Private Service Connect

Dieses Dokument bietet eine Übersicht über Private Service Connect.

Private Service Connect ist eine Funktion des Google Cloud-Netzwerks, mit der Nutzer privat aus ihrem VPC-Netzwerk auf verwaltete Dienste zugreifen können. Ebenso können Ersteller verwalteter Dienste diese Dienste in ihren eigenen separaten VPC-Netzwerken hosten und ihren Nutzern eine private Verbindung bieten. Wenn Sie beispielsweise Private Service Connect für den Zugriff auf Cloud SQL verwenden, sind Sie der Dienstnutzer und Google der Dienstersteller.

Mit Private Service Connect können Nutzer ihre eigenen internen IP-Adressen für den Zugriff auf Dienste verwenden, ohne ihre VPC-Netzwerke zu verlassen. Der Traffic verbleibt vollständig in Google Cloud. Private Service Connect bietet dienstorientierten Zugriff zwischen Nutzern und Erstellern. Sie können genau steuern, wie auf Dienste zugegriffen wird.

Private Service Connect unterstützt den Zugriff auf die folgenden Arten von verwalteten Diensten:

• Veröffentlichte VPC-gehostete Dienste, darunter:
  • Veröffentlichte Google-Dienste wie Apigee oder die GKE-Steuerungsebene
  • Veröffentlichte Dienste von Drittanbietern, die von Private Service Connect-Partnern bereitgestellt werden
  • Veröffentlichte Dienste innerhalb der Organisation, wobei der Nutzer und der Ersteller zwei verschiedene VPC-Netzwerke innerhalb desselben Unternehmens sein können
• Google APIs wie Cloud Storage oder BigQuery

Private Service Connect bietet private Verbindungen mit den folgenden Eigenschaften:

• Dienstorientiertes Design: Erstellerdienste werden über Load-Balancer veröffentlicht, die dem Nutzer-VPC-Netzwerk eine einzelne IP-Adresse zur Verfügung stellen. Nutzertraffic, der auf Erstellerdienste zugreift, ist unidirektional und kann nur auf die Dienst-IP-Adresse zugreifen, anstatt auf ein gesamtes Peering-VPC-Netzwerk.
• Explizite Autorisierung: Private Service Connect bietet ein Autorisierungsmodell, das Nutzern und Erstellern detaillierte Kontrolle bietet. Damit wird sichergestellt, dass nur die beabsichtigten Dienstendpunkte und keine anderen Ressourcen eine Verbindung zu einem Dienst herstellen können.
• Keine gemeinsamen Abhängigkeiten: Der Traffic zwischen Nutzer und Erstellern verwendet NAT, sodass keine Koordination von IP-Adressen oder andere Abhängigkeiten von freigegebenen Ressourcen zwischen den Nutzer- und Ersteller-VPC-Netzwerken vorhanden sind. Diese Unabhängigkeit vereinfacht die Bereitstellung und ermöglicht eine einfache Skalierung verwalteter Dienste.
• Leitungsratenleistung: Private Service Connect-Traffic wird direkt von Nutzerclients zu Ersteller-Back-Ends ohne Zwischen-Hops oder Proxys geleitet. NAT wird direkt auf den physischen Hostcomputern ausgeführt, auf denen die Nutzer- und Ersteller-VMs gehostet werden. Dies reduziert die Latenz und erhöht die Bandbreitenkapazität. Die Bandbreitenkapazität von Private Service Connect ist nur durch die Bandbreitenkapazität der Client- und Servermaschinen begrenzt, die direkt miteinander kommunizieren.

Private Service Connect-Typen

Es gibt unterschiedliche Private Service Connect-Typen, die unterschiedliche Funktionen und Kommunikationsmodi bieten.

Dienstersteller veröffentlichen ihre Anwendungen für Nutzer, indem sie Private Service Connect-Dienste erstellen. Dienstnutzer greifen direkt über einen der folgenden Private Service Connect-Typen auf diese Private Service Connect-Dienste zu:

• Private Service Connect-Endpunkte: Endpunkte werden mit Weiterleitungsregeln bereitgestellt, die dem Nutzer eine IP-Adresse zur Verfügung stellen, die dem Private Service Connect-Dienst zugeordnet ist.
• Private Service Connect-Back-Ends: Back-Ends werden mithilfe von Netzwerk-Endpunktgruppen (NEGs) bereitgestellt, mit denen Nutzer Traffic an ihren Load-Balancer weiterleiten können, bevor ein Private Service Connect-Dienst erreicht wird.

Dienstersteller können Verbindungen zu Dienstnutzern über Private Service Connect-Schnittstellen initiieren. Private Service Connect-Schnittstellen bieten eine bidirektionale Kommunikation und können im selben VPC-Netzwerk wie Endpunkte und Back-Ends verwendet werden.

