Private Service Connect-Backend erstellen
Sie können Private Service Connect-Back-Ends verwenden, um eine Verbindung zu unterstützten Diensten herzustellen, indem Sie den Load-Balancer für die Richtlinienerzwingung verwenden. Sie stellen eine Verbindung zum Dienst über eine Weiterleitungsregel her, die einem Backend zugeordnet ist, das eine Private Service Connect-Netzwerk-Endpunktgruppe (NEG) enthält.
Weitere Informationen zu unterstützten Diensten und Konfigurationen finden Sie unter Private Service Connect-Back-Ends.
In dieser Anleitung erfahren Sie, wie Sie einem Load Balancer eine Private Service Connect-NEG hinzufügen, um entweder auf Google APIs oder einen veröffentlichten Dienst zuzugreifen. Dieser Leitfaden enthält nicht die vollständige Load Balancer-Konfiguration.
Eine Anleitung zum Erstellen eines Load-Balancers mit einem Private Service Connect-Backend finden Sie hier:
- Internen Application Load Balancer für den Zugriff auf Google APIs erstellen
- Globalen externen Application Load Balancer erstellen, um auf einen veröffentlichten Dienst zuzugreifen
Rollen
Die Rolle "Compute-Load-Balancer-Administrator" (roles/compute.loadBalancerAdmin
) enthält die zum Ausführen der in dieser Anleitung beschriebenen Aufgaben erforderlichen Berechtigungen.
Vorbereitung
Legen Sie fest, zu welcher API oder zu welchem Dienst Sie eine Verbindung herstellen möchten:
Führen Sie für Google APIs einen der folgenden Schritte aus:
- Wählen Sie einen regionalen Dienstendpunkt aus.
- Wählen Sie einen globalen Dienstendpunkt aus.
Für veröffentlichte Dienste:
Wenn Sie einen eigenen Dienst veröffentlichen möchten, finden Sie weitere Informationen unter Verwaltete Dienste veröffentlichen.
Wenn Sie eine Verbindung zu einem von Google Cloud oder einem Drittanbieter veröffentlichten Dienst herstellen, bitten Sie den Ersteller um die folgenden Informationen:
Der URI des Dienstanhangs für den Dienst, zu dem Sie eine Verbindung herstellen möchten.
Alle Anforderungen für die DNS-Namen, an die Sie Anfragen senden. Möglicherweise müssen Sie bestimmte DNS-Namen in der URL-Zuordnungskonfiguration verwenden.
Ermitteln Sie, welcher Load-Balancer-Typ den Dienst unterstützt, zu dem Sie eine Verbindung herstellen möchten, und stellen Sie sicher, dass Sie mit dem Load-Balancer vertraut sind, den Sie aktualisieren möchten. In dieser Anleitung wird beschrieben, wie Sie einem Load-Balancer eine Private Service Connect-NEG hinzufügen, aber Sie können zusätzliche Konfigurationsschritte ausführen.
Weitere Informationen finden Sie unter Unterstützte Load-Balancer und Ziele.
Private Service Connect-NEG erstellen
Wenn Sie eine NEG erstellen, wählen Sie aus, mit welchem Zieltyp eine Verbindung hergestellt werden soll:
- Einen veröffentlichten Dienst
- Eine regionale Google API
- Eine globale Google API
NEG zum Herstellen einer Verbindung zu einem veröffentlichten Dienst erstellen
Wenn Sie eine Private Service Connect-NEG erstellen, die auf einen veröffentlichten Dienst verweist, benötigen Sie den URI des Dienstanhangs für den Dienst. Der Dienstanhang hat folgendes Format: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
.
Informationen zu unterstützten Load Balancern für diese Konfiguration finden Sie unter Veröffentlichte Dienstziele.
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerk-Endpunktgruppen auf.
Klicken Sie auf NETZWERK-ENDPUNKTGRUPPE ERSTELLEN.
Geben Sie einen Namen für die Netzwerk-Endpunktgruppe ein.
Wählen Sie für den Typ der Netzwerk-Endpunktgruppe die Option Private Service Connect NEG (regional) aus.
Konfigurieren Sie das Ziel:
- Wählen Sie für Ziel die Option Veröffentlichter Dienst aus.
- Geben Sie für Zieldienst den URI des Dienstanhangs ein.
Wählen Sie das Netzwerk und das Subnetzwerk aus, in dem die Netzwerk-Endpunktgruppe erstellt werden soll.
Das Subnetz muss sich in derselben Region wie der veröffentlichte Dienst befinden.
