Private Zugriffsoptionen für Dienste

Google Cloud bietet mehrere Optionen für den privaten Zugriff. Jede Option ermöglicht VM-Instanzen mit internen IP-Adressen den Zugriff auf bestimmte APIs und Dienste. Wählen Sie eine Option aus, die die APIs und Dienste unterstützt, auf die Sie zugreifen müssen.

In der folgenden Tabelle sind die verschiedenen Optionen zusammengefasst. Sie können eine oder alle dieser Optionen konfigurieren. Sie sind unabhängig voneinander verwendbar.

Option	Clients	Verbindung	Unterstützte Dienste	Nutzung
Privater Google-Zugriff
	Google Cloud-VM-Instanzen ohne externe IP-Adressen	Stellen Sie über das Standard-Internetgateway des VPC-Netzwerks eine Verbindung zu den externen Standard-IP-Adressen oder den Domains und VIPs des privaten Google-Zugriffs für Google APIs und Dienste her.	Unterstützt die meisten Google APIs und Google-Dienste. Unterstützt außerdem den Zugriff auf App Engine-Anwendungen.	Verwenden Sie diese Option, um eine Verbindung zu Google APIs und Google-Diensten herzustellen, ohne Ihren Google Cloud-Ressourcen externe IP-Adressen zuzuweisen.
Privater Google-Zugriff für lokale Hosts
	Lokale Hosts mit oder ohne externe IP-Adressen	Verbindung von Ihrem lokalen Netzwerk zu Google APIs und Google-Diensten mithilfe einer der spezifischen Domains und VIPs für den privaten Google-Zugriff über einen Cloud VPN-Tunnel oder über Cloud Interconnect	Welche Google-Dienste Sie aufrufen können, hängt davon ab, welche spezifische Domain für den privaten Google-Zugriff Sie verwenden.	Verwenden Sie diese Option für Verbindungen zu Google APIs und Google-Diensten über ein VPC-Netzwerk. Ihre lokalen Hosts benötigen hierbei keine externen IP-Adressen.
Zugriff auf private Dienste
	Google Cloud-VM-Instanzen mit oder ohne externe IP-Adressen	Verbindung zu einem von Google oder einem Drittanbieter verwalteten VPC-Netzwerk über eine VPC-Netzwerk-Peering-Verbindung	Unterstützt einige Dienste von Google oder Drittanbietern	Verwenden Sie diese Option, um eine Verbindung zu bestimmten Diensten von Google und Drittanbietern herzustellen, ohne Google Cloud bzw. Ressourcen von Google oder Drittanbietern externe IP-Adressen zuzuweisen.
Serverloser VPC-Zugriff
	Google Cloud-VM-Instanzen mit oder ohne externe IP-Adressen	Direkte Verbindung von serverlosen Google-Diensten über eine interne VPC-Verbindung	Cloud Run (vollständig verwaltet), App Engine-Standardumgebung und Cloud Functions	Verwenden Sie diese Option, um eine Verbindung von einer serverlosen Umgebung in Google Cloud über interne IP-Adressen direkt zu Ressourcen in einem VPC-Netzwerk herzustellen.

Privater Google-Zugriff

VM-Instanzen, die nur interne (keine externen) IP-Adressen haben, können mithilfe des privaten Google-Zugriffs auf die externen IP-Adressen der Google APIs und Google-Dienste zugreifen. Die Quell-IP-Adresse des Pakets kann die primäre interne IP-Adresse der Netzwerkschnittstelle oder eine Adresse in einem Alias-IP-Bereich sein, der der Schnittstelle zugewiesen ist. Wenn Sie den privaten Google-Zugriff deaktivieren, können die VM-Instanzen nicht mehr auf Google APIs und Google-Dienste zugreifen, sondern Traffic nur innerhalb des VPC-Netzwerks senden.

Der private Google-Zugriff hat keine Auswirkungen auf Instanzen mit externen IP-Adressen. Instanzen mit externen IP-Adressen können gemäß den Anforderungen an den Internetzugriff auf das Internet zugreifen. Es ist keine spezielle Konfiguration erforderlich, um Anfragen an die externen IP-Adressen der Google-APIs und -Dienste zu senden.

