Private Service Connect

Private Service Connect ermöglicht die private Nutzung von Diensten in VPC-Netzwerken, die zu verschiedenen Gruppen, Teams, Projekten oder Organisationen gehören. Sie können Dienste mit von Ihnen definierten IP-Adressen in Ihrem VPC-Netzwerk veröffentlichen und nutzen.

Mit Private Service Connect können Sie auf Google APIs und Google-Dienste oder verwaltete Dienste in einem anderen VPC-Netzwerk zugreifen.

Private Service Connect für den Zugriff auf Google APIs verwenden

Wenn eine Anwendung einen Google-Dienst wie Cloud Storage verwendet, stellt Ihre Anwendung standardmäßig eine Verbindung zum Standard-DNS-Namen für diesen Dienst her, z. B. storage.googleapis.com. Die IP-Adressen der Standard-DNS-Namen sind öffentlich routingfähig. Der von Google Cloud-Ressourcen gesendete Traffic verbleibt jedoch im Google-Netzwerk.

Mit Private Service Connect können Sie private Endpunkte mit globalen internen IP-Adressen innerhalb Ihres VPC-Netzwerks erstellen. Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie storage-vialink1.p.googleapis.com und bigtable-adsteam.p.googleapis.com zuweisen. Diese Namen und IP-Adressen sind intern in Ihrem VPC-Netzwerk und allen lokalen Netzwerken vergeben, die über Cloud VPN-Tunnel oder Cloud Interconnect-Anhänge (VLANs) mit ihm verbunden sind. Sie können steuern, welcher Traffic an welchen Endpunkt geleitet wird, und ob der Traffic innerhalb der Google Cloud bleiben soll.

Mit dieser Option erhalten Sie Zugriff auf alle Google APIs und Google-Dienste, die in den API-Bundles enthalten sind. Wenn Sie den Zugriff auf nur bestimmte APIs und Dienste einschränken müssen, können Sie mit Private Service Connect mit HTTP(S)-Nutzerdienstkontrollen wählen, welche APIs und Dienste für unterstützte regionale Dienstendpunkte verfügbar gemacht werden.

Weitere Informationen zu Private Service Connect-Konfigurationen für den Zugriff auf Google APIs finden Sie in den Anwendungsfällen.

Abbildung 1. Mit Private Service Connect können Sie Traffic über einen Private Service Connect-Endpunkt, der in Ihrem VPC-Netzwerk privat ist, an Google APIs senden.

Private Service Connect verwenden, um mit HTTP(S)-Nutzerdienstkontrollen auf Google APIs zuzugreifen

Sie können einen Private Service Connect-Endpunkt mit HTTP(S)-Nutzerdienstkontrollen erstellen und dazu einen internen HTTP(S)-Load-Balancer verwenden. Der interne HTTP(S)-Load-Balancer bietet die folgenden Features:

Abbildung 2. Mit Private Service Connect können Sie Traffic über einen Private Service Connect-Endpunkt an unterstützte regionale Google APIs senden. Die Verwendung eines Load-Balancers fügt HTTP(S)-Nutzerdienstkontrollen hinzu. (Zum Vergrößern klicken).

Private Service Connect zum Veröffentlichen und Nutzen von verwalteten Diensten verwenden

Mit Private Service Connect kann ein Dienstersteller einem Dienstnutzer Dienste anbieten. Ein VPC-Netzwerk des Diensterstellers kann mehrere Dienstnutzer unterstützen.

Es gibt zwei Arten von Private Service Connect-Endpunkten, die eine Verbindung zu einem veröffentlichten Dienst herstellen können:

Abbildung 3. Mit einem Private Service Connect-Endpunkt, der auf einer Weiterleitungsregel basiert, können Dienstnutzer Traffic vom VPC-Netzwerk des Nutzers an Dienste im VPC-Netzwerk des Dienstherstellers senden. (Zum Vergrößern klicken).

Abbildung 4. Mit einem globalen externen HTTP(S)-Load-Balancer können Dienstnutzer mit Internetzugriff Traffic an Dienste im VPC-Netzwerk des Diensterstellers senden (zum Vergrößern klicken).

Schlüsselkonzepte für Dienstnutzer

Sie können Private Service Connect-Endpunkte verwenden, um Dienste zu nutzen, die sich außerhalb Ihres VPC-Netzwerks befinden. Dienstnutzer erstellen Private Service Connect-Endpunkte, die eine Verbindung zu einem Zieldienst herstellen.

Endpunkte und Ziele

Sie verwenden Private Service Connect-Endpunkte, um eine Verbindung zu einem Zieldienst herzustellen. Endpunkte haben eine interne IP-Adresse in Ihrem VPC-Netzwerk und basieren auf der Weiterleitungsregel-Ressource.

Sie senden Traffic an den Endpunkt, der ihn an Ziele außerhalb Ihres VPC-Netzwerks weiterleitet.

Endpunkttyp Unterstützte Ziele Zugänglich von

Private Service Connect-Endpunkt für den Zugriff auf Google APIs

Globale interne IP-Adresse

Ein API-Bundle:
  • Alle APIs (all-apis): die meisten Google APIs
    (wie private.googleapis.com).
  • VPC-SC (vpc-sc): APIs, die von VPC Service Controls unterstützt werden
    (wie restricted.googleapis.com).
  • VMs im selben VPC-Netzwerk wie der Endpunkt (alle Regionen)
  • Lokale Systeme, die mit dem VPC-Netzwerk verbunden sind, das den Endpunkt enthält

Private Service Connect-Endpunkt für den Zugriff auf Google APIs mit HTTP(S)-Nutzerdienstkontrollen

Regionale interne IP-Adresse eines internen HTTPS-Load-Balancers

Ein regionaler Dienstendpunkt.

Dieser Endpunkt ist ein interner HTTP(S)-Load-Balancer mit einer einfachen URL-Zuordnung und einem einzelnen Back-End-Dienst. Um das Ziel zu konfigurieren, verbinden Sie den Back-End-Dienst des Load-Balancers mit einer Netzwerk-Endpunktgruppe von Private Service Connect, die auf einen regionalen Dienstendpunkt verweist.

  • VMs im selben VPC-Netzwerk und in derselben Region wie der Endpunkt
  • Lokale Systeme, die mit dem VPC-Netzwerk verbunden sind, das den Endpunkt enthält, wenn sich die Cloud VPN-Tunnel oder Cloud Interconnect-Anhänge (VLANs) in derselben Region wie der Endpunkt befinden.

Private Service Connect-Endpunkt für den Zugriff auf veröffentlichte Dienste in einem anderen VPC-Netzwerk

regionale interne IP-Adresse

Ein veröffentlichter Dienst in einem anderen VPC-Netzwerk. Dieser Dienst kann von Ihrer eigenen Organisation oder von einem Drittanbieter verwaltet werden.

Das Ziel für diesen Endpunkttyp ist ein Dienstanhang.

  • VMs im selben VPC-Netzwerk und in derselben Region wie der Endpunkt
  • Lokale Systeme, die über Cloud VPN-Tunnel mit dem VPC-Netzwerk verbunden sind, die sich in derselben Region wie der Endpunkt befinden

Private Service Connect-Endpunkt für den Zugriff auf veröffentlichte Dienste mit HTTP(S)-Nutzerdienstkontrollen

Globale externe IP-Adresse eines externen HTTPS-Load-Balancers

Ein veröffentlichter Dienst in einem anderen VPC-Netzwerk. Dieser Dienst kann von Ihrer eigenen Organisation oder von einem Drittanbieter verwaltet werden.

Dieser Endpunkt ist ein globaler externer HTTP(S)-Load-Balancer mit einer einfachen URL-Zuordnung und einem einzelnen Back-End-Dienst. Verbinden Sie zum Konfigurieren des Ziels den Back-End-Dienst des Load-Balancers mit einer Netzwerk-Endpunktgruppe von Private Service Connect, die auf einen Dienstanhang verweist.

  • Systeme mit Internetzugang

Schlüsselkonzepte für Dienstersteller

Wenn Sie einen Dienst für Nutzer verfügbar machen möchten, erstellen Sie ein oder mehrere Subnetze. Erstellen Sie anschließend einen Dienstanhang, der auf diese Subnetze verweist.

Private Service Connect-Subnetze

Um einen Dienst bereitzustellen, erstellt der Dienstproduzent zuerst ein oder mehrere Subnetze, deren Zweck auf Private Service Connect eingestellt ist.

  • Wenn Ihr Dienst von Private Service Connect-Endpunkten genutzt wird, die auf Weiterleitungsregeln basieren, wird die Quell-IP-Adresse des Nutzers mit Quell-NAT (SNAT) in eine IP-Adresse übersetzt, die aus einem der Private Service Connect-Subnetze ausgewählt wurde.

    Informationen zum Beibehalten der IP-Adresseninformationen der Nutzerverbindung finden Sie unter Informationen zur Nutzerverbindung aufrufen.

  • Wenn Ihr Dienst von Private Service Connect-Endpunkten genutzt wird, die auf globalen externen HTTP(S)-Load-Balancern basieren, wird das Subnetz nicht verwendet und NAT wird nicht ausgeführt. Das Erstellen des Subnetzes ist jedoch erforderlich, um den Dienst zu veröffentlichen.

Private Service Connect-Subnetze können nicht für Ressourcen wie VM-Instanzen oder Weiterleitungsregeln verwendet werden. Die Subnetze werden nur verwendet, um IP-Adressen für SNAT von eingehenden Nutzerverbindungen bereitzustellen. Für einen veröffentlichten Dienst können mehrere Subnetze konfiguriert sein. Ein Private Service Connect-Subnetz kann jedoch nicht in mehr als einem veröffentlichten Dienst verwendet werden.

Private Service Connect-Subnetzkapazität

Beachten Sie beim Erstellen des Private Producer-Subnetzes des Diensterstellers Folgendes:

  • Private Service Connect-Subnetze können eine gültige Größe haben und einen beliebigen gültigen IP-Bereich verwenden, einschließlich öffentlich verwendeter privater IP-Adressen.

    • Wenn Ihr Dienst von Private Service Connect-Endpunkten genutzt wird, die auf einer Weiterleitungsregel basieren, empfehlen wir, das Private Service Connect-Subnetz mit einer Präfixlänge von maximal /22 zu konfigurieren (zum Beispiel /21).

    • Wenn Ihr Dienst von Private Service Connect-Endpunkten genutzt wird, die auf einem globalen externen HTTP(S)-Load-Balancer basieren, wird das Subnetz nicht verwendet. Sie können das Private Service Connect-Subnetz mit der Präfixlänge von /29 konfigurieren, um ein Subnetz mit der kleinsten unterstützten Größe zu erstellen.

  • In einem Private Service Connect-Subnetz gibt es vier reservierte IP-Adressen, sodass die Anzahl der verfügbaren IP-Adressen 2(32 - PREFIX_LENGTH) - 4 beträgt. Wenn Sie beispielsweise ein Subnetz von Private Service Connect mit der Präfixlänge /22 erstellen, kann Private Service Connect 1.020 der IP-Adressen verwenden.

SNAT-Konfiguration für Private Service Connect-Subnetze

Die SNAT-Konfiguration für Private Service Connect-Subnetze enthält Folgendes:

  • Wenn SNAT ausgeführt wird, erhält jede Client-VM im Nutzer-VPC-Netzwerk 1.024 Quelladress- und Quellport-Tupel mithilfe von IP-Adressen im Private Service Connect-Subnetz.

  • Das Zeitlimit für Inaktivität bei der UDP-Zuordnung beträgt 30 Sekunden und kann nicht konfiguriert werden.