Klicken Sie auf Erstellen.
gcloud
Führen Sie den Befehl gcloud compute network-endpoint-groups create
aus:
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=REGION \ --network=NETWORK \ --subnet=SUBNET
Ersetzen Sie dabei Folgendes:
NEG_NAME
ist ein Name für die Netzwerk-Endpunktgruppe.TARGET_SERVICE
ist der URI des Dienstanhangs.REGION
ist die Region, in der die Netzwerk-Endpunktgruppe erstellt werden soll. Die Region muss mit der Region des Zieldienstes übereinstimmen.NETWORK
ist die Region, in der die Netzwerk-Endpunktgruppe erstellt werden soll. Wenn nichts angegeben ist, wird das Standardnetzwerk verwendet.SUBNET
ist die Region, in der die Netzwerk-Endpunktgruppe erstellt werden soll. Das Subnetz muss sich in derselben Region wie der Zieldienst befinden. Ein Subnetz muss angegeben werden, wenn Sie das Netzwerk angeben. Wenn sowohl Netzwerk als auch Subnetz weggelassen werden, wird das Standardnetzwerk verwendet und das Standardsubnetz in der angegebenenREGION
.
NEG zum Herstellen einer Verbindung zu einer regionalen Google API erstellen
Sie können eine NEG erstellen, um eine Verbindung zu einer regionalen Google API herzustellen.
Informationen zu den für diese Konfiguration unterstützten Load Balancern finden Sie unter Regionale Google API-Ziele.
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerk-Endpunktgruppen auf.
Klicken Sie auf NETZWERK-ENDPUNKTGRUPPE ERSTELLEN.
Geben Sie einen Namen für die Netzwerk-Endpunktgruppe ein.
Wählen Sie für den Typ der Netzwerk-Endpunktgruppe die Option Private Service Connect NEG (regional) aus.
Konfigurieren Sie das Ziel:
- Wählen Sie für Ziel die Option Google APIs aus.
- Wählen Sie eine Region und den Zieldienst aus.
Klicken Sie auf Erstellen.
gcloud
Führen Sie den Befehl gcloud compute network-endpoint-groups create
aus:
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=REGION
Ersetzen Sie dabei Folgendes:
NEG_NAME
ist ein Name für die Netzwerk-Endpunktgruppe.TARGET_SERVICE
sind die regionaler Dienstendpunkt, zu dem Sie eine Verbindung herstellen möchten.REGION
ist die Region, in der die Netzwerk-Endpunktgruppe erstellt werden soll. Die Region muss mit der Region des Zieldienstes übereinstimmen.
NEG zum Herstellen einer Verbindung zu einer globalen Google API erstellen
Sie können einen Private Service Connect-NEG zum Herstellen einer Verbindung zu einer globalen Google API erstellen. NEGs sind regional, auch wenn sie eine Verbindung zu globalen APIs herstellen. In dieser Konfiguration wird die Region ignoriert.
Informationen zu unterstützten Load Balancern für diese Konfiguration finden Sie unter Globale Google API-Ziele.
Eine vollständige Anleitung zum Erstellen eines regionenübergreifenden internen Application Load Balancers und eines Private Service Connect-NEG für den Zugriff auf globale Google APIs finden Sie unter Auf globale Google APIs zugreifen.
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerk-Endpunktgruppen auf.
Klicken Sie auf NETZWERK-ENDPUNKTGRUPPE ERSTELLEN.
Geben Sie einen Namen für die Netzwerk-Endpunktgruppe ein.
Wählen Sie für den Typ der Netzwerk-Endpunktgruppe die Option Private Service Connect NEG (regional) aus.
Konfigurieren Sie das Ziel:
- Wählen Sie für Ziel die Option Globale Google APIs aus.
- Wählen Sie eine Region und den Zieldienst aus.
Klicken Sie auf Erstellen.
gcloud
Führen Sie den Befehl gcloud compute network-endpoint-groups create
aus:
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=REGION
Ersetzen Sie dabei Folgendes:
NEG_NAME
ist ein Name für die Netzwerk-Endpunktgruppe.TARGET_SERVICE
: die globale Google API, mit der Sie eine Verbindung herstellen möchten.REGION
ist die Region, in der die Netzwerk-Endpunktgruppe erstellt werden soll.
Private Service Connect zu einem Load-Balancer hinzufügen
Sie können einen unterstützten Load-Balancer konfigurieren, um Traffic an ein Private Service Connect-NEG-Backend weiterzuleiten.
Weitere Informationen zu unterstützten Konfigurationen finden Sie unter Spezifikationen.
