Zugriff auf private Dienste konfigurieren

Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem VPC-Netzwerk und einem Netzwerk von Google oder einem Drittanbieter. Google oder der Drittanbieter (Entitäten, die Dienste anbieten) werden auch als Dienstersteller bezeichnet. Die private Verbindung aktiviert VM-Instanzen in Ihrem VPC-Netzwerk und die Dienste, auf die Sie ausschließlich über interne IP-Adressen zugreifen. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.

Weitere Informationen zum Zugriff auf private Dienste und zu anderen privaten Zugriffsoptionen finden Sie unter Optionen für den Zugriff auf private Dienste.

Wenn Sie den Zugriff auf private Dienste nutzen möchten, müssen Sie einen IP-Adressbereich (CIDR-Block) in Ihrem VPC-Netzwerk zuweisen und anschließend eine private Verbindung zu einem Dienstersteller erstellen.

Vorbereitung

Sie müssen die folgenden Voraussetzungen erfüllen, um eine private Verbindung zu erstellen:

  • Prüfen Sie, ob der von Ihnen verwendete Dienst Zugriff auf private Dienste unterstützt.
  • Sie müssen ein vorhandenes VPC-Netzwerk haben, mit dem Sie sich mit dem Netzwerk des Diensterstellers verbinden. VM-Instanzen müssen dieses VPC-Netzwerk verwenden, um sich über eine private Verbindung mit Diensten zu verbinden.
  • Aktivieren Sie die Service Networking API in Ihrem Projekt. Die API ist erforderlich, um eine private Verbindung zu erstellen.
  • Erstellen Sie ein Cloud-Projekt oder wählen Sie ein vorhandenes aus. Informationen zum Erstellen eines Cloud-Projekts finden Sie unter Projekte erstellen und verwalten.
  • Installieren Sie das Cloud SDK, wenn Sie die gcloud-Befehlszeilenbeispiele in dieser Anleitung ausführen möchten.

Berechtigungen

Projektinhaber und IAM-Mitglieder mit der Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) können zugewiesene IP-Adressbereiche erstellen und private Verbindungen verwalten.

Weitere Informationen zu Rollen finden Sie in der Dokumentation zu VPC-IAM-Rollen.

Szenario mit freigegebener VPC

Wenn Sie eine freigegebene VPC verwenden, erstellen Sie den zugewiesenen IP-Bereich und die private Verbindung im Hostprojekt. Normalerweise muss ein Netzwerkadministrator im Hostprojekt diese Aufgaben ausführen. Nachdem das Hostprojekt eingerichtet wurde, können VM-Instanzen in Dienstprojekten die private Verbindung nutzen.

Kontingente und Limits

Da eine private Verbindung als VPC-Peering-Verbindung implementiert wird, gelten die gleichen Kontingente und Beschränkungen, die für VPC-Netzwerk-Peering gelten, auch für den Zugriff auf private Dienste.

IP-Adressbereiche zuweisen

Bevor Sie eine private Verbindung erstellen, müssen Sie einen IP-Adressbereich zuweisen, der vom VPC-Netzwerk des Diensterstellers verwendet werden soll. Dadurch wird sichergestellt, dass kein IP-Adressenkonflikt zwischen Ihrem VPC-Netzwerk und dem Netzwerk des Diensterstellers auftritt. Erstellen Sie einen zugewiesenen Bereich für jeden Dienstersteller.

Wenn Sie einen Bereich in Ihrem VPC-Netzwerk zuweisen, ist dieser Bereich für Subnetze (primäre und sekundäre Bereiche) und Ziele von benutzerdefinierten statischen Routen nicht geeignet.

Größe des IP-Adressbereichs

Bereiche für den Zugriff auf private Dienste (zum Vergrößern klicken)

Wenn ein Dienstersteller auf seiner Verbindungsseite ein Subnetz erstellt, wird ein offener Bereich aus der Zuweisung für den IP-Adressbereich des Subnetzes ausgewählt.

