Private Service Connect

Dieses Dokument bietet eine Übersicht über Private Service Connect.

Private Service Connect ist eine Funktion des Google Cloud-Netzwerks, mit der Nutzer privat aus ihrem VPC-Netzwerk auf verwaltete Dienste zugreifen können. Ebenso können Ersteller verwalteter Dienste diese Dienste in ihren eigenen separaten VPC-Netzwerken hosten und ihren Nutzern eine private Verbindung bieten. Wenn Sie beispielsweise Private Service Connect verwenden, um auf Cloud SQL zuzugreifen, sind Sie der Dienstnutzer und Google ist der Dienstersteller.

Mit Private Service Connect können Nutzer ihre eigenen internen IP-Adressen für den Zugriff auf Dienste verwenden, ohne ihre VPC-Netzwerke zu verlassen. Der Traffic verbleibt vollständig in Google Cloud. Private Service Connect bietet dienstorientierten Zugriff zwischen Nutzern und Erstellern. Sie können genau steuern, wie auf Dienste zugegriffen wird.

Private Service Connect unterstützt den Zugriff auf die folgenden Arten von verwalteten Diensten:

Abbildung 1. Mit Private Service Connect können Sie Traffic an Endpunkte und Back-Ends senden, die den Traffic an verwaltete Dienste weiterleiten, darunter Google APIs und veröffentlichte Dienste. Mit Private Service Connect-Schnittstellen können verwaltete Dienste Verbindungen zu Nutzer-VPC-Netzwerken initiieren.

Private Service Connect bietet private Verbindungen mit den folgenden Eigenschaften:

  • Dienstorientiertes Design: Erstellerdienste werden über Load-Balancer veröffentlicht, die dem Nutzer-VPC-Netzwerk eine einzelne IP-Adresse zur Verfügung stellen. Nutzer-Traffic, der auf Erstellerdienste zugreift, ist unidirektional und kann nur auf die Dienst-IP-Adresse zugreifen anstatt auf ein gesamtes Peering-VPC-Netzwerk.
  • Explizite Autorisierung: Private Service Connect bietet ein Autorisierungsmodell, das Nutzern und Erstellern detaillierte Kontrolle bietet. Damit wird sichergestellt, dass nur die beabsichtigten Dienstendpunkte und keine anderen Ressourcen eine Verbindung zu einem Dienst herstellen können.
  • Keine gemeinsamen Abhängigkeiten: Der Traffic zwischen Nutzer und Erstellern verwendet NAT, sodass keine Koordination von IP-Adressen oder andere Abhängigkeiten von freigegebenen Ressourcen zwischen den Nutzer- und Ersteller-VPC-Netzwerken vorhanden sind. Diese Unabhängigkeit vereinfacht die Bereitstellung und ermöglicht eine einfache Skalierung verwalteter Dienste.
  • Leitungsratenleistung: Private Service Connect-Traffic wird direkt von Nutzerclients zu Ersteller-Back-Ends ohne Zwischen-Hops oder Proxys geleitet. NAT wird direkt auf den physischen Hostcomputern ausgeführt, auf denen die Nutzer- und Ersteller-VMs gehostet werden. Dies reduziert die Latenz und erhöht die Bandbreitenkapazität. Die Bandbreitenkapazität von Private Service Connect ist nur durch die Bandbreitenkapazität der Client- und Servermaschinen begrenzt, die direkt miteinander kommunizieren.

Private Service Connect-Typen

Es gibt unterschiedliche Private Service Connect-Typen, die unterschiedliche Funktionen und Kommunikationsmodi bieten.

Dienstersteller veröffentlichen ihre Anwendungen für Nutzer, indem sie Private Service Connect-Dienste erstellen. Dienstnutzer greifen direkt über einen der folgenden Private Service Connect-Typen auf diese Private Service Connect-Dienste zu:

  • Private Service Connect-Endpunkte: Endpunkte werden mit Weiterleitungsregeln bereitgestellt, die dem Nutzer eine IP-Adresse zur Verfügung stellen, die dem Private Service Connect-Dienst zugeordnet ist.
  • Private Service Connect-Back-Ends: Back-Ends werden mithilfe von Netzwerk-Endpunktgruppen (NEGs) bereitgestellt, mit denen Nutzer Traffic an ihren Load-Balancer weiterleiten können, bevor ein Private Service Connect-Dienst erreicht wird.

Dienstersteller können Verbindungen zu Dienstnutzern über Private Service Connect-Schnittstellen initiieren. Private Service Connect-Schnittstellen bieten bidirektionale Kommunikation und können im selben VPC-Netzwerk wie Endpunkte und Back-Ends verwendet werden.