Backend zu einem Application Load Balancer hinzufügen
Fügen Sie einer globalen externen, einer internen, einer regionalen externen oder einer regionenübergreifenden internen Application Load Balancer-Instanz eine NEG hinzu.
Console
Load-Balancer bearbeiten
Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
Klicken Sie auf den Load-Balancer, den Sie ändern möchten.
Klicken Sie auf Bearbeiten.
Backend-Konfiguration aktualisieren
- Klicken Sie auf Backend-Konfiguration.
- Maximieren Sie die Liste der Backend-Dienste und wählen Sie Backend-Dienst erstellen aus.
- Geben Sie im Feld Name eine Bezeichnung für den Backend-Dienst ein.
- Setzen Sie den Backend-Typ auf Private Service Connect-Netzwerk-Endpunktgruppe.
- Klicken Sie im Abschnitt Back-Ends auf die Liste Private Service Connect-Netzwerk-Endpunktgruppe und wählen Sie die von Ihnen erstellte Private Service Connect NEG aus. Klicken Sie auf Fertig.
Wenn Sie einen globalen externen Application Load Balancer für die Verbindung mit einem veröffentlichten Dienst in mehreren Regionen konfigurieren und mehrere Private Service Connect-NEGs erstellt haben, klicken Sie auf Backend hinzufügen, um eine weitere NEG auszuwählen.
Wiederholen Sie diesen Schritt, bis alle Backends für diesen verwalteten Dienst dem Backend-Dienst hinzugefügt wurden.
Klicken Sie auf Erstellen.
Routingregeln aktualisieren
- Klicken Sie auf Routingregeln.
- Geben Sie für jeden hinzugefügten Backend-Dienst einen Host und einen Pfad ein.
- Klicken Sie auf Prüfen und abschließen, um die Konfiguration zu überprüfen.
- Klicken Sie auf Erstellen.
gcloud
Backend-Konfiguration aktualisieren
Erstellen Sie einen Backend-Dienst für den Zieldienst.
Wenn Sie den Backend-Dienst zu einem regionalen Load-Balancer hinzufügen, verwenden Sie das Flag
--region
, um dieselbe Region wie für den Load-Balancer anzugeben.gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=SCHEME \ --protocol=HTTPS \ --region=REGION
Ersetzen Sie dabei Folgendes:
BACKEND_SERVICE_NAME
: Der Name des Backend-Dienstes.SCHEME
: Load-Balancing-Schema für den Load-Balancer, den Sie ändern:- Verwenden Sie für einen regionalen externen Application Load Balancer
EXTERNAL_MANAGED
. - Verwenden Sie für einen internen Application Load Balancer
INTERNAL_MANAGED
.
- Verwenden Sie für einen regionalen externen Application Load Balancer
REGION
ist die Region des Backend-Dienstes. Verwenden Sie dieselbe Region wie die NEG.
Wenn Sie den Backend-Dienst zu einem globalen externen Application Load Balancer hinzufügen, verwenden Sie das Flag
--global
.gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=EXTERNAL_MANAGED \ --protocol=HTTPS \ --global
Ersetzen Sie
BACKEND_SERVICE_NAME
durch den Namen des Backend-Dienstes.
Fügen Sie die Private Service Connect NEG hinzu, die auf den Zieldienst verweist.
Wenn Sie einen Backend-Dienst zu einem regionalen Load-Balancer hinzufügen, verwenden Sie das Flag
--region
, um dieselbe Region wie für den Load-Balancer anzugeben.gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --region=REGION
Ersetzen Sie dabei Folgendes:
BACKEND_SERVICE_NAME
ist der Name des Backend-Dienstes.NEG_NAME
ist der Name der Netzwerk-Endpunktgruppe.NEG_REGION
ist die Region der Netzwerk-Endpunktgruppe.REGION
ist die Region des Backend-Dienstes.
Wenn Sie einen Backend-Dienst zu einem globalen externen Application Load Balancer hinzufügen, verwenden Sie das Flag
--global
.Wenn Sie für denselben Dienst mehrere NEGs erstellt haben, wiederholen Sie diesen Schritt, um dem Backend-Dienst alle NEGs hinzuzufügen.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --global
Ersetzen Sie dabei Folgendes:
BACKEND_SERVICE_NAME
ist der Name des Backend-Dienstes.NEG_NAME
ist der Name der Netzwerk-Endpunktgruppe.NEG_REGION
ist die Region der Netzwerk-Endpunktgruppe.
