Private Service Connect-Back-Ends
Sie können auf Google APIs und veröffentlichte Dienste zugreifen, indem Sie einen Private Service Connect-Endpunkt (basierend auf einer Weiterleitungsregel) oder ein Private Service Connect-Back-End (basierend auf einem Load Balancer) erstellen. Dieser Leitfaden konzentriert sich auf Private Service Connect-Back-Ends.
Private Service Connect-Back-Ends verwenden einen Load Balancer, der mit Private Service Connect-NEG-Back-Ends (Netzwerk-Endpunktgruppe) konfiguriert ist. Diese Konfiguration wurde zuvor als Private Service Connect-Endpunkt mit HTTP(S)-Nutzerdienstkontrollen bezeichnet.
Der Zugriff auf APIs und Dienste über einen vom Nutzer verwalteten Load Balancer bietet mehrere Vorteile. Load Balancer können als zentralisierter Richtlinien-Erzwingungspunkt dienen, an dem Sicherheits- oder Routingrichtlinien erzwungen werden. Sie bieten zentralisierte Messwerte und Logging, die ein veröffentlichter Dienst möglicherweise nicht bereitstellt, und ermöglichen Nutzern, ihre eigene Weiterleitung und ihren eigenen Failover zu steuern.
Abbildung 1 zeigt einen Load Balancer, bei dem eine Private Service Connect-NEG eine Verbindung zu einem veröffentlichten Dienst herstellt. Der Client-Traffic wird an einen Load Balancer geleitet, der diesen verarbeitet, und dann an ein Private Service Connect-Back-End, das einem veröffentlichten Dienst zugeordnet ist, der in einem anderen VPC-Netzwerk ausgeführt wird.
Abbildung 1. Mit einem globalen externen Application Load Balancer können Dienstnutzer mit Internetzugriff Traffic an Dienste im VPC-Netzwerk des Diensterstellers senden (zum Vergrößern klicken).
Bereitstellungsübersicht
So greifen Sie über Private Service Connect-Back-Ends auf APIs und Dienste zu:
Identifizieren Sie die API oder den Dienst, zu der Sie eine Verbindung herstellen möchten.
Für Google APIs: Wählen Sie einen standortbezogenen Dienstendpunkt aus.
Für veröffentlichte Dienste: Fragen Sie den Dienstersteller nach dem URI des Dienstanhangs.
Stellen Sie einen Load Balancer bereit, um Traffic an den veröffentlichten Dienst zu senden. Wählen Sie einen Load Balancer aus, der Ihren Anforderungen entspricht – auch abhängig davon, ob Sie Internetclients oder interne Clients verwenden oder eine regionale Isolierung benötigen. Sie können auch einen vorhandenen Load Balancer wiederverwenden.
Stellen Sie die Private Service Connect-NEGs bereit und fügen Sie sie Ihrem Back-End-Dienst des Load Balancers hinzu. Erstellen Sie Private Service Connect-NEGs, die auf Ihren veröffentlichten Dienst verweisen. Fügen Sie dann die NEGs dem Back-End-Dienst des Load Balancers hinzu, damit der Load Balancer Traffic an sie senden kann.
Unterstützte Load Balancer und Ziele
Sie können ein Back-End für den Zugriff auf einen veröffentlichten Dienst oder eine standortbezogene Google API verwenden.
Weitere Informationen zum Load Balancer, dem Sie ein Private Service Connect-Back-End hinzufügen möchten, finden Sie in der Dokumentation zum Load Balancing.
- Informationen zu globalen externen Application Load Balancern und regionalen externen Application Load Balancern finden Sie unter Übersicht über externe Application Load Balancer.
- Informationen zu internen Application Load Balancern und regionenübergreifenden internen Application Load Balancern finden Sie unter Übersicht über interne Application Load Balancer.
- Informationen zu regionalen internen Proxy-Network Load Balancern finden Sie unter Übersicht über regionale interne Proxy-Network Load Balancer.
- Informationen zu regionalen externen Proxy-Network Load Balancern finden Sie unter Übersicht über regionale externe Proxy-Network Load Balancer.
- Informationen zu globalen externen Proxy-Network Load Balancern finden Sie unter Übersicht über externe Proxy-Network Load Balancer.
Veröffentlichte Dienste als Ziele
Ein Private Service Connect-Back-End für veröffentlichte Dienste erfordert zwei Load Balancer: einen Nutzer-Load-Balancer und einen Ersteller-Load-Balancer. In dieser Tabelle wird die Kompatibilität zwischen verschiedenen Arten von Nutzer-Load-Balancern und Ersteller-Load-Balancern beschrieben, einschließlich der Back-End-Dienstprotokolle, die mit den Nutzer-Load-Balancern kompatibel sind. Jede Zeile stellt einen Typ von Nutzer-Load-Balancer und jede Spalte einen Typ von Ersteller-Load-Balancern dar.
In den folgenden Tabellen weist ein Häkchen darauf hin, dass ein Feature unterstützt wird, und ein Nein-Symbol weist darauf hin, dass ein Feature nicht unterstützt wird.
| Nutzer-Load-Balancer und unterstützte Nutzer-Back-End-Dienstprotokolle | Ersteller-LoadBalancer | ||
|---|---|---|---|
| Interner Passthrough-Network Load Balancer | Regionaler interner Application Load Balancer | Regionaler interner Proxy-Network Load Balancer | |
|
Globaler externer Application Load Balancer (unterstützt mehrere Regionen) Protokolle: HTTPS, HTTP2 IP-Version: IPv4 Hinweis: Der klassische Application Load Balancer wird nicht unterstützt. |
|||
|
Regionaler externer Application Load Balancer Protokolle: HTTP, HTTPS, HTTP2 IP-Version: IPv4 |
|||
|
Regionaler interner Application Load Balancer Protokolle: HTTP, HTTPS, HTTP2 IP-Version: IPv4 |
|||
|
Regionenübergreifender interner Application Load Balancer (Vorschau) Protokolle: HTTPS, HTTP2 IP-Version: IPv4 |
|||
|
Regionaler interner Proxy-Network Load Balancer Protokoll: TCP IP-Version: IPv4 |
|||
|
Regionsübergreifender interner Proxy-Network Load Balancer Protokoll: TCP IP-Version: IPv4 |
|||
|
Regionaler externer Proxy-Network-Load-Balancer Protokoll: TCP IP-Version: IPv4 |
|||
|
Globaler externer Proxy-Network Load Balancer (Vorschau) Protokoll: TCP/SSL IP-Version: IPv4 Hinweis: Der klassische Proxy-Network Load Balancer wird nicht unterstützt. |
|||
In dieser Tabelle wird die Konfiguration für die Ersteller-Load-Balancer beschrieben, die von Private Service Connect-Back-Ends unterstützt werden.
| Konfiguration | Ersteller-LoadBalancer | ||
|---|---|---|---|
| Interner Passthrough-Network Load Balancer | Regionaler interner Application Load Balancer | Regionaler interner Proxy-Network Load Balancer | |
| Unterstützte Ersteller-Back-Ends |
|
|
|
| Weiterleitungsregelprotokolle |
|
|
|
| Weiterleitungsregelports | Die Weiterleitungsregel muss auf einen einzelnen Port verweisen. | Die Weiterleitungsregel muss auf einen einzelnen Port verweisen. | Die Weiterleitungsregel muss auf einen einzelnen Port verweisen. |
| Proxyprotokoll | |||
| IP-Version | IPv4 | IPv4 | IPv4 |
Eine Beispiel-Backend-Konfiguration, die einen globalen externen Application Load Balancer verwendet, finden Sie unter Zugriff auf veröffentlichte Dienste über Backends.
Geografische Google API-Ziele
In dieser Tabelle wird beschrieben, welche Load-Balancer ein Private Service Connect-Backend für den Zugriff auf regionale Google APIs verwenden können.
Eine Beispielkonfiguration, die einen internen Application Load Balancer verwendet, finden Sie unter Über Back-Ends auf Google APIs zugreifen.
| Konfiguration | Details |
|---|---|
| Nutzerkonfiguration (Private Service Connect-Backend) | |
| Unterstützte Nutzer-Load-Balancer |
|
| IP-Version | IPv4 |
| Ersteller | |
| Unterstützte Dienste | Unterstützte standortbezogene Google APIs |
Globale Google API-Ziele
In dieser Tabelle wird beschrieben, welche Load Balancer ein Private Service Connect-Backend für den Zugriff auf eine globale Google API verwenden können.
| Konfiguration | Details |
|---|---|
| Nutzerkonfiguration (Private Service Connect-Backend) | |
| Unterstützte Nutzer-Load-Balancer |
Globaler externer Application Load Balancer Hinweis: Der klassische Application Load Balancer wird nicht unterstützt. |
| IP-Version | IPv4 |
| Ersteller | |
| Unterstützte Dienste |
|
Verbindungsstatus
Endpunkte, Back-Ends und Dienstanhänge von Private Service Connect haben einen Verbindungsstatus, der den Status ihrer Verbindung beschreibt. Die Nutzer- und Erstellerressourcen, die die beiden Seiten einer Verbindung bilden, haben immer denselben Status. Sie können Verbindungsstatus aufrufen, wenn Sie Endpunktdetails aufrufen, ein Backend beschreiben oder Details zu einem veröffentlichten Dienst ansehen.
