Zugriff auf private Dienste

Google und Drittanbieter (zusammen als Dienstersteller bezeichnet) können Dienste mit internen IP-Adressen anbieten, die in einem VPC-Netzwerk gehostet werden. Mit dem Zugriff auf private Dienste können Sie diese internen IP-Adressen erreichen. Das ist hilfreich, wenn die VM-Instanzen in Ihrem VPC-Netzwerk interne statt externe IP-Adressen verwenden sollen. Weitere Informationen zur Verwendung des privaten Zugriffs auf Dienste finden Sie unter Zugriff auf private Dienste konfigurieren.

Für den Zugriff auf private Dienste müssen Sie zuerst einen internen IP-Adressbereich zuweisen und dann eine private Verbindung erstellen. Ein zugewiesener Bereich ist ein reservierter CIDR-Block, der in Ihrem lokalen VPC-Netzwerk nicht verwendet werden kann. Er ist für Dienstersteller reserviert und verhindert Überschneidungen zwischen Ihrem VPC-Netzwerk und dem VPC-Netzwerk des Diensterstellers.

Über die private Verbindung wird Ihr VPC-Netzwerk mit dem VPC-Netzwerk des Diensterstellers verbunden. Durch diese Verbindung können VM-Instanzen in Ihrem VPC-Netzwerk interne IP-Adressen verwenden, um die Dienstressourcen zu erreichen. Ihre Instanzen können externe IP-Adressen haben. Diese sind für den Zugriff auf private Dienste jedoch nicht erforderlich.

Wenn ein Dienstersteller mehrere Dienste anbietet, benötigen Sie nur eine private Verbindung. Zum Erstellen einer privaten Verbindung verwenden Sie die Service Networking API. Google Cloud implementiert diese Verbindung jedoch als VPC-Netzwerk-Peering-Verbindung zwischen Ihrem VPC-Netzwerk und dem VPC-Netzwerk des Diensterstellers. In Ihrem VPC-Netzwerk wird sie als Peering-Verbindung angezeigt. Zum Löschen der privaten Verbindung müssen Sie die Peering-Verbindung löschen.

Sie können den Zugriff auf private Dienste nur mit Diensten nutzen, die diesen unterstützen. Klären Sie dies mit dem Dienstersteller ab, bevor Sie eine private Verbindung erstellen.

Netzwerk des Diensterstellers

Auf der Diensterstellerseite der privaten Verbindung steht ein VPC-Netzwerk, in dem Ihre Dienstressourcen bereitgestellt werden. Das Netzwerk des Diensterstellers wird ausschließlich für Sie erstellt und enthält nur Ihre Ressourcen.

Eine Ressource im Netzwerk des Diensterstellers ist vergleichbar mit anderen Ressourcen in Ihrem VPC-Netzwerk. Beispielsweise ist sie über interne IP-Adressen anderer Ressourcen in Ihrem VPC-Netzwerk erreichbar. Sie können auch Firewallregeln in Ihrem VPC-Netzwerk erstellen, um den Zugriff auf das Netzwerk des Dienstanbieters zu steuern.

Weitere Informationen zur Diensterstellerseite finden Sie unter Zugriff auf private Dienste aktivieren in der Dokumentation zu Service Infrastructure. Die Dokumentation bietet weitere Informationen, ist jedoch nicht erforderlich, um den Zugriff auf private Dienste zu ermöglichen und zu verwenden.

Zugriff auf private Dienste und lokale Verbindung

In hybriden Netzwerkszenarien ist ein lokales Netzwerk entweder über eine Cloud VPN- oder eine Cloud Interconnect-Verbindung mit einem VPC-Netzwerk verbunden. Standardmäßig können lokale Hosts das Netzwerk des Diensterstellers über den Zugriff auf private Dienste nicht erreichen.

Das VPC-Netzwerk verfügt möglicherweise über benutzerdefinierte statische oder dynamische Routen, um Traffic korrekt an Ihr lokales Netzwerk zu leiten. Das Netzwerk des Diensterstellers enthält diese Routen jedoch nicht. Wenn Sie eine private Verbindung erstellen, tauschen das VPC-Netzwerk und das Netzwerk des Diensterstellers nur Subnetzrouten aus.