Routingregeln aktualisieren
Fügen Sie für jeden von Ihnen erstellten Backend-Dienst der URL-Zuordnung des Load-Balancers einen Pfad-Matcher hinzu.
Wenn die URL-Zuordnung regional ist, geben Sie die Region mit dem Flag
--region
an.gcloud compute url-maps add-path-matcher URL_MAP_NAME \ --path-matcher-name=PATH_MATCHER \ --default-service=BACKEND_SERVICE_NAME \ --region=REGION
Ersetzen Sie dabei Folgendes:
URL_MAP_NAME
ist der Name der URL-Zuordnung.PATH_MATCHER
ist ein Name für den Pfad-Matcher.BACKEND_SERVICE_NAME
ist der Name des Backend-Dienstes.REGION
ist die Region der URL-Zuordnung.
Wenn die URL-Zuordnung global ist, geben Sie das Flag
--global
an.gcloud compute url-maps add-path-matcher URL_MAP_NAME \ --path-matcher-name=PATH_MATCHER \ --default-service=BACKEND_SERVICE_NAME \ --global
Ersetzen Sie dabei Folgendes:
URL_MAP_NAME
ist der Name der URL-Zuordnung.PATH_MATCHER
ist ein Name für den Pfad-Matcher.BACKEND_SERVICE_NAME
: der Name des Backend-Dienstes.
Fügen Sie für jeden Hostnamen eine Hostregel hinzu.
Jede Hostregel kann nur auf einen Pfad-Matcher verweisen, aber zwei oder mehr Hostregeln können auf denselben Pfad-Matcher verweisen.
Wenn die URL-Zuordnung regional ist, geben Sie die Region mit dem Flag
--region
an.gcloud compute url-maps add-host-rule URL_MAP_NAME \ --hosts=HOST \ --path-matcher-name=PATH_MATCHER \ --region=REGION
Ersetzen Sie dabei Folgendes:
URL_MAP_NAME
ist der Name der URL-Zuordnung.HOST
ist der Hostname, an den Anfragen für diesen Dienst gesendet werden.PATH_MATCHER
ist der Name des Pfad-Matchers.REGION
ist die Region der URL-Zuordnung.
Wenn die URL-Zuordnung global ist, geben Sie das Flag
--global
an.gcloud compute url-maps add-host-rule URL_MAP_NAME \ --hosts=HOST \ --path-matcher-name=PATH_MATCHER \ --global
Ersetzen Sie dabei Folgendes:
URL_MAP_NAME
ist der Name der URL-Zuordnung.HOST
ist der Hostname, an den Anfragen für diesen Dienst gesendet werden.PATH_MATCHER
ist der Name des Pfad-Matchers.
Backend zu einem regionalen internen Proxy Network Load Balancer hinzufügen
Sie können einem regionalen internen Proxy Network Load Balancer ein Private Service Connect-NEG-Backend hinzufügen, wenn die NEG auf einen veröffentlichten Dienst verweist. Regionale interne Proxy Network Load Balancer unterstützen nur einen Backend-Dienst.
Folgen Sie der Anleitung zum Einrichten eines regionalen internen Proxy Network Load Balancers mit zonalen Back-Ends, um den regionalen internen Proxy Network Load Balancer zu konfigurieren, aber führen Sie nicht die Schritte unter „Schritte für die zonalen NEGs erstellen“ nicht aus und konfigurieren Sie keine Systemdiagnosen. Anstatt eine zonale NEG zu konfigurieren, fügen Sie die von Ihnen erstellte Private Service Connect-NEG mit der folgenden Anleitung einem Backend von Private Service Connect hinzu.
Console
- Klicken Sie beim regionalen Netzwerk-Load-Balancer, den Sie erstellen, auf Backend-Konfiguration.
- Wählen Sie für den Backend-Typ die Option Netzwerk-Endpunktgruppe von Private Service Connect aus.
- Wählen Sie unter Neues Backend die von Ihnen erstellte NEG aus.
- Behalten Sie die verbleibenden Standardwerte bei und klicken Sie dann auf Fertig.
- Prüfen Sie in der Google Cloud Console, ob neben Backend-Konfiguration ein Häkchen angezeigt wird. Ist dies nicht der Fall, prüfen Sie, ob Sie alle Schritte ausgeführt haben.
gcloud
Erstellen Sie einen Backend-Dienst für den Zieldienst.
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=INTERNAL_MANAGED \ --protocol=TCP \ --region=REGION
Ersetzen Sie dabei Folgendes:
BACKEND_SERVICE_NAME
: Der Name des Backend-Dienstes.REGION
ist die Region des Backend-Dienstes. Verwenden Sie dieselbe Region wie die NEG.
