Übersicht über regionale und multiregionale API-Endpunkte

Google Cloud empfiehlt die Verwendung regionaler oder multiregionaler Endpunkte in den folgenden Szenarien:

• Daten bei der Übertragung müssen in einer bestimmten Region oder Gerichtsbarkeit verbleiben.
• Sie benötigen Nachweise für die regionale Datenverarbeitung zu Compliance- oder Prüfungszwecken.
• Sie benötigen regional isolierte Ausfalldomains für den Zugriff auf Google Cloud-Dienste.

Regionale und multiregionale Endpunkte bieten die meisten Vorteile für Kunden, die standortspezifische Dienste benötigen. Diese Endpunkte sorgen auch dafür, dass Daten bei der Übertragung an einem bestimmten Standort verbleiben. Diese Datenlokalität wird beibehalten, unabhängig davon, ob auf die Daten über private Verbindungen oder über das öffentliche Internet zugegriffen wird.

Regionale und multiregionale Endpunkte unterscheiden sich von privater Google-Zugriff. Mit dem privater Google-Zugriff können VMs in privaten Subnetzen auf Google APIs zugreifen, ohne das Internet zu durchlaufen. Regionale Endpunkte bieten eine strengere regionale Isolation und einen strengeren Datenstandort, da der gesamte Anfragepfad und das Dienst-Frontend regionalisiert sind.

Regionale Endpunkte

Regionale API-Endpunkte ermöglichen den Zugriff auf Google Cloud -Dienste über einen API-Endpunkt, der auf eine einzelne Google Cloud -Region beschränkt ist. Traffic, der an einen regionalen Endpunkt gesendet wird, wird in der angegebenen Region verarbeitet und TLS-terminiert.

Für die meisten Google Cloud -Dienste können Sie regionale Endpunkte verwenden, um mit regionalen Ressourcen in der angegebenen Region zu arbeiten. Vorgänge für globale Ressourcen, multiregionale Ressourcen und regionale Ressourcen außerhalb der Region werden in der Regel nicht vom regionalen Endpunkt unterstützt.

Multiregionale Endpunkte

Multiregionale API-Endpunkte ermöglichen den Zugriff auf Google Cloud -Dienste über einen API-Endpunkt, der auf eine Reihe von Google Cloud -Regionen innerhalb desselben Landes (z. B. USA, Indien oder Kanada) oder derselben Gerichtsbarkeit (z. B. Europäische Union) beschränkt ist. Traffic, der an einen multiregionalen Endpunkt gesendet wird, wird vollständig innerhalb der angegebenen Gerichtsbarkeit verarbeitet und die TLS-Verbindung wird dort beendet.

Für die meisten Google Cloud -Dienste können Sie multiregionale Endpunkte verwenden, um mit multiregionalen Ressourcen in der angegebenen multiregionalen Region zu arbeiten. Vorgänge für globale, regionale und multiregionale Ressourcen aus anderen Gerichtsbarkeiten werden in der Regel nicht unterstützt.

Vorteile regionaler und multiregionaler Endpunkte

Die Verwendung regionaler und multiregionaler Endpunkte bietet folgende Vorteile:

• Datenstandort: hilft, strenge Anforderungen an den Datenstandort zu erfüllen, indem Daten während der Übertragung in der ausgewählten Region verbleiben. Die TLS-Sitzung wird immer in der angegebenen Region beendet.
• Regionale Isolation: Reduziert regionenübergreifende Abhängigkeiten, wodurch Probleme aufgrund von Ausfällen in anderen Regionen verringert werden.
• Compliance: hilft Ihnen, regulatorische oder richtlinienbezogene Anforderungen zu erfüllen, die vorschreiben, dass Daten innerhalb bestimmter geografischer Grenzen verarbeitet und gespeichert werden.

Einschränkungen regionaler und multiregionaler Endpunkte

• Regionale und multiregionale Endpunkte sind nicht über privater Google-Zugriff zugänglich. Wenn Sie über einen privaten Zugriff eine Verbindung zu regionalen Endpunkten herstellen möchten, verwenden Sie Private Service Connect, um private Endpunkte zu erstellen. Weitere Informationen finden Sie unter Über private Endpunkte auf regionale Google APIs zugreifen.

• Viele Dienste unterstützen keine regionenübergreifenden Vorgänge über regionale Endpunkte. Verwenden Sie globale Endpunkte, um regionenübergreifende Vorgänge auszuführen. Wenn die regionsübergreifenden Vorgänge innerhalb einer Gerichtsbarkeit bleiben, verwenden Sie multiregionale Endpunkte.