Jeder Dienstersteller benötigt einen IP-Adressbereich mit einer Mindestgröße. Für Google ist die Mindestgröße ein einzelner /24-Block (256 Adressen). Die empfohlene Größe ist ein /16-Block (65.536 Adressen). Die Größe, die Sie wählen, hängt von Faktoren wie der Anzahl der verwendeten Dienste und Regionen ab. In Redundanzszenarien oder zur Verringerung der Latenz können Sie einen einzelnen Dienst in mehreren Regionen verwenden.

Wenn Sie beispielsweise zwei Dienste in drei verschiedenen Regionen verwenden, muss der Dienstersteller sechs Subnetze mit jeweils einem /24-Block erstellen. Wenn Sie zusätzliche Dienste oder Regionen verwenden möchten, brauchen Sie eine /20-Zuweisung möglicherweise schnell auf. Wenn Sie keinen zusammenhängenden /16-Block haben, können Sie mit einer kleineren Zuweisung beginnen und neue hinzufügen, wenn Sie später mehr IP-Adressen benötigen.

Subnetz des Diensterstellers

Wenn Sie eine private Verbindung herstellen und eine Ressource mit einer privaten IP-Adresse erstellen, erstellt der Dienst ein Subnetz, in dem die Ressource bereitgestellt werden soll. Der Dienst wählt einen verfügbaren IP-Adressbereich aus dem zugewiesenen Bereich aus. Sie können den Subnetz-IP-Adressbereich des Diensterstellers nicht auswählen oder ändern. Auch wenn Sie die private Verbindung oder den zugewiesenen IP-Adressbereich löschen, bleibt das Subnetz bestehen, bis Sie alle Ressourcen im Subnetz löschen.

Wenn Sie nun zusätzliche Ressourcen bereitstellen, stellt der Dienst sie in vorhandenen regionalen Subnetzen bereit, die zuvor erstellt wurden. Wenn ein Subnetz voll ist, erstellt der Dienst ein neues Subnetz in derselben Region.

Hinweise

Beachten Sie vor dem Zuweisen eines IP-Adressbereichs die folgenden Einschränkungen:

  • Wählen Sie einen Bereich, der sich nicht mit vorhandenen zugewiesenen Bereichen, Subnetzen oder benutzerdefinierten statischen Routen überschneidet. Keine zwei Bereiche dürfen sich überschneiden.
  • Wenn Sie ein VPC-Netzwerk im automatischen Modus verwenden, können Sie keinen zugewiesenen Bereich erstellen, der mit 10.128.0.0/9 übereinstimmt oder sich damit überschneidet. Dieser Bereich ist für automatisch erstellte Subnetze reserviert.
  • Wählen Sie einen CIDR-Block aus, der groß genug ist, um Ihre derzeitigen und zukünftigen Anforderungen zu erfüllen. Wenn Sie später feststellen, dass der Bereich nicht ausreichend groß ist, erweitern Sie den Bereich nach Möglichkeit. Sie können zwar einem einzigen Dienstersteller mehrere Zuordnungen zuweisen, Google erzwingt jedoch ein Kontingent für die Anzahl der IP-Adressbereiche, die Sie zuweisen können (nicht jedoch die Größe (Netzmaske) jedes Bereichs).
  • Verwenden Sie nicht denselben zugewiesenen Bereich für mehrere Dienstersteller. Obwohl dies möglich ist, kann dies zu einer IP-Adressüberschneidung führen. Jeder Dienstersteller sieht nur sein Netzwerk und kann nicht wissen, welche IP-Adressen andere Dienstersteller verwenden.
  • Sie können einem zugewiesenen Bereich nur einen CIDR-Block zuordnen, wenn Sie die Zuweisung erstellen. Wenn Sie den IP-Adressbereich erweitern möchten, können Sie keine weiteren Blöcke zu einer Zuweisung hinzufügen. Stattdessen können Sie eine andere Zuweisung erstellen oder die vorhandene neu erstellen. Dazu verwenden Sie einen größeren Block, der die neuen und vorhandenen Bereiche umfasst.
  • Wenn Sie die Zuweisung selbst erstellen, anstatt dies Google zu überlassen (z. B. über Cloud SQL), können Sie dieselbe Namenskonvention verwenden, um anderen Nutzern oder Google-Diensten zu signalisieren, dass bereits eine Zuweisung für Google vorhanden ist. Wenn ein Google-Dienst einen Bereich in Ihrem Namen zuordnet, verwendet der Dienst das folgende Format zur Benennung der Zuordnung: google-managed-services-[your network name]. Wenn diese Zuweisung vorhanden ist, verwenden Google-Dienste die vorhandene, anstatt eine andere zu erstellen.

