Private Service Connect-Backend erstellen

Sie können Private Service Connect-Back-Ends verwenden, um eine Verbindung zu unterstützten Diensten herzustellen, indem Sie den Load-Balancer für die Richtlinienerzwingung verwenden. Sie stellen eine Verbindung zum Dienst über eine Weiterleitungsregel her, die einem Backend zugeordnet ist, das eine Private Service Connect-Netzwerk-Endpunktgruppe (NEG) enthält.

Weitere Informationen zu unterstützten Diensten und Konfigurationen finden Sie unter Private Service Connect-Back-Ends.

In dieser Anleitung erfahren Sie, wie Sie einem Load Balancer eine Private Service Connect-NEG hinzufügen, um entweder auf Google APIs oder einen veröffentlichten Dienst zuzugreifen. Dieser Leitfaden enthält nicht die vollständige Load Balancer-Konfiguration.

Eine Anleitung zum Erstellen eines Load-Balancers mit einem Private Service Connect-Backend finden Sie hier:

Rollen

Die Rolle "Compute-Load-Balancer-Administrator" (roles/compute.loadBalancerAdmin) enthält die zum Ausführen der in dieser Anleitung beschriebenen Aufgaben erforderlichen Berechtigungen.

Vorbereitung

  1. Legen Sie fest, zu welcher API oder zu welchem Dienst Sie eine Verbindung herstellen möchten:

    • Führen Sie für Google APIs einen der folgenden Schritte aus:

    • Für veröffentlichte Dienste:

      • Wenn Sie einen eigenen Dienst veröffentlichen möchten, finden Sie weitere Informationen unter Verwaltete Dienste veröffentlichen.

      • Wenn Sie eine Verbindung zu einem von Google Cloud oder einem Drittanbieter veröffentlichten Dienst herstellen, bitten Sie den Ersteller um die folgenden Informationen:

        • Der URI des Dienstanhangs für den Dienst, zu dem Sie eine Verbindung herstellen möchten.

        • Alle Anforderungen für die DNS-Namen, an die Sie Anfragen senden. Möglicherweise müssen Sie bestimmte DNS-Namen in der URL-Zuordnungskonfiguration verwenden.

  2. Ermitteln Sie, welcher Load-Balancer-Typ den Dienst unterstützt, zu dem Sie eine Verbindung herstellen möchten, und stellen Sie sicher, dass Sie mit dem Load-Balancer vertraut sind, den Sie aktualisieren möchten. In dieser Anleitung wird beschrieben, wie Sie einem Load-Balancer eine Private Service Connect-NEG hinzufügen, aber Sie können zusätzliche Konfigurationsschritte ausführen.

    Weitere Informationen finden Sie unter Unterstützte Load-Balancer und Ziele.

Private Service Connect-NEG erstellen

Wenn Sie eine NEG erstellen, wählen Sie aus, mit welchem Zieltyp eine Verbindung hergestellt werden soll:

  • Einen veröffentlichten Dienst
  • Eine regionale Google API
  • Eine globale Google API

NEG zum Herstellen einer Verbindung zu einem veröffentlichten Dienst erstellen

Wenn Sie eine Private Service Connect-NEG erstellen, die auf einen veröffentlichten Dienst verweist, benötigen Sie den URI des Dienstanhangs für den Dienst. Der Dienstanhang hat folgendes Format: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME.

Informationen zu unterstützten Load Balancern für diese Konfiguration finden Sie unter Veröffentlichte Dienstziele.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerk-Endpunktgruppen auf.

    Zu den Netzwerk-Endpunktgruppen

  2. Klicken Sie auf NETZWERK-ENDPUNKTGRUPPE ERSTELLEN.

  3. Geben Sie einen Namen für die Netzwerk-Endpunktgruppe ein.

  4. Wählen Sie für den Typ der Netzwerk-Endpunktgruppe die Option Private Service Connect NEG (regional) aus.

  5. Konfigurieren Sie das Ziel:

    1. Wählen Sie für Ziel die Option Veröffentlichter Dienst aus.
    2. Geben Sie für Zieldienst den URI des Dienstanhangs ein.
    3. Wählen Sie das Netzwerk und das Subnetzwerk aus, in dem die Netzwerk-Endpunktgruppe erstellt werden soll.