Endpunkte

Private Service Connect-Endpunkte sind interne IP-Adressen in einem Nutzer-VPC-Netzwerk, auf die Clients in diesem Netzwerk direkt zugreifen können. Endpunkte werden durch Bereitstellen einer Weiterleitungsregel erstellt, die auf einen Dienstanhang oder ein Bundle von Google APIs verweist.

Das folgende Diagramm zeigt einen Private Service Connect-Endpunkt, der auf einen veröffentlichten Dienst in einem separaten VPC-Netzwerk und einer separaten Organisation abzielt. Mit Private Service Connect-Endpunkten und veröffentlichten Diensten können zwei unabhängige Unternehmen über interne IP-Adressen miteinander kommunizieren. Weitere Informationen finden Sie unter Zugriff auf veröffentlichte Dienste über Endpunkte.

In ähnlicher Weise kann ein Private Service Connect-Endpunkt für den Zugriff auf Google APIs wie Cloud Storage oder BigQuery verwendet werden. Diese Funktion ähnelt dem privaten Google-Zugriff, mit der Ausnahme, dass Sie Ihre eigenen internen IP-Adressen für Endpunkte verwenden können. Mit Private Service Connect können Sie das Routing direkter steuern und so viele Endpunkte wie erforderlich für Ihr Netzwerk erstellen. Weitere Informationen finden Sie unter Zugriff auf Google APIs über Endpunkte.

Back-Ends

Mit Private Service Connect-Back-Ends können Google Cloud-Load-Balancer Traffic über Private Service Connect senden, um veröffentlichte Dienste oder Google APIs zu erreichen. Die Back-Ends werden über Private Service Connect-Netzwerk-Endpunktgruppen (NEGs) bereitgestellt, die auf einen Ersteller-Dienstanhang oder eine standortbezogene Google API verweisen. Wenn Sie einen Load-Balancer vor einem verwalteten Dienst platzieren, erhalten Nutzer mehr Transparenz und Kontrolle, als über einen Private Service Connect-Endpunkt möglich ist. Mit Back-Ends können Sie Konfigurationen wie diese erstellen:

• Kundeneigene Domains und Zertifikate vor verwalteten Diensten
• Nutzergesteuertes Failover zwischen verwalteten Diensten in verschiedenen Regionen
• Zentrale Sicherheitskonfiguration und Zugriffssteuerung für verwaltete Dienste

Das folgende Diagramm zeigt einen internen Application Load Balancer, der mit Private Service Connect-Back-Ends bereitgestellt wird, die auf einen veröffentlichten Dienst verweisen. Die Konfiguration umfasst zwei Load-Balancer:

• Der Nutzer-Load-Balancer, der Kontrolle, Sichtbarkeit und Sicherheit des Traffics zum Dienst bietet.
• Der Ersteller-Load-Balancer, der den Traffic auf die Dienst-Back-Ends verteilt.

Ähnlich wie Private Service Connect-Endpunkte unterstützen Back-Ends auch Google APIs als Ziele. Das folgende Diagramm zeigt einen internen Application Load Balancer, der auf einen Cloud Storage-Bucket ausgerichtet ist und den Traffic über eine kundeneigene Domain beendet.

Interfaces

Eine Private Service Connect-Schnittstelle ist eine spezielle Art Netzwerkschnittstelle, die auf einen Netzwerkanhang verweist.

Ein Dienstersteller kann eine Private Service Connect-Schnittstelle erstellen und eine Verbindung zu einem Netzwerkanhang anfordern. Wenn der Dienstnutzer die Verbindung akzeptiert, weist Google Cloud der Schnittstelle eine IP-Adresse aus einem Subnetz im Nutzer-VPC-Netzwerk zu, das vom Netzwerkanhang angegeben wird. Die VM der Private Service Connect-Schnittstelle hat eine zweite Standardnetzwerkschnittstelle, die eine Verbindung zum VPC-Netzwerk des Erstellers herstellt.

Eine Verbindung zwischen einer Private Service Connect-Schnittstelle und einem Netzwerkanhang ähnelt der Verbindung zwischen einer Private Service Connect-Endpunkt und einem Dienstanhang. Allerdings gibt es zwei wichtige Unterschiede:

• Mit einer Private Service Connect-Schnittstelle kann ein Ersteller-VPC-Netzwerk Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren (verwalteter ausgehender Dienst-Traffic). Ein Endpunkt funktioniert in umgekehrter Richtung, sodass ein Nutzer-VPC-Netzwerk Verbindungen zu einem Ersteller-VPC-Netzwerk initiieren kann (verwalteter Dienst-Ingress).
• Private Service Connect-Schnittstellenverbindungen sind transitiv. Dies bedeutet, dass Arbeitslasten in einem Erstellernetzwerk Verbindungen zu anderen Arbeitslasten initiieren können, die mit dem Nutzer-VPC-Netzwerk verbunden sind. Private Service Connect-Endpunkte können nur Verbindungen zum VPC-Netzwerk des Erstellers initiieren.