IP-Adresszuweisung erstellen

In den folgenden Schritten wird beschrieben, wie Sie einen zugewiesenen IP-Adressbereich erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.
    Zur Seite "VPC-Netzwerke"
  2. Wählen Sie das VPC-Netzwerk aus, für das eine Verbindung zu einem Dienstersteller hergestellt werden soll.
  3. Wählen Sie den Tab Private Dienstverbindung aus.
  4. Wählen Sie auf dem Tab Private Dienstverbindung den Tab Diensten zugewiesene IP-Bereiche aus.
  5. Klicken Sie auf Zugewiesener IP-Bereich.
  6. Geben Sie Werte für Name und Beschreibung für den zugewiesenen Bereich ein.
  7. Geben Sie einen IP-Bereich für die Zuweisung an:

    • Wenn Sie einen IP-Adressbereich festlegen möchten, wählen Sie Benutzerdefiniert aus und geben einen CIDR-Block ein, z. B. 192.168.0.0/16.
    • Wenn Sie eine Präfixlänge festlegen möchten und die Auswahl eines verfügbaren Bereichs durch Google erfolgen soll, wählen Sie Automatisch aus und geben eine Präfixlänge ein, beispielsweise 16.
  8. Klicken Sie auf Zuweisen, um den zugewiesenen Bereich zu erstellen.

gcloud

Erstellen Sie einen zugewiesenen Bereich in Ihrem VPC-Netzwerk.

  • Legen Sie einen Adressbereich und eine Präfixlänge (Subnetzmaske) mit den Flags addresses und prefix-length fest. Wenn Sie beispielsweise den CIDR-Block 192.168.0.0/16 zuordnen möchten, geben Sie 192.168.0.0 für die Adresse und 16 für die Präfixlänge an.

    gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --addresses=192.168.0.0 \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK
    
  • Wenn Sie nur eine Präfixlänge (Subnetzmaske) angeben möchten, verwenden Sie einfach das Flag prefix-length. Wenn Sie den Adressbereich weglassen, wählt Google Cloud automatisch einen nicht verwendeten Adressbereich in Ihrem VPC-Netzwerk aus. In diesem Beispiel wird ein nicht verwendeter IP-Adressbereich mit einer Präfixlänge von 16 Bit ausgewählt.

    gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK
    

Ersetzen Sie die folgenden Platzhalter durch relevante Werte:

  • RESERVED_RANGE_NAME: ein Name für den zugewiesenen Bereich, z. B. my-allocated-range

  • DESCRIPTION: eine Beschreibung für den Bereich, z. B. allocated for my-service

  • VPC_NETWORK: der Name Ihres VPC-Netzwerks, z. B. my-vpc-network

Im folgenden Beispiel wird eine private Verbindung zu Google erstellt, damit die VM-Instanzen im VPC-Netzwerk my-network den Zugriff auf private Dienste verwenden können, um die Google-Dienste zu erreichen, die sie unterstützen.

gcloud compute addresses create google-managed-services-my-network \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=16 \
    --description="peering range for Google" \
    --network=my-network \
    --project=my-project

Zugewiesene IP-Adressbereiche auflisten

Sie können Bereiche mit dem Flag --filter auflisten, um zu sehen, welche Bereiche Sie für den Zugriff auf private Dienste verwenden können. Filtern Sie nach Bereichen mit dem Zweck VPC_PEERING, wie im folgenden Beispiel gezeigt:

gcloud compute addresses list --global --filter="purpose=VPC_PEERING"

Zugewiesenen IP-Adressbereich löschen

Prüfen Sie vor dem Löschen eines zugewiesenen IP-Adressbereichs, ob dieser von keiner privaten Verbindung genutzt wird. Sie können eine vorhandene private Verbindung löschen oder ändern, um den zugewiesenen Bereich zu trennen. Andernfalls bleiben vorhandene Verbindungen aktiv. Nichts verhindert jedoch, dass Ihre VPC IP-Adressen nutzt, die sich mit dem Netzwerk des Diensterstellers überschneiden. Der Dienst kann außerdem keine neuen Subnetze erstellen, da es keinen zugewiesenen IP-Adressbereich zur Auswahl gibt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.
    Zur Seite "VPC-Netzwerke"
  2. Wählen Sie das VPC-Netzwerk aus, das die Zuweisungen enthält, die gelöscht werden sollen.
  3. Wählen Sie den Tab Private Dienstverbindung aus.
  4. Wählen Sie auf dem Tab Private Dienstverbindung den Tab Diensten zugewiesene IP-Bereiche aus.
  5. Wählen die Zuweisung aus, die gelöscht werden soll.
  6. Klicken Sie auf Freigeben, um den zugewiesenen IP-Adressbereich wieder dem Pool der verfügbaren internen IP-Adressen des Netzwerks hinzuzufügen.

    Wenn der zugewiesene IP-Adressbereich weiter einer bestehenden Verbindung zugewiesen ist, müssen Sie zusätzlich eine Bestätigung eingeben, bevor die Zuweisung freigegeben werden kann.

  7. Klicken Sie noch einmal auf Freigeben, um den Löschvorgang zu bestätigen.

gcloud

Sie können die Zuweisung löschen, indem Sie deren Namen angeben.

gcloud compute addresses delete NAME \
    --global

Private Verbindung erstellen

Nachdem Sie einen zugewiesenen Bereich erstellt haben, können Sie eine private Verbindung zu einem Dienstersteller erzeugen. Die private Verbindung richtet eine VPC-Netzwerk-Peering-Verbindung zwischen Ihrem VPC-Netzwerk und dem Netzwerk des Diensterstellers ein.

Private Verbindungen erfolgen als 1:1-Beziehung zwischen Ihrem VPC-Netzwerk und einem Dienstersteller. Wenn ein einzelner Dienstersteller mehrere Dienste anbietet, benötigen Sie nur eine private Verbindung für alle Dienste des Erstellers.

Wenn Sie eine Verbindung zu mehreren Diensterstellern herstellen, verwenden Sie für jeden Dienstersteller eine eindeutige Zuweisung. Mit dieser Vorgehensweise können Sie Ihre Netzwerkeinstellungen wie Routen und Firewallregeln für jeden Dienstersteller verwalten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.
    Zur Seite "VPC-Netzwerke"
  2. Wählen Sie das VPC-Netzwerk aus, für das eine Verbindung zu einem Dienstersteller hergestellt werden soll.
  3. Wählen Sie den Tab Private Dienstverbindung aus.
  4. Wählen Sie auf dem Tab Private Dienstverbindung den Tab Private Verbindungen zu Diensten aus.
  5. Klicken Sie auf Verbindung erstellen, um eine private Verbindung zwischen Ihrem Netzwerk und einem Dienstersteller herzustellen.
  6. Wählen Sie für Zugewiesene Bereiche einen oder mehrere vorhandene zugewiesene Bereiche aus, die nicht von anderen Diensterstellern verwendet werden.
  7. Klicken Sie auf Verbinden, um die Verbindung herzustellen.