      Das Subnetz muss sich in derselben Region wie der veröffentlichte Dienst befinden.

  6. Klicken Sie auf Erstellen.

gcloud

Führen Sie den Befehl gcloud compute network-endpoint-groups create aus:

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION \
    --network=NETWORK \
    --subnet=SUBNET

Ersetzen Sie dabei Folgendes:

  • NEG_NAME ist ein Name für die Netzwerk-Endpunktgruppe.

  • TARGET_SERVICE ist der URI des Dienstanhangs.

  • REGION ist die Region, in der die Netzwerk-Endpunktgruppe erstellt werden soll. Die Region muss mit der Region des Zieldienstes übereinstimmen.

  • NETWORK ist die Region, in der die Netzwerk-Endpunktgruppe erstellt werden soll. Wenn nichts angegeben ist, wird das Standardnetzwerk verwendet.

  • SUBNET ist die Region, in der die Netzwerk-Endpunktgruppe erstellt werden soll. Das Subnetz muss sich in derselben Region wie der Zieldienst befinden. Ein Subnetz muss angegeben werden, wenn Sie das Netzwerk angeben. Wenn sowohl Netzwerk als auch Subnetz weggelassen werden, wird das Standardnetzwerk verwendet und das Standardsubnetz in der angegebenen REGION.

NEG zum Herstellen einer Verbindung zu einer regionalen Google API erstellen

Sie können eine NEG erstellen, um eine Verbindung zu einer regionalen Google API herzustellen.

Informationen zu den für diese Konfiguration unterstützten Load Balancern finden Sie unter Regionale Google API-Ziele.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerk-Endpunktgruppen auf.

    Zu den Netzwerk-Endpunktgruppen

  2. Klicken Sie auf NETZWERK-ENDPUNKTGRUPPE ERSTELLEN.

  3. Geben Sie einen Namen für die Netzwerk-Endpunktgruppe ein.

  4. Wählen Sie für den Typ der Netzwerk-Endpunktgruppe die Option Private Service Connect NEG (regional) aus.

  5. Konfigurieren Sie das Ziel:

    1. Wählen Sie für Ziel die Option Google APIs aus.
    2. Wählen Sie eine Region und den Zieldienst aus.
  6. Klicken Sie auf Erstellen.

gcloud

Führen Sie den Befehl gcloud compute network-endpoint-groups create aus:

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION

Ersetzen Sie dabei Folgendes:

  • NEG_NAME ist ein Name für die Netzwerk-Endpunktgruppe.

  • TARGET_SERVICE sind die regionaler Dienstendpunkt, zu dem Sie eine Verbindung herstellen möchten.

  • REGION ist die Region, in der die Netzwerk-Endpunktgruppe erstellt werden soll. Die Region muss mit der Region des Zieldienstes übereinstimmen.

NEG zum Herstellen einer Verbindung zu einer globalen Google API erstellen

Sie können einen Private Service Connect-NEG zum Herstellen einer Verbindung zu einer globalen Google API erstellen. NEGs sind regional, auch wenn sie eine Verbindung zu globalen APIs herstellen. In dieser Konfiguration wird die Region ignoriert.

Informationen zu unterstützten Load Balancern für diese Konfiguration finden Sie unter Globale Google API-Ziele.

Eine vollständige Anleitung zum Erstellen eines regionenübergreifenden internen Application Load Balancers und eines Private Service Connect-NEG für den Zugriff auf globale Google APIs finden Sie unter Auf globale Google APIs zugreifen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerk-Endpunktgruppen auf.