Endpunkte

Private Service Connect-Endpunkte sind interne IP-Adressen in einem Nutzer-VPC-Netzwerk, auf die Clients in diesem Netzwerk direkt zugreifen können. Endpunkte werden durch die Bereitstellung einer Weiterleitungsregel erstellt, die auf einen Dienstanhang oder ein Bundle von Google APIs verweist.

Das folgende Diagramm zeigt einen Private Service Connect-Endpunkt, der auf einen veröffentlichten Dienst in einem separaten VPC-Netzwerk und einer separaten Organisation abzielt. Private Service Connect-Endpunkte und veröffentlichte Dienste ermöglichen es zwei unabhängigen Unternehmen, über interne IP-Adressen miteinander zu kommunizieren. Weitere Informationen finden Sie unter Zugriff auf veröffentlichte Dienste über Endpunkte.

Abbildung 2. Mit Private Service Connect können Sie Traffic an Endpunkte senden, die den Traffic an veröffentlichte Dienste in einem anderen VPC-Netzwerk weiterleiten.

In ähnlicher Weise kann ein Private Service Connect-Endpunkt für den Zugriff auf Google APIs wie Cloud Storage oder BigQuery verwendet werden. Diese Funktion ähnelt dem privaten Google-Zugriff, mit der Ausnahme, dass Sie Ihre eigenen internen IP-Adressen für Endpunkte verwenden können. Mit Private Service Connect können Sie das Routing direkter steuern und so viele Endpunkte wie erforderlich für Ihr Netzwerk erstellen. Weitere Informationen finden Sie unter Zugriff auf Google APIs über Endpunkte.

Abbildung 3. Mit Private Service Connect können Sie Traffic an Endpunkte senden, die den Traffic an Google APIs weiterleiten.

Back-Ends

Mit Private Service Connect-Back-Ends können Google Cloud-Load-Balancer Traffic über Private Service Connect senden, um veröffentlichte Dienste oder Google APIs zu erreichen. Die Back-Ends werden über Private Service Connect-Netzwerk-Endpunktgruppen (NEGs) bereitgestellt, die auf einen Ersteller-Dienstanhang oder eine standortbezogene Google API verweisen. Wenn Sie einen Load-Balancer vor einem verwalteten Dienst platzieren, erhalten Nutzer mehr Transparenz und Kontrolle, als über einen Private Service Connect-Endpunkt möglich ist. Mit Back-Ends können Sie Konfigurationen wie diese erstellen:

  • Kundeneigene Domains und Zertifikate vor verwalteten Diensten
  • Nutzergesteuertes Failover zwischen verwalteten Diensten in verschiedenen Regionen
  • Zentrale Sicherheitskonfiguration und Zugriffssteuerung für verwaltete Dienste

Das folgende Diagramm zeigt einen internen Application Load Balancer, der mit Private Service Connect-Back-Ends bereitgestellt wird, die auf einen veröffentlichten Dienst verweisen. Die Konfiguration umfasst zwei Load-Balancer:

  • Der Nutzer-Load-Balancer, der Kontrolle, Sichtbarkeit und Sicherheit des Traffics zum Dienst bietet.
  • Der Ersteller-Load-Balancer, der den Traffic auf die Dienst-Back-Ends verteilt.

Abbildung 4. Mit Private Service Connect können Sie Traffic an Back-Ends senden, die den Traffic an veröffentlichte Dienste weiterleiten.

Ähnlich wie Private Service Connect-Endpunkte unterstützen Back-Ends auch Google APIs als Ziele. Das folgende Diagramm zeigt einen internen Application Load Balancer, der auf einen Cloud Storage-Bucket ausgerichtet ist und den Traffic über eine kundeneigene Domain beendet.

Abbildung 5. Mit Private Service Connect können Sie Traffic an Back-Ends senden, die den Traffic an eine regionale Google API weiterleiten.

Interfaces

Eine Private Service Connect-Schnittstelle ist eine spezielle Art Netzwerkschnittstelle, die auf einen Netzwerkanhang verweist.

Ein Dienstersteller kann eine Private Service Connect-Schnittstelle erstellen und eine Verbindung zu einem Netzwerkanhang anfordern. Wenn der Dienstnutzer die Verbindung akzeptiert, weist Google Cloud der Schnittstelle eine IP-Adresse aus einem Subnetz im Nutzer-VPC-Netzwerk zu, das vom Netzwerkanhang angegeben wird. Die VM der Private Service Connect-Schnittstelle hat eine zweite Standardnetzwerkschnittstelle, die eine Verbindung zum VPC-Netzwerk des Erstellers herstellt.