Verwaltete Dienste von Private Service Connect

Verwaltete Dienste sind Dienste, die einem anderen Nutzer als dem Dienstnutzer gehören und von diesem anderen Nutzer verwaltet werden. Private Service Connect kann verwendet werden, um auf verwaltete Dienste zuzugreifen, die zu Google, SaaS-Unternehmen (Software as a Service) oder anderen Teams innerhalb des Unternehmens des Nutzers gehören. Sowohl veröffentlichte Dienste als auch Google APIs können Ziele von Private Service Connect sein.

Veröffentlichte Dienste

Veröffentlichte Dienste sind in der VPC gehostete Dienste, die im VPC-Netzwerk des Erstellers bereitgestellt und über das VPC-Netzwerk des Nutzers aufgerufen werden. Wenn Sie einen Dienst veröffentlichen, kann der Dienstersteller die Bereitstellung des Dienstes in seinem eigenen VPC-Netzwerk verwalten und steuern. Veröffentlichte Dienste können folgende Dienste umfassen:

• Google-Dienste wie GKE, Apigee oder Cloud Composer. Diese Dienste werden in Mandantenprojekten und VPC-Netzwerken ausgeführt, die von Google verwaltet werden.
• Drittanbieterdienste, bei denen Drittanbieter privaten Zugriff auf einen veröffentlichten Dienst in Google Cloud bieten.
• Dienste innerhalb der Organisation, bei denen ein einzelnes Unternehmen Clients hat, die auf interne Anwendungen in verschiedenen VPC-Netzwerken zugreifen. Einige Organisationen verwenden separate VPC-Netzwerke für die interne Segmentierung. Bei dieser Konfiguration kann ein Team einem anderen Team, das in einem separaten VPC-Netzwerk arbeitet, einen verwalteten Dienst anbieten.

Dienstanhänge

Dienstanhänge sind Ressourcen, die zum Erstellen veröffentlichter Private Service Connect-Dienste verwendet werden.

Auf Dienstanhänge kann mithilfe von Endpunkten oder Back-Ends zugegriffen werden. Mehrere Back-Ends oder Endpunkte können eine Verbindung zu demselben Dienstanhang herstellen, sodass mehrere VPC-Netzwerke oder mehrere Nutzer auf dieselbe Dienstinstanz zugreifen können.

Ein Dienstanhang hat einen Ersteller-Load-Balancer zum Ziel und ermöglicht Clients in einem Nutzer-VPC-Netzwerk den Zugriff auf den Load-Balancer. Die Konfiguration des Dienstanhangs definiert Folgendes:

• Eine Liste akzeptierter Nutzer, die definiert, welche Nutzer eine Verbindung zum Dienst herstellen dürfen.
• Das NAT-Subnetz, aus dem der übersetzte Traffic im Produzenten-VPC-Netzwerk stammt.
• Eine optionale DNS-Domain, falls angegeben, die in den DNS-Einträgen für Endpunkte verwendet wird, die automatisch in der Cloud DNS-Zone des Nutzers erstellt werden.

Google APIs

Die Verwendung von Private Service Connect für den Zugriff auf Google APIs ist eine Alternative zum privaten Google-Zugriff oder zu den öffentlichen Domainnamen für Google APIs. In diesem Fall ist der Ersteller Google.

Auf Google APIs kann über Endpunkte oder Back-Ends zugegriffen werden. Mit Endpunkten können Sie ein Bundle von Google APIs und mit Back-Ends eine bestimmte standortbezogene Google API zum Ziel haben.

Mit Private Service Connect können Sie Folgendes tun:

• Eine oder mehrere interne IP-Adressen für den Zugriff auf Google APIs für verschiedene Anwendungsfälle erstellen.
• Lokalen Traffic beim Zugreifen auf Google APIs an bestimmte IP-Adressen und Regionen weiterleiten.
• Google API-Traffic über einen HTTP(S)-Load-Balancer zentralisieren, um eigene Zertifikate, Sicherheitsrichtlinien oder Beobachtbarkeit anzuwenden.

Nächste Schritte

• Führen Sie eines der folgenden Codelabs aus:
  • Private Service Connect zum Veröffentlichen und Nutzen von Diensten verwenden
  • Private Service Connect zum Veröffentlichen und Nutzen von Diensten mit GKE verwenden
• Zugriff auf veröffentlichte Dienste über Endpunkte
• Zugriff auf Google APIs über Endpunkte
• Informationen zu Back-Ends
• Dienste veröffentlichen