Hinweis: Das Netzwerk des Diensterstellers enthält eine Standardroute (0.0.0.0/0) zum Internet. Wenn Sie eine Standardroute in das Netzwerk des Diensterstellers exportieren, wird diese ignoriert, weil die Standardroute des Diensterstellernetzwerks Vorrang hat. Definieren und exportieren Sie stattdessen eine benutzerdefinierte Route mit einem spezifischeren Ziel. Weitere Informationen finden Sie unter Routingreihenfolge.

Sie müssen die benutzerdefinierten Routen des VPC-Netzwerks exportieren, damit das Netzwerk des Diensterstellers diese importieren und Traffic korrekt an Ihr lokales Netzwerk weiterleiten kann. Aktualisieren Sie die VPC-Peering-Konfiguration, die der privaten Verbindung zugeordnet ist, um benutzerdefinierte Routen zu exportieren.

Unterstützte Dienste

Die folgenden Google-Dienste unterstützen den Zugriff auf private Dienste:

Beispiel

Im folgenden Beispiel hat das VPC-Netzwerk des Kunden Google-Diensten den Adressbereich 10.240.0.0/16 zugewiesen und eine private Verbindung eingerichtet, die den zugewiesenen Bereich verwendet. Jeder Google-Dienst erstellt ein Subnetz aus dem zugewiesenen Block, um neue Ressourcen in einer bestimmten Region, wie Cloud SQL-Instanzen, bereitzustellen.

Privater Zugriff auf Dienste (zum Vergrößern anklicken)
  • Die private Verbindung ist dem zugewiesenen Bereich 10.240.0.0/16 zugeordnet. Aus dieser Zuweisung können Google-Dienste Subnetze erstellen, in denen neue Ressourcen bereitgestellt werden.
  • Auf der Google-Dienst-Seite der privaten Verbindung erstellt Google ein Projekt für den Kunden. Das Projekt ist isoliert, was bedeutet, dass keine anderen Kunden es teilen und dem Kunden nur die Ressourcen in Rechnung gestellt werden, die der Kunde bereitstellt.
  • Jeder Google-Dienst erzeugt ein Subnetz, in dem Ressourcen bereitgestellt werden. Der IP-Adressbereich des Subnetzes ist normalerweise ein /24-CIDR-Block, der vom Dienst ausgewählt wird, und stammt aus dem zugewiesenen IP-Adressbereich. Das Subnetz des Diensterstellers können Sie nicht ändern. Ein Dienst stellt neue Ressourcen in vorhandenen regionalen Subnetzen bereit, die zuvor von diesem Dienst erstellt wurden. Wenn ein Subnetz voll ist, erstellt der Dienst ein neues Subnetz in derselben Region.
  • VM-Instanzen im Kundennetzwerk können auf Dienstressourcen in jeder Region zugreifen, wenn der Dienst dies unterstützt. Einige Dienste unterstützen möglicherweise keine regionenübergreifende Kommunikation. Weitere Informationen finden Sie in der Dokumentation des jeweiligen Diensts.
  • Die Kosten für ausgehenden Traffic für regionenübergreifenden Traffic, bei dem eine VM-Instanz mit Ressourcen in einer anderen Region kommuniziert, fallen weiterhin an.
  • Der Cloud SQL-Instanz wird die IP-Adresse 10.240.0.2 zugeordnet. Im VPC-Netzwerk des Kunden werden Anfragen mit dem Ziel 10.240.0.2 über die private Verbindung an das Netzwerk des Diensterstellers weitergeleitet. Das Dienstnetzwerk enthält Routen, über die die Anfrage anschließend an die richtige Ressource weitergeleitet wird.
  • Der Traffic zwischen VPC-Netzwerken verläuft intern im Google-Netzwerk, nicht über das öffentliche Internet.

Nächste Schritte