Gemini Enterprise kann sicher mit von Kunden verwalteten, selbst gehosteten Datenquellen von Drittanbietern verbunden werden. Diese Verbindungen werden über Private Service Connect-Erstellerdienste hergestellt.
Dieses Verbindungsmodell sorgt dafür, