Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Private Service Connect-Endpunkte mit HTTP(S)-Nutzerkontrollen

Sie können auf APIs und Dienste zugreifen, indem Sie einen Private Service Connect-Endpunkt (basierend auf einer Weiterleitungsregel) oder einen Private Service Connect-Endpunkt mit HTTP(S)-Nutzerkontrollen erstellen (basierend auf einem HTTP(S)-Load-Balancer) erstellen. Der Schwerpunkt dieser Anleitung liegt auf Private Service Connect-Endpunkten mit HTTP(S)-Nutzerkontrollen. Diese Konfiguration erfordert einen HTTP(S)-Load-Balancer, der mit Private Service Connect-NEG-Back-Ends konfiguriert ist.

Der Zugriff auf APIs und Dienste über einen vom Nutzer verwalteten Load-Balancer bietet mehrere Vorteile. Load-Balancer können als zentralisierter Richtlinien-Erzwingungspunkt dienen, an dem Sicherheits- oder Routingrichtlinien erzwungen werden. Sie bieten zentralisierte Messwerte und Logging, die ein verwalteter Dienst möglicherweise nicht bereitstellt, und ermöglichen Nutzern, ihre eigene Weiterleitung und ihren eigenen Failover zu steuern.

Abbildung 1 zeigt einen Load-Balancer, bei dem eine Private Service Connect-NEG eine Verbindung zu einem verwalteten Dienst herstellt. Der Client-Traffic wird an einen Load-Balancer geleitet, der diesen verarbeitet, und dann an ein Private Service Connect-Back-End, das einem verwalteten Dienst zugeordnet ist, der in einem anderen VPC-Netzwerk ausgeführt wird.

Abbildung 1. Mit einem globalen externen HTTP(S)-Load-Balancer können Dienstnutzer mit Internetzugriff Traffic an Dienste im VPC-Netzwerk des Diensterstellers senden (zum Vergrößern klicken).

Bereitstellungsübersicht

So greifen Sie über Private Service Connect mit HTTP(S)-Nutzerkontrollen auf APIs und Dienste zu:

  1. Identifizieren Sie die API oder den Dienst, zu der Sie eine Verbindung herstellen möchten.

    Für Google APIs: Wählen Sie einen regionalen Dienstendpunkt aus.

    Für verwaltete Dienste: Fragen Sie den Dienstersteller nach dem URI des Dienstanhangs.

  2. Stellen Sie einen Load-Balancer bereit, um Traffic an den verwalteten Dienst zu senden. Wählen Sie einen Load-Balancer aus, der Ihren Anforderungen entspricht – auch abhängig davon, ob Sie Internetclients oder interne Clients verwenden oder eine regionale Isolierung benötigen. Sie können auch einen vorhandenen Load-Balancer wiederverwenden.

  3. Stellen Sie die Private Service Connect-Netzwerk-Endpunktgruppen (NEGs) bereit und fügen Sie sie Ihrem Load-Balancer-Back-End-Dienst hinzu. Erstellen Sie Private Service Connect-NEGs, die auf Ihren verwalteten Dienst verweisen. Fügen Sie dann die NEGs dem Back-End-Dienst des Load-Balancers hinzu, damit der Load-Balancer Traffic an sie senden kann.

Unterstützte Load-Balancer und Ziele

Die folgenden Load-Balancer können mit Private Service Connect-NEG-Back-Ends konfiguriert werden, um Traffic an unterstützte APIs und Dienste zu senden:

Load-Balancer Unterstützte Google API-Ziele Unterstützte Ziele für verwaltete Dienste

Globaler externer HTTP(S)-Load-Balancer mit erweiterten Trafficverwaltungsfunktionen1

Interner TCP/UDP-Load-Balancer des Diensterstellers in einer oder mehreren Regionen

Regionaler interner HTTP(S)-Load-Balancer

Regionale Google APIs

Interner TCP/UDP-Load-Balancer des Diensterstellers in einer einzelnen Region (Vorschau)

Regionaler externer HTTP(S)-Load-Balancer

Regionale Google APIs

Interner TCP/UDP-Load-Balancer des Diensterstellers in einer einzelnen Region (Vorschau)

1 Ein globaler externer HTTP(S)-Load-Balancer (klassisch) wird mit Private Service Connect nicht unterstützt.

Spezifikationen

Alle Private Service Connect-Back-Ends haben die folgenden Spezifikationen:

  • Private Service Connect-NEGs können nicht mit anderen NEG-Typen im selben Back-End-Dienst kombiniert werden. Selbst gehostete Anwendungen und verwaltete Dienste können jedoch Back-Ends desselben Load-Balancers sein, solange sie Teil separater Back-End-Dienste sind.
  • Back-End-Dienste mit Private Service Connect-NEGs müssen HTTPS als Protokoll verwenden. HTTP wird bei Private Service Connect-NEGs nicht unterstützt.
  • Back-End-Dienste mit Private Service Connect-NEGs unterstützen keine Systemdiagnosen. Systemdiagnose-Ressourcen werden nicht mit Back-End-Diensten konfiguriert, die für Private Service Connect verwendet werden.
  • Nur die unterstützten Load-Balancer können Private Service Connect-NEGs als Back-Ends verwenden.

Private Service Connect-Back-Ends, die globalen externen HTTP(S)-Load-Balancern hinzugefügt werden, haben zusätzliche Spezifikationen:

  • Mehrere Private Service Connect-NEGs können sich im selben Back-End-Dienst befinden, solange sie aus verschiedenen Regionen stammen. Sie können nicht mehrere Private Service Connect-NEGs aus derselben Region demselben Back-End-Dienst hinzufügen.
  • Private Service Connect-NEGs werden automatisch mit Ausreißererkennung konfiguriert. Mit der Ausreißererkennung kann der Load-Balancer Fehler in Antworten von verwalteten Diensten erkennen und einen Failover für die verbleibenden fehlerfreien Regionen ausführen. Die Standardrichtlinie für die Ausreißererkennung kann durch Anwenden Ihrer eigenen Ausreißererkennungskonfiguration für den Back-End-Dienst überschrieben werden.

Preise

Preisinformationen finden Sie in den folgenden Abschnitten der Seite mit den VPC-Preisen:

Nächste Schritte