Private Service Connect-Back-Ends

Sie können auf Google APIs und veröffentlichte Dienste zugreifen, indem Sie einen Private Service Connect-Endpunkt (basierend auf einer Weiterleitungsregel) oder ein Private Service Connect-Back-End (basierend auf einem Load Balancer) erstellen. Dieser Leitfaden konzentriert sich auf Private Service Connect-Back-Ends.

Private Service Connect-Back-Ends verwenden einen Load Balancer, der mit Private Service Connect-NEG-Back-Ends (Netzwerk-Endpunktgruppe) konfiguriert ist. Diese Konfiguration wurde zuvor als Private Service Connect-Endpunkt mit HTTP(S)-Nutzerdienstkontrollen bezeichnet.

Der Zugriff auf APIs und Dienste über einen vom Nutzer verwalteten Load Balancer bietet mehrere Vorteile. Load Balancer können als zentralisierter Richtlinien-Erzwingungspunkt dienen, an dem Sicherheits- oder Routingrichtlinien erzwungen werden. Sie bieten zentralisierte Messwerte und Logging, die ein veröffentlichter Dienst möglicherweise nicht bereitstellt, und ermöglichen Nutzern, ihre eigene Weiterleitung und ihren eigenen Failover zu steuern.

Abbildung 1 zeigt einen Load Balancer, bei dem eine Private Service Connect-NEG eine Verbindung zu einem veröffentlichten Dienst herstellt. Der Client-Traffic wird an einen Load Balancer geleitet, der diesen verarbeitet, und dann an ein Private Service Connect-Back-End, das einem veröffentlichten Dienst zugeordnet ist, der in einem anderen VPC-Netzwerk ausgeführt wird.

Abbildung 1. Mit einem globalen externen Application Load Balancer können Dienstnutzer mit Internetzugriff Traffic an Dienste im VPC-Netzwerk des Diensterstellers senden (zum Vergrößern klicken).

Bereitstellungsübersicht

So greifen Sie auf APIs und Dienste über Private Service Connect-Back-Ends zu:

  1. Identifizieren Sie die API oder den Dienst, zu der Sie eine Verbindung herstellen möchten.

    Für Google APIs: Wählen Sie einen standortbezogenen Dienstendpunkt aus.

    Für veröffentlichte Dienste: Fragen Sie den Dienstersteller nach dem URI des Dienstanhangs.

  2. Stellen Sie einen Load Balancer bereit, um Traffic an den veröffentlichten Dienst zu senden. Wählen Sie einen Load Balancer aus, der Ihren Anforderungen entspricht – auch abhängig davon, ob Sie Internetclients oder interne Clients verwenden oder eine regionale Isolierung benötigen. Sie können auch einen vorhandenen Load Balancer wiederverwenden.

  3. Stellen Sie die Private Service Connect-NEGs bereit und fügen Sie sie Ihrem Back-End-Dienst des Load Balancers hinzu. Erstellen Sie Private Service Connect-NEGs, die auf Ihren veröffentlichten Dienst verweisen. Fügen Sie dann die NEGs dem Back-End-Dienst des Load Balancers hinzu, damit der Load Balancer Traffic an sie senden kann.

Unterstützte Load Balancer und Ziele

Sie können ein Back-End für den Zugriff auf einen veröffentlichten Dienst oder eine standortbezogene Google API verwenden.

Weitere Informationen zum Load Balancer, dem Sie ein Private Service Connect-Back-End hinzufügen möchten, finden Sie in der Dokumentation zum Load Balancing.

Veröffentlichte Dienste als Ziele

Ein Private Service Connect-Back-End für veröffentlichte Dienste erfordert zwei Load Balancer: einen Nutzer-Load-Balancer und einen Ersteller-Load-Balancer. In dieser Tabelle wird die Kompatibilität zwischen verschiedenen Arten von Nutzer-Load-Balancern und Ersteller-Load-Balancern beschrieben, einschließlich der Back-End-Dienstprotokolle, die mit den Nutzer-Load-Balancern kompatibel sind. Jede Zeile stellt einen Typ von Nutzer-Load-Balancer und jede Spalte einen Typ von Ersteller-Load-Balancern dar.