• Einige Google Cloud Dienste unterstützen keine regionalen oder multiregionalen Endpunkte. Eine vollständige Liste der unterstützten Dienste finden Sie unter Regionale Dienstendpunkte.

• Regionale und multiregionale Endpunkte haben möglicherweise eine höhere Latenz als globale Endpunkte. Die Leistung variiert je nach Standort und Region.

Regionale und multiregionale Endpunkte implementieren

Sie können über regionale Load Balancer privat über Ihre VPC auf regionale oder multiregionale Endpunkte zugreifen. Sie können beispielsweise einen VPC Service Controls-Perimeter definieren, um die Cloud-Ressourcen eines bestimmten Projekts vom Internet und von nicht autorisierten Netzwerken zu isolieren. Für einen bestimmten Perimeter legen Sie fest, für welche Dienste VPC Service Controls erzwungen werden sollen, und platzieren dann Projekte innerhalb des Perimeters. Weitere Informationen finden Sie im Abschnitt VPC Service Controls verwenden in diesem Dokument.

Öffentlicher Zugriff

Sie können öffentlich über das Internet auf regionale und multiregionale Endpunkte zugreifen. Wenn Sie über das Internet auf regionale Endpunkte zugreifen, wird der Traffic über das Google Cloud-Netzwerk der Standard-Stufe weitergeleitet. Die Verbindung, einschließlich der TLS-Terminierung, wird in der Zielregion verarbeitet.

Weitere Informationen finden Sie unter Zugriff auf regionale Google APIs über öffentliche Endpunkte.

Privater Zugriff

Verwenden Sie Private Service Connect für den privaten Zugriff auf regionale und multiregionale Endpunkte. Mit Private Service Connect wird eine private IP-Adresse in Ihrer Virtual Private Cloud (VPC) erstellt. Die private IP-Adresse wird an den regionalen Dienst weitergeleitet. Globale APIs verwenden häufig den standardmäßigen privater Google-Zugriff über spezielle Bereiche wie private.googleapis.com. Für regionale und multiregionale Endpunkte ist jedoch eine explizite Konfiguration privater Endpunkte erforderlich.

Weitere Informationen finden Sie unter Über private Endpunkte auf regionale Google APIs zugreifen.

Routing und Firewalls konfigurieren

Befolgen Sie diese Richtlinien, um Ihr Routing und Ihre Firewalls richtig zu konfigurieren.

Lokales Routing

Wenn Sie über Cloud Interconnect oder Cloud VPN eine Verbindung zu regionalen Endpunkten aus lokalen Umgebungen herstellen, müssen Sie die privaten IP-Bereiche des regionalen Endpunkts anbieten. Diese Konfiguration sorgt für ein korrektes Routing von Ihrem lokalen Netzwerk zu den Google Cloud -Diensten.

• Cloud Router: Verwenden Sie benutzerdefiniertes Route Advertisement, um alle privaten IP-Bereiche über die Hybridverbindung anzukündigen.
• Lokale Firewalls: Konfigurieren Sie Ihre lokalen Firewalls so, dass ausgehender Traffic zu den öffentlichen oder privaten virtuellen IP-Adressbereichen der regionalen Endpunkte zugelassen wird. Weitere Informationen finden Sie unter VPC-Firewallregeln verwenden.

VPC-Firewallregeln

Konfigurieren Sie Ihre Firewallrichtlinien für ausgehenden Traffic so, dass Traffic zu den privaten IP-Adressen der regionalen Endpunkte zugelassen wird. Wenn Sie Standardrouten entfernen, prüfen Sie, ob geeignete Routen für die virtuellen IP-Adressbereiche (VIP) des regionalen Endpunkts vorhanden sind:

• Für den öffentlichen VIP-Zugriff müssen Routen für die VIP-Bereiche der regionalen Endpunkte vorhanden sein, wobei der nächste Hop auf das Standard-Internetgateway festgelegt sein muss.

• Verwenden Sie für Private Service Connect IP-Adressen oder Standard-Routing für interne Netzwerke.

Weitere Informationen finden Sie unter Hierarchische Firewallrichtlinie konfigurieren, um ausgehenden Traffic aus einem bestimmten VPC-Netzwerk zuzulassen.

VPC Service Controls verwenden

Regionale Endpunkte sind mit VPC Service Controls-Perimetern kompatibel. Weitere Informationen zu VPC Service Controls finden Sie unter Informationen zu Dienstperimetern und deren Konfiguration.

