Veröffentlichte Dienste

Dieses Dokument bietet eine Übersicht über die Verwendung von Private Service Connect, um Dienstnutzern einen Dienst zur Verfügung zu stellen.

Als Dienstersteller können Sie Private Service Connect verwenden, um Dienste mithilfe interner IP-Adressen in Ihrem VPC-Netzwerk zu veröffentlichen. Ihre veröffentlichten Dienste sind für Dienstnutzer über interne IP-Adressen in ihren VPC-Netzwerken zugänglich.

Wenn Sie einen Dienst für Nutzer verfügbar machen möchten, erstellen Sie ein oder mehrere Subnetze. Erstellen Sie anschließend einen Dienstanhang, der auf diese Subnetze verweist. Der Dienstanhang kann unterschiedliche Verbindungseinstellungen haben.

Dienstnutzertypen

Es gibt zwei Arten von Nutzern, die eine Verbindung zu einem Private Service Connect-Dienst herstellen können:

Endpunkte basieren auf einer Weiterleitungsregel.

**Abbildung 1.** Mit einem Endpunkt können Dienstnutzer Traffic vom VPC-Netzwerk des Nutzers an Dienste im VPC-Netzwerk des Dienstherstellers senden (zum Vergrößern klicken).

Back-Ends basieren auf einem Load-Balancer.

**Abbildung 2.** Mit einem Backend, das einen globalen externen Application Load Balancer verwendet, können Dienstnutzer mit Internetzugriff Traffic an Dienste im VPC-Netzwerk des Diensterstellers senden (zum Vergrößern klicken).

Private Service Connect-Dienstkonfiguration

Wenn Sie einen Private Service Connect-Dienst erstellen, konfigurieren Sie ein Subnetz, einen Dienstanhang und eine Verbindungseinstellung. Optional können Sie auch eine DNS-Domain für den Dienst konfigurieren. Diese Konfigurationen werden in den folgenden Abschnitten beschrieben.

NAT-Subnetze

Private Service Connect-Dienstanhänge werden mit einem oder mehreren NAT-Subnetzen (auch als Private Service Connect-Subnetze bezeichnet) konfiguriert. Pakete aus dem Nutzer-VPC-Netzwerk werden mithilfe von Quell-NAT (SNAT) übersetzt, sodass ihre ursprünglichen Quell-IP-Adressen in Quell-IP-Adressen aus dem NAT-Subnetz im VPC-Netzwerk des Erstellers konvertiert werden.

Dienstanhänge können mehrere NAT-Subnetze haben. Weitere NAT-Subnetze können dem Dienstanhang jederzeit hinzugefügt werden, ohne den Traffic zu unterbrechen.

Für einen Dienstanhang können mehrere NAT-Subnetze konfiguriert werden. Ein NAT-Subnetz kann jedoch nicht in mehr als einem Dienstanhang verwendet werden.

Private Service Connect NAT-Subnetze können nicht für Ressourcen wie VM-Instanzen oder Weiterleitungsregeln verwendet werden. Die Subnetze werden nur verwendet, um IP-Adressen für SNAT von eingehenden Nutzerverbindungen bereitzustellen.

Größe von NAT-Subnetzen festlegen

Wenn Sie einen Dienst veröffentlichen, erstellen Sie ein NAT-Subnetz und wählen einen IP-Adressbereich aus. Die Größe des Subnetzes bestimmt, wie viele gleichzeitige Private Service Connect-Endpunkte oder -Back-Ends eine Verbindung zum Dienstanhang herstellen können. IP-Adressen werden aus dem NAT-Subnetz entsprechend der Anzahl der Private Service Connect-Verbindungen genutzt. Wenn alle IP-Adressen im NAT-Subnetz genutzt werden, schlagen alle zusätzlichen Private Service Connect-Verbindungen fehl. Deshalb ist es wichtig, die Größe des NAT-Subnetzes entsprechend anzupassen.

