Private Service Connect

Dieses Dokument bietet einen Überblick über Private Service Connect. Private Service Connect ermöglicht die private Nutzung von Diensten in VPC-Netzwerken, die zu verschiedenen Gruppen, Teams, Projekten oder Organisationen gehören. Sie können Dienste mit von Ihnen definierten IP-Adressen in Ihrem VPC-Netzwerk veröffentlichen und nutzen.

Mit Private Service Connect können Sie auf Google APIs und Google-Dienste oder verwaltete Dienste in einem anderen VPC-Netzwerk zugreifen.

Private Service Connect für den Zugriff auf Google APIs verwenden

Wenn eine Anwendung einen Google-Dienst wie Cloud Storage verwendet, stellt Ihre Anwendung standardmäßig eine Verbindung zum Standard-DNS-Namen für diesen Dienst her, z. B. storage.googleapis.com. Die IP-Adressen der Standard-DNS-Namen sind öffentlich routingfähig. Der von Google Cloud-Ressourcen gesendete Traffic verbleibt jedoch im Google-Netzwerk.

Mit Private Service Connect können Sie private Endpunkte mit globalen internen IP-Adressen innerhalb Ihres VPC-Netzwerks erstellen. Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie storage-vialink1.p.googleapis.com und bigtable-adsteam.p.googleapis.com zuweisen. Diese Namen und IP-Adressen sind intern in Ihrem VPC-Netzwerk und allen lokalen Netzwerken vergeben, die über Cloud VPN-Tunnel oder VLAN-Anhänge mit ihm verbunden sind. Sie können steuern, welcher Traffic an welchen Endpunkt geleitet wird, und ob der Traffic innerhalb der Google Cloud bleiben soll.

Mit dieser Option erhalten Sie Zugriff auf alle Google APIs und Google-Dienste, die in den API-Bundles enthalten sind. Wenn Sie den Zugriff auf nur bestimmte APIs und Dienste einschränken müssen, können Sie mit Private Service Connect mit HTTP(S)-Nutzerdienstkontrollen wählen, welche APIs und Dienste für unterstützte regionale Dienstendpunkte verfügbar gemacht werden.

Weitere Informationen finden Sie unter Über Google Endpoints auf Endpunkte zugreifen.

Private Service Connect verwenden, um mit HTTP(S)-Nutzerdienstkontrollen auf Google APIs zuzugreifen

Sie können einen Private Service Connect-Endpunkt mit HTTP(S)-Nutzerdienstkontrollen erstellen und dazu einen internen HTTP(S)-Load-Balancer verwenden. Der interne HTTP(S)-Load-Balancer bietet die folgenden Features:

• Mit einer URL-Zuordnung können Sie auswählen, welche Dienste verfügbar sind. Mit dem Filtern nach Pfad können Sie detaillierte Prüfungen durchführen.

• Sie können Dienste wie spanner.example.com umbenennen und URLs Ihrer Wahl zuordnen.

• Sie können den Load-Balancer so konfigurieren, dass alle Anfragen in Cloud Logging protokolliert werden.

• Sie können vom Kunden verwaltete TLS-Zertifikate verwenden.

• Sie können den Datenstandort während der Übertragung aktivieren, indem Sie eine Verbindung zu regionalen Endpunkten für Google APIs von Arbeitslasten in derselben Region herstellen.

Weitere Informationen finden Sie unter Endpunkte mit HTTP(S)-Nutzerkontrollen.

Private Service Connect zum Veröffentlichen und Nutzen von verwalteten Diensten verwenden

Mit Private Service Connect kann ein Dienstersteller einem Dienstnutzer Dienste anbieten. Ein VPC-Netzwerk des Diensterstellers kann mehrere Dienstnutzer unterstützen.

Es gibt zwei Arten von Private Service Connect-Endpunkten, die eine Verbindung zu einem veröffentlichten Dienst herstellen können:

• Private Service Connect-Endpunkt (basierend auf einer Weiterleitungsregel)

  Bei diesem Endpunkttyp stellen Nutzer eine Verbindung zu einer internen IP-Adresse her, die sie definieren. Private Service Connect führt eine Netzwerkadressübersetzung (NAT) durch, um die Anfrage an den Dienstersteller weiterzuleiten.

  

• Private Service Connect-Endpunkt mit HTTP(S)-Service-Steuerelementen für Nutzer (basierend auf einem globalen externen HTTP(S)-Load-Balancer)

  Bei diesem Endpunkttyp stellen Nutzer eine Verbindung zu einer externen IP-Adresse her. Private Service Connect verwendet eine Netzwerk-Endpunktgruppe, um die Anfrage an den Dienstersteller weiterzuleiten.

  Die Verwendung eines globalen externen HTTP(S)-Load-Balancers als Richtlinienerzwingung bietet folgende Vorteile:

  • Sie können Dienste umbenennen und sie URLs Ihrer Wahl zuordnen.