  • Das Zeitlimit für Inaktivität hergestellter TCP-Verbindungen beträgt 20 Minuten und kann nicht konfiguriert werden.

  • Das Zeitlimit für Inaktivität vorübergehender TCP-Verbindungen beträgt 30 Sekunden und kann nicht konfiguriert werden.

  • Es gibt eine Verzögerung von zwei Minuten, bevor ein 5-Tupel (Quell-IP-Adresse und Quellport des Private Service Connect-Subnetzes sowie Zielprotokoll, IP-Adresse und Zielport) wiederverwendet werden kann.

Dienstanhänge

Dienstersteller stellen ihre Dienste über einen Dienstanhang bereit.

  • Für die Freigabe eines Dienstes erstellt ein Dienstersteller einen Dienstanhang, der auf die Weiterleitungsregel des Load-Balancers des Dienstes verweist.

  • Für den Zugriff auf einen Dienst erstellt ein Dienstnutzer einen Endpunkt, der auf den Dienstanhang verweist.

Der URI des Dienstanhangs hat folgendes Format: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME.

Auf jeden Load-Balancer kann nur von einem einzelnen Dienstanhang verwiesen werden. Es ist nicht möglich, mehrere Dienstanhänge zu konfigurieren, die denselben Load-Balancer verwenden.

Verbindungseinstellungen

Wenn Sie einen Dienst erstellen, legen Sie fest, wie Sie ihn verfügbar machen möchten. Es gibt zwei Optionen:

  • Verbindungen für alle Projekte automatisch akzeptieren: Jeder Dienstnutzer kann einen Endpunkt konfigurieren und automatisch eine Verbindung zum Dienst herstellen.

  • Verbindungen für ausgewählte Projekte akzeptieren: Dienstnutzer konfigurieren einen Endpunkt, um eine Verbindung zum Dienst herzustellen, und der Dienstersteller akzeptiert die Verbindungsanfragen oder lehnt sie ab.

Lokaler Zugriff

  • Private Service Connect-Endpunkte, die Sie für den Zugriff auf Google APIs verwenden, können über unterstützte verbundene lokale Hosts aufgerufen werden. Weitere Informationen finden Sie unter Private Service Connect von lokalen Hosts verwenden.

  • Private Service Connect-Endpunkte mit HTTP(S)-Dienstkontrollen können über unterstützte verbundene lokale Hosts aufgerufen werden. Weitere Informationen finden Sie unter Private Service Connect von lokalen Hosts verwenden.

  • Private Service Connect-Endpunkte, die Sie für den Zugriff auf Dienste in einem anderen VPC-Netzwerk verwenden, können von unterstützten verbundenen lokalen Hosts (nur mit Cloud VPN) aufgerufen werden. Weitere Informationen finden Sie unter Private Service Connect von lokalen Hosts verwenden.

  • Private Service Connect-Endpunkte mit HTTP(S)-Dienstkontrollen, die Sie für den Zugriff auf verwaltete Dienste verwenden, basieren auf einem globalen externen HTTP(S)-Load-Balancer und können über jedes System aufgerufen werden, das Internetzugriff hat.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Einschränkungen für Organisationsrichtlinien

Ein Administrator für Organisationsrichtlinien kann mit der Einschränkung constraints/compute.disablePrivateServiceConnectCreationForConsumers die Gruppe von Private Service Connect-Endpunkttypen definieren, für die Nutzer keine Weiterleitungsregeln erstellen können. Mit dieser Einschränkung können Sie verhindern, dass Nutzer Private Service Connect-Endpunkte für den Zugriff auf Google APIs oder Private Service Connect-Endpunkte für den Zugriff auf verwaltete Dienste erstellen. Die Einschränkung gilt für neue Peering-Konfigurationen und wirkt sich nicht auf vorhandene Verbindungen aus.

Kontingente

Für Private Service Connect-Endpunkte und -Dienstanhänge gelten Kontingente. Weitere Informationen finden Sie unter Kontingente.

Nächste Schritte