gcloud

  1. Erstellen Sie eine private Verbindung.

    gcloud services vpc-peerings connect \
        --service=servicenetworking.googleapis.com \
        --ranges=RESERVED_RANGE_NAME \
        --network=VPC_NETWORK \
        --project=PROJECT_ID
    

    Ersetzen Sie die folgenden Platzhalter durch relevante Werte:

    • RESERVED_RANGE_NAME: der Name eines oder mehrerer zugewiesener Bereiche

    • VPC_NETWORK: der Name des VPC-Netzwerks

    • PROJECT_ID: die ID des Projekts, das Ihr VPC-Netzwerk enthält

    Der Befehl initiiert einen lange laufenden Vorgang und gibt einen Vorgangsnamen zurück.

  2. Prüfen Sie, ob der Vorgang erfolgreich war.

    gcloud services vpc-peerings operations describe \
        --name=OPERATION_NAME
    

    Ersetzen Sie OPERATION_NAME durch den Vorgangsnamen, der im vorherigen Schritt zurückgegeben wurde.

Sie können mehr als einen zugewiesenen Bereich angeben, wenn Sie eine private Verbindung erstellen. Wenn beispielsweise ein Bereich aufgebraucht ist, können Sie zusätzliche zugewiesene Bereiche zuordnen. Der Dienst verwendet IP-Adressen aus allen angegebenen Bereichen in der von Ihnen angegebenen Reihenfolge.

Private Verbindungen auflisten

Nachdem Sie eine private Verbindung erstellt haben, können Sie diese auflisten, um zu prüfen, ob sie existiert. Die Liste zeigt auch die zugewiesenen Bereiche an, die jeder Verbindung zugeordnet sind. Wenn Sie sich beispielsweise nicht erinnern können, welchen zugewiesenen Bereich Sie einer Verbindung zugeordnet haben, finden Sie diesen in dieser Liste.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.
    Zur Seite "VPC-Netzwerke"
  2. Wählen Sie das VPC-Netzwerk mit den Verbindungen aus.
  3. Wählen Sie den Tab Private Dienstverbindung aus.
  4. Wählen Sie auf dem Tab Private Dienstverbindung den Tab Private Verbindungen zu Diensten aus, in dem alle privaten Verbindungen des Netzwerks aufgeführt sind.

gcloud

Listen Sie private Verbindungen in Ihrem VPC-Netzwerk auf.

gcloud services vpc-peerings list \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

Ersetzen Sie VPC_NETWORK und PROJECT_ID durch den Namen Ihres VPC-Netzwerks und die Projekt-ID.

Private Verbindung ändern

Bei vorhandenen privaten Verbindungen können Sie zugewiesene IP-Adressbereiche hinzufügen oder entfernen, ohne den Traffic zu beeinträchtigen. Beim Skalieren können Sie beispielsweise einen zugewiesenen Bereich hinzufügen, wenn der vorhandene Bereich fast aufgebraucht ist.

Sie können zugewiesene IP-Bereiche nicht mit der Google Cloud Console entfernen. Wenn Sie einen zugewiesenen Bereich entfernen möchten, ändern Sie die Verbindung mit der Anleitung gcloud. Wenn Sie einen Bereich aus einer privaten Verbindung entfernen, gilt Folgendes:

  • Der zugewiesene Bereich ist der privaten Verbindung nicht mehr zugeordnet. Er ist aber nicht gelöscht.

  • Vorhandene Diensterstellerressourcen können den entfernten Bereich weiterhin nutzen.

  • Der Zugriff auf private Dienste verwendet die entfernten Bereiche nicht, um neue Subnetze zuzuweisen.