Berücksichtigen Sie bei der Auswahl einer Subnetzgröße Folgendes:

Es gibt vier ubrauchbare IP-Adressen in einem NAT-Subnetz, sodass die Anzahl der verfügbaren IP-Adressen 2^{(32 - PREFIX_LENGTH)} - 4 beträgt. Wenn Sie beispielsweise ein NAT-Subnetz mit der Präfixlänge von /24 erstellen, kann Private Service Connect 252 der IP-Adressen für SNAT verwenden. Ein /29-Subnetz mit vier verfügbaren IP-Adressen ist die kleinste Subnetzgröße, die in VPC-Netzwerken unterstützt wird.
Für jeden Endpunkt oder jedes Backend, das mit dem Dienstanhang verbunden ist, wird eine IP-Adresse aus dem NAT-Subnetz genutzt.
Wenn Sie schätzen möchten, wie viele IP-Adressen Sie für Endpunkte und Back-Ends benötigen, berücksichtigen Sie alle Mehrmandantenfähige Dienste oder Verbraucher, die Multi-Point-Zugriff für Private Service Connect verwenden.
Die Anzahl der TCP- oder UDP-Verbindungen, Clients oder Nutzer-VPC-Netzwerke wirkt sich nicht auf die Nutzung von IP-Adressen aus dem NAT-Subnetz aus.

Wenn beispielsweise zwei Endpunkte mit einem einzelnen Dienstanhang verbunden sind, werden zwei IP-Adressen aus dem NAT-Subnetz genutzt. Wenn sich die Anzahl der Endpunkte nicht ändert, können Sie ein Subnetz /29 mit vier verwendbaren IP-Adressen für diesen Dienstanhang verwenden.

NAT-Subnetz-Monitoring

Damit Private Service Connect-Verbindungen nicht aufgrund von nicht verfügbaren IP-Adressen in einem NAT-Subnetz fehlschlagen, empfehlen wir Folgendes:

Überwachen Sie den Dienstanhang-Messwert private_service_connect/producer/used_nat_ip_addresses. Achten Sie darauf, dass die Anzahl der verwendeten NAT-IP-Adressen nicht die Kapazität der NAT-Subnetze eines Dienstanhangs überschreitet.
Prüfen Sie den Verbindungsstatus der Dienstanhang-Verbindungen. Wenn eine Verbindung den Status Maßnahme erforderlich hat, sind in den NAT-Subnetzen des Anhangs möglicherweise keine weiteren IP-Adressen verfügbar.
Bei mehrmandantenfähigen Diensten können Sie Verbindungslimits verwenden, um sicherzustellen, dass ein einzelner Nutzer die Kapazität der NAT-Subnetze eines Dienstanhangs nicht aufbraucht.

Bei Bedarf können Sie jederzeit NAT-Subnetze zum Dienstanhang hinzufügen, ohne den Traffic zu unterbrechen.

Maximale Anzahl an Verbindungen

Eine einzelne Produzenten-VM kann maximal 65.536 TCP-Verbindungen und 65.536 UDP-Verbindungen von einem einzelnen Private Service Connect-Endpunkt aus akzeptieren. Es gibt keine Beschränkung für die Gesamtzahl der TCP- und UDP-Verbindungen, die ein Private Service Connect-Endpunkt aggregiert über alle Ersteller-Back-Ends empfangen kann. Nutzer-VMs können alle 65.536 Ports verwenden, wenn TCP- oder UDP-Verbindungen zu einem Private Service Connect-Endpunkt initiiert werden. Die gesamte Netzwerkadressübersetzung wird lokal auf dem Produzentenhost durchgeführt, für den kein zentral zugewiesener NAT-Portpool erforderlich ist.

Weitere Hinweise

Weitere Hinweise zu NAT-Subnetzen:

Das Zeitlimit für Inaktivität bei der UDP-Zuordnung beträgt 30 Sekunden und kann nicht konfiguriert werden.
Das Zeitlimit für Inaktivität hergestellter TCP-Verbindungen beträgt 20 Minuten und kann nicht konfiguriert werden.
Das Zeitlimit für Inaktivität vorübergehender TCP-Verbindungen beträgt 30 Sekunden und kann nicht konfiguriert werden.
Es gibt eine Verzögerung von zwei Minuten, bevor ein 5-Tupel (Quell-IP-Adresse und Quellport des NAT-Subnetzes sowie Zielprotokoll, IP-Adresse und Zielport) wiederverwendet werden kann.
SNAT für Private Service Connect unterstützt keine IP-Fragmente.

Dienstanhänge

Dienstersteller stellen ihre Dienste über einen Dienstanhang bereit.

