienstinstanz, der die Dienstinstanz erstellt hat, die Instanz so konfiguriert haben, dass Verbindungen aus dem VPC-Netzwerk zugelassen werden, das die Verbindung anfordert.
Erstellerkonfiguration:
- IAM-Berechtigungen für Produzenten Der Administrator des Erstellerdienstes, der die Dienstverbindungszuordnung erstellt oder aktualisiert, muss IAM-Berechtigungen für die zugehörige Dienstklasse haben. So wird verhindert, dass eine öffentliche Dienstleistung falsch dargestellt wird.
Wenn jede Bedingung erfüllt ist, erstellt das Network Connectivity-Dienstkonto die angeforderten Endpunkte in den autorisierten Netzwerken. Das Network Connectivity-Dienstkonto ist ein Dienst-Agent.
Freigegebene VPC
Mit der Automatisierung von Dienstverbindungen können Sie automatisch Private Service Connect-Endpunkte in freigegebenen VPC-Netzwerken erstellen. Da der Endpunkt mit einer IP-Adresse aus dem freigegebenen VPC-Netzwerk konfiguriert ist, kann er über das Hostprojekt und alle angehängten Dienstprojekte aufgerufen werden.
Um die im folgenden Diagramm dargestellte Konfiguration zu erstellen, werden die folgenden Aufgaben ausgeführt:
Der Netzwerkadministrator erstellt eine Richtlinie für Dienstverbindungen für das
vpc1-Netzwerk improject1-Hostprojekt und erlaubt die Verbindung zu Dienstinstanzen, die die Dienstklassegoogle-cloud-sqlverwenden. Endpunkt-IP-Adressen werden aus demendpoint-subnet-Subnetz zugewiesen.Der Administrator der Dienstinstanz stellt zwei verwaltete Dienstinstanzen bereit:
db-testim Projektservice-project-testunddb-prodim Projektservice-project-prod. Der Administrator konfiguriert die Dienstinstanz so, dass die Automatisierung der Dienstverbindung Endpunkte invpc1inproject1bereitstellen kann, die eine Verbindung zu den Dienstinstanzen herstellen.Da alle Autorisierungsüberprüfungen erfolgreich sind, werden durch die Automatisierung der Dienstkonnektivität zwei Endpunkte erstellt, die mit
endpoint-subnetverbunden sind, einer für jede Dienstinstanz. Alle VMs, die mit dem Subnetzvm-subnetverbunden sind, können auf die Endpunkte zugreifen, da sie mit demselben freigegebenen VPC-Netzwerk wie die Endpunkte verbunden sind.
Google-Dienste mit benutzerdefiniertem Dienstinstanzbereich
Für die Automatisierung der Dienstverbindung ist standardmäßig erforderlich, dass sich die Dienstinstanz und die Endpunkte, die eine Verbindung zur Dienstinstanz herstellen, im selben Projekt befinden (oder im Fall einer freigegebenen VPC in verbundenen Projekten). Bei unterstützten Google-Diensten können Dienstinstanzen und verbindende Endpunkte in verschiedenen Projekten oder Organisationen sein.
Um die im folgenden Diagramm dargestellte Konfiguration zu erstellen, werden die folgenden Aufgaben ausgeführt:
Die Netzwerkadministratoren für
vpc-1,vpc-2undvpc-3erstellen Richtlinien für Dienstverbindungen in ihren jeweiligen VPC-Netzwerken. Sie ermöglichen die Verbindung zu Dienstinstanzen, die die Dienstklassegoogle-cloud-sqlverwenden und in Projektproject-1in der Organisationorg-1bereitgestellt werden.Der Administrator der Dienstinstanz stellt eine verwaltete Dienstinstanz
db-1inproject-1bereit, indem er die administrative API oder Benutzeroberfläche des Dienstes verwendet. Der Administrator konfiguriert die Dienstinstanz so, dass die Automatisierung der Dienstverbindung Endpunkte invpc-1undvpc-2bereitstellen kann, die eine Verbindung zudb-1herstellen.Für
vpc-1undvpc-2bestehen alle Autorisierungsüberprüfungen und die Automatisierung der Dienstverbindung erstellt einen Endpunkt in jedem Netzwerk. VMs in diesen Netzwerken können Traffic über die Endpunkte an die Dienstinstanz senden.In
vpc-3wird jedoch kein Endpunkt erstellt, da dieses Netzwerk in der Konfiguration derdb-1-Dienstinstanz nicht für eine automatische Verbindung konfiguriert ist.Wenn
vpc-3auf die Dienstinstanzdb-1zugreifen muss, kann der Netzwerkadministrator den Datenbankadministrator bitten,vpc-3der Konnektivitätskonfiguration fürdb-1hinzuzufügen.
Unterstützte Dienste
Die folgenden Google-Dienste unterstützen die Automatisierung von Dienstverbindungen.
| Google-Dienst | Zugriff gewährt |
|---|---|
| Cloud SQL | Sie können damit das Erstellen von Verbindungen zu Cloud SQL-Instanzen automatisieren. |
| Memorystore for Redis Cluster | Ermöglicht das automatische Erstellen von Verbindungen zu Memorystore for Redis Cluster-Instanzen. |
| Memorystore for Valkey | Ermöglicht das automatische Erstellen von Verbindungen zu Memorystore for Valkey-Instanzen. |
| Vertex AI Vektorsuche | Damit können Sie das Erstellen von Verbindungen zu Vektorsuchendpunkten automatisieren. |
Wenden Sie sich an den Dienstanbieter, um herauszufinden, ob ein verwalteter Dienst von Drittanbietern Richtlinien für Dienstverbindungen unterstützt. Wenn ein Dienst Richtlinien für Dienstverbindungen unterstützt, kann Ihnen der Dienstanbieter die zugehörige Dienstklasse bereitstellen.
Erstellerseitige Automatisierungsressourcen sind in der eingeschränkten Vorschau verfügbar. Wenn Sie die Verbindung auf Nutzerseite für Ihren eigenen verwalteten Dienst automatisieren möchten, wenden Sie sich an Ihren Google Cloud Vertriebsmitarbeiter.