Der private Google-Zugriff wird in VPC-Netzwerken über eine Einstellung für Subnetze pro Subnetz aktiviert. Informationen zum Aktivieren eines Subnetzes für den privaten Google-Zugriff und zum Anzeigen der Anforderungen finden Sie unter privaten Google-Zugriff konfigurieren.

Unterstützte Dienste

Mit privatem Google-Zugriff ist der Zugriff auf Cloud und Developer APIs und die meisten Google Cloud-Dienste möglich. Ausgenommen sind die folgenden Dienste:

App Engine-Memcache
Filestore
Memorystore

Der Zugriff auf private Dienste kann einen oder mehrere von diesen unterstützen.

Beispiel

Das VPC-Netzwerk im folgenden Beispiel erfüllt die Routinganforderung an privaten Google-Zugriff, da es Routen zu den externen IP-Adressen für Google APIs und Dienste hat, deren nächste Hops das Standard-Internet-Gateway ist. Privater Google-Zugriff ist für subnet-a aktiviert, für subnet-b jedoch nicht.

Implementieren des privaten Google-Zugriffs (zum Vergrößern anklicken)

Die folgende Liste enthält Details zum obigen Diagramm:

Firewallregeln im VPC-Netzwerk wurden so konfiguriert, dass ausgehender Traffic 0.0.0.0/0 (oder zumindest die Server-IP-Adressen für Google APIs und Google-Dienste) zugelassen wird.
VM A1 kann auf Google APIs und Google-Dienste zugreifen, einschließlich Cloud Storage, da sich die Netzwerkschnittstelle in subnet-a befindet, in dem privater Google-Zugriff aktiviert ist. Der private Google-Zugriff gilt für die Instanz, da sie nur eine private IP-Adresse hat.
VM B1 kann nicht auf Google APIs und Google-Dienste zugreifen, da sie nur eine interne IP-Adresse hat und privater Google-Zugriff für subnet-b deaktiviert ist.
VM A2 und VM B2 können sowohl auf Google APIs als auch auf -Dienste, einschließlich Cloud Storage, zugreifen, da sie jeweils externe IP-Adressen haben. Der private Google-Zugriff hat keinen Einfluss darauf, ob diese Instanzen auf Google APIs und Google-Dienste zugreifen können, da beide externe IP-Adressen haben.

Privater Google-Zugriff für lokale Hosts

Lokale Hosts können mithilfe von Cloud VPN oder Cloud Interconnect aus Ihrem lokalen Netzwerk mit Google Cloud auf Google APIs und Google-Dienste zugreifen. Lokale Hosts können Traffic von den folgenden Arten von Quell-IP-Adressen senden:

Private IP-Adresse, z. B. eine RFC 1918-Adresse.
Privat genutzte öffentliche IP-Adresse, mit Ausnahme einer öffentlichen IP-Adresse, die Google gehört. Der private Google-Zugriff für lokale Hosts unterstützt nicht die Wiederverwendung öffentlicher IP-Adressen von Google als Quellen in Ihrem lokalen Netzwerk.

Wenn Sie den privaten Google-Zugriff für lokale Hosts aktivieren möchten, müssen Sie DNS, Firewallregeln und Routen in Ihren lokalen und VPC-Netzwerken konfigurieren. Für Subnetze in Ihrem VPC-Netzwerk müssen Sie nicht den privaten Google-Zugriff aktivieren, wie das für privaten Google-Zugriff für Google Cloud-VM-Instanzen der Fall wäre.

Lokale Hosts müssen mithilfe der virtuellen IP-Adressen (VIPs) für die Domains restricted.googleapis.com oder private.googleapis.com eine Verbindung zu Google APIs und Diensten herstellen. Weitere Informationen finden Sie unter Spezifische Domains und VIPs für privaten Google-Zugriff.

Google macht DNS A-Einträge öffentlich, die die Domains in einen VIP-Bereich auflösen. Auch wenn die Bereiche externe IP-Adressen haben, veröffentlicht Google keine Routen für sie. Daher müssen Sie auf einem Cloud Router ein benutzerdefiniertes Route Advertisement hinzufügen und für das VIP-Ziel in Ihrem VPC-Netzwerk eine geeignete benutzerdefinierte statische Route haben.