In den folgenden Tabellen weist ein Häkchen darauf hin, dass ein Feature unterstützt wird, und ein Nein-Symbol weist darauf hin, dass ein Feature nicht unterstützt wird.

Nutzer-Load-Balancer und unterstützte Nutzer-Back-End-Dienstprotokolle Ersteller-LoadBalancer
Interner Passthrough-Network Load Balancer Regionaler interner Application Load Balancer Regionaler interner Proxy-Network Load Balancer

Globaler externer Application Load Balancer (unterstützt mehrere Regionen)

Protokolle: HTTPS, HTTP2

Hinweis: Der klassische Application Load Balancer wird nicht unterstützt.

Regionaler externer Application Load Balancer

Protokolle: HTTP, HTTPS, HTTP2

Regionaler interner Application Load Balancer

Protokolle: HTTP, HTTPS, HTTP2

Regionenübergreifender interner Application Load Balancer (Vorschau)

Protokolle: HTTPS, HTTP2

Regionaler interner Proxy-Network Load Balancer

Protokoll: TCP

Regionsübergreifender interner Proxy-Network Load Balancer

Protokoll: TCP

Regionaler externer Proxy-Network-Load-Balancer

Protokoll: TCP

Globaler externer Proxy-Network Load Balancer (Vorschau)

Protokoll: TCP/SSL

Hinweis: Der klassische Proxy-Network Load Balancer wird nicht unterstützt.

In dieser Tabelle wird die Konfiguration für die Ersteller-Load-Balancer beschrieben, die von Private Service Connect-Back-Ends unterstützt werden.

Konfiguration Ersteller-LoadBalancer
Interner Passthrough-Network Load Balancer Regionaler interner Application Load Balancer Regionaler interner Proxy-Network Load Balancer
Unterstützte Ersteller-Back-Ends
  • GCE_VM_IP-NEGs
  • Instanzgruppen
  • GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
  • GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
Weiterleitungsregelprotokolle
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
Weiterleitungsregelports Die Weiterleitungsregel muss auf einen einzelnen Port verweisen. Die Weiterleitungsregel muss auf einen einzelnen Port verweisen. Die Weiterleitungsregel muss auf einen einzelnen Port verweisen.
Proxyprotokoll

Eine Beispiel-Backend-Konfiguration, die einen globalen externen Application Load Balancer verwendet, finden Sie unter Zugriff auf veröffentlichte Dienste über Backends.

Geografische Google API-Ziele

In dieser Tabelle wird beschrieben, welche Load-Balancer ein Private Service Connect-Backend für den Zugriff auf regionale Google APIs verwenden können.

Eine Beispielkonfiguration, die einen internen Application Load Balancer verwendet, finden Sie unter Über Back-Ends auf Google APIs zugreifen.

Konfiguration Details
Nutzerkonfiguration (Private Service Connect-Backend)
Unterstützte Nutzer-Load-Balancer
  • Interner Application Load Balancer

    Protokolle: HTTPS

  • Regionaler externer Application Load Balancer

    Protokolle: HTTPS

Ersteller
Unterstützte Dienste Unterstützte standortbezogene Google APIs

Globale Google API-Ziele

In dieser Tabelle wird beschrieben, welche Load Balancer ein Private Service Connect-Backend für den Zugriff auf eine globale Google API verwenden können.

Konfiguration Details
Nutzerkonfiguration (Private Service Connect-Backend)
Unterstützte Nutzer-Load-Balancer

Globaler externer Application Load Balancer

Hinweis: Der klassische Application Load Balancer wird nicht unterstützt.

Ersteller
Unterstützte Dienste

Verbindungsstatus

Endpunkte, Back-Ends und Dienstanhänge von Private Service Connect haben einen Verbindungsstatus, der den Status ihrer Verbindung beschreibt. Die Nutzer- und Erstellerressourcen, die die beiden Seiten einer Verbindung bilden, haben immer denselben Status. Sie können Verbindungsstatus aufrufen, wenn Sie Endpunktdetails aufrufen, ein Backend beschreiben oder Details zu einem veröffentlichten Dienst ansehen.

