Auf verwaltete Dienste mit Private Service Connect zugreifen

Mit Private Service Connect können Sie eine Verbindung zu Diensterstellern mithilfe von Endpunkten mit internen IP-Adressen in Ihrem VPC-Netzwerk herstellen.

In diesem Dokument wird erläutert, wie Sie Private Service Connect-Endpunkte verwenden, um eine Verbindung zu unterstützten Diensten in einem anderen VPC-Netzwerk herzustellen. Sie können eine Verbindung zu Ihren eigenen Diensten oder denen anderer Dienstersteller herstellen. Weitere Informationen finden Sie unter Dienste veröffentlichen.

Rollen

Die folgende IAM-Rolle bietet die Berechtigungen, die zum Ausführen der Aufgaben in dieser Anleitung erforderlich sind.

Aufgabe Rollen
Private Service Connect-Endpunkt erstellen Beide Rollen:
Compute-Netzwerkadministrator (roles/compute.networkAdmin) und
Service Directory-Bearbeiter (roles/servicedirectory.editor)
DNS-Einträge für einen Private Service Connect-Endpunkt automatisch oder manuell konfigurieren DNS-Administrator (roles/dns.admin)

Vorbereitung

  • Sie müssen in Ihrem Projekt die Compute Engine API aktivieren.

  • Sie müssen die Service Directory API für Ihr Projekt aktivieren.

  • Sie müssen in Ihrem Projekt die Cloud DNS API aktivieren.

  • Firewallregeln für ausgehenden Traffic müssen Traffic zur internen IP-Adresse des Private Service Connect-Endpunkts zulassen. Die implizierte Firewallregel zum Zulassen ausgehenden Traffics erlaubt ausgehenden Traffic an jede Ziel-IP-Adresse.

    Wenn Sie in Ihrem VPC-Netzwerk Firewallregeln erstellt haben, die ausgehenden Traffic ablehnen, oder wenn Sie hierarchische Firewallrichtlinien erstellt haben, durch die das Verhalten von implizit zulässigem ausgehendem Traffic ändern, wird der Zugriff auf den Endpunkt möglicherweise beeinträchtigt. Erstellen Sie eine spezifische Firewallregel oder Richtlinie, die ausgehenden Traffic zulässt, um Traffic zum internen IP-Adressziel des Dienstendpunkts zu erlauben.

  • Sie müssen den URI des Dienstanhangs für den Dienst haben. Beispiel: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

  • Wenn Sie einen Private Service Connect-Endpunkt in einem Projekt erstellen, das durch einen VPC Service Controls-Perimeter geschützt ist, der compute.googleapis.com, servicedirectory.googleapis.com oder dns.googleapis.com einschränkt, ist eine zusätzliche Konfiguration erforderlich. Sie müssen Regeln für ein- und ausgehenden Traffic für VPC Service Controls erstellen, bevor Sie den Endpunkt erstellen. Weitere Informationen finden Sie unter Regeln für ein- und ausgehenden Traffic für VPC Service Controls konfigurieren.

Beschränkungen

  • Private Service Connect-Endpunkte sind über Peering-VPC-Netzwerke nicht erreichbar.

  • Sie können keine Anfragen von einer lokalen Umgebung, die mithilfe von Cloud Interconnect-Anhängen (VLANs) mit einer VPC verbunden ist, an einen Private Service Connect-Endpunkt senden, der für den Zugriff auf Dienste in einem anderen VPC-Netzwerk verwendet wird.

    Informationen zum Zugriff auf Private Service Connect-Endpunkte aus lokalen Umgebungen, die über Cloud VPN verbunden sind, finden Sie unter Private Service Connect von lokalen Hosts verwenden.

  • Die Paketspiegelung kann keine Pakete zwischen VMs und Private Service Connect-Endpunkten spiegeln, die eine Verbindung zu einem veröffentlichten Dienst herstellen.

Automatische DNS-Konfiguration

Wenn die folgenden Konfigurationen vorhanden sind, werden DNS-Einträge für Private Service Connect-Endpunkte automatisch erstellt:

  • Der Dienstersteller hat einen Domainnamen für den Dienst konfiguriert.

  • Der Private Service Connect-Endpunkt ist bei einem Service Directory-Namespace registriert.