    Zu den Netzwerk-Endpunktgruppen

  2. Klicken Sie auf NETZWERK-ENDPUNKTGRUPPE ERSTELLEN.

  3. Geben Sie einen Namen für die Netzwerk-Endpunktgruppe ein.

  4. Wählen Sie für den Typ der Netzwerk-Endpunktgruppe die Option Private Service Connect NEG (regional) aus.

  5. Konfigurieren Sie das Ziel:

    1. Wählen Sie für Ziel die Option Globale Google APIs aus.
    2. Wählen Sie eine Region und den Zieldienst aus.
  6. Klicken Sie auf Erstellen.

gcloud

Führen Sie den Befehl gcloud compute network-endpoint-groups create aus:

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION

Ersetzen Sie dabei Folgendes:

  • NEG_NAME ist ein Name für die Netzwerk-Endpunktgruppe.

  • TARGET_SERVICE: die globale Google API, mit der Sie eine Verbindung herstellen möchten.

  • REGION ist die Region, in der die Netzwerk-Endpunktgruppe erstellt werden soll.

Private Service Connect zu einem Load-Balancer hinzufügen

Sie können einen unterstützten Load-Balancer konfigurieren, um Traffic an ein Private Service Connect-NEG-Backend weiterzuleiten.

Weitere Informationen zu unterstützten Konfigurationen finden Sie unter Spezifikationen.

Backend zu einem Application Load Balancer hinzufügen

Fügen Sie einer globalen externen, einer internen, einer regionalen externen oder einer regionenübergreifenden internen Application Load Balancer-Instanz eine NEG hinzu.

Console

Load-Balancer bearbeiten

  1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

    Load-Balancing aufrufen

  2. Klicken Sie auf den Load-Balancer, den Sie ändern möchten.

  3. Klicken Sie auf Bearbeiten.

Backend-Konfiguration aktualisieren

  1. Klicken Sie auf Backend-Konfiguration.
  2. Maximieren Sie die Liste der Backend-Dienste und wählen Sie Backend-Dienst erstellen aus.
  3. Geben Sie im Feld Name eine Bezeichnung für den Backend-Dienst ein.
  4. Setzen Sie den Backend-Typ auf Private Service Connect-Netzwerk-Endpunktgruppe.
  5. Klicken Sie im Abschnitt Back-Ends auf die Liste Private Service Connect-Netzwerk-Endpunktgruppe und wählen Sie die von Ihnen erstellte Private Service Connect NEG aus. Klicken Sie auf Fertig.
  6. Wenn Sie einen globalen externen Application Load Balancer für die Verbindung mit einem veröffentlichten Dienst in mehreren Regionen konfigurieren und mehrere Private Service Connect-NEGs erstellt haben, klicken Sie auf Backend hinzufügen, um eine weitere NEG auszuwählen.

    Wiederholen Sie diesen Schritt, bis alle Backends für diesen verwalteten Dienst dem Backend-Dienst hinzugefügt wurden.

  7. Klicken Sie auf Erstellen.

Routingregeln aktualisieren

  1. Klicken Sie auf Routingregeln.
  2. Geben Sie für jeden hinzugefügten Backend-Dienst einen Host und einen Pfad ein.
  3. Klicken Sie auf Prüfen und abschließen, um die Konfiguration zu überprüfen.
  4. Klicken Sie auf Erstellen.

gcloud

Backend-Konfiguration aktualisieren

  1. Erstellen Sie einen Backend-Dienst für den Zieldienst.

    • Wenn Sie den Backend-Dienst zu einem regionalen Load-Balancer hinzufügen, verwenden Sie das Flag --region, um dieselbe Region wie für den Load-Balancer anzugeben.

      gcloud compute backend-services create BACKEND_SERVICE_NAME \
          --load-balancing-scheme=SCHEME \
          --protocol=HTTPS \
          --region=REGION
      

      Ersetzen Sie dabei Folgendes:

      • BACKEND_SERVICE_NAME: Der Name des Backend-Dienstes.
      • SCHEME: Load-Balancing-Schema für den Load-Balancer, den Sie ändern:
        • Verwenden Sie für einen regionalen externen Application Load Balancer EXTERNAL_MANAGED.
        • Verwenden Sie für einen internen Application Load Balancer INTERNAL_MANAGED.
      • REGION ist die Region des Backend-Dienstes. Verwenden Sie dieselbe Region wie die NEG.
    • Wenn Sie den Backend-Dienst zu einem globalen externen Application Load Balancer hinzufügen, verwenden Sie das Flag --global.

      gcloud compute backend-services create BACKEND_SERVICE_NAME \
          --load-balancing-scheme=EXTERNAL_MANAGED \
          --protocol=HTTPS \
          --global
      

      Ersetzen Sie BACKEND_SERVICE_NAME durch den Namen des Backend-Dienstes.

  2. Fügen Sie die Private Service Connect NEG hinzu, die auf den Zieldienst verweist.

    • Wenn Sie einen Backend-Dienst zu einem regionalen Load-Balancer hinzufügen, verwenden Sie das Flag --region, um dieselbe Region wie für den Load-Balancer anzugeben.

      gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
          --network-endpoint-group=NEG_NAME \
          --network-endpoint-group-region=NEG_REGION \
          --region=REGION
      

      Ersetzen Sie dabei Folgendes:

      • BACKEND_SERVICE_NAME ist der Name des Backend-Dienstes.
      • NEG_NAME ist der Name der Netzwerk-Endpunktgruppe.
      • NEG_REGION ist die Region der Netzwerk-Endpunktgruppe.
      • REGION ist die Region des Backend-Dienstes.
    • Wenn Sie einen Backend-Dienst zu einem globalen externen Application Load Balancer hinzufügen, verwenden Sie das Flag --global.

      Wenn Sie für denselben Dienst mehrere NEGs erstellt haben, wiederholen Sie diesen Schritt, um dem Backend-Dienst alle NEGs hinzuzufügen.

      gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
          --network-endpoint-group=NEG_NAME \
          --network-endpoint-group-region=NEG_REGION \
          --global
      

      Ersetzen Sie dabei Folgendes:

      • BACKEND_SERVICE_NAME ist der Name des Backend-Dienstes.
      • NEG_NAME ist der Name der Netzwerk-Endpunktgruppe.
      • NEG_REGION ist die Region der Netzwerk-Endpunktgruppe.

Routingregeln aktualisieren

  1. Fügen Sie für jeden von Ihnen erstellten Backend-Dienst der URL-Zuordnung des Load-Balancers einen Pfad-Matcher hinzu.

    • Wenn die URL-Zuordnung regional ist, geben Sie die Region mit dem Flag --region an.

      gcloud compute url-maps add-path-matcher URL_MAP_NAME \
          --path-matcher-name=PATH_MATCHER \
          --default-service=BACKEND_SERVICE_NAME \
          --region=REGION
      

      Ersetzen Sie dabei Folgendes:

      • URL_MAP_NAME ist der Name der URL-Zuordnung.
      • PATH_MATCHER ist ein Name für den Pfad-Matcher.
      • BACKEND_SERVICE_NAME ist der Name des Backend-Dienstes.
      • REGION ist die Region der URL-Zuordnung.
    • Wenn die URL-Zuordnung global ist, geben Sie das Flag --global an.

      gcloud compute url-maps add-path-matcher URL_MAP_NAME \
          --path-matcher-name=PATH_MATCHER \
          --default-service=BACKEND_SERVICE_NAME \
          --global
      

      Ersetzen Sie dabei Folgendes:

      • URL_MAP_NAME ist der Name der URL-Zuordnung.
      • PATH_MATCHER ist ein Name für den Pfad-Matcher.
      • BACKEND_SERVICE_NAME: der Name des Backend-Dienstes.
  2. Fügen Sie für jeden Hostnamen eine Hostregel hinzu.

    Jede Hostregel kann nur auf einen Pfad-Matcher verweisen, aber zwei oder mehr Hostregeln können auf denselben Pfad-Matcher verweisen.

    • Wenn die URL-Zuordnung regional ist, geben Sie die Region mit dem Flag --region an.

      gcloud compute url-maps add-host-rule URL_MAP_NAME \
          --hosts=HOST \
          --path-matcher-name=PATH_MATCHER \
          --region=REGION
      

      Ersetzen Sie dabei Folgendes:

      • URL_MAP_NAME ist der Name der URL-Zuordnung.
      • HOST ist der Hostname, an den Anfragen für diesen Dienst gesendet werden.
      • PATH_MATCHER ist der Name des Pfad-Matchers.
      • REGION ist die Region der URL-Zuordnung.
    • Wenn die URL-Zuordnung global ist, geben Sie das Flag --global an.

      gcloud compute url-maps add-host-rule URL_MAP_NAME \
          --hosts=HOST \
          --path-matcher-name=PATH_MATCHER \
          --global
      

      Ersetzen Sie dabei Folgendes:

      • URL_MAP_NAME ist der Name der URL-Zuordnung.
      • HOST ist der Hostname, an den Anfragen für diesen Dienst gesendet werden.
      • PATH_MATCHER ist der Name des Pfad-Matchers.

Backend zu einem regionalen internen Proxy Network Load Balancer hinzufügen

Sie können einem regionalen internen Proxy Network Load Balancer ein Private Service Connect-NEG-Backend hinzufügen, wenn die NEG auf einen veröffentlichten Dienst verweist. Regionale interne Proxy Network Load Balancer unterstützen nur einen Backend-Dienst.

Folgen Sie der Anleitung zum Einrichten eines regionalen internen Proxy Network Load Balancers mit zonalen Back-Ends, um den regionalen internen Proxy Network Load Balancer zu konfigurieren, aber führen Sie nicht die Schritte unter „Schritte für die zonalen NEGs erstellen“ nicht aus und konfigurieren Sie keine Systemdiagnosen. Anstatt eine zonale NEG zu konfigurieren, fügen Sie die von Ihnen erstellte Private Service Connect-NEG mit der folgenden Anleitung einem Backend von Private Service Connect hinzu.

Console

  1. Klicken Sie beim regionalen Netzwerk-Load-Balancer, den Sie erstellen, auf Backend-Konfiguration.
  2. Wählen Sie für den Backend-Typ die Option Netzwerk-Endpunktgruppe von Private Service Connect aus.
  3. Wählen Sie unter Neues Backend die von Ihnen erstellte NEG aus.
  4. Behalten Sie die verbleibenden Standardwerte bei und klicken Sie dann auf Fertig.
  5. Prüfen Sie in der Google Cloud Console, ob neben Backend-Konfiguration ein Häkchen angezeigt wird. Ist dies nicht der Fall, prüfen Sie, ob Sie alle Schritte ausgeführt haben.

gcloud

  1. Erstellen Sie einen Backend-Dienst für den Zieldienst.

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
        --load-balancing-scheme=INTERNAL_MANAGED \
        --protocol=TCP \
        --region=REGION
    

    Ersetzen Sie dabei Folgendes:

    • BACKEND_SERVICE_NAME: Der Name des Backend-Dienstes.
    • REGION ist die Region des Backend-Dienstes. Verwenden Sie dieselbe Region wie die NEG.
  2. Fügen Sie die Private Service Connect NEG hinzu, die auf den Zieldienst verweist.

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
        --network-endpoint-group=NEG_NAME \
        --network-endpoint-group-region=NEG_REGION \
        --region=REGION
    

    Ersetzen Sie dabei Folgendes:

    • BACKEND_SERVICE_NAME ist der Name des Backend-Dienstes.
    • NEG_NAME ist der Name der Netzwerk-Endpunktgruppe.
    • NEG_REGION ist die Region der Netzwerk-Endpunktgruppe.
    • REGION ist die Region des Backend-Dienstes.

Backend zu einem regionalen externen Proxy Network Load Balancer hinzufügen

Sie können einem regionalen externen Proxy Network Load Balancer ein Private Service Connect-NEG-Backend hinzufügen, wenn die NEG auf einen veröffentlichten Dienst verweist. Dieser Load-Balancer unterstützt nur einen Backend-Dienst.

Folgen Sie zum Konfigurieren des Load-Balancers der Anleitung zum Einrichten eines regionalen externen Proxy Network Load Balancers mit zonalen Back-Ends, aber führen Sie nicht die Schritte unter „Schritte für die zonalen NEGs erstellen“ nicht aus und konfigurieren Sie keine Systemdiagnosen. Anstatt eine zonale NEG zu konfigurieren, fügen Sie die von Ihnen erstellte Private Service Connect-NEG mit der folgenden Anleitung einem Backend von Private Service Connect hinzu.

Console

  1. Klicken Sie im regionalen externen Netzwerk-Load-Balancer, den Sie erstellen, auf Backend-Konfiguration.
  2. Wählen Sie für den Backend-Typ die Option Netzwerk-Endpunktgruppe von Private Service Connect aus.
  3. Wählen Sie unter Neues Backend die von Ihnen erstellte NEG aus.
  4. Behalten Sie die verbleibenden Standardwerte bei und klicken Sie dann auf Fertig.
  5. Prüfen Sie in der Google Cloud Console, ob neben Backend-Konfiguration ein Häkchen angezeigt wird. Ist dies nicht der Fall, prüfen Sie, ob Sie alle Schritte ausgeführt haben.

gcloud

  1. Erstellen Sie einen Backend-Dienst für den Zieldienst.

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
        --load-balancing-scheme=EXTERNAL_MANAGED \
        --protocol=TCP \
        --region=REGION
    

    Ersetzen Sie dabei Folgendes:

    • BACKEND_SERVICE_NAME: Der Name des Backend-Dienstes.
    • REGION ist die Region des Backend-Dienstes. Verwenden Sie dieselbe Region wie die NEG.
  2. Fügen Sie die Private Service Connect NEG hinzu, die auf den Zieldienst verweist.

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
        --network-endpoint-group=NEG_NAME \
        --network-endpoint-group-region=NEG_REGION \
        --region=REGION
    

    Ersetzen Sie dabei Folgendes:

    • BACKEND_SERVICE_NAME ist der Name des Backend-Dienstes.
    • NEG_NAME ist der Name der Netzwerk-Endpunktgruppe.
    • NEG_REGION ist die Region der Netzwerk-Endpunktgruppe.
    • REGION ist die Region des Backend-Dienstes.

Backends auflisten

Sie können alle konfigurierten Private Service Connect-Backends auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbundene Endpunkte.

    Die Private Service Connect-Backends werden im Abschnitt Load-Balancer-Endpunkte angezeigt.

Backend beschreiben

Sie können ein Private Service Connect-Backend beschreiben, um dessen Details einschließlich des Verbindungsstatus aufzurufen.

Console

  1. Verfügbare Backends auflisten
  2. Klicken Sie auf das Backend, das Sie beschreiben möchten.

Fehlerbehebung

Fehler beim Zugriff auf die Weiterleitungsregel des Load Balancers

Wenn beim Versuch, auf die Weiterleitungsregel des Load Balancers zuzugreifen, der Fehler 404 angezeigt wird, kann er eine der folgenden Ursachen haben:

  • Die URL-Zuordnung wurde noch nicht übertragen.

    Wenn Sie den Load Balancer gerade erst erstellt haben, warten Sie ein paar Minuten.

  • Die URL, die Sie in Ihrer Anfrage verwenden, stimmt nicht mit einer in der URL-Zuordnung definierten URL überein.

    Prüfen Sie, ob die gewünschte URL mit der URL-Zuordnungskonfiguration in Ihrem Load Balancer übereinstimmt.

  • Das Dienstersteller-Backend unterstützt die URL, auf die Sie zugreifen möchten, nicht.

    Bitten Sie den Dienstersteller, zu prüfen, welche URL Sie für den Zugriff auf seinen Dienst verwenden sollten.