Die Route muss ein Ziel haben, das mit einem der VIP-Bereiche übereinstimmt, und das Standard-Internetgateway als nächsten Hop nutzen. Traffic, der an den VIP-Bereich gesendet wird, verläuft intern im Google-Netzwerk, nicht über das öffentliche Internet, da Google keine externen Routen dafür veröffentlicht.

Informationen zur Konfiguration finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Spezifische Domains und VIPs für privaten Google-Zugriff

In der folgenden Tabelle werden die Domainnamen und ihr VIP-Bereich erläutert. Für lokale Hosts müssen Sie eine dieser VIPs für den privaten Google-Zugriff verwenden.

Domains und IP-Adressbereiche Unterstützte Dienste Nutzungsbeispiel

Standarddomains

Alle Domainnamen für Google APIs und Google-Dienste mit Ausnahme von private.googleapis.com und restricted.googleapis.com.

Verschiedene IP-Adressbereiche: Sie können eine Reihe von IP-Bereichen bestimmen, die die möglichen Adressen der Standarddomains enthalten, indem Sie auf IP-Adressen für Standarddomains verweisen. Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst API-Zugriff auf Google Maps, Google Ads, die Google Cloud Platform und die meisten anderen Google APIs, deren Namen auf googleapis.com enden. G Suite-Webanwendungen werden nicht unterstützt. Wenn Sie keine DNS-Einträge für private.googleapis.com und restricted.googleapis.com konfigurieren, werden die Standarddomains verwendet.

Domains und IP-Adressbereiche	Unterstützte Dienste	Nutzungsbeispiel
Standarddomains Alle Domainnamen für Google APIs und Google-Dienste mit Ausnahme von `private.googleapis.com` und `restricted.googleapis.com`. Verschiedene IP-Adressbereiche: Sie können eine Reihe von IP-Bereichen bestimmen, die die möglichen Adressen der Standarddomains enthalten, indem Sie auf IP-Adressen für Standarddomains verweisen.	Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst API-Zugriff auf Google Maps, Google Ads, die Google Cloud Platform und die meisten anderen Google APIs, deren Namen auf `googleapis.com` enden. G Suite-Webanwendungen werden nicht unterstützt.	Wenn Sie keine DNS-Einträge für `private.googleapis.com` und `restricted.googleapis.com` konfigurieren, werden die Standarddomains verwendet.
`private.googleapis.com` `199.36.153.8/30`	Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Maps, Google Ads, die Google Cloud Platform und die meisten anderen Google APIs, einschließlich der Listen unten. G Suite-Webanwendungen werden nicht unterstützt. Domainnamen mit folgenden Endungen: `googleapis.com` `googleadapis.com` `ltsapis.goog` `gcr.io` `gstatic.com` `appspot.com` `cloudfunctions.net` `pki.goog` `cloudproxy.app` `run.app` `datafusion.googleusercontent.com` `datafusion.cloud.google.com` Host-/Domainnamen mit folgenden Übereinstimmungen: `packages.cloud.google.com` `gcr.io` `appengine.google.com` `pki.goog`	Mit `private.googleapis.com` können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen. Wählen Sie unter folgenden Umständen `private.googleapis.com` aus: Sie verwenden VPC Service Controls nicht. Sie verwenden VPC Service Controls, müssen aber auch auf Google APIs und Google-Dienste zugreifen, die von VPC Service Controls nicht unterstützt werden.
`restricted.googleapis.com` `199.36.153.4/30`	Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden. Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. G Suite-Webanwendungen oder G Suite APIs werden nicht unterstützt.	Mit `restricted.googleapis.com` können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen. Wählen Sie `restricted.googleapis.com` aus, wenn Sie nur Zugriff auf Google APIs und Google-Dienste benötigen, die von VPC Service Controls unterstützt werden. `restricted.googleapis.com` erlaubt keinen Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen.

private.googleapis.com

199.36.153.8/30

Aktiviert den API-Zugriff auf die meisten Google APIs und Google-Dienste, unabhängig davon, ob sie von VPC Service Controls unterstützt werden. Umfasst den API-Zugriff auf Maps, Google Ads, die Google Cloud Platform und die meisten anderen Google APIs, einschließlich der Listen unten. G Suite-Webanwendungen werden nicht unterstützt.