Für die Freigabe eines Dienstes erstellt ein Dienstersteller einen Dienstanhang, der auf die Weiterleitungsregel des Load-Balancers des Dienstes verweist.
Für den Zugriff auf einen Dienst erstellt ein Dienstnutzer einen Endpunkt, der auf den Dienstanhang verweist.

Der URI des Dienstanhangs hat folgendes Format: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME.

Auf jeden Load-Balancer kann nur von einem einzelnen Dienstanhang verwiesen werden. Es ist nicht möglich, mehrere Dienstanhänge zu konfigurieren, die denselben Load-Balancer verwenden.

Verbindungseinstellungen

Jeder Dienstanhang hat eine Verbindungseinstellung, die angibt, ob Verbindungsanfragen automatisch akzeptiert werden. Sie haben drei Möglichkeiten zur Auswahl:

Alle Verbindungen automatisch akzeptieren. Der Dienstanhang akzeptiert automatisch alle eingehenden Verbindungsanfragen von jedem Nutzer. Die automatische Annahme kann durch eine Organisationsrichtlinie überschrieben werden, die eingehende Verbindungen blockiert.
Verbindungen für ausgewählte Netzwerke akzeptieren. Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzer-VPC-Netzwerk auf der Nutzerannahmeliste des Dienstanhangs steht.
Verbindungen für ausgewählte Projekte akzeptieren Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzerprojekt auf der Nutzerannahmeliste des Dienstanhangs steht.

Wir empfehlen, Verbindungen für ausgewählte Projekte oder Netzwerke zu akzeptieren. Die automatische Annahme aller Verbindungen ist möglicherweise sinnvoll, wenn Sie den Nutzerzugriff auf andere Weise steuern und einen strikten Zugriff auf Ihren Dienst ermöglichen möchten.

Verbindungsstatus

Dienstanhänge haben Verbindungsstatus, die den Zustand ihrer Verbindungen beschreiben. Weitere Informationen finden Sie unter Verbindungsstatus.

Nutzerannahmelisten und Nutzerablehnungslisten

Nutzerannahmelisten und Nutzerablehnungslisten sind eine Sicherheitsfunktion von Dienstanhängen. Mit Annahmelisten und Ablehnungslisten können Dienstersteller angeben, welche Nutzer Private Service Connect-Verbindungen zu ihren Diensten herstellen können. Nutzerannahmelisten geben an, ob eine Verbindung akzeptiert wird, und Nutzerablehnungslisten geben an, ob eine Verbindung abgelehnt wird. Mit beiden Listen können Sie Nutzer nach dem VPC-Netzwerk oder Projekt der verbindenden Ressource angeben. Wenn Sie ein Projekt oder Netzwerk sowohl auf die Annahmeliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt oder Netzwerk abgelehnt. Die Angabe von Nutzern nach Ordner wird nicht unterstützt.

Mit Nutzerannahmelisten und Nutzerablehnungslisten können Sie Projekte oder VPC-Netzwerke angeben, jedoch nicht beides gleichzeitig. Sie können eine Liste von einem Typ zum anderen ändern, ohne die Verbindungen zu unterbrechen. Sie müssen die Änderung jedoch in einer einzelnen Aktualisierung vornehmen. Andernfalls könnten einige Verbindungen vorübergehend in den Status "Ausstehend" wechseln.

Informationen zur Interaktion von Nutzerlisten mit Organisationsrichtlinien finden Sie unter Interaktion zwischen Nutzerannahmelisten und Organisationsrichtlinien.

Verbindungsabgleich

Der Verbindungsabgleich bestimmt, ob sich Aktualisierungen der Zulassungs- oder Ablehnungslisten eines Dienstanhangs auf vorhandene Private Service Connect-Verbindungen auswirken können. Wenn der Verbindungsabgleich aktiviert ist, können vorhandene Verbindungen durch das Aktualisieren der Zulassungs- oder Ablehnungslisten beendet werden. Verbindungen, die zuvor abgelehnt wurden, können akzeptiert werden. Wenn der Verbindungsabgleich deaktiviert ist, wirkt sich die Aktualisierung der Zulassungs- oder Ablehnungslisten nur auf neue und ausstehende Verbindungen aus.

Betrachten Sie beispielsweise einen Dienstanhang, der mehrere akzeptierte Verbindungen von Project-A hat. Project-A ist in der Zulassungsliste des Dienstanhangs enthalten. Der Dienstanhang wird aktualisiert. Dazu wird Project-A aus der Zulassungsliste entfernt.