  • Sie können den Load-Balancer so konfigurieren, dass alle Anfragen in Cloud Logging protokolliert werden.

  • Sie können vom Kunden verwaltete TLS-Zertifikate oder von Google verwaltete Zertifikate verwenden.

  • Wenn der Dienstersteller einen Dienst in mehreren Regionen verfügbar gemacht hat, kann für den Client-Traffic ein Load-Balancing über diese Regionen hinweg erfolgen.

  

Weitere Informationen zu Diensten finden Sie unter Veröffentlichte Dienste.

Verwaltete Dienste in mehreren Regionen

Sie können einen Dienst in mehreren Regionen verfügbar machen, indem Sie die folgenden Konfigurationen erstellen.

Producer-Konfiguration:

• Stellen Sie den Dienst in jeder Region bereit. Jede regionale Instanz des Dienstes muss auf einem Load-Balancer konfiguriert werden, der den Zugriff durch einen Private Service Connect-Endpunkt mit HTTP(S)-Service-Steuerelementen unterstützt.

• Erstellen Sie einen Dienstanhang, um jede regionale Instanz des Dienstes zu veröffentlichen.

Nutzerkonfiguration:

• Erstellen Sie einen Private Service Connect-Endpunkt mit HTTP(S)-Service-Steuerelementen. Der Endpunkt basiert auf einem globalen externen HTTP(S)-Load-Balancer und enthält die folgenden Konfigurationen:

  • Eine Private Service Connect-NEG in jeder Region, die auf den Dienstanhang dieser Region verweist.

  • Ein Back-End-Dienst, der die NEG-Back-Ends enthält.

In dieser Konfiguration leitet der Endpunkt den Traffic mithilfe der standardmäßigen globalen Load-Balancing-Richtlinie weiter – zuerst nach Status und dann nach dem Standort, der dem Client am nächsten liegt.

Schlüsselkonzepte für Dienstnutzer

Sie können Private Service Connect-Endpunkte verwenden, um Dienste zu nutzen, die sich außerhalb Ihres VPC-Netzwerks befinden. Dienstnutzer erstellen Private Service Connect-Endpunkte, die eine Verbindung zu einem Zieldienst herstellen.

Endpunkte und Ziele

Sie verwenden Private Service Connect-Endpunkte, um eine Verbindung zu einem Zieldienst herzustellen. Endpunkte haben eine interne IP-Adresse in Ihrem VPC-Netzwerk und basieren auf der Weiterleitungsregel-Ressource.

Sie senden Traffic an den Endpunkt, der ihn an Ziele außerhalb Ihres VPC-Netzwerks weiterleitet.

Endpunkttyp	Unterstützte Ziele	Zugänglich von
Private Service Connect-Endpunkt für den Zugriff auf Google APIs Globale interne IP-Adresse	Ein API-Bundle: Alle APIs (all-apis): die meisten Google APIs (wie private.googleapis.com). VPC-SC (vpc-sc): APIs, die von VPC Service Controls unterstützt werden (wie restricted.googleapis.com).	VMs im selben VPC-Netzwerk wie der Endpunkt (alle Regionen) Lokale Systeme, die mit dem VPC-Netzwerk verbunden sind, das den Endpunkt enthält
Private Service Connect-Endpunkt für den Zugriff auf Google APIs mit HTTP(S)-Nutzerdienstkontrollen Regionale interne IP-Adresse eines internen HTTPS-Load-Balancers	Ein regionaler Dienstendpunkt. Dieser Endpunkt ist ein interner HTTP(S)-Load-Balancer mit einer einfachen URL-Zuordnung und einem einzelnen Back-End-Dienst. Um das Ziel zu konfigurieren, verbinden Sie den Back-End-Dienst des Load-Balancers mit einer Netzwerk-Endpunktgruppe von Private Service Connect, die auf einen regionalen Dienstendpunkt verweist.	VMs im selben VPC-Netzwerk und in derselben Region wie der Endpunkt Lokale Systeme, die mit dem VPC-Netzwerk verbunden sind, das den Endpunkt enthält, wenn sich die Cloud VPN-Tunnel oder VLAN-Anhänge in derselben Region wie der Endpunkt befinden.
Private Service Connect-Endpunkt für den Zugriff auf veröffentlichte Dienste in einem anderen VPC-Netzwerk regionale interne IP-Adresse	Ein veröffentlichter Dienst in einem anderen VPC-Netzwerk. Dieser Dienst kann von Ihrer eigenen Organisation oder von einem Drittanbieter verwaltet werden. Das Ziel für diesen Endpunkttyp ist ein Dienstanhang.	VMs im selben VPC-Netzwerk und in derselben Region wie der Endpunkt Lokale Systeme, die über Cloud VPN-Tunnel mit dem VPC-Netzwerk verbunden sind, die sich in derselben Region wie der Endpunkt befinden
Private Service Connect-Endpunkt für den Zugriff auf veröffentlichte Dienste mit HTTP(S)-Nutzerdienstkontrollen Globale externe IP-Adresse eines externen HTTPS-Load-Balancers	Ein veröffentlichter Dienst in einem anderen VPC-Netzwerk. Dieser Dienst kann von Ihrer eigenen Organisation oder von einem Drittanbieter verwaltet werden. Dieser Endpunkt ist ein globaler externer HTTP(S)-Load-Balancer mit einer einfachen URL-Zuordnung und einem einzelnen Back-End-Dienst. Verbinden Sie zum Konfigurieren des Ziels den Back-End-Dienst des Load-Balancers mit einer Netzwerk-Endpunktgruppe von Private Service Connect, die auf einen Dienstanhang verweist.	Systeme mit Internetzugang

