Bereitstellungsmuster für Private Service Connect
Auf dieser Seite werden einige gängige Möglichkeiten zum Bereitstellen von und Zugreifen auf Private Service Connect beschrieben.
Dienste mit einem einzelnen Mandanten
Dienste mit einem einzelnen Mandanten sind Dienste, die einem einzelnen Nutzer oder Mandanten zugeordnet sind. Die Dienstinstanz wird normalerweise in einem separaten VPC-Netzwerk gehostet, das diesem Mandanten zugeordnet ist, um sie von anderen Mandanten-VPC-Netzwerken in der Erstellerorganisation zu isolieren. Jeder Dienst verwendet eine Nutzerakzeptanzliste, um zu steuern, welche Projekte eine Verbindung zum Dienst herstellen können. Mit der Akzeptanzliste können Sie den Zugriff auf einen einzelnen Mandanten beschränken. Obwohl nur ein einzelner Mandant eine Verbindung zum Dienst herstellen kann, erstellt er möglicherweise mehrere Endpunkte oder Back-Ends, wenn er von mehreren VPC-Netzwerken aus eine Verbindung herstellt.
Abbildung 1. In einem verwalteten Dienst mit einem einzelnen Mandanten stellt der Ersteller einen Dienst in einem separaten VPC-Netzwerk bereit, das diesem Nutzer zugeordnet ist.
Mehrmandantenfähige Dienste
Mehrmandantenfähige Dienste sind Dienste, auf die mehrere Nutzer oder Mandanten zugreifen können. Der Ersteller konfiguriert die Nutzerakzeptanzliste des Dienstes, sodass Nutzer in mehreren oder beliebigen Projekten eine Verbindung zum Dienst herstellen können. Die Nutzerakzeptanzliste ermöglicht auch dem Ersteller, die Anzahl der Private Service Connect-Verbindungen zu steuern, die jedes Projekt erstellen kann. Mit diesen Limits kann der Ersteller eine Erschöpfung der Ressourcen oder Kontingente verhindern. Wenn der Ersteller ermitteln muss, welcher Mandant die Quelle des Traffics ist, kann er das PROXY-Protokoll für den Dienst aktivieren.
Abbildung 2. In einem mehrmandantenfähigen verwalteten Dienst kann von mehreren Nutzern auf einen Dienst in einem VPC-Netzwerk zugegriffen werden.
Zugriff über mehrere Punkte
Der Mehrpunktzugriff besteht, wenn mehrere Private Service Connect-Endpunkte oder -Back-Ends mit demselben Dienstanhang verbunden sind. Private Service Connect mit mehreren Punkten ist für mehrmandantenfähige Dienste nützlich, da damit mehrere unabhängige Nutzer eine Verbindung zum selben Dienst herstellen können. Es ist auch nützlich für Dienste mit einem einzelnen Mandanten, z. B. zum Erstellen einer Dienstverbindung für mehrere VPC-Netzwerke innerhalb eines einzelnen Nutzers.
Nicht alle Dienstersteller unterstützen den Zugriff über mehrere Punkte in ihrem verwalteten Dienst. Wenden Sie sich an Ihren Dienstersteller, um zu prüfen, ob seine Dienstanhänge den Zugriff über mehrere Punkte unterstützen.
Multiregionaler Zugriff
Multiregionale verwaltete Dienste sind Dienste, die in mehreren Regionen bereitgestellt oder aufgerufen werden. Clients greifen möglicherweise auf Dienste in einer anderen Region zu, da der Dienst nicht in ihrer lokalen Region vorhanden ist oder weil es für Hochverfügbarkeit und Failover mit mehreren Regionen erforderlich ist. Da Google Cloud globale VPC-Netzwerke unterstützt, können Clients mit globalem Private Service Connect-Zugriff Private Service Connect-Endpunkte aus jeder Region erreichen. Der Client-Traffic kann von Compute Engine-VM-Instanzen, Cloud VPN-Tunneln und VLAN-Anhängen für Cloud Interconnect stammen.
Abbildung 3. Private Service Connect-Endpunkte mit globalem Zugriff können von jeder Region aus aufgerufen werden.
Lokaler und hybrider Zugriff
Sie können lokale Netzwerke oder andere Cloud-Anbieter mithilfe von VLAN-Anhängen für Cloud Interconnect und Cloud VPN-Tunneln mit Ihrem VPC-Netzwerk verbinden. Da Endpunkte für Google APIs und Endpunkte für veröffentlichte Dienste global zugänglich sind, können Clients in verbundenen Netzwerken Anfragen an Endpunkte in einer beliebigen Region senden. Sie können Endpunkte jedoch in mehreren Regionen bereitstellen, um das Routing von Hybridnetzwerken genauer zu steuern. Sie können hybriden Traffic von einer bestimmten Region an einen lokalen Endpunkt weiterleiten, wodurch die kürzeste Route für den Traffic-Pfad optimiert wird.