    Alle neuen Endpunkte werden automatisch bei Service Directory registriert. Ältere Endpunkte werden jedoch möglicherweise nicht registriert.

Wenn beide Konfigurationen vorhanden sind, wird beim Erstellen des Private Service Connect-Endpunkts eine Service Directory-DNS-Zone mit dem Namen NAMESPACE--REGION erstellt. Diese private Zone speichert DNS-Einträge für Dienste, die im Service Directory-Namespace NAMESPACE in der Region REGION gefunden werden.

Automatische DNS-Konfiguration für Private Service Connect-Endpunkte mit Service Directory (zum Vergrößern klicken)

Nachdem Sie den Private Service Connect-Endpunkt erstellt haben, können Sie prüfen, ob eine Service Directory-DNS-Zone erstellt wurde. Wenn die Service Directory-DNS-Zone nicht erstellt wird, können Sie manuell eine ähnliche Konfiguration erstellen. Weitere Informationen finden Sie unter Service Directory-DNS-Zonen aufrufen.

Wenn Sie nicht möchten, dass diese DNS-Einträge erstellt werden, führen Sie einen der folgenden Schritte aus:

  • Wenn Sie Cloud DNS nicht für einen anderen Zweck verwenden, deaktivieren Sie die Cloud DNS API oder entfernen Sie die Berechtigungen, die für Cloud DNS erforderlich sind.

  • Warten Sie, bis die DNS-Zone erstellt wurde, und löschen Sie dann die DNS-Zone manuell.

    Informationen zum manuellen Konfigurieren von DNS finden Sie unter DNS manuell konfigurieren.

Private Service Connect-Endpunkt erstellen

Ein Private Service Connect-Endpunkt stellt mithilfe einer Private Service Connect-Weiterleitungsregel eine Verbindung zu Diensten in einem anderen VPC-Netzwerk her. Jede Weiterleitungsregel wird auf das projektspezifische Kontingent für Private Service Connect-Weiterleitungsregeln angerechnet, mit denen auf Dienste in einem anderen VPC-Netzwerk zugegriffen wird.

Wenn Sie mit Private Service Connect eine Verbindung zu Diensten in einem anderen VPC-Netzwerk herstellen, wählen Sie eine IP-Adresse aus einem Subnetz in Ihrem VPC-Netzwerk aus.

Die IP-Adresse muss sich in derselben Region wie der Dienstanhang des Diensterstellers befinden. Die IP-Adresse wird auf das Kontingent des Projekts für interne IP-Adressen angerechnet.

Wenn Sie einen Private Service Connect-Endpunkt erstellen, wird dieser automatisch bei Service Directory mit einem von Ihnen ausgewählten Namespace oder mit dem Standard-Namespace goog-psc-default registriert.

Console

  1. Wechseln Sie in der Google Cloud Console zu Private Service Connect.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbundene Endpunkte.

  3. Klicken Sie auf Endpunkt verbinden.

  4. Wählen Sie für Ziel die Option Veröffentlichter Dienst aus.

  5. Geben Sie bei Zieldienst den URI des Dienstanhangs ein, zu dem Sie eine Verbindung herstellen möchten.

    Der URI des Dienstanhangs hat folgendes Format: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME.

  6. Geben Sie unter Endpunktname einen Namen für den Endpunkt ein.

  7. Wählen Sie ein Netzwerk für den Endpunkt aus.

  8. Wählen Sie ein Subnetzwerk für den Endpunkt aus.

  9. Wählen Sie eine IP-Adresse für den Endpunkt aus. Wenn Sie eine neue IP-Adresse benötigen, können Sie eine erstellen:

    1. Klicken Sie auf das Drop-down-Menü IP-Adresse und wählen Sie IP-Adresse erstellen aus.
    2. Geben Sie einen Namen und optional eine Beschreibung für die IP-Adresse ein.
    3. Wählen Sie unter Statische IP-Adresse die Option Automatisch zuweisen oder Selbst auswählen aus.

      Wenn Sie Selbst auswählen ausgewählt haben, geben Sie die benutzerdefinierte IP-Adresse ein, die Sie verwenden möchten.

    4. Klicken Sie auf Reservieren.

  10. Wählen Sie einen Namespace aus der Drop-down-Liste aus oder erstellen Sie einen neuen Namespace.

    Die Region wird anhand des ausgewählten Subnetzwerks ausgefüllt.