Wenn der Verbindungsabgleich aktiviert ist, werden alle vorhandenen Verbindungen von Project-A zu PENDING übertragen, wodurch die Netzwerkverbindung zwischen den beiden VPC-Netzwerken beendet und der Netzwerktraffic sofort beendet wird.

Wenn der Verbindungsabgleich deaktiviert ist, sind vorhandene Verbindungen von Project-A nicht betroffen. Der Netzwerktraffic kann weiterhin über die vorhandenen Private Service Connect-Verbindungen fließen. Neue Private Service Connect-Verbindungen sind jedoch nicht zulässig.

Informationen zum Konfigurieren des Verbindungsabgleichs für neue Dienstanhänge finden Sie unter Dienst mit expliziter Genehmigung veröffentlichen.

Informationen zum Konfigurieren des Verbindungsabgleichs für vorhandene Dienstanhänge finden Sie unter Verbindungsabgleich konfigurieren.

Verbindungseinschränkungen

Für Nutzerannahmelisten gelten Verbindungslimits. Mit diesen Limits wird die Gesamtzahl der Verbindungen festgelegt, die ein Dienstanhang vom angegebenen Nutzerprojekt oder VPC-Netzwerk akzeptieren kann. Ersteller können diese Limits verwenden, um zu verhindern, dass einzelne Nutzer IP-Adressen oder Ressourcenkontingente im Ersteller-VPC-Netzwerk erschöpfen. Jede akzeptierte Private Service Connect-Verbindung wird vom konfigurierten Limit für ein Nutzerprojekt oder ein VPC-Netzwerk abgezogen. Die Limits werden beim Erstellen oder Aktualisieren von Nutzerannahmelisten festgelegt. Sie können die Verbindungen eines Dienstanhangs aufrufen, wenn Sie einen Dienstanhang beschreiben.

Angenommen, ein Dienstanhang hat eine Nutzerannahmeliste, die project-1 und project-2 mit jeweils einem Limit von einer Verbindung enthält. Das Projekt project-1 fordert zwei Verbindungen an, project-2 fordert eine Verbindung an und project-3 fordert eine Verbindung an. Da project-1 auf eine Verbindung beschränkt ist, wird die erste Verbindung akzeptiert und die zweite bleibt ausstehend. Die Verbindung von project-2 wird akzeptiert und die Verbindung von project-3 bleibt ausstehend. Die zweite Verbindung von project-1 kann akzeptiert werden, indem Sie das Limit für project-1 erhöhen. Wenn project-3 der Annahmeliste hinzugefügt wird, wechselt diese Verbindung von "Ausstehend" zu "Akzeptiert".

DNS-Konfiguration

Informationen zur DNS-Konfiguration für veröffentlichte Dienste und Endpunkte, die eine Verbindung zu veröffentlichten Diensten herstellen, finden Sie unter DNS-Konfiguration für Dienste.

Konfiguration für mehrere Regionen

Sie können einen Dienst in mehreren Regionen verfügbar machen, indem Sie die folgenden Konfigurationen erstellen.

Erstellerkonfiguration:

Stellen Sie den Dienst in jeder Region bereit. Jede regionale Instanz des Dienstes muss auf einem Load-Balancer konfiguriert werden, der den Zugriff über ein Backend unterstützt.
Erstellen Sie einen Dienstanhang, um jede regionale Instanz des Dienstes zu veröffentlichen.

Nutzerkonfiguration:

Backend für den Zugriff auf veröffentlichte Dienste erstellen. Das Backend basiert auf einem globalen externen Application Load Balancer und enthält die folgenden Konfigurationen:
- Eine Private Service Connect-NEG in jeder Region, die auf den Dienstanhang dieser Region verweist.
- Ein Backend-Dienst, der die NEG-Backends enthält.

In dieser Konfiguration leitet der Endpunkt den Traffic mithilfe der standardmäßigen globalen Load-Balancing-Richtlinie weiter – zuerst nach Status und dann nach dem Standort, der dem Client am nächsten liegt.