Mit VPC Service Controls können Sie Daten-Exfiltration aus Google Cloud-Diensten verhindern, indem Sie Sicherheitsbereiche erstellen. Da Sie über privater Google-Zugriff nicht auf regionale Endpunkte zugreifen können, müssen Sie Private Service Connect verwenden, um private Endpunkte zu konfigurieren, wenn Sie auf die Endpunkte innerhalb eines VPC-Perimeters zugreifen möchten.

• Perimeterdurchsetzung: Wenn Sie einen Dienst wie storage.googleapis.com der Liste Eingeschränkte Dienste in Ihrem VPC Service Controls-Perimeter hinzufügen, gelten die VPC Service Controls-Regeln für alle Zugriffsmethoden für diesen Dienst, einschließlich des Zugriffs über regionale Endpunkte.

• Dienstkontrollprüfungen:API-Anfragen an regionale Endpunkte, ob öffentlich oder privat, unterliegen Richtlinienprüfungen durch die Service Control API. Die Service Control API wertet die Anfrage anhand der VPC Service Controls-Perimeterkonfiguration aus und prüft das Quellnetzwerk, das Quellprojekt und das Zielressourcenprojekt.

• Innerhalb des Perimeters:Ressourcen innerhalb eines VPC Service Controls-Perimeters, z. B. VMs, können über regionale Endpunkte auf Dienste zugreifen, wenn der Dienst Teil der zugänglichen Dienste des Perimeters ist. Der Netzwerkendpunkt muss sich innerhalb Ihres VPC-Perimeters befinden. Dazu müssen Sie private regionale Endpunkte mit Private Service Connect erstellen. Weitere Informationen finden Sie unter Über private Endpunkte auf regionale Google APIs zugreifen.

• Außerhalb des Perimeters:Versuche, von außerhalb des Perimeters über einen beliebigen Endpunkttyp auf Ressourcen zuzugreifen, die innerhalb des Perimeters geschützt sind, werden von VPC Service Controls blockiert, sofern nicht explizit Zugriffsebenen oder Regeln für eingehenden und ausgehenden Traffic den Zugriff zulassen.

Sie definieren beispielsweise einen VPC Service Controls-Perimeter, um eine Richtlinie für Cloud Storage-Ressourcen zu erzwingen, und platzieren dann secure_project innerhalb des Perimeters. Nur die VMs aus secure_project können auf die Cloud Storage-Ressourcen von secure_project zugreifen. Außerdem wird verhindert, dass die VMs auf Cloud Storage-Ressourcen außerhalb des Perimeters zugreifen.

Vorteile von VPC Service Controls

Die Verwendung von VPC Service Controls bietet die folgenden Vorteile:

• Sie profitieren von regionaler Isolation und Datenresidenz sowie vom Schutz vor Daten-Exfiltration durch VPC Service Controls.

• Mit VPC Service Controls unterliegt der Zugriff, der auf eine einzelne Region beschränkt ist, auch den Sicherheitsgrenzen Ihrer VPC Service Controls-Perimeter.

VPC Service Controls konfigurieren

Innerhalb eines VPC Service Controls-Perimeters müssen Sie über Private Service Connect aus einem VPC-Perimeter heraus auf private regionale Endpunkte zugreifen. Weitere Informationen finden Sie unter Über private Endpunkte auf regionale Google APIs zugreifen.

• Der Zugriff auf den öffentlichen regionalen Standardendpunkt ist möglicherweise blockiert, da er anscheinend von außerhalb des Perimeters stammt.

• Achten Sie darauf, dass der Dienst, auf den Sie zugreifen, z. B. compute.googleapis.com oder bigquery.googleapis.com, in der Liste der durch den Perimeter eingeschränkten Dienste enthalten ist.

Organisationsrichtlinien für zusätzliche Erzwingung verwenden

Organisationsrichtlinien bieten zusätzliche Kontrollmöglichkeiten für die Cloud-Ressourcen Ihrer Organisation. Die folgenden beiden Richtlinien funktionieren mit regionalen Endpunkten, um den Datenspeicherort zu erzwingen und die regionale Isolation zu verbessern:

• Endpunktnutzung einschränken (constraints/gcp.restrictEndpointUsage)
• Einschränkungen für den Ressourcenstandort (constraints/gcp.resourceLocations)

Verwendung regionaler Endpunkte erzwingen

Um die Verwendung regionaler Endpunkte zu erzwingen, können Sie die Einschränkung der Organisationsrichtlinie Endpunktnutzung einschränken verwenden, um den Zugriff auf globale Endpunkte zu verweigern. Weitere Informationen finden Sie in der Assured Workloads-Dokumentation unter Endpunktnutzung einschränken.