Fügen Sie die Private Service Connect NEG hinzu, die auf den Zieldienst verweist.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --region=REGION
Ersetzen Sie dabei Folgendes:
BACKEND_SERVICE_NAME
ist der Name des Backend-Dienstes.NEG_NAME
ist der Name der Netzwerk-Endpunktgruppe.NEG_REGION
ist die Region der Netzwerk-Endpunktgruppe.REGION
ist die Region des Backend-Dienstes.
Backend zu einem regionalen externen Proxy Network Load Balancer hinzufügen
Sie können einem regionalen externen Proxy Network Load Balancer ein Private Service Connect-NEG-Backend hinzufügen, wenn die NEG auf einen veröffentlichten Dienst verweist. Dieser Load-Balancer unterstützt nur einen Backend-Dienst.
Folgen Sie zum Konfigurieren des Load-Balancers der Anleitung zum Einrichten eines regionalen externen Proxy Network Load Balancers mit zonalen Back-Ends, aber führen Sie nicht die Schritte unter „Schritte für die zonalen NEGs erstellen“ nicht aus und konfigurieren Sie keine Systemdiagnosen. Anstatt eine zonale NEG zu konfigurieren, fügen Sie die von Ihnen erstellte Private Service Connect-NEG mit der folgenden Anleitung einem Backend von Private Service Connect hinzu.
Console
- Klicken Sie im regionalen externen Netzwerk-Load-Balancer, den Sie erstellen, auf Backend-Konfiguration.
- Wählen Sie für den Backend-Typ die Option Netzwerk-Endpunktgruppe von Private Service Connect aus.
- Wählen Sie unter Neues Backend die von Ihnen erstellte NEG aus.
- Behalten Sie die verbleibenden Standardwerte bei und klicken Sie dann auf Fertig.
- Prüfen Sie in der Google Cloud Console, ob neben Backend-Konfiguration ein Häkchen angezeigt wird. Ist dies nicht der Fall, prüfen Sie, ob Sie alle Schritte ausgeführt haben.
gcloud
Erstellen Sie einen Backend-Dienst für den Zieldienst.
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=EXTERNAL_MANAGED \ --protocol=TCP \ --region=REGION
Ersetzen Sie dabei Folgendes:
BACKEND_SERVICE_NAME
: Der Name des Backend-Dienstes.REGION
ist die Region des Backend-Dienstes. Verwenden Sie dieselbe Region wie die NEG.
Fügen Sie die Private Service Connect NEG hinzu, die auf den Zieldienst verweist.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --region=REGION
Ersetzen Sie dabei Folgendes:
BACKEND_SERVICE_NAME
ist der Name des Backend-Dienstes.NEG_NAME
ist der Name der Netzwerk-Endpunktgruppe.NEG_REGION
ist die Region der Netzwerk-Endpunktgruppe.REGION
ist die Region des Backend-Dienstes.
Backends auflisten
Sie können alle konfigurierten Private Service Connect-Backends auflisten.
Console
Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
Klicken Sie auf den Tab Verbundene Endpunkte.
Die Private Service Connect-Backends werden im Abschnitt Load-Balancer-Endpunkte angezeigt.
Backend beschreiben
Sie können ein Private Service Connect-Backend beschreiben, um dessen Details einschließlich des Verbindungsstatus aufzurufen.
Console
- Verfügbare Backends auflisten
- Klicken Sie auf das Backend, das Sie beschreiben möchten.
Fehlerbehebung
Fehler beim Zugriff auf die Weiterleitungsregel des Load Balancers
Wenn beim Versuch, auf die Weiterleitungsregel des Load Balancers zuzugreifen, der Fehler 404
angezeigt wird, kann er eine der folgenden Ursachen haben:
Die URL-Zuordnung wurde noch nicht übertragen.
Wenn Sie den Load Balancer gerade erst erstellt haben, warten Sie ein paar Minuten.
Die URL, die Sie in Ihrer Anfrage verwenden, stimmt nicht mit einer in der URL-Zuordnung definierten URL überein.
Prüfen Sie, ob die gewünschte URL mit der URL-Zuordnungskonfiguration in Ihrem Load Balancer übereinstimmt.
Das Dienstersteller-Backend unterstützt die URL, auf die Sie zugreifen möchten, nicht.
Bitten Sie den Dienstersteller, zu prüfen, welche URL Sie für den Zugriff auf seinen Dienst verwenden sollten.