**Abbildung 3.** Mit einem globalen externen Application Load Balancer können Dienstnutzer mit Internetzugriff Traffic an Dienste im VPC-Netzwerk des Diensterstellers senden. Da der Dienst in mehreren Regionen bereitgestellt wird, kann der Load-Balancer Traffic an eine NEG in der nächstgelegenen fehlerfreien Region weiterleiten (zum Vergrößern klicken).

Übersetzung von IP-Versionen

Bei Verbindungen zwischen Private Service Connect-Endpunkten für veröffentlichte Dienste und Dienstanhänge bestimmt die IP-Version der IP-Adresse der Nutzerweiterleitungsregel die IP-Version des Endpunkts und den Traffic, der den Endpunkt ausgibt. Die IP-Version des Endpunkts kann entweder IPv4 oder IPv6 sein, aber nicht beides. Nutzer können eine IPv4-Adresse verwenden, wenn das Subnetz der Adresse Single-Stack ist. Nutzer können eine IPv4- oder IPv6-Adresse verwenden, wenn das Subnetz der Adresse Dual-Stack ist. Nutzer können sowohl IPv4- als auch IPv6-Endpunkte mit demselben Dienstanhang verbinden. Dies kann für die Migration von Diensten zu IPv6 hilfreich sein.

Bei Verbindungen zwischen Private Service Connect-Endpunkten für veröffentlichte Dienste und Dienstanhänge bestimmt die IP-Version der Weiterleitungsregel des Erstellers die IP-Version des Dienstanhangs und den Traffic, der den Dienstanhang ausgibt. Die IP-Version des Dienstanhangs kann entweder IPv4 oder IPv6 sein, aber nicht beides. Ersteller können eine IPv4-Adresse verwenden, wenn das Subnetz der Adresse Single-Stack-Subnetz ist. Ersteller können eine IPv4- oder IPv6-Adresse verwenden, wenn das Subnetz der Adresse Dual-Stack ist.

Die IP-Version der IP-Adresse der Ersteller-Weiterleitungsregel muss mit dem Stack-Typ des NAT-Subnetzes des Dienstanhangs kompatibel sein. Wenn die Weiterleitungsregel des Erstellers IPv4 ist, kann das NAT-Subnetz Single-Stack- oder Dual-Stack-Cluster sein. Wenn die Weiterleitungsregel des Erstellers IPv6 ist, muss das NAT-Subnetz ein Dual-Stack-Subnetz sein.

Private Service Connect unterstützt nicht die Verbindung eines IPv4-Endpunkts mit einem IPv6-Dienstanhang. In diesem Fall schlägt die Endpunkterstellung mit der folgenden Fehlermeldung fehl:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

Für unterstützte Konfigurationen sind folgende Kombinationen möglich:

IPv4-Endpunkt zum IPv4-Dienstanhang
IPv6-Endpunkt zum IPv6-Dienstanhang (Vorschau)
IPv6-Endpunkt zum IPv4-Dienstanhang (Vorschau)

In dieser Konfiguration übersetzt Private Service Connect automatisch zwischen den beiden IP-Versionen.

Für Verbindungen zwischen Private Service Connect-Back-Ends und Dienstanhängen müssen die Weiterleitungsregeln für Nutzer und Ersteller beide IPv4 verwenden.

Features und Kompatibilität

In den folgenden Tabellen weist ein Häkchen darauf hin, dass ein Feature unterstützt wird, und ein Nein-Symbol weist darauf hin, dass ein Feature nicht unterstützt wird.

Je nachdem, welcher Ersteller-Load-Balancer ausgewählt wird, kann der Erstellerdienst den Zugriff über Endpunkte, Back-Ends oder beides unterstützen.

Unterstützung für Endpunkte

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und -funktionen von Endpunkten, die auf veröffentlichte Dienste zugreifen, zusammengefasst.

