Private Service Connect

Private Service Connect ermöglicht die private Nutzung von Diensten in VPC-Netzwerken, die zu verschiedenen Gruppen, Teams, Projekten oder Organisationen gehören. Sie können Dienste mit von Ihnen definierten IP-Adressen in Ihrem VPC-Netzwerk veröffentlichen und nutzen.

Private Service Connect für den Zugriff auf Google APIs verwenden

Wenn eine Anwendung einen Google-Dienst wie Cloud Storage verwendet, stellt Ihre Anwendung standardmäßig eine Verbindung zum Standard-DNS-Namen für diesen Dienst her, z. B. storage.googleapis.com. Die IP-Adressen der Standard-DNS-Namen sind öffentlich routingfähig. Der von Google Cloud-Ressourcen gesendete Traffic verbleibt jedoch im Google-Netzwerk.

Mit Private Service Connect können Sie private Endpunkte mit globalen internen IP-Adressen innerhalb Ihres VPC-Netzwerks erstellen. Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie storage-vialink1.p.googleapis.com und bigtable-adsteam.p.googleapis.com zuweisen. Diese Namen und IP-Adressen sind intern in Ihrem VPC-Netzwerk und allen lokalen Netzwerken vergeben, die über Cloud VPN-Tunnel oder Cloud Interconnect-Anhänge (VLANs) mit ihm verbunden sind. Sie können steuern, welcher Traffic an welchen Endpunkt geleitet wird, und ob der Traffic innerhalb der Google Cloud bleiben soll.

Mit dieser Option erhalten Sie Zugriff auf alle Google APIs und Google-Dienste, die in den API-Bundles enthalten sind. Wenn Sie den Zugriff auf nur bestimmte APIs und Dienste einschränken müssen, können Sie mit Private Service Connect mit HTTP(S)-Nutzerdienstkontrollen wählen, welche APIs und Dienste für unterstützte regionale Dienstendpunkte verfügbar gemacht werden.

Weitere Informationen zu Private Service Connect-Konfigurationen für den Zugriff auf Google APIs finden Sie in den Anwendungsfällen.

Abbildung 1. Mit Private Service Connect können Sie Traffic über einen Private Service Connect-Endpunkt, der in Ihrem VPC-Netzwerk privat ist, an Google APIs senden.

Private Service Connect verwenden, um mit HTTP(S)-Nutzerdienstkontrollen auf Google APIs zuzugreifen

Sie können einen Private Service Connect-Endpunkt mit HTTP(S)-Nutzerdienstkontrollen erstellen und dazu einen internen HTTP(S)-Load-Balancer verwenden. Der interne HTTP(S)-Load-Balancer bietet die folgenden Features:

Abbildung 2. Mit Private Service Connect können Sie Traffic über einen Private Service Connect-Endpunkt an unterstützte regionale Google APIs senden. Die Verwendung eines Load-Balancers fügt HTTP(S)-Nutzerdienstkontrollen hinzu. (Zum Vergrößern klicken).

Private Service Connect zum Veröffentlichen und Nutzen von Diensten verwenden

Mit Private Service Connect kann ein Dienstersteller Dienste einem Dienstnutzer privat anbieten. Private Service Connect bietet folgende Vorteile:

  • Ein VPC-Netzwerk eines Diensterstellers kann mehr als einen Dienstnutzer unterstützen.

  • Jeder Nutzer stellt eine Verbindung zu einer von ihm definierten internen IP-Adresse her. Private Service Connect führt eine Netzwerkadressübersetzung (NAT) durch, um die Anfrage an den Dienstersteller weiterzuleiten.

Abbildung 3. Private Service Connect verwendet Endpunkte und Dienstanhänge, um Dienstnutzern zu ermöglichen, Traffic vom VPC-Netzwerk des Nutzers an Dienste im VPC-Netzwerk des Diensterstellers zu senden (zum Vergrößern klicken).