Domainnamen mit folgenden Endungen:

googleapis.com
googleadapis.com
ltsapis.goog
gcr.io
gstatic.com
appspot.com
cloudfunctions.net
pki.goog
cloudproxy.app
run.app
datafusion.googleusercontent.com
datafusion.cloud.google.com

Host-/Domainnamen mit folgenden Übereinstimmungen:

packages.cloud.google.com
gcr.io
appengine.google.com
pki.goog

Mit private.googleapis.com können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen. Wählen Sie unter folgenden Umständen private.googleapis.com aus:

Sie verwenden VPC Service Controls nicht.
Sie verwenden VPC Service Controls, müssen aber auch auf Google APIs und Google-Dienste zugreifen, die von VPC Service Controls nicht unterstützt werden.

restricted.googleapis.com

199.36.153.4/30 Aktiviert den API-Zugriff auf Google APIs und Google-Dienste, die von VPC Service Controls unterstützt werden.

Blockiert den Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen. G Suite-Webanwendungen oder G Suite APIs werden nicht unterstützt. Mit restricted.googleapis.com können Sie über eine Reihe von IP-Adressen, die nur innerhalb von Google Cloud routingfähig sind, auf Google APIs und Google-Dienste zugreifen. Wählen Sie restricted.googleapis.com aus, wenn Sie nur Zugriff auf Google APIs und Google-Dienste benötigen, die von VPC Service Controls unterstützt werden. restricted.googleapis.com erlaubt keinen Zugriff auf Google APIs und Google-Dienste, die VPC Service Controls nicht unterstützen.

Hinweis: Wenn Sie Nutzer auf die Google APIs und Google-Dienste beschränken müssen, die VPC Service Controls unterstützen, verwenden Sie restricted.googleapis.com. Obwohl VPC Service Controls unabhängig von der verwendeten Domain für kompatible und konfigurierte Dienste erzwungen wird, bietet restricted.googleapis.com eine zusätzliche Risikominderung bei der Daten-Exfiltration. restricted.googleapis.com verweigert den Zugriff auf Google APIs und Google-Dienste, die nicht von VPC Service Controls unterstützt werden. Weitere Informationen finden Sie in der Dokumentation zu VPC Service Controls unter Private Verbindung zu Google APIs und Google-Diensten einrichten.

Unterstützte Dienste

Dienste, die lokalen Hosts zur Verfügung stehen, sind auf diejenigen beschränkt, die von dem Domainnamen und der VIP unterstützt werden, mit denen der Zugriff erfolgt. Weitere Informationen finden Sie unter Spezifische Domains und VIPs für privaten Google-Zugriff.

Beispiel

Im folgenden Beispiel wird das lokale Netzwerk über einen Cloud-VPN-Tunnel mit einem VPC-Netzwerk verbunden. Der Traffic von lokalen Hosts zu Google APIs wird durch den Tunnel zum VPC-Netzwerk geleitet. Wenn der Traffic das VPC-Netzwerk erreicht hat, wird er über eine Route gesendet, die das standardmäßige Internetgateway als nächsten Hop verwendet. Mit diesem nächsten Hop kann der Traffic das VPC-Netzwerk verlassen und an restricted.googleapis.com (199.36.153.4/30) übertragen werden.

Anwendungsfall: Privater Google-Zugriff für Hybrid-Cloud (zum Vergrößern klicken)

