Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Über veröffentlichte Dienste

Dieses Dokument bietet eine Übersicht über die Verwendung von Private Service Connect, um einen Dienst für Dienstnutzer verfügbar zu machen.

Als Dienstersteller können Sie Private Service Connect verwenden, um Dienste mithilfe interner IP-Adressen in Ihrem VPC-Netzwerk zu veröffentlichen. Ihre veröffentlichten Dienste sind für Dienstnutzer über interne IP-Adressen in ihren VPC-Netzwerken zugänglich.

Wenn Sie einen Dienst für Nutzer verfügbar machen möchten, erstellen Sie ein oder mehrere Subnetze. Erstellen Sie anschließend einen Dienstanhang, der auf diese Subnetze verweist. Der Dienstanhang kann unterschiedliche Verbindungseinstellungen haben.

Dienstnutzertypen

Es gibt zwei Arten von Nutzern, die eine Verbindung zu einem Private Service Connect-Dienst herstellen können:

Endpunkte basieren auf einer Weiterleitungsregel:

Abbildung 1. Mit einem Private Service Connect-Endpunkt, der auf einer Weiterleitungsregel basiert, können Dienstnutzer Traffic vom VPC-Netzwerk des Nutzers an Dienste im VPC-Netzwerk des Dienstherstellers senden (zum Vergrößern klicken).

Endpunkte mit Nutzer-HTTP(S)-Steuerelementen basieren auf einem Load-Balancer:

Abbildung 2. Mit einem globalen externen HTTP(S)-Load-Balancer können Dienstnutzer mit Internetzugriff Traffic an Dienste im VPC-Netzwerk des Diensterstellers senden (zum Vergrößern klicken).

Private Service Connect-Dienstkonfiguration

Wenn Sie einen Private Service Connect-Dienst erstellen, konfigurieren Sie ein Subnetz, einen Dienstanhang und eine Verbindungseinstellung. Optional können Sie eine DNS-Domain für den Dienst konfigurieren. Diese Konfigurationen werden in den folgenden Abschnitten beschrieben.

NAT-Subnetze

Private Service Connect-Dienstanhänge werden mit einem oder mehreren NAT-Subnetzen konfiguriert (auch als Private Service Connect-Subnetze bezeichnet). Pakete aus dem VPC-Netzwerk des Nutzers werden mit Quell-NAT (SNAT) übersetzt, sodass ihre ursprünglichen Quell-IP-Adressen aus dem NAT-Subnetz im VPC-Netzwerk des Erstellers in Quell-IP-Adressen konvertiert werden.

Dienstanhänge können mehrere NAT-Subnetze haben. Zusätzliche NAT-Subnetze können dem Dienstanhang jederzeit hinzugefügt werden, ohne den Traffic zu unterbrechen.

Für einen Dienstanhang können mehrere NAT-Subnetze konfiguriert werden, ein NAT-Subnetz kann jedoch nicht in mehr als einem Dienstanhang verwendet werden.

Private Service Connect NAT-Subnetze können nicht für Ressourcen wie VM-Instanzen oder Weiterleitungsregeln verwendet werden. Die Subnetze werden nur verwendet, um IP-Adressen für SNAT von eingehenden Nutzerverbindungen bereitzustellen.

Größe des NAT-Subnetzes

Wenn Sie einen Dienst veröffentlichen, erstellen Sie ein NAT-Subnetz und wählen einen IP-Adressbereich aus. Die Größe des Subnetzes bestimmt, wie viele gleichzeitige TCP- und UDP-Nutzerverbindungen die Private Service Connect-Verbindung verwenden können. IP-Adressen werden aus dem NAT-Subnetz entsprechend der Nutzung und Bereitstellung der Private Service Connect-Verbindung genutzt. Wenn alle IP-Adressen im NAT-Subnetz verwendet werden, schlagen alle zusätzlichen TCP- oder UDP-Verbindungen zum Private Service Connect-Endpunkt oder Back-End des Nutzers fehl. Deshalb ist es wichtig, die Größe des NAT-Subnetzes entsprechend anzupassen.

Berücksichtigen Sie bei der Auswahl einer Subnetzgröße Folgendes:

  • Es gibt vier reservierte IP-Adressen in einem NAT-Subnetz, sodass die Anzahl der verfügbaren IP-Adressen 2(32 - PREFIX_LENGTH) - 4 beträgt. Wenn Sie beispielsweise ein NAT-Subnetz mit der Präfixlänge /24 erstellen, kann Private Service Connect 252 der IP-Adressen für SNAT verwenden. Ein /29-Subnetz mit 4 verfügbaren IP-Adressen ist die kleinste Subnetzgröße, die in VPC-Netzwerken unterstützt wird.

  • Wenn der Dienstanhang am oder nach dem 1. März 2023 erstellt wurde, gilt Folgendes:

    • Eine IP-Adresse wird aus dem NAT-Subnetz für jeden Private Service Connect-Endpunkt (basierend auf einer Weiterleitungsregel oder einem Load-Balancer) verbraucht, der mit dem Dienstanhang verbunden ist.

    • Die Anzahl der TCP- oder UDP-Verbindungen, Clients oder Nutzer-VPC-Netzwerke wirkt sich nicht auf die Nutzung von IP-Adressen aus dem NAT-Subnetz aus.

    • Wenn beispielsweise zwei Endpunkte mit einem einzelnen Dienstanhang verbunden sind, werden zwei IP-Adressen aus dem NAT-Subnetz genutzt. Wenn sich die Anzahl der Endpunkte nicht ändert, können Sie für diesen Dienstanhang ein Subnetz /29 mit vier verwendbaren IP-Adressen verwenden.

  • Wenn der Dienstanhang vor dem 1. März 2023 erstellt wurde, gilt Folgendes:

    • Die Anzahl der IP-Adressen, die vom NAT-Subnetz genutzt werden, hängt von der Anzahl der VMs und Cloud VPN-Tunnel im Nutzer-VPC-Netzwerk ab. Jede NAT-IP-Adresse unterstützt 64.512 TCP-Quellports und 64.512 UDP-Quellports. TCP und UDP unterstützen jeweils 65.536 Ports pro IP-Adresse. Die ersten 1.024 bekannten (privilegierten) Ports werden jedoch ausgeschlossen. Die NAT-IP-Adressen werden in Bereiche von Quellports unterteilt, die allen Clients im Nutzer-VPC-Netzwerk zugewiesen sind.

    • Jeder VM im VPC-Netzwerk des Nutzers werden mindestens 256 NAT-Quellports zugewiesen. Der Nutzer-VM können mehr Quellports zugewiesen werden, wenn die VM mehr als 256 TCP- oder UDP-Verbindungen zu einem bestimmten Private Service Connect-Endpunkt oder Back-End geöffnet hat. Einer VM werden maximal 8.192 Quellports von einer NAT-IP-Adresse zugewiesen,wenn die VM so viele Verbindungen öffnet.

    • Jedem Cloud VPN-Tunnel im VPC-Netzwerk des Nutzers werden 65.536 Quellports zugewiesen. Die Anzahl der zugewiesenen Quellports ändert sich nicht mit der Nutzung.

    • Beispiel: Ein NAT-Subnetz /24 mit 252 verwendbaren IP-Adressen hat eine Kapazität von 252 * 64.512 = 16.257.024 verwendbare Quell-NAT-Ports. Diese Subnetzgröße unterstützt ein Nutzer-VPC-Netzwerk mit vier Cloud VPN-Tunneln (262.144 Quell-NAT-Ports) und bis zu 62.480 VMs (15.994.880 Quell-NAT-Ports), wenn jede VM kleiner als 256 TCP- oder UDP-Verbindungen zum Private Service Connect-Endpunkt (basierend auf einer Weiterleitungsregel oder einem Load-Balancer).

Bei Bedarf können Sie jederzeit NAT-Subnetze zum Dienstanhang hinzufügen, ohne den Traffic zu unterbrechen.

Weitere Hinweise zu NAT-Subnetzen:

  • Das Zeitlimit für Inaktivität bei der UDP-Zuordnung beträgt 30 Sekunden und kann nicht konfiguriert werden.

  • Das Zeitlimit für Inaktivität hergestellter TCP-Verbindungen beträgt 20 Minuten und kann nicht konfiguriert werden.

  • Das Zeitlimit für Inaktivität vorübergehender TCP-Verbindungen beträgt 30 Sekunden und kann nicht konfiguriert werden.

  • Es gibt eine Verzögerung von zwei Minuten, bevor ein 5-Tupel (Quell-IP-Adresse und Quellport des NAT-Subnetzes sowie Zielprotokoll, IP-Adresse und Zielport) wiederverwendet werden kann.

  • SNAT für Private Service Connect unterstützt keine IP-Fragmente.

Dienstanhänge

Dienstersteller stellen ihre Dienste über einen Dienstanhang bereit.

  • Für die Freigabe eines Dienstes erstellt ein Dienstersteller einen Dienstanhang, der auf die Weiterleitungsregel des Load-Balancers des Dienstes verweist.

  • Für den Zugriff auf einen Dienst erstellt ein Dienstnutzer einen Endpunkt, der auf den Dienstanhang verweist.

Der URI des Dienstanhangs hat folgendes Format: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME.

Auf jeden Load-Balancer kann nur von einem einzelnen Dienstanhang verwiesen werden. Es ist nicht möglich, mehrere Dienstanhänge zu konfigurieren, die denselben Load-Balancer verwenden.

Verbindungseinstellungen

Wenn Sie einen Dienst erstellen, legen Sie fest, wie Sie ihn verfügbar machen möchten. Es gibt zwei Optionen:

  • Verbindungen für alle Projekte automatisch akzeptieren: Jeder Dienstnutzer kann einen Endpunkt konfigurieren und automatisch eine Verbindung zum Dienst herstellen.

  • Verbindungen für ausgewählte Projekte akzeptieren: Dienstnutzer konfigurieren einen Endpunkt, um eine Verbindung zum Dienst herzustellen, und der Dienstersteller akzeptiert die Verbindungsanfragen oder lehnt sie ab.

DNS-Konfiguration

Informationen zur DNS-Konfiguration für veröffentlichte Dienste und Endpunkte, die eine Verbindung zu veröffentlichten Diensten herstellen, finden Sie unter DNS-Konfiguration für Dienste.

Logging

Sie können VPC-Flusslogs in den Subnetzen aktivieren, die die Back-End-VMs enthalten. Die Logs zeigen den Datenfluss zwischen den Back-End-VMs und den IP-Adressen im Subnetz „Private Service Connect”.

VPC Service Controls

VPC Service Controls und Private Service Connect sind miteinander kompatibel. Wenn sich das VPC-Netzwerk, in dem der Private Service Connect-Endpunkt bereitgestellt wird, in einem VPC Service Controls-Perimeter befindet, ist der Private Service Connect-Endpunkt Teil desselben Perimeters. Alle von VPC Service Controls unterstützte Dienste, auf die über einen Private Service Connect-Endpunkt zugegriffen wird, unterliegen den Richtlinien dieses VPC Service Controls-Perimeters.

Wenn Sie einen Private Service Connect-Endpunkt erstellen, werden zwischen den Nutzer- und Herstellerprojekten API-Aufrufe auf Steuerungsebene ausgeführt, um eine Private Service Connect-Verbindung herzustellen. Das Einrichten einer Private Service Connect-Verbindung zwischen Nutzer- und Herstellerprojekten, die sich nicht im selben VPC Service Controls-Perimeter befinden, erfordert keine explizite Autorisierung mit Richtlinien für ausgehenden Traffic. Die Kommunikation mit von VPC Service Controls unterstützten Diensten über den Private Service Connect-Endpunkt ist durch den VPC Service Controls-Perimeter geschützt.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Kontingente

Die Anzahl der Private Service Connect-Endpunkte, die Sie für den Zugriff auf veröffentlichte Dienste erstellen können, wird durch das Kontingent PSC Internal LB Forwarding Rules gesteuert. Weitere Informationen finden Sie unter Kontingente.

Lokaler Zugriff

Private Service Connect-Dienste werden mithilfe von Private Service Connect-Endpunkten zur Verfügung gestellt. Auf diese Endpunkte kann über unterstützte verbundene lokale Hosts zugegriffen werden. Weitere Informationen finden Sie unter Über lokale Hosts auf den Endpunkt zugreifen.

Beschränkungen

  • Bei der Paketspiegelung können keine Pakete für Traffic von Private Service Connect veröffentlicht werden.

  • Private Service Connect-Endpunkte mit HTTP(S)-Nutzerdienstkontrollen werden nicht in der Liste der verbundenen Clients angezeigt.

  • Wenn Sie das Private Service Connect-Subnetz in einem freigegebenen VPC-Hostprojekt erstellen und den Dienstanhang in einem Dienstprojekt erstellen möchten, müssen Sie dafür die Google Cloud CLI oder die API verwenden.

  • Verwenden Sie die Google Cloud-CLI oder die API, um einen Dienstanhang zu erstellen, der auf eine Weiterleitungsregel verweist, die für die interne Protokollweiterleitung verwendet wird.

  • Unter Bekannte Probleme finden Sie Informationen zu Problemen und Problemumgehungen.