  11. Klicken Sie auf Endpunkt hinzufügen.

gcloud

  1. Reservieren Sie eine interne IP-Adresse, die Sie dem Endpunkt zuweisen möchten.

    gcloud compute addresses create ADDRESS_NAME \
        --region=REGION \
        --subnet=SUBNET
    

    Dabei gilt:

    • ADDRESS_NAME: der Name, der der reservierten IP-Adresse zugewiesen werden soll.

    • REGION: die Region für die Endpunkt-IP-Adresse. Dies muss dieselbe Region sein, die den Dienstanhang des Diensterstellers enthält.

    • SUBNET: der Name des Subnetzes für die Endpunkt-IP-Adresse.

  2. Suchen Sie die reservierte IP-Adresse.

    gcloud compute addresses list --filter="name=ADDRESS_NAME"
    
  3. Erstellen Sie eine Weiterleitungsregel, um den Endpunkt mit dem Dienstanhang des Diensterstellers zu verbinden.

    gcloud compute forwarding-rules create ENDPOINT_NAME \
        --region=REGION \
        --network=NETWORK_NAME \
        --address=ADDRESS_NAME \
        --target-service-attachment=SERVICE_ATTACHMENT \
        [ --service-directory-registration=projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE ]
    

    Dabei gilt:

    • ENDPOINT_NAME: der Name, der dem Endpunkt zugewiesen werden soll.

    • REGION: die Region für den Endpunkt. Dies muss dieselbe Region sein, die den Dienstanhang des Diensterstellers enthält.

    • NETWORK_NAME: der Name des VPC-Netzwerks für den Endpunkt.

    • ADDRESS_NAME: der Name der reservierten Adresse.

    • SERVICE_ATTACHMENT: der URI des Dienstanhangs des Diensterstellers. Beispiel: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

    • PROJECT_ID: Ihre Projekt-ID.

    • NAMESPACE: der Namespace von Service Directory, den Sie verwenden möchten. Wenn Sie einen nicht vorhandenen Namespace angeben, wird der Namespace erstellt.

      Wenn Sie das Flag --service-directory-registration weglassen, wird der Standard-Namespace von goog-psc-default verwendet.

API

  1. Reservieren Sie eine interne IP-Adresse, die Sie dem Endpunkt zuweisen möchten.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/region/REGION/addresses
    
    {
      "name": ADDRESS_NAME,
      "addressType": "INTERNAL",
      "subnetwork": SUBNET_URI
    }
    

    Dabei gilt:

    • PROJECT_ID: Ihre Projekt-ID.

    • ADDRESS_NAME: der Name, der der reservierten IP-Adresse zugewiesen werden soll.

    • SUBNET_URI: das Subnetz für die IP-Adresse. Mit der Methode subnetworks.list oder gcloud compute networks subnets list --uri können Sie die URLs Ihrer Netzwerke ermitteln.

  2. Erstellen Sie eine Weiterleitungsregel, um den Endpunkt mit Google APIs und Google-Diensten zu verbinden.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules
    {
      "name": ENDPOINT_NAME,
      "IPAddress": ADDRESS_URI,
      "target": SERVICE_ATTACHMENT,
      "network": NETWORK_URI,
      "serviceDirectoryRegistrations": [
          {
              "namespace": NAMESPACE,
          }
      ],
    }
    

    Dabei gilt:

    • PROJECT_ID: Ihre Projekt-ID.

    • REGION: die Region für den Endpunkt.

    • ENDPOINT_NAME: der Name, der dem Endpunkt zugewiesen werden soll.

    • ADDRESS_URI: der URI der reservierten Adresse im zugehörigen Netzwerk. Verwenden Sie die Methode addresses.list oder gcloud compute addresses list --uri, um die URL Ihrer reservierten Adresse zu ermitteln.

    • SERVICE_ATTACHMENT: der URI des Dienstanhangs des Diensterstellers. Beispiel: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

    • NETWORK_URI: das VPC-Netzwerk für den Endpunkt. Mit der Methode network.list oder gcloud compute networks list --uri können Sie den URI Ihres Netzwerks ermitteln.