Die lokale DNS-Konfiguration ordnet *.googleapis.com Anfragen an restricted.googleapis.com zu, die in 199.36.153.4/30 aufgelöst werden.
Cloud Router wurde so konfiguriert, dass der IP-Adressbereich 199.36.153.4/30 mithilfe eines benutzerdefinierten Route Advertisements über den Cloud VPN-Tunnel beworben wird. Traffic an Google APIs wird über den Tunnel an das VPC-Netzwerk weitergeleitet.
Dem VPC-Netzwerk wurden benutzerdefinierte statische Routen hinzugefügt, die den Traffic mit dem Ziel 199.36.153.4/30 an das Standard-Internetgateway (als nächsten Hop) weiterleiten. Google leitet den Traffic dann an die entsprechende API oder den entsprechenden Dienst weiter.
Wenn Sie unter der Adresse 199.36.153.4/30 eine von Cloud DNS verwaltete private Zone für *.googleapis.com erstellt und diese Zone für die Verwendung durch Ihr VPC-Netzwerk autorisiert haben, werden Anfragen an alle Ziele in der Domain googleapis.com an die IP-Adressen gesendet, die von restricted.googleapis.com verwendet werden. Mit dieser Konfiguration sind nur die unterstützten APIs verfügbar, was dazu führen kann, dass andere Dienste nicht erreichbar sind. Cloud DNS unterstützt keine partiellen Überschreibungen. Wenn Sie partielle Überschreibungen benötigen, verwenden Sie BIND.

Zugriff auf private Dienste

Google und Drittanbieter (zusammen als Dienstersteller bezeichnet) können Dienste mit internen IP-Adressen anbieten, die in einem VPC-Netzwerk gehostet werden. Mit dem Zugriff auf private Dienste können Sie diese internen IP-Adressen erreichen. Das ist hilfreich, wenn die VM-Instanzen in Ihrem VPC-Netzwerk interne statt externe IP-Adressen verwenden sollen. Weitere Informationen zur Verwendung des privaten Zugriffs auf Dienste finden Sie unter Zugriff auf private Dienste konfigurieren.

Für den Zugriff auf private Dienste müssen Sie zuerst einen internen IP-Adressbereich zuweisen und dann eine private Verbindung erstellen. Ein zugewiesener Bereich ist ein reservierter CIDR-Block, der in Ihrem lokalen VPC-Netzwerk nicht verwendet werden kann. Er ist für Dienstersteller reserviert und verhindert Überschneidungen zwischen Ihrem VPC-Netzwerk und dem VPC-Netzwerk des Diensterstellers. Wenn Sie eine private Verbindung erstellen, müssen Sie eine Zuweisung angeben.

Über die private Verbindung wird Ihr VPC-Netzwerk mit dem VPC-Netzwerk des Diensterstellers verbunden. Durch diese Verbindung können VM-Instanzen in Ihrem VPC-Netzwerk interne IP-Adressen verwenden, um Dienstressourcen mit internen IP-Adressen zu erreichen. Ihre Instanzen können externe IP-Adressen haben. Diese sind für den Zugriff auf private Dienste jedoch nicht erforderlich.

Wenn ein Dienstersteller mehrere Dienste anbietet, benötigen Sie nur eine private Verbindung. Zum Erstellen einer privaten Verbindung verwenden Sie die Service Networking API. Google Cloud implementiert diese Verbindung jedoch als VPC-Netzwerk-Peering-Verbindung zwischen Ihrem VPC-Netzwerk und dem VPC-Netzwerk des Diensterstellers. In Ihrem VPC-Netzwerk wird sie als Peering-Verbindung angezeigt. Zum Löschen der privaten Verbindung müssen Sie die Peering-Verbindung löschen.

Sie können den Zugriff auf private Dienste nur mit Diensten nutzen, die diesen unterstützen. Klären Sie dies mit dem Dienstersteller ab, bevor Sie eine private Verbindung erstellen.

Netzwerk des Diensterstellers

Auf der Diensterstellerseite der privaten Verbindung steht ein VPC-Netzwerk, in dem Ihre Dienstressourcen bereitgestellt werden. Das Netzwerk des Diensterstellers wird ausschließlich für Sie erstellt und enthält nur Ihre Ressourcen.

Eine Ressource im Netzwerk des Diensterstellers ist vergleichbar mit anderen Ressourcen in Ihrem VPC-Netzwerk. Beispielsweise ist sie über interne IP-Adressen anderer Ressourcen in Ihrem VPC-Netzwerk erreichbar. Sie können auch Firewallregeln in Ihrem VPC-Netzwerk erstellen, um den Zugriff auf das Netzwerk des Dienstanbieters zu steuern.