Sie können diese gcloud-Anleitungen auch verwenden, um gelöschte private Verbindungen mit verschiedenen zugewiesenen IP-Bereichen neu zu erstellen. Weitere Informationen finden Sie unter Gelöschte private Verbindung neu erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.
    Zur Seite "VPC-Netzwerke"
  2. Wählen Sie das VPC-Netzwerk mit den Verbindungen aus.
  3. Wählen Sie den Tab Private Dienstverbindung aus.
  4. Wählen Sie auf dem Tab Private Dienstverbindung den Tab Private Verbindungen zu Diensten aus, in dem alle privaten Verbindungen des Netzwerks aufgeführt sind.
  5. Klicken Sie in der Liste auf einen Verbindungsnamen.
  6. Wählen Sie im Drop-down-Menü Zugewiesene Bereiche die Bereiche aus, die Sie zuordnen möchten.
  7. Klicken Sie auf OK.

gcloud

Fügen Sie einer vorhandenen privaten Verbindung zugeordnete, zugewiesene IP-Adressbereiche hinzu oder entfernen Sie sie.

gcloud services vpc-peerings update \
    --service=servicenetworking.googleapis.com \
    --ranges=RESERVED_RANGE_NAME \
    --network=VPC_NETWORK \
    --project=PROJECT_ID \
    [--force]

Ersetzen Sie die folgenden Platzhalter durch relevante Werte:

  • RESERVED_RANGE_NAME: eine Liste mit einem oder mehreren Namen zugewiesener Bereiche, die der privaten Verbindung zugewiesen werden sollen

    RESERVED_RANGE_NAME ersetzt die vorherige Liste von zugewiesenen Bereichen. Wenn Sie einen Bereich weglassen, der zuvor mit dieser privaten Verbindung verknüpft war, wird er aus der Verbindung entfernt. Verwenden Sie die Option --force, um einen Bereich zu entfernen.

  • VPC_NETWORK: der Name des VPC-Netzwerks

  • PROJECT_ID: der Name der Projekt-ID Ihres Netzwerks

Private Verbindung löschen

Wenn Sie eine private Verbindung löschen möchten, müssen Sie die entsprechende VPC-Peering-Verbindung löschen. Ihr VPC-Netzwerk wird vom VPC-Netzwerk des Diensterstellers getrennt. Vorhandene Ressourcen in beiden Netzwerken bleiben erhalten, verlieren jedoch den Zugriff auf private Dienste.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.
    Zur Seite "VPC-Netzwerke"
  2. Wählen Sie das VPC-Netzwerk aus, das die Verbindungen enthält, die gelöscht werden sollen.
  3. Wählen Sie den Tab Private Dienstverbindung aus.
  4. Wählen Sie auf dem Tab Private Dienstverbindung den Tab Private Verbindungen zu Diensten aus.
  5. Wählen Sie die private Verbindung aus, die gelöscht werden soll.
  6. Klicken Sie zum Löschen auf Löschen.
  7. Klicken Sie noch einmal auf Löschen, um den Löschvorgang zu bestätigen.

gcloud

Löschen Sie das VPC-Netzwerk-Peering der privaten Verbindung.

gcloud compute networks peerings delete CONNECTION_NAME \
    --network VPC_NETWORK

Ersetzen Sie dabei CONNECTION_NAME und VPC_NETWORK durch den Namen Ihrer privaten Verbindung und Ihres VPC-Netzwerks.

Gelöschte private Verbindung neu erstellen

Sie können eine private Verbindung wiederherstellen, die Sie gelöscht haben.

Wenn Sie die zuvor zugewiesenen IP-Bereiche verwenden möchten, können Sie die private Verbindung noch einmal erstellen. Geben Sie dieselben zugewiesenen IP-Bereiche an, die Sie für die private Verbindung verwendet haben, bevor Sie sie gelöscht haben. Wenn Sie andere zugewiesene IP-Bereiche angeben, gibt Google Cloud den Fehler Cannot modify allocated ranges zurück.

Wenn Sie die Verbindung mit anderen zugewiesenen IP-Bereichen neu erstellen möchten, müssen Sie mit dem Befehl gcloud services vpc-peerings update die private Verbindung ändern.