Regionale Endpunkte sorgen dafür, dass Daten bei der Übertragung in einer Region verbleiben. Die Einschränkung „Endpunktnutzung einschränken“ sorgt dafür, dass die Ressourcen, die zum Speichern inaktiver Daten verwendet werden, nur in den von Ihnen zugelassenen Regionen erstellt werden. Durch die Verwendung beider Richtlinien wird ein umfassenderer Schutz des Datenstandorts für ruhende und für übertragene Daten erreicht.

Die Einschränkung „Endpunktnutzung einschränken“ wird mithilfe einer Sperrliste festgelegt. Dadurch sind Anfragen an API-Endpunkte aller unterstützten Dienste zulässig, die nicht explizit abgelehnt werden. Nachdem Sie regionale Endpunkte konfiguriert haben, sind globale Endpunkte weiterhin zugänglich, sofern Sie nicht die Einschränkung der Organisationsrichtlinie zum Beschränken der Endpunktnutzung verwenden.

Mit der Einschränkung „Nutzung von Endpunkten einschränken“ wird der physische Standort gesteuert, an dem Nutzer neue Google Cloud Ressourcen erstellen und speichern können. So wird der Datenstandort für ruhende Daten erzwungen. Diese Richtlinie gilt nur für das Erstellen neuer Ressourcen für unterstützte Dienste. Vorhandene Ressourcen sind davon nicht betroffen.

Standorteinschränkungen erzwingen

Die Richtlinie für die Beschränkung von Ressourcenstandorten (constraints/gcp.resourceLocations) steuert die physischen Standorte, an denen neue Google Cloud Ressourcen erstellt und gespeichert werden können. So wird der Datenstandort im Ruhezustand berücksichtigt. Weitere Informationen finden Sie in der Resource Manager-Dokumentation unter Organisationsrichtlinie festlegen.

Wenn Sie die Richtlinie zur Einschränkung von Ressourcenstandorten verwenden, definieren Sie eine Liste mit zulässigen oder nicht zulässigen Google Cloud Standorten. Für die Standorte können Sie Regionen, Zonen oder Multiregionen verwenden. Die Richtlinie gilt nur für die Erstellung neuer Ressourcen für unterstützte Dienste. Vorhandene Ressourcen sind davon nicht betroffen.

Die Verwendung dieser Richtlinie mit regionalen Endpunkten ist von Vorteil, da regionale Endpunkte dafür sorgen, dass Daten bei der Übertragung in einer Region verbleiben, und die Richtlinie für Standortbeschränkungen dafür sorgt, dass Ressourcen, in denen die Daten gespeichert werden, nur in den von Ihnen zugelassenen Regionen erstellt werden.

Kombinierte Durchsetzung

Wenn Sie die Richtlinie „Restrict Endpoint Usage“ (Endpunktnutzung einschränken) verwenden, um globale Endpunkte zu verweigern, und die Richtlinie „Resource Locations Constraint“ (Einschränkung für Ressourcenstandorte), um die Standorte einzuschränken, an denen Ressourcen erstellt werden können, erzwingen Sie die Verschlüsselung von ruhenden Daten und Daten während der Übertragung.

• Ruhende Daten: Ressourcen werden nur in zulässigen Regionen erstellt und gespeichert.
• Datenübertragung: API-Interaktionen mit diesen Ressourcen werden vollständig innerhalb der angegebenen Region verarbeitet, wenn der entsprechende regionale Endpunkt verwendet wird.

Preise

Bei privaten regionalen Endpunkten basieren die Preise auf der Private Service Connect-Nutzung. Die Abrechnungsgebühren umfassen den Endpunkt und die Datenverarbeitung.

Bei öffentlichen regionalen Endpunkten wird eingehender Traffic nicht abgerechnet. Ausgehender Traffic wird auf Grundlage der Netzwerkpreise der Standard-Stufe in Rechnung gestellt.

Referenzdokumentation

• Google Cloud CLI zum Verwalten regionaler Endpunkte verwenden
• Weitere Informationen finden Sie in der REST-Dokumentation zu regionalEndpoints.

Nächste Schritte

• Auf private regionale Endpunkte zugreifen
• Auf öffentliche regionale Endpunkte zugreifen
• Auf regionale Google APIs über Back-Ends zugreifen
• Google Cloud Unterstützte regionale Dienstendpunkte