In der folgenden Tabelle werden die möglichen Status beschrieben.

Verbindungsstatus Beschreibung
Angenommen Die Private Service Connect-Verbindung wird hergestellt. Die beiden VPC-Netzwerke haben eine Verbindung und funktionieren ordnungsgemäß.
Ausstehend

Die Private Service Connect-Verbindung wird nicht hergestellt und Netzwerk-Traffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine Verbindung kann diesen Status aus folgenden Gründen haben:

  • Der Dienstanhang erfordert eine explizite Genehmigung und der Nutzer ist nicht in der Annahmeliste für Nutzer enthalten.
  • Die Anzahl der Verbindungen überschreitet das Verbindungslimit des Dienstanhangs.

Verbindungen, die aus diesen Gründen blockiert werden, bleiben auf unbestimmte Zeit im Status „Ausstehend“, bis das zugrunde liegende Problem behoben ist.

Abgelehnt

Die Private Service Connect-Verbindung wird nicht hergestellt. Der Netzwerktraffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine Verbindung kann diesen Status aus folgenden Gründen haben:

Prüfung erforderlich Es gibt ein Problem auf der Producer-Seite der Verbindung. Einiger Traffic kann möglicherweise zwischen den beiden Netzwerken fließen, aber einige Verbindungen funktionieren möglicherweise nicht. Beispielsweise ist das NAT-Subnetz des Erstellers möglicherweise erschöpft und kann neuen Verbindungen keine IP-Adressen zuweisen.
Beschränkt

Der Dienstanhang wurde gelöscht und die Private Service Connect-Verbindung wird geschlossen. Der Netzwerktraffic kann zwischen den beiden Netzwerken nicht übertragen werden.

Eine geschlossene Verbindung ist ein Terminalstatus. Wenn Sie die Verbindung wiederherstellen möchten, müssen Sie sowohl den Dienstanhang als auch den Endpunkt oder das Backend neu erstellen.

Spezifikationen

Alle Private Service Connect-Back-Ends haben die folgenden Spezifikationen:

  • Nur die unterstützten Load-Balancer können Private Service Connect-NEGs als Back-Ends verwenden.
  • Private Service Connect-NEGs können nicht mit anderen NEG-Typen im selben Backend-Dienst kombiniert werden. Selbst gehostete Anwendungen und verwaltete Dienste können jedoch Backends desselben Load-Balancers sein, solange sie Teil separater Backend-Dienste sind.
  • Backend-Dienste mit Private Service Connect-NEGs unterstützen keine Systemdiagnosen. Systemdiagnose-Ressourcen werden nicht mit Backend-Diensten konfiguriert, die für Private Service Connect verwendet werden.
  • Wenn eine Private Service Connect-NEG auf einen Dienstanhang verweist, muss sich der Dienstanhang in einem anderen VPC-Netzwerk als die NEG und der Load-Balancer befinden.

Für Private Service Connect-Back-Ends, die in globalen Back-End-Diensten verwendet werden, gelten zusätzliche Spezifikationen:

  • Mehrere Private Service Connect-NEGs können sich im selben Backend-Dienst befinden, solange sie aus verschiedenen Regionen stammen. Sie können nicht mehrere Private Service Connect-NEGs aus derselben Region demselben Backend-Dienst hinzufügen.
  • Private Service Connect-NEGs werden automatisch mit Ausreißererkennung konfiguriert. Mit der Ausreißererkennung kann der Load-Balancer Fehler in Antworten von veröffentlichten Diensten erkennen und einen Failover für die verbleibenden fehlerfreien Regionen ausführen. Die Standardrichtlinie für die Ausreißererkennung kann durch Anwenden Ihrer eigenen Ausreißererkennungskonfiguration für den Backend-Dienst überschrieben werden.

Preise

Preisinformationen finden Sie in den folgenden Abschnitten der Seite mit den VPC-Preisen:

Nächste Schritte