    • NAMESPACE: der Namespace für den Endpunkt. Wenn Sie einen nicht vorhandenen Namespace angeben, wird der Namespace erstellt. Wenn Sie das Feld namespace weglassen, wird der Standard-Namespace von goog-psc-default zugewiesen.

Regeln für ein- und ausgehenden Traffic für VPC Service Controls konfigurieren

Wenn Sie einen Private Service Connect-Endpunkt in einem Projekt erstellen, das durch einen VPC Service Controls-Perimeter geschützt ist, der compute.googleapis.com, servicedirectory.googleapis.com oder dns.googleapis.com einschränkt, ist eine zusätzliche Konfiguration erforderlich. Bevor Sie einen Private Service Connect-Endpunkt erstellen, bitten Sie den Dienstersteller um die folgenden Informationen:

  • PRODUCER_PROJECT_NUMBER: die Projektnummer des Projekts, das den Dienstanhang enthält

  • PRODUCER_SERVICE_ACCOUNT (optional): der Name des Dienstkontos, das die Dienstanlage erstellt hat, wenn Sie eine Eingangsregel konfigurieren möchten, die den Zugriff nach Konto einschränkt.

Verwenden Sie diese Informationen, um Ein- und Ausgangsregeln zu erstellen, damit die Verbindung zwischen dem Private Service Connect-Endpunkt und dem Dienstanhang hergestellt werden kann.

Informationen zum Konfigurieren von Regeln für ein- und ausgehenden Traffic finden Sie unter Richtlinien für ein- und ausgehenden Traffic konfigurieren.

  1. Konfigurieren Sie eine Regel für ausgehenden Traffic, die ausgehenden Traffic vom Nutzerprojekt zum Erstellerprojekt PRODUCER_PROJECT_NUMBER zulässt.

    - egressFrom:
        identityType: ANY_IDENTITY
      egressTo:
        operations:
        - serviceName: 'compute.googleapis.com'
          methodSelectors:
          - method: 'ServiceAttachmentsService.Insert'
          - method: 'ServiceAttachmentsService.Patch'
          - method: 'RegionForwardingRulesService.Insert'
        - serviceName: 'servicedirectory.googleapis.com'
          methodSelectors:
          - method: '*'
        - serviceName: 'dns.googleapis.com'
          methodSelectors:
          - method: '*'
        resources:
        - 'projects/PRODUCER_PROJECT_NUMBER'
    
  2. Erstellen Sie eine der folgenden Regeln für eingehenden Traffic:

    • Dieses Regelbeispiel für eingehenden Traffic erlaubt es dem Dienstersteller, einen Dienstanhang zu aktualisieren, der von PRODUCER_SERVICE_ACCOUNT erstellt wurde, um Ihr Projekt in die Zulassungsliste aufzunehmen.

      - ingressFrom:
          sources:
          - accessLevel: '*' # All Sources
          identities: serviceAccount: PRODUCER_SERVICE_ACCOUNT
        ingressTo:
          operations:
          - serviceName: 'compute.googleapis.com'
            methodSelectors:
            - method: 'ServiceAttachmentsService.Patch'
          - serviceName: 'servicedirectory.googleapis.com'
            methodSelectors:
            - method: '*'
          - serviceName: 'dns.googleapis.com'
            methodSelectors:
            - method: '*'
          resources:
          - '*'
      
    • Mit diesem Regelbeispiel für eingehenden Traffic kann der Dienstersteller einen Dienstanhang aktualisieren, der von einem beliebigen Konto erstellt wurde, um Ihr Projekt zur Zulassungsliste hinzuzufügen.

      - ingressFrom:
          sources:
          - accessLevel: '*' # All Sources
          identityType: ANY_IDENTITY
        ingressTo:
          operations:
          - serviceName: 'compute.googleapis.com'
            methodSelectors:
            - method: 'ServiceAttachmentsService.Patch'
          - serviceName: 'servicedirectory.googleapis.com'
            methodSelectors:
            - method: '*'
          - serviceName: 'dns.googleapis.com'
            methodSelectors:
            - method: '*'
          resources:
          - '*'
      

Nachdem Sie die Regeln für ein- und ausgehenden Traffic konfiguriert haben, können Sie einen Private Service Connect-Endpunkt erstellen, der eine Verbindung zu einem Dienstanhang im Projekt PRODUCER_PROJECT_NUMBER herstellt.

Service Directory-DNS-Zonen ansehen

Wenn die Voraussetzungen für die automatische DNS-Konfiguration erfüllt sind, wird eine DNS-Zone mit einem Namen im Format NAMESPACE--REGION erstellt.

Console

  1. Rufen Sie in der Cloud Console die Seite Cloud DNS-Zonen auf.

    Cloud DNS-Zonen aufrufen

  2. Suchen Sie nach einer privaten Zone mit dem Namen NAMESPACE--REGION.

gcloud

  • Führen Sie den folgenden Befehl aus, um alle privaten DNS-Zonen aufzulisten:

    gcloud dns managed-zones list \
        --filter="visibility=private"
    
  • Führen Sie den folgenden Befehl aus, um Details zu einer Zone mit dem Namen NAMESPACE--REGION abzurufen.

    gcloud dns managed-zones describe NAMESPACE--REGION
    

Wenn die Zone nicht vorhanden ist, rufen Sie die Details für den Private Service Connect-Endpunkt auf und prüfen Sie, ob die Endpunktkonfiguration einen Wert für den Namespace enthält.

Endpunkte auflisten

Sie können alle konfigurierten Private Service Connect-Endpunkte auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite "Private Service Connect" auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbundene Endpunkte.

    Die Endpunkte für Private Service Connect werden angezeigt.

gcloud

gcloud compute forwarding-rules list  \
    --filter 'target~serviceAttachments'

Die Ausgabe sieht etwa so aus:

NAME  REGION  IP_ADDRESS  IP_PROTOCOL  TARGET
RULE          IP          TCP          REGION/serviceAttachments/SERVICE_NAME

API

Dieser API-Aufruf gibt alle Weiterleitungsregeln zurück, nicht nur Private Service Connect-Endpunkte, die für den Zugriff auf Dienste verwendet werden.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules

Dabei gilt:

  • PROJECT_ID: das Projekt, das den Endpunkt enthält.
  • REGION: die Region für den Endpunkt.

Endpunktdetails ansehen

Sie können alle Konfigurationsdetails eines Privaten Service Connect-Endpunkts aufrufen.

Der Endpunkt kann einen der folgenden Status haben:

  • Ausstehend: Der Endpunkt ist so konfiguriert, dass er eine Verbindung zu einem Dienst herstellt, für den eine Genehmigung erforderlich ist. Für dieses Projekt wurde noch keine Genehmigung erteilt.

  • Akzeptiert: Der Endpunkt befindet sich in einem Projekt, das für die Verbindung mit dem Dienst genehmigt wurde.

  • Abgelehnt: Der Endpunkt befindet sich in einem Projekt, das keine Verbindung zum Dienst herstellen darf.

  • Geschlossen: Der Endpunkt ist mit einem gelöschten Dienstanhang verbunden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite "Private Service Connect" auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbundene Endpunkte.

  3. Klicken Sie auf den Endpunkt, den Sie aufrufen möchten.

gcloud

gcloud compute forwarding-rules describe \
    ENDPOINT_NAME --region=REGION

Dabei gilt:

  • ENDPOINT_NAME: der Name des Endpunkts.
  • REGION: die Region für den Endpunkt.

API

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/ENDPOINT_NAME

Dabei gilt:

  • PROJECT_ID: das Projekt, das den Endpunkt enthält.
  • REGION: die Region für den Endpunkt.
  • ENDPOINT_NAME: der Name des Endpunkts.

Endpunkte mit Label versehen

Sie können Labels für Private Service Connect-Endpunkte verwalten. Weitere Informationen finden Sie unter Ressourcen mit Labels versehen.

Endpunkt löschen

Sie können einen Private Service Connect-Endpunkt löschen.

Die folgenden Service Directory-Konfigurationen werden jedoch nicht gelöscht, wenn Sie den Endpunkt löschen:

  • Service Directory-Namespace
  • Service Directory-DNS-Zone

Der Service Directory-Namespace und die Service Directory-DNS-Zone können von anderen Diensten verwendet werden. Prüfen Sie, ob der Namespace leer ist, bevor Sie den Service Directory-Namespace löschen oder die Service Directory-DNS-Zone löschen.

Console

  1. Wechseln Sie in der Google Cloud Console zu Private Service Connect.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbundene Endpunkte.

  3. Wählen Sie den Private Service Connect-Endpunkt aus, den Sie löschen möchten, und klicken Sie auf Löschen.

gcloud

    gcloud compute forwarding-rules delete \
        ENDPOINT_NAME --region=REGION

Dabei gilt:

  • ENDPOINT_NAME: der Name des Endpunkts.
  • REGION: die Region für den Endpunkt.

API

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/ENDPOINT_NAME

Dabei gilt:

  • PROJECT_ID: das Projekt, das den Endpunkt enthält.
  • REGION: die Region für den Endpunkt.
  • ENDPOINT_NAME: der Name des Endpunkts.

Andere Möglichkeiten zur Konfiguration von DNS

Wenn die Voraussetzungen für die automatische DNS-Konfiguration nicht erfüllt sind, können Sie DNS-Einträge auf andere Weise erstellen:

Service Directory-DNS-Zone konfigurieren

Wenn ein Private Service Connect-Endpunkt bei Service Directory registriert ist, aber der veröffentlichte Dienst, zu dem eine Verbindung hergestellt wird, keinen Domainnamen konfiguriert hat, werden keine DNS-Änderungen vorgenommen.

Wenn Sie die automatische DNS-Konfiguration replizieren möchten, können Sie manuell eine Service Directory-DNS-Zone konfigurieren, die vom Namespace Service Directory unterstützt wird. Nachdem die Zone erstellt wurde, werden DNS-Einträge für den Private Service Connect-Endpunkt automatisch erstellt.

Erstellen Sie eine Service Directory-DNS-Zone mit der folgenden Konfiguration:

  • Zonenname: Geben Sie NAMESPACE--REGION an, wobei NAMESPACE der Namespace ist, in dem der Private Service Connect-Endpunkt registriert ist, und REGION die Region ist, in der der Endpunkt erstellt wird.

  • DNS-Name: Die DNS-Domain, die der Dienstersteller für seine veröffentlichten Dienste verwendet. Diese Informationen erhalten Sie vom Dienstersteller.

    Der DNS-Name hat möglicherweise das Format REGION.p.DOMAIN. Wenn die öffentliche Domain des Diensterstellers beispielsweise example.com ist und sein veröffentlichter Dienst in us-west1 liegt, dann empfehlen wir, dass er seinen Dienst unter dem Domainnamen us-west1.p.example.com zur Verfügung stellt. Fügen Sie einen nachgestellten Punkt ein, z. B. us-west1.p.example.com..

  • Service Directory-Namespace: Der Namespace, den Sie für diesen Endpunkt konfiguriert haben.

Rufen Sie die Details zum Private Service Connect-Endpunkt auf, um den Service Directory-Namespace und die Service Directory-Region zu finden.

Wenn Sie bei dieser Konfiguration eine Service Directory-DNS-Zone mit dem DNS-Namen us-west1.p.example.com konfiguriert und einen Private Service Connect-Endpunkt namens analytics erstellt haben, wird ein DNS-Eintrag für analytics.us-west1.p.example.com automatisch erstellt.

Private Service Connect-Endpunkt bei Service Directory registrieren

Neue Private Service Connect-Endpunkte werden automatisch bei Service Directory registriert. Wenn jedoch ein Private Service Connect-Endpunkt erstellt wurde, bevor die automatische Registrierung mit Service Directory aktiviert wurde, fehlt diese Konfiguration möglicherweise.

Sie können den Private Service Connect-Endpunkt löschen und einen neuen erstellen, der automatisch bei Service Directory registriert ist.

Sie können auch diese Schritte ausführen, um einen vorhandenen Private Service Connect-Endpunkt mit einem Service Directory-Namespace zu registrieren.

  1. Erstellen Sie einen Service Directory-Namespace für den Private Service Connect-Endpunkt NAMESPACE.

  2. Erstellen Sie einen Service Directory-Dienst für den Private Service Connect-Endpunkt SERVICE_NAME.

    Verwenden Sie für den Dienst denselben Namen wie für die Weiterleitungsregel, die für den Private Service Connect-Endpunkt ENDPOINT_NAME verwendet wird.

  3. Erstellen Sie einen Service Directory-Endpunkt mit dem Namen default und verwenden Sie die IP-Adresse und den Port (443) des Private Service Connect-Endpunkts.

Nachdem Sie den Private Service Connect-Endpunkt bei Service Directory registriert haben, folgen Sie der Anleitung zum Konfigurieren einer Service Directory-DNS-Zone.

DNS manuell konfigurieren

Wenn Sie die automatische DNS-Konfiguration verhindert haben oder sie in Ihrer Konfiguration nicht aktiviert ist, können Sie mithilfe von Cloud DNS DNS-Einträge manuell erstellen.

Weitere Informationen finden Sie auf den folgenden Seiten:

  • Zugriffssteuerung: Die Rolle "DNS-Administrator" (roles/dns.admin) bietet die Berechtigungen zum Erstellen von DNS-Zonen und -Einträgen.

  • Private Zone erstellen.

    • Wenn Sie eine private Zone konfigurieren, geben Sie einen DNS-Namen an. Verwenden Sie die DNS-Domain, die der Dienstersteller für seine veröffentlichten Dienste verwendet. Diese Informationen erhalten Sie vom Dienstersteller.

      Er hat möglicherweise dieses Format: REGION.p.DOMAIN. Wenn die öffentliche Domain des Diensterstellers beispielsweise example.com ist und sein veröffentlichter Dienst in us-west1 liegt, dann empfehlen wir, dass er seinen Dienst unter dem Domainnamen us-west1.p.example.com zur Verfügung stellt.

  • Eintrag hinzufügen.

Logging

Sie können VPC-Flusslogs in Subnetzen aktivieren, die VMs enthalten, die auf Dienste in einem anderen VPC-Netzwerk über Private Service Connect-Endpunkte zugreifen. Die Logs zeigen Abläufe zwischen den VMs und dem Private Service Connect-Endpunkt.

Private Service Connect von lokalen Hosts aus verwenden

Wenn Ihr lokales Netzwerk mit einem VPC-Netzwerk verbunden ist, können Sie von lokalen Hosts über die interne IP-Adresse des Private Service Connect-Endpunkts auf die von Private Service Connect veröffentlichten Dienste zugreifen.

  • Ihr lokales Netzwerk muss über Cloud VPN-Tunnel mit einem VPC-Netzwerk in derselben Region verbunden sein, in der sich auch der Private Service Connect-Endpunkt befindet.

  • Der Private Service Connect Endpunkt befindet sich im VPC-Netzwerk, das mit Ihrem lokalen Netzwerk verbunden ist.

  • Wenn Sie über den DNS-Namen auf den Private Service Connect-Endpunkt zugreifen möchten, müssen Sie lokale Systeme konfigurieren, damit sie Abfragen an Ihre privaten DNS-Zonen senden können.

    Wenn Sie die privaten DNS-Zonen mit Cloud DNS implementiert haben, führen Sie die folgenden Schritte aus:

Fehlerbehebung

Erstellen einer privaten DNS-Zone schlägt fehl

Wenn Sie einen Endpunkt für Private Service Connect erstellen, wird eine Service Directory-DNS-Zone erstellt. Das Erstellen einer Zone kann aus folgenden Gründen fehlschlagen:

  • Sie haben die Cloud DNS API in Ihrem Projekt nicht aktiviert.

  • Sie haben nicht die erforderlichen Berechtigungen, um eine Service Directory-DNS-Zone zu erstellen.

  • Eine DNS-Zone mit demselben Zonennamen ist in diesem VPC-Netzwerk vorhanden.

  • In diesem VPC-Netzwerk ist bereits eine DNS-Zone für denselben Domainnamen vorhanden.

So erstellen Sie die Service Directory-DNS-Zone manuell:

  1. Prüfen Sie, ob die Cloud DNS API in Ihrem Projekt aktiviert ist.

  2. Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Erstellen der Service Directory-DNS-Zone haben:

    • dns.managedZones.create
    • dns.networks.bindPrivateDNSZone
    • servicedirectory.namespaces.associatePrivateZone
  3. Wenn eine in Konflikt stehende Zone vorhanden ist, aber nicht mehr benötigt wird, löschen Sie die DNS-Zone.

  4. Erstellen Sie eine Service Directory-DNS-Zone auf der Grundlage des Service Directory-Namespace, der mit Ihrem Private Service Connect-Endpunkt verknüpft ist.