Nutzerkonfiguration (Endpunkt)	Ersteller-LoadBalancer
Nutzerkonfiguration (Endpunkt)	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer	Interne Protokollweiterleitung (Zielinstanz)
Globaler Nutzerzugriff	Unabhängig von der globalen Zugriffseinstellung auf dem Load-Balancer	Nur wenn globaler Zugriff auf dem Load-Balancer aktiviert ist	Nur wenn globaler Zugriff auf dem Load-Balancer aktiviert ist	Unabhängig von der globalen Zugriffseinstellung auf dem Load Balancer
Interconnect-Traffic
Cloud VPN-Traffic
Automatische DNS-Konfiguration	Nur IPv4	Nur IPv4	Nur IPv4	Nur IPv4
IPv4-Endpunkte	IPv4-Ersteller-Weiterleitungsregeln	IPv4-Ersteller-Weiterleitungsregeln	IPv4-Ersteller-Weiterleitungsregeln	IPv4-Ersteller-Weiterleitungsregeln
IPv6-Endpunkte (Vorschau)	Weiterleitungsregeln des IPv4-Erstellers (Vorschau) IPv6-Ersteller-Weiterleitungsregeln (Vorschau)	Weiterleitungsregeln des IPv4-Erstellers (Vorschau)	Weiterleitungsregeln des IPv4-Erstellers (Vorschau)	Weiterleitungsregeln des IPv4-Erstellers (Vorschau) IPv6-Ersteller-Weiterleitungsregeln (Vorschau)

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und Funktionen veröffentlichter Dienste zusammengefasst, auf die Endpunkte zugreifen.

Erstellerkonfiguration (veröffentlichter Dienst)	Ersteller-LoadBalancer
Erstellerkonfiguration (veröffentlichter Dienst)	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer	Interne Protokollweiterleitung (Zielinstanz)
Unterstützte Ersteller-Back-Ends	GCE_VM_IP-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen	Nicht zutreffend
Proxyprotokoll	Nur TCP-Traffic			Nur TCP-Traffic
Sitzungsaffinitätsmodi	NONE (5-Tupel) CLIENT_IP_PORT_PROTO	Nicht zutreffend	Nicht zutreffend	Nicht zutreffend
IP-Version	IPv4-Ersteller-Weiterleitungsregeln IPv6-Ersteller-Weiterleitungsregeln (Vorschau)	IPv4-Ersteller-Weiterleitungsregeln	IPv4-Ersteller-Weiterleitungsregeln	IPv4-Ersteller-Weiterleitungsregeln IPv6-Ersteller-Weiterleitungsregeln (Vorschau)

Verschiedene Load-Balancer unterstützen unterschiedliche Portkonfigurationen. Einige Load-Balancer unterstützen einen einzelnen Port, andere einen Portbereich und andere alle Ports. Weitere Informationen finden Sie unter Angabe von Ports.

Unterstützung für Back-Ends

Ein Private Service Connect-Back-End für veröffentlichte Dienste erfordert zwei Load Balancer: einen Nutzer-Load-Balancer und einen Ersteller-Load-Balancer. In dieser Tabelle wird die Kompatibilität zwischen verschiedenen Arten von Nutzer-Load-Balancern und Ersteller-Load-Balancern beschrieben, einschließlich der Back-End-Dienstprotokolle, die mit jedem Nutzer-Load-Balancer verwendet werden können. Jede Zeile stellt einen Typ von Nutzer-Load-Balancer und jede Spalte einen Typ von Ersteller-Load-Balancern dar.

Nutzer-Load-Balancer und unterstützte Nutzer-Back-End-Dienstprotokolle	Ersteller-LoadBalancer
	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer
Globaler externer Application Load Balancer (unterstützt mehrere Regionen) Protokolle: HTTPS, HTTP2 IP-Version: IPv4 Hinweis: Der klassische Application Load Balancer wird nicht unterstützt.
Regionaler externer Application Load Balancer Protokolle: HTTP, HTTPS, HTTP2 IP-Version: IPv4
Regionaler interner Application Load Balancer Protokolle: HTTP, HTTPS, HTTP2 IP-Version: IPv4
Regionenübergreifender interner Application Load Balancer (Vorschau) Protokolle: HTTPS, HTTP2 IP-Version: IPv4
Regionaler interner Proxy-Network Load Balancer Protokoll: TCP IP-Version: IPv4
Regionsübergreifender interner Proxy-Network Load Balancer Protokoll: TCP IP-Version: IPv4
Regionaler externer Proxy-Network-Load-Balancer Protokoll: TCP IP-Version: IPv4
Globaler externer Proxy-Network Load Balancer (Vorschau) Protokoll: TCP/SSL IP-Version: IPv4 Hinweis: Der klassische Proxy-Network Load Balancer wird nicht unterstützt.

In dieser Tabelle wird die Konfiguration für die Ersteller-Load-Balancer beschrieben, die von Private Service Connect-Back-Ends unterstützt werden.