Schlüsselkonzepte für Dienstnutzer

Sie können Private Service Connect-Endpunkte verwenden, um Dienste zu nutzen, die sich außerhalb Ihres VPC-Netzwerks befinden. Dienstnutzer erstellen Private Service Connect-Endpunkte, die eine Verbindung zu einem Zieldienst herstellen.

Endpunkte und Ziele

Sie verwenden Private Service Connect-Endpunkte, um eine Verbindung zu einem Zieldienst herzustellen. Endpunkte haben eine interne IP-Adresse in Ihrem VPC-Netzwerk und basieren auf der Weiterleitungsregel-Ressource.

Sie senden Traffic an den Endpunkt, der ihn an Ziele außerhalb Ihres VPC-Netzwerks weiterleitet.

Endpunkttyp Unterstützte Ziele Zugänglich von

Private Service Connect-Endpunkt für den Zugriff auf Google APIs

Globale interne IP-Adresse

Ein API-Bundle:
  • Alle APIs (all-apis): die meisten Google APIs
    (wie private.googleapis.com).
  • VPC-SC (vpc-sc): APIs, die von VPC Service Controls unterstützt werden
    (wie restricted.googleapis.com).
  • VMs im selben VPC-Netzwerk wie der Endpunkt (alle Regionen)
  • Lokale Systeme, die mit dem VPC-Netzwerk verbunden sind, das den Endpunkt enthält

Private Service Connect-Endpunkt für den Zugriff auf Google APIs mit HTTP(S)-Nutzerdienstkontrollen

Regionale interne IP-Adresse eines internen HTTPS-Load-Balancers

Ein regionaler Dienstendpunkt.

Dieser Endpunkt ist ein interner HTTP(S)-Load-Balancer mit einer einfachen URL-Zuordnung und einem einzelnen Back-End-Dienst. Um das Ziel zu konfigurieren, verbinden Sie den Back-End-Dienst des Load-Balancers mit einer Netzwerk-Endpunktgruppe von Private Service Connect, die auf einen regionalen Dienstendpunkt verweist.

  • VMs im selben VPC-Netzwerk und in derselben Region wie der Endpunkt
  • Lokale Systeme, die mit dem VPC-Netzwerk verbunden sind, das den Endpunkt enthält, wenn sich die Cloud VPN-Tunnel oder Cloud Interconnect-Anhänge (VLANs) in derselben Region wie der Endpunkt befinden.

Private Service Connect-Endpunkt für den Zugriff auf veröffentlichte Dienste in einem anderen VPC-Netzwerk

regionale interne IP-Adresse

Ein veröffentlichter Dienst in einem anderen VPC-Netzwerk. Dieser Dienst kann von Ihrer eigenen Organisation oder von einem Drittanbieter verwaltet werden.

Das Ziel für diesen Endpunkttyp ist ein Dienstanhang.

  • VMs im selben VPC-Netzwerk und in derselben Region wie der Endpunkt
  • Lokale Systeme, die über Cloud VPN-Tunnel mit dem VPC-Netzwerk verbunden sind, die sich in derselben Region wie der Endpunkt befinden

Schlüsselkonzepte für Dienstersteller

Um einen Dienst für Nutzer verfügbar zu machen, erstellen Sie ein oder mehrere dedizierte Subnetze, die für die Netzwerkadressübersetzung (NAT) von Kunden-IP-Adressen verwendet werden. Anschließend erstellen Sie einen Dienstanhang, der auf diese Subnetze verweist.

Private Service Connect-Subnetze

Um einen Dienst verfügbar zu machen, erstellt der Dienstersteller zuerst ein oder mehrere Subnetze mit dem Zweck "Private Service Connect".

Wenn eine Anfrage von einem Nutzer-VPC-Netzwerk gesendet wird, wird die Quell-IP-Adresse des Nutzers mithilfe von Quell-NAT (SNAT) in eine IP-Adresse übersetzt, die aus einem der Private Service Connect-Subnetze ausgewählt wurde.

Informationen zum Beibehalten der IP-Adresseninformationen der Nutzerverbindung finden Sie unter Informationen zur Nutzerverbindung aufrufen.

Diese Subnetze können nicht für Ressourcen wie VM-Instanzen oder Weiterleitungsregeln verwendet werden. Die Subnetze werden nur verwendet, um IP-Adressen für SNAT von eingehenden Nutzerverbindungen bereitzustellen.

Das Private Service Connect-Subnetz muss für jeweils 63 Nutzer-VMs mindestens eine IP-Adresse enthalten, damit jeder Nutzer-VM 1.024 Quelltupel für die Netzwerkadressübersetzung zugewiesen werden.

Die SNAT-Konfiguration für Private Service Connect-Subnetze enthält Folgendes:

  • Wenn SNAT ausgeführt wird, erhält jede Client-VM im Nutzer-VPC-Netzwerk 1.024 Quelladress- und Quellport-Tupel mithilfe von IP-Adressen im Private Service Connect-Subnetz.

  • Das Zeitlimit für Inaktivität bei der UDP-Zuordnung beträgt 30 Sekunden und kann nicht konfiguriert werden.

  • Das Zeitlimit für Inaktivität hergestellter TCP-Verbindungen beträgt 20 Minuten und kann nicht konfiguriert werden.

  • Das Zeitlimit für Inaktivität vorübergehender TCP-Verbindungen beträgt 30 Sekunden und kann nicht konfiguriert werden.

  • Es gibt eine Verzögerung von zwei Minuten, bevor ein 5-Tupel (Quell-IP-Adresse und Quellport des Private Service Connect-Subnetzes sowie Zielprotokoll, IP-Adresse und Zielport) wiederverwendet werden kann.

Dienstanhänge

Dienstersteller stellen ihre Dienste über einen Dienstanhang bereit.

  • Für die Freigabe eines Dienstes erstellt ein Dienstersteller einen Dienstanhang, der auf die Weiterleitungsregel des Load-Balancers des Dienstes verweist.

  • Für den Zugriff auf einen Dienst erstellt ein Dienstnutzer einen Endpunkt, der auf den Dienstanhang verweist.

Der URI des Dienstanhangs hat folgendes Format: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME.

Verbindungseinstellungen

Wenn Sie einen Dienst erstellen, legen Sie fest, wie Sie ihn verfügbar machen möchten. Es gibt zwei Optionen:

  • Verbindungen für alle Projekte automatisch akzeptieren: Jeder Dienstnutzer kann einen Endpunkt konfigurieren und automatisch eine Verbindung zum Dienst herstellen.

  • Verbindungen für ausgewählte Projekte akzeptieren: Dienstnutzer konfigurieren einen Endpunkt, um eine Verbindung zum Dienst herzustellen, und der Dienstersteller akzeptiert die Verbindungsanfragen oder lehnt sie ab.

Lokaler Zugriff

  • Private Service Connect-Endpunkte, die Sie für den Zugriff auf Google APIs verwenden, können über unterstützte verbundene lokale Hosts aufgerufen werden. Weitere Informationen finden Sie unter Private Service Connect von lokalen Hosts verwenden.

  • Private Service Connect-Endpunkte mit HTTP(S)-Dienstkontrollen können über unterstützte verbundene lokale Hosts aufgerufen werden. Weitere Informationen finden Sie unter Private Service Connect von lokalen Hosts verwenden.

  • Private Service Connect-Endpunkte, die Sie für den Zugriff auf Dienste in einem anderen VPC-Netzwerk verwenden, können von unterstützten verbundenen lokalen Hosts (nur mit Cloud VPN) aufgerufen werden. Weitere Informationen finden Sie unter Private Service Connect von lokalen Hosts verwenden.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Kontingente

Für Private Service Connect-Endpunkte und -Dienstanhänge gelten Kontingente. Weitere Informationen finden Sie unter Kontingente.

Nächste Schritte