Eine Verbindung zwischen einer Private Service Connect-Schnittstelle und einem Netzwerkanhang ähnelt der Verbindung zwischen einer Private Service Connect-Endpunkt und einem Dienstanhang. Allerdings gibt es zwei wichtige Unterschiede:

  • Mit einer Private Service Connect-Schnittstelle kann ein Ersteller-VPC-Netzwerk Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren (verwalteter ausgehender Dienst-Traffic). Ein Endpunkt funktioniert in umgekehrter Richtung, sodass ein Nutzer-VPC-Netzwerk Verbindungen zu einem Ersteller-VPC-Netzwerk initiieren kann (verwalteter Dienst-Ingress).
  • Private Service Connect-Schnittstellenverbindungen sind transitiv. Dies bedeutet, dass Arbeitslasten in einem Erstellernetzwerk Verbindungen zu anderen Arbeitslasten initiieren können, die mit dem Nutzer-VPC-Netzwerk verbunden sind. Private Service Connect-Endpunkte können nur Verbindungen zum Ersteller-VPC-Netzwerk initiieren.

Abbildung 6. Mit Private Service Connect-Schnittstellen können Dienstersteller Verbindungen zu Dienstnutzern initiieren.

Verwaltete Dienste von Private Service Connect

Verwaltete Dienste sind Dienste, die einem anderen Nutzer als dem Dienstnutzer gehören und von diesem anderen Nutzer verwaltet werden. Private Service Connect kann verwendet werden, um auf verwaltete Dienste zuzugreifen, die zu Google, SaaS-Unternehmen (Software as a Service) oder anderen Teams innerhalb des Unternehmens des Nutzers gehören. Sowohl veröffentlichte Dienste als auch Google APIs können Ziele von Private Service Connect sein.

Veröffentlichte Dienste

Veröffentlichte Dienste sind in der VPC gehostete Dienste, die im VPC-Netzwerk des Erstellers bereitgestellt und über das VPC-Netzwerk des Nutzers aufgerufen werden. Wenn Sie einen Dienst veröffentlichen, kann der Dienstersteller die Bereitstellung des Dienstes in seinem eigenen VPC-Netzwerk verwalten und steuern. Veröffentlichte Dienste können folgende Dienste umfassen:

  • Google-Dienste wie GKE, Apigee oder Cloud Composer. Diese Dienste werden in Mandantenprojekten und VPC-Netzwerken ausgeführt, die von Google verwaltet werden.
  • Drittanbieterdienste, bei denen Drittanbieter privaten Zugriff auf einen veröffentlichten Dienst in Google Cloud bieten.
  • Dienste innerhalb der Organisation, bei denen ein einzelnes Unternehmen Clients hat, die auf interne Anwendungen in verschiedenen VPC-Netzwerken zugreifen. Einige Organisationen verwenden separate VPC-Netzwerke für die interne Segmentierung. Bei dieser Konfiguration kann ein Team einem anderen Team, das in einem separaten VPC-Netzwerk arbeitet, einen verwalteten Dienst anbieten.

Dienstanhänge

Dienstanhänge sind Ressourcen, die zum Erstellen veröffentlichter Private Service Connect-Dienste verwendet werden.

Dienstanhänge können über Endpunkte oder backends aufgerufen werden. Mehrere Back-Ends oder Endpunkte können eine Verbindung zu demselben Dienstanhang herstellen, sodass mehrere VPC-Netzwerke oder mehrere Nutzer auf dieselbe Dienstinstanz zugreifen können.

Ein Dienstanhang hat einen Ersteller-Load-Balancer zum Ziel und ermöglicht Clients in einem Nutzer-VPC-Netzwerk den Zugriff auf den Load-Balancer. Die Konfiguration des Dienstanhangs definiert Folgendes:

  • Eine Liste akzeptierter Nutzer, die definiert, welche Nutzer eine Verbindung zum Dienst herstellen dürfen.
  • Das NAT-Subnetz, in dem der übersetzte Traffic aus dem VPC-Netzwerk des Erstellers stammt.
  • Eine optionale DNS-Domain, falls angegeben, die in den DNS-Einträgen für Endpunkte verwendet wird, die automatisch in der Cloud DNS-Zone des Nutzers erstellt werden.

Google APIs

Die Verwendung von Private Service Connect für den Zugriff auf Google APIs ist eine Alternative zum privaten Google-Zugriff oder zu den öffentlichen Domainnamen für Google APIs. In diesem Fall ist Google der Ersteller.

Auf Google APIs kann über Endpunkte oder Back-Ends zugegriffen werden.

Mit Private Service Connect können Sie Folgendes tun:

  • Eine oder mehrere interne IP-Adressen für den Zugriff auf Google APIs für verschiedene Anwendungsfälle erstellen.
  • Lokalen Traffic beim Zugreifen auf Google APIs an bestimmte IP-Adressen und Regionen weiterleiten.
  • Zentralisieren Sie den Google API-Traffic über einen HTTP(S)-Load-Balancer, um Ihre eigenen Zertifikate, Sicherheitsrichtlinien oder Beobachtbarkeit anzuwenden.

Nächste Schritte