Konfiguration	Ersteller-LoadBalancer
Konfiguration	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer
Unterstützte Ersteller-Back-Ends	GCE_VM_IP-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen
Weiterleitungsregelprotokolle	TCP	HTTP HTTPS HTTP/2	TCP
Weiterleitungsregelports	Die Weiterleitungsregel muss auf einen einzelnen Port verweisen.	Die Weiterleitungsregel muss auf einen einzelnen Port verweisen.	Die Weiterleitungsregel muss auf einen einzelnen Port verweisen.
Proxyprotokoll
IP-Version	IPv4	IPv4	IPv4

Freigegebene VPC

Dienstprojektadministratoren können in freigegebenen VPC-Dienstprojekten Dienstanhänge erstellen, die eine Verbindung zu Ressourcen in freigegebenen VPC-Netzwerken herstellen.

Die Konfiguration ist die gleiche wie für einen regulären Dienstanhang, mit Ausnahme von Folgendem:

Die Weiterleitungsregel des Ersteller-Load-Balancers ist einer IP-Adresse aus dem freigegebenen VPC-Netzwerk zugeordnet. Das Subnetz der Weiterleitungsregel muss für das Dienstprojekt freigegeben werden.
Der Dienstanhang verwendet ein Private Service Connect-Subnetz aus dem freigegebenen VPC-Netzwerk. Dieses Subnetz muss für das Dienstprojekt freigegeben werden.

Logging

Sie können VPC-Flusslogs in den Subnetzen aktivieren, die die Back-End-VMs enthalten. Die Logs zeigen den Datenfluss zwischen den Back-End-VMs und den IP-Adressen im Subnetz „Private Service Connect”.

VPC Service Controls

VPC Service Controls und Private Service Connect sind miteinander kompatibel. Wenn sich das VPC-Netzwerk, in dem der Private Service Connect-Endpunkt bereitgestellt wird, in einem VPC Service Controls-Perimeter befindet, ist der Endpunkt Teil desselben Perimeters. Alle von VPC Service Controls unterstützten Dienste, auf die über den Endpunkt zugegriffen wird, unterliegen den Richtlinien dieses VPC Service Controls-Perimeters.

Wenn Sie einen Endpunkt erstellen, werden zwischen den Nutzer- und Erstellerprojekten API-Aufrufe auf Steuerungsebene ausgeführt, um eine Private Service Connect-Verbindung herzustellen. Das Einrichten einer Private Service Connect-Verbindung zwischen Nutzer- und Herstellerprojekten, die sich nicht im selben VPC Service Controls-Perimeter befinden, erfordert keine explizite Autorisierung mit Richtlinien für ausgehenden Traffic. Die Kommunikation mit von VPC Service Controls unterstützten Diensten über den Endpunkt ist durch den VPC Service Controls-Perimeter geschützt.

Informationen zur Nutzerverbindung aufrufen

Standardmäßig übersetzt Private Service Connect die Quell-IP-Adresse des Nutzers in eine Adresse in einem der Private Service Connect-Subnetze im VPC-Netzwerk des Diensterstellers. Wenn Sie stattdessen die ursprüngliche Quell-IP-Adresse des Nutzers sehen möchten, können Sie das PROXY-Protokoll aktivieren, wenn Sie einen Dienst veröffentlichen.

Das PROXY-Protokoll wird nicht von allen Diensten unterstützt. Weitere Informationen finden Sie unter Features und Kompatibilität.

Wenn das PROXY-Protokoll aktiviert ist, können Sie die Quell-IP-Adresse und die PSC-Verbindungs-ID (pscConnectionId)des Nutzers aus dem PROXY-Protokoll-Header abrufen.

Private Service Connect unterstützt die PROXY-Protokoll-Version 2. Das Format der PROXY-Protokoll-Header hängt von der IP-Version des Nutzerendpunkts ab. Wenn der Load-Balancer Ihres Dienstanhangs eine IPv6-Adresse hat, können Nutzer sowohl mit IPv4- als auch mit IPv6-Adressen eine Verbindung herstellen. Konfigurieren Sie Ihre Anwendung so, dass sie PROXY-Protokoll-Header für die IP-Version des zu empfangenden Traffics empfängt und liest.

Wenn Sie das PROXY-Protokoll für einen Dienstanhang aktivieren, gilt die Änderung nur für neue Verbindungen. Bestehende Verbindungen enthalten nicht den PROXY-Protokoll-Header.

Wenn Sie das PROXY-Protokoll aktivieren, finden Sie in der Dokumentation zur Backend-Webserver-Software Informationen zum Parsen und Verarbeiten eingehender PROXY-Protokoll-Header in der TCP-Nutzlast der Clientverbindung. Wenn das PROXY-Protokoll auf dem Dienstanhang aktiviert ist, der Backend-Webserver aber nicht für die Verarbeitung von PROXY-Protokoll-Headern konfiguriert ist, können Webanfragen fehlerhaft sein. Wenn die Anfragen fehlerhaft sind, kann der Server die Anfrage nicht interpretieren.

Die Private Service Connect-Verbindungs-ID (pscConnectionId) wird im PROXY-Protokoll-Header im TLV-Format (Type-Length-Value) codiert.

Feld	Feldlänge	Feldwert
Typ	1 Byte	`0xE0` (PP2_TYPE_GCP)
Zeitfenster	2 Byte	`0x8` (8 Byte)
Wert	8 Byte	Die 8-Byte-`pscConnectionId` in Netzwerkreihenfolge

Sie können den 8-Byte-pscConnectionId-Wert in der Nutzer-Weiterleitungsregel oder im Anhang für den Dienstanbieter einsehen.

Der pscConnectionId-Wert ist global für alle aktiven Verbindungen zu einem bestimmten Zeitpunkt eindeutig. Im Laufe der Zeit kann jedoch eine pscConnectionId in folgenden Szenarien wiederverwendet werden:

Wenn Sie in einem bestimmten VPC-Netzwerk einen Endpunkt (Weiterleitungsregel) löschen und einen neuen Endpunkt mit derselben IP-Adresse erstellen, wird möglicherweise derselbe pscConnectionId-Wert verwendet.
Wenn Sie ein VPC-Netzwerk löschen, das Endpunkte (Weiterleitungsregeln) enthält, kann nach einer siebentägigen Wartezeit der für diese Endpunkte verwendete pscConnectionId-Wert für einen anderen Endpunkt in ein weiteres VPC-Netzwerk verwendet werden.

Sie können pscConnectionId-Werte für das Debugging und zum Verfolgen der Quellen der Pakete verwenden.

Eine separate 16-Byte-ID des Private Service Connect-Dienstanhangs (pscServiceAttachmentId) ist vom Dienstanhang des Erstellers verfügbar. Der Wert pscServiceAttachmentId ist eine global eindeutige ID, mit der ein Private Service Connect-Dienstanhang identifiziert wird. Sie können den Wert pscServiceAttachmentId für die Sichtbarkeit und Fehlerbehebung verwenden. Dieser Wert ist nicht im PROXY-Protokoll-Header enthalten.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Kontingente

Die Anzahl der Endpunkte, die Sie für den Zugriff auf veröffentlichte Dienste erstellen können, wird durch das Kontingent PSC Internal LB Forwarding Rules gesteuert. Weitere Informationen finden Sie unter Kontingente.

Lokaler Zugriff

Private Service Connect-Dienste werden über Endpunkte zur Verfügung gestellt. Auf diese Endpunkte kann über unterstützte verbundene lokale Hosts zugegriffen werden. Weitere Informationen finden Sie unter Über lokale Hosts auf den Endpunkt zugreifen.

Beschränkungen

Für veröffentlichte Dienste gelten folgende Einschränkungen:

Producer-Load Balancer unterstützen die folgenden Features nicht:

Mehrere Weiterleitungsregeln, die eine gemeinsam genutzte IP-Adresse verwenden (SHARED_LOADBALANCER_VIP)
Backend-Teilmengeneinstellung

Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.
Sie müssen die Google Cloud CLI oder die API verwenden, um einen Dienstanhang zu erstellen, der auf eine Weiterleitungsregel verweist, die für die interne Protokollweiterleitung verwendet wird.
Die folgenden Load-Balancer-Typen bieten keine Werte für BETA Messwerte. Die Werte sind 0 oder fehlen:
- Regionaler interner Application Load Balancer
- Regionaler interner Proxy-Network Load Balancer

Informationen zu Problemen und Problemumgehungen finden Sie unter Bekannte Probleme.