Abbildung 4. Private Service Connect-Endpunkte und -Back-Ends können über verbundene Netzwerke aufgerufen werden.
Bidirektionale Konnektivität
Obwohl Nutzerclients in der Regel Verbindungen zu verwalteten Diensten initiieren, müssen verwaltete Dienste manchmal Verbindungen zu dem Nutzer gehörenden Diensten initiieren.
Umgekehrte private Verbindung
Eine umgekehrte private Verbindung besteht, wenn ein Nutzer VMs und GKE-Cluster in einem Produzenten-VPC-Netzwerk den Traffic zu einem Nutzer-VPC-Netzwerk initiieren lässt, wozu er Private Service Connect umgekehrt bereitstellt. In diesem Fall stellt der Nutzer einen internen Load Balancer und einen Dienstanhang bereit, der seinen Dienst für Ersteller veröffentlicht. Ersteller und Nutzer können Private Service Connect zusammen in beide Richtungen verwenden, um bidirektionale Verbindungen herzustellen.
Abbildung 5. Durch umgekehrte private Verbindungen können Nutzer und Ersteller bidirektionale Verbindungen herstellen.
Private Service Connect-Schnittstellen
Private Service Connect-Schnittstellen erstellen bidirektionale, transitive Verbindungen zwischen Nutzer- und Ersteller-VPC-Netzwerken. Ressourcen in den Nutzer- und Ersteller-VPC-Netzwerken können Verbindungen über die Private Service Connect-Schnittstelle initiieren. Da die Verbindung transitiv ist, können Ressourcen im Ersteller-VPC-Netzwerk mit anderen Arbeitslasten kommunizieren, die mit dem Nutzer-VPC-Netzwerk verbunden sind. Eine VM im Produzenten-VPC-Netzwerk kann beispielsweise Arbeitslasten in Netzwerken erreichen, die über Cloud Interconnect oder VPC-Netzwerk-Peering mit dem VPC-Netzwerk des Nutzers verbunden sind.
Hybriddienste
Hybriddienste, die sich nicht in Google Cloud befinden, können sich in anderen Clouds, in einer lokalen Umgebung oder in einer beliebigen Kombination dieser Standorte befinden. Mit Private Service Connect können Sie einen Hybriddienst in einem anderen VPC-Netzwerk zugänglich machen.
Auf Hybriddienste kann über Hybrid-NEGs zugegriffen werden, die mit unterstützten Load Balancern kompatibel sind.
Häufig wird diese Konfiguration als Form einer umgekehrten privaten Verbindung verwendet, wobei Dienstersteller Verbindungen zu Nutzerdiensten herstellen, die in lokalen Netzwerken gehostet werden. Mit Private Service Connect kann der Ersteller die Hybrid-Nutzernetzwerke erreichen, ohne eine direkte Verbindung zu diesen Netzwerken herzustellen.
Abbildung 6. Durch umgekehrte private Verbindungen können Nutzer und Ersteller bidirektionale Verbindungen herstellen.
Eine Beispielkonfiguration finden Sie unter Hybriden Dienst mithilfe von Private Service Connect veröffentlichen.
Freigegebene VPC
Private Service Connect-Ressourcen können in eigenständigen VPC-Netzwerken oder freigegebenen VPC-Netzwerken bereitgestellt werden. Private Service Connect-Endpunkte, -Back-Ends und -Dienstanhänge können in Hostprojekten oder Dienstprojekten bereitgestellt werden.
Ein Nutzerdienstadministrator kann beispielsweise Private Service Connect-Endpunkte und -Back-Ends in Dienstprojekten mithilfe von IP-Adressen aus Subnetzen im Hostprojekt bereitstellen. Mit dieser Konfiguration können die Endpunkte und Back-Ends von anderen Dienstprojekten im selben freigegebenen VPC-Netzwerk erreicht werden.
Alle Clients in einem freigegebenen VPC-Netzwerk haben eine Verbindung zu einem Private Service Connect-Endpunkt, unabhängig davon, in welchem Projekt er bereitgestellt wird. Die Auswahl des Projekts wirkt sich jedoch auf die Sichtbarkeit, auf den IAM-Zugriff sowie auf das Projekt aus, über das stündliche Ressourcenabrechnung erfolgt.
Abbildung 7. Sie können Private Service Connect-Ressourcen in allen Dienstprojekten zur Verfügung stellen, die mit einem freigegebenen VPC-Netzwerk verknüpft sind.
Nächste Schritte
- Weitere Informationen zu Private Service Connect
- Informationen zur Private Service Connect-Kompatibilität