In der folgenden Tabelle werden die möglichen Status beschrieben.
| Verbindungsstatus | Beschreibung |
|---|---|
| Angenommen | Die Private Service Connect-Verbindung wird hergestellt. Die beiden VPC-Netzwerke haben eine Verbindung und funktionieren ordnungsgemäß. |
| Ausstehend | Die Private Service Connect-Verbindung wird nicht hergestellt und Netzwerk-Traffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine Verbindung kann diesen Status aus folgenden Gründen haben:
Verbindungen, die aus diesen Gründen blockiert werden, bleiben auf unbestimmte Zeit im Status „Ausstehend“, bis das zugrunde liegende Problem behoben ist. |
| Abgelehnt | Die Private Service Connect-Verbindung wird nicht hergestellt. Der Netzwerktraffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine Verbindung kann diesen Status aus folgenden Gründen haben:
|
| Prüfung erforderlich | Es gibt ein Problem auf der Producer-Seite der Verbindung. Einiger Traffic kann möglicherweise zwischen den beiden Netzwerken fließen, aber einige Verbindungen funktionieren möglicherweise nicht. Beispielsweise ist das NAT-Subnetz des Erstellers möglicherweise erschöpft und kann neuen Verbindungen keine IP-Adressen zuweisen. |
| Beschränkt | Der Dienstanhang wurde gelöscht und die Private Service Connect-Verbindung wird geschlossen. Der Netzwerktraffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine geschlossene Verbindung ist ein Terminalstatus. Wenn Sie die Verbindung wiederherstellen möchten, müssen Sie sowohl den Dienstanhang als auch den Endpunkt oder das Backend neu erstellen. |
Spezifikationen
Alle Private Service Connect-Back-Ends haben die folgenden Spezifikationen:
- Nur die unterstützten Load-Balancer können Private Service Connect-NEGs als Back-Ends verwenden.
- Private Service Connect-NEGs können nicht mit anderen NEG-Typen im selben Backend-Dienst kombiniert werden. Selbst gehostete Anwendungen und verwaltete Dienste können jedoch Backends desselben Load-Balancers sein, solange sie Teil separater Backend-Dienste sind.
- Backend-Dienste mit Private Service Connect-NEGs unterstützen keine Systemdiagnosen. Systemdiagnose-Ressourcen werden nicht mit Backend-Diensten konfiguriert, die für Private Service Connect verwendet werden.
- Wenn eine Private Service Connect-NEG auf einen Dienstanhang verweist, muss sich der Dienstanhang in einem anderen VPC-Netzwerk als die NEG und der Load-Balancer befinden.
Für Private Service Connect-Back-Ends, die in globalen Back-End-Diensten verwendet werden, gelten zusätzliche Spezifikationen:
- Mehrere Private Service Connect-NEGs können sich im selben Backend-Dienst befinden, solange sie aus verschiedenen Regionen stammen. Sie können nicht mehrere Private Service Connect-NEGs aus derselben Region demselben Backend-Dienst hinzufügen.
- Private Service Connect-NEGs werden automatisch mit Ausreißererkennung konfiguriert. Mit der Ausreißererkennung kann der Load-Balancer Fehler in Antworten von veröffentlichten Diensten erkennen und einen Failover für die verbleibenden fehlerfreien Regionen ausführen. Die Standardrichtlinie für die Ausreißererkennung kann durch Anwenden Ihrer eigenen Ausreißererkennungskonfiguration für den Backend-Dienst überschrieben werden.
Preise
Preisinformationen finden Sie in den folgenden Abschnitten der Seite mit den VPC-Preisen:
Private Service Connect-Backend für den Zugriff auf einen veröffentlichten Dienst verwenden.
Private Service Connect-Backend für den Zugriff auf Google APIs verwenden.
Nächste Schritte
- Ein Private Service Connect-Backend erstellen
- Zugriff auf Google APIs über Back-Ends
- Zugriff auf veröffentlichte Dienste über Back-Ends