Schlüsselkonzepte für Dienstersteller

Weitere Informationen zu Diensten, einschließlich Subnetzen, Dienstanhängen und Verbindungseinstellungen, finden Sie unter: Informationen zu veröffentlichten Diensten.

Lokaler Zugriff

• Private Service Connect-Endpunkte, die Sie für den Zugriff auf Google APIs verwenden, können über unterstützte verbundene lokale Hosts aufgerufen werden. Weitere Informationen finden Sie unter Über lokale Hosts auf den Endpunkt zugreifen.

• Private Service Connect-Endpunkte mit HTTP(S)-Dienstkontrollen können über unterstützte verbundene lokale Hosts aufgerufen werden. Weitere Informationen finden Sie unter Über lokale Hosts auf den Endpunkt zugreifen.

• Private Service Connect-Endpunkte, die Sie für den Zugriff auf verwaltete Dienste in einem anderen VPC-Netzwerk verwenden, können über unterstützte verbundene lokale Hosts aufgerufen werden. Weitere Informationen finden Sie unter Über lokale Hosts auf den Endpunkt zugreifen.

• Private Service Connect-Endpunkte mit HTTP(S)-Dienstkontrollen, die Sie für den Zugriff auf verwaltete Dienste verwenden, basieren auf einem globalen externen HTTP(S)-Load-Balancer und können über jedes System aufgerufen werden, das Internetzugriff hat.

Unterstützte Google-Dienste

In der folgenden Tabelle sind die von Private Service Connect unterstützten Google Cloud-Dienste aufgeführt. Sie können einen Private Service Connect-Endpunkt erstellen, um eine private Verbindung zu diesen Diensten innerhalb Ihres eigenen VPC-Netzwerks herzustellen.

Dienst	Beschreibung
Google APIs	Ermöglicht den Zugriff auf die meisten Google APIs und Google-Dienste, z. B. *.googleapis.com. Weitere Informationen finden Sie unter Unterstützte APIs.
Apigee X	Ermöglicht, von Apigee verwaltete APIs im Internet verfügbar zu machen (Vorschau). Ermöglicht auch eine private Verbindung von Apigee zu Back-End-Zieldiensten (Vorschau).
Cloud Composer 2	Ermöglicht den Zugriff auf das Cloud Composer-Mandantenprojekt.
Dataproc Metastore	Ermöglicht den Zugriff auf den Dataproc Metastore-Dienst.
Öffentliche Google Kubernetes Engine-Cluster (GKE)	Ermöglicht den Zugriff auf öffentliche GKE-Clustermaster-Knoten für GKE 1.23 und höher.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Einschränkungen für Organisationsrichtlinien

Ein Administrator für Organisationsrichtlinien kann mit der Einschränkung constraints/compute.disablePrivateServiceConnectCreationForConsumers die Gruppe von Private Service Connect-Endpunkttypen definieren, für die Nutzer keine Weiterleitungsregeln erstellen können. Mit dieser Einschränkung können Sie verhindern, dass Nutzer Private Service Connect-Endpunkte für den Zugriff auf Google APIs oder Private Service Connect-Endpunkte für den Zugriff auf verwaltete Dienste erstellen. Die Einschränkung gilt für neue Peering-Konfigurationen und wirkt sich nicht auf vorhandene Verbindungen aus.

Kontingente

Für Private Service Connect-Endpunkte und -Dienstanhänge gelten Kontingente. Weitere Informationen finden Sie unter Kontingente.

Nächste Schritte

• Private Service Connect konfigurieren, um auf Google APIs und Dienste zuzugreifen

• Private Service Connect konfigurieren, um auf Google APIs und Google-Dienste mit HTTP(S)-Nutzerdienstkontrollen zuzugreifen.

• Private Service Connect für den Zugriff auf Dienste in einem anderen VPC-Netzwerk konfigurieren

• Private Service Connect konfigurieren, um Zugriff auf Ihre Dienste zu gewähren