Weitere Informationen zur Diensterstellerseite finden Sie unter Zugriff auf private Dienste aktivieren in der Dokumentation zu Service Infrastructure. Die Dokumentation bietet weitere Informationen, ist jedoch nicht erforderlich, um den Zugriff auf private Dienste zu ermöglichen und zu verwenden.

Zugriff auf private Dienste und lokale Verbindung

In hybriden Netzwerkszenarien ist ein lokales Netzwerk entweder über eine Cloud VPN- oder eine Cloud Interconnect-Verbindung mit einem VPC-Netzwerk verbunden. Standardmäßig können lokale Hosts das Netzwerk des Diensterstellers über den Zugriff auf private Dienste nicht erreichen.

Das VPC-Netzwerk verfügt möglicherweise über benutzerdefinierte statische oder dynamische Routen, um Traffic korrekt an Ihr lokales Netzwerk zu leiten. Das Netzwerk des Diensterstellers enthält diese Routen jedoch nicht. Wenn Sie eine private Verbindung erstellen, tauschen das VPC-Netzwerk und das Netzwerk des Diensterstellers nur Subnetzrouten aus.

Sie müssen die benutzerdefinierten Routen des VPC-Netzwerks exportieren, damit das Netzwerk des Diensterstellers diese importieren und Traffic korrekt an Ihr lokales Netzwerk weiterleiten kann.

Zum Exportieren benutzerdefinierter Routen müssen Sie eine private Verbindung erstellen und anschließend die zugrunde liegende VPC-Peering-Konfiguration für das Exportieren benutzerdefinierter Routen anpassen. Informationen zum Erstellen einer privaten Verbindung finden Sie unter Zugriff auf private Dienste konfigurieren. Informationen zum Exportieren von benutzerdefinierten Routen finden Sie unter Peering-Verbindung aktualisieren.

Unterstützte Dienste

Die folgenden Google-Dienste unterstützen den Zugriff auf private Dienste:

Beispiel

Im folgenden Beispiel hat das VPC-Netzwerk des Kunden Google-Diensten den Adressbereich 10.240.0.0/16 zugewiesen und eine private Verbindung eingerichtet, die den zugewiesenen Bereich verwendet. Jeder Google-Dienst erstellt ein Subnetz aus dem zugewiesenen Block, um neue Ressourcen in einer bestimmten Region, wie Cloud SQL-Instanzen, bereitzustellen.

Privater Zugriff auf Dienste (zum Vergrößern anklicken)

Die private Verbindung ist dem zugewiesenen Bereich 10.240.0.0/16 zugeordnet. Aus dieser Zuweisung können Google-Dienste Subnetze erstellen, in denen neue Ressourcen bereitgestellt werden.
Auf der Google-Dienst-Seite der privaten Verbindung erstellt Google ein Projekt für den Kunden. Das Projekt ist isoliert, was bedeutet, dass keine anderen Kunden es teilen und dem Kunden nur die Ressourcen in Rechnung gestellt werden, die der Kunde bereitstellt.
Jeder Google-Dienst erzeugt ein Subnetz, in dem Ressourcen bereitgestellt werden. Der IP-Adressbereich des Subnetzes ist normalerweise ein /24-CIDR-Block, der vom Dienst ausgewählt wird, und stammt aus dem zugewiesenen IP-Adressbereich. Das Subnetz des Diensterstellers können Sie nicht ändern. Ein Dienst stellt neue Ressourcen in vorhandenen regionalen Subnetzen bereit, die zuvor von diesem Dienst erstellt wurden. Wenn ein Subnetz voll ist, erstellt der Dienst ein neues Subnetz in derselben Region.
VM-Instanzen im Kundennetzwerk können auf Dienstressourcen in jeder Region zugreifen, wenn der Dienst dies unterstützt. Einige Dienste unterstützen jedoch möglicherweise keine regionenübergreifende Kommunikation. Zum Beispiel können VM-Instanzen nur mit Cloud SQL-Instanzen kommunizieren, die sich in derselben Region befinden. Weitere Informationen finden Sie in der Dokumentation des jeweiligen Diensts.
Die Kosten für ausgehenden Traffic für regionenübergreifenden Traffic, bei dem eine VM-Instanz mit Ressourcen in einer anderen Region kommuniziert, fallen weiterhin an.
Der Cloud SQL-Instanz wird die IP-Adresse 10.240.0.2 zugeordnet. Im VPC-Netzwerk des Kunden werden Anfragen mit dem Ziel 10.240.0.2 über die private Verbindung an das Netzwerk des Diensterstellers weitergeleitet. Das Dienstnetzwerk enthält Routen, über die die Anfrage anschließend an die richtige Ressource weitergeleitet wird.
Der Traffic zwischen VPC-Netzwerken verläuft intern im Google-Netzwerk, nicht über das öffentliche Internet.

Serverloser VPC-Zugriff

Mit dem serverlosen VPC-Zugriff können Sie eine Verbindung von einer serverlosen Umgebung in Google Cloud direkt zu Ihrem VPC-Netzwerk herstellen. Über diese Verbindung erhält Ihre serverlose Umgebung über interne IP-Adressen Zugriff auf Ressourcen in Ihrem VPC-Netzwerk.

Beim serverlosen VPC-Zugriff erstellen Sie in Ihrem Google Cloud-Projekt einen Connector und fügen diesen an ein VPC-Netzwerk an. Anschließend konfigurieren Sie Ihre serverlosen Dienste (z. B. Cloud Run-Dienste, App Engine-Anwendungen oder Cloud Functions) so, dass sie diesen Connector für internen Netzwerktraffic verwenden.

Über serverlosen VPC-Zugriff können nur Anfragen von der serverlosen Umgebung initiiert werden. Anfragen, die von einer VM initiiert werden, müssen die externe Adresse Ihres serverlosen Dienstes verwenden. Weitere Informationen finden Sie unter Privater Google-Zugriff.

Der serverlose VPC-Zugriff unterstützt weder Legacy-Netzwerke noch freigegebene VPC. Weitere Informationen finden Sie unter Serverlosen VPC-Zugriff konfigurieren.

Unterstützte Dienste

Die folgenden Google-Dienste unterstützen Connectors für Serverless VPC Access:

Cloud Run (vollständig verwaltet)
App Engine-Standardumgebung
- Alle Laufzeiten außer PHP 5
Cloud Functions

Beispiel

Im folgenden Beispiel verwenden App Engine, Cloud Functions und Cloud Run einen Connector für serverlosen VPC-Zugriff, um Anfragen an interne Ressourcen im VPC-Netzwerk zu senden.

Der Connector für serverlosen VPC-Zugriff befindet sich im selben Projekt und in derselben Region wie die serverlosen Dienste.
Der Connector ist mit dem VPC-Netzwerk verbunden, das die Zielressourcen enthält. Der Connector kann auf Ressourcen in anderen VPC-Netzwerken und Google Cloud-Projekten zugreifen, wenn Sie VPC-Netzwerk-Peering verwenden.
Der Connector ist dem IP-Bereich 10.8.0.0/28 zugeordnet. Anfragen vom Connector an das Ziel enthalten eine Quell-IP-Adresse in diesem Bereich.
App Engine, Cloud Functions und Cloud Run erreichen die Zielressourcen, wenn sie Anfragen an ihre internen IP-Adressen 10.0.0.4 und 10.1.0.2 senden. Die Zielressourcen können sich in einer beliebigen Region befinden. Die Kosten für ausgehenden Traffic fallen für Traffic an, der vom Connector an eine Ressource in einer anderen Region gesendet wird.
Anfragen, die von den serverlosen Umgebungen an interne IP-Adressen gesendet werden, werden intern über den Connector für serverlosen VPC-Zugriff an die Zielressource geleitet. Anfragen an externe IP-Adressen werden über das Internet geleitet.

Weitere Informationen

Informationen zum Konfigurieren des privaten Google-Zugriffs finden Sie unter Privaten Google-Zugriff konfigurieren.
Informationen zum Konfigurieren des privaten Google-Zugriffs für lokale Hosts finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.
Mehr erfahren über die Konfiguration des Zugriffs auf private Dienste unter Zugriff auf private Dienste konfigurieren
Weitere Informationen zur Konfiguration des serverlosen VPC-Zugriffs finden Sie unter Serverlosen VPC-Zugriff konfigurieren.