Wenn Sie beispielsweise zuvor eine private Verbindung mit range1 eingerichtet haben, können Sie diese mit einer anderen Konfiguration für den zugewiesenen IP-Bereich wiederherstellen, etwa mit range1 und range2.

gcloud services vpc-peerings update \
    --service=servicenetworking.googleapis.com \
    --ranges=range1,range2 \
    --network=vpc1 \
    --project=my-project-123

Sie können die Verbindung auch mit range2 wiederherstellen. Da dabei range1 ausgeschlossen wird, ein Teil der vorherigen Konfiguration der privaten Verbindung, müssen Sie die Option --force verwenden.

gcloud services vpc-peerings update \
    --service=servicenetworking.googleapis.com \
    --ranges=range2 \
    --network=vpc1 \
    --project=my-project-123 \
    --force

Private DNS-Zonen für Dienstersteller freigeben

Private Cloud DNS-Zonen sind normalerweise nur in Ihrem VPC-Netzwerk zugänglich. Wenn ein Diensterstellernetzwerk Namen aus Ihrer privaten Zone auflösen soll, können Sie DNS-Peering zwischen den beiden Netzwerken konfigurieren.

Wenn Sie DNS-Peering konfigurieren, geben Sie ein VPC-Netzwerk und ein DNS-Suffix an. Wenn der Dienstersteller eine Adresse mit diesem DNS-Suffix auflösen muss, leitet der Dienstersteller diese Abfragen an Ihr VPC-Netzwerk weiter, damit die Auflösung vorgenommen wird.

DNS-Peering wird für die folgenden Dienste unterstützt:

Wenn Sie DNS-Peering aktivieren möchten, müssen Sie in Ihrem Projekt die Cloud DNS API aktivieren.

DNS per Peering mit einem Dienstersteller verbinden

gcloud

Richten Sie DNS-Peering zwischen Ihrem VPC-Netzwerk und dem Netzwerk des Dienstanbieters ein.

gcloud services peered-dns-domains create PEERING_NAME \
    --network=VPC_NETWORK \
    --dns-suffix=DNS_SUFFIX

Ersetzen Sie die folgenden Platzhalter durch relevante Werte:

  • PEERING_NAME: ein Name für diese DNS-Peering-Konfiguration.

  • VPC_NETWORK: der Name Ihres VPC-Netzwerks, das über den Zugriff auf private Dienste mit dem Dienstersteller verbunden ist.

  • DNS_SUFFIX: das DNS-Suffix, das Sie per Peering mit dem Dienstersteller verbinden möchten. Sie müssen einen vollständigen DNS-Domainnamen angeben, einschließlich des Punkts. example.com. ist z. B. ein gültiges DNS-Suffix.

DNS-Peering-Konfigurationen auflisten

gcloud

Listen Sie die per Peering verbundenen DNS-Domains in einem VPC-Netzwerk auf.

gcloud services peered-dns-domains list \
    --network=VPC_NETWORK

Ersetzen Sie die folgenden Platzhalter durch relevante Werte:

  • VPC_NETWORK: der Name des VPC-Netzwerks

DNS-Peering-Konfiguration löschen

gcloud

Löschen Sie eine per Peering verbundene DNS-Domain.

gcloud services peered-dns-domains delete PEERING_NAME \
    --network=VPC_NETWORK

Ersetzen Sie die folgenden Platzhalter durch relevante Werte:

  • PEERING_NAME: der Name der DNS-Peering-Konfiguration

  • VPC_NETWORK: der Name des VPC-Netzwerks

Fehlerbehebung

Wie viel von meiner Zuweisung wird verwendet?

Wenn Sie eine private Verbindung mit einem Dienstersteller erzeugen, weisen Sie einen IP-Adressbereich zu, den dieser verwenden kann. Wenn Sie mehrere Dienste von einem Dienstersteller verwenden, reserviert jeder Dienst einen Teil der IP-Adressen aus diesem zugewiesenen Bereich. Sie können prüfen, welche Dienste welche IP-Adressen verwenden, damit Sie beispielsweise sehen können, welche Dienste große Blöcke von IP-Adressen verwenden und die Ausschöpfung der IP-Adressen vermeiden.

So sehen Sie, welcher Dienst einen bestimmten IP-Adressbereich verwendet:

  1. Sie listen Ihre privaten Verbindungen auf.
  2. Danach suchen Sie den Peering-Verbindungsnamen, der Sie mit dem relevanten Dienstersteller verbindet.
  3. Sie listen die Routen für Ihr VPC-Netzwerk auf.
  4. Sie suchen die Routen mit einem nächsten Hop, der dem Peering-Verbindungsnamen entspricht. Der Zielbereich der Routen gibt an, welche IP-Adressen die jeweiligen Dienste nutzen.

IP-Adressbereich aufgebraucht

Wenn Sie für eine bestimmte private Verbindung den zugewiesenen IP-Adressbereich aufgebraucht haben, gibt Google Cloud diesen Fehler zurück: Failed to create subnetwork. Couldn't find free blocks in allocated IP ranges.

Sie können die bestehende Zuweisung erweitern oder neue hinzufügen. Die erweiterte Zuweisung muss ein zusammenhängender IP-Adressbereich sein, der den vorhandenen Bereich umfasst. Das Erweitern einer Zuweisung wird empfohlen, da die Größe einer Zuweisung nicht begrenzt ist. Die Anzahl der Zuweisungen, die Sie erstellen können, ist dagegen begrenzt.

So erweitern Sie eine bestehende Zuweisung:

  1. Sie listen Ihre privaten Verbindungen auf und notieren den Namen des zugewiesenen Bereichs, den Sie erweitern möchten.
  2. Sie löschen den vorhandenen zugewiesenen Bereich.
  3. Sie erstellen einen neuen zugewiesenen Bereich. Dazu verwenden Sie den Namen des gelöschten Bereichs. Dabei geben Sie einen IP-Adressbereich an, der den gelöschten IP-Adressbereich enthält. Auf diese Weise können vorhandene Peering-Ressourcen, die den alten zugewiesenen Bereich nutzen, weiterhin dieselben IP-Adressen verwenden, ohne dass es Konflikte mit Ressourcen in Ihrem VPC-Netzwerk gibt. Wenn der zuvor zugewiesene Bereich beispielsweise 192.168.0.0/20 war, erstellen Sie einen neuen zugewiesenen Bereich als 192.168.0.0/16.

So fügen Sie einer vorhandenen privaten Verbindung zugewiesene Bereiche hinzu:

  1. Erstellen Sie einen neuen zugewiesenen Bereich. Dieser Bereich muss nicht an vorhandene zugewiesene Bereiche angrenzen.
  2. Fügen Sie den zugewiesenen Bereich zur vorhandenen privaten Verbindung hinzu.

Lokale Hosts können nicht mit dem Netzwerk des Diensterstellers kommunizieren

Im Netzwerk des Diensterstellers sind möglicherweise nicht die richtigen Routen vorhanden, um Traffic zu Ihrem lokalen Netzwerk zu leiten. Standardmäßig erlernt das Netzwerk des Diensterstellers nur die Subnetzrouten aus Ihrem VPC-Netzwerk. Daher wird jede Anfrage, die nicht aus einem Subnetz-IP-Bereich stammt, vom Dienstersteller verworfen.

Aktualisieren Sie die Peering-Verbindung in Ihrem VPC-Netzwerk, um benutzerdefinierte Routen zum Netzwerk des Diensterstellers zu exportieren. Beim Exportieren von Routen werden alle zulässigen statischen und dynamischen Routen, die sich in Ihrem VPC-Netzwerk befinden, z. B. Routen zu Ihrem lokalen Netzwerk, an das Netzwerk des Diensterstellers gesendet. Das Netzwerk des Diensterstellers importiert sie automatisch und kann dann über das VPC-Netzwerk Traffic zurück an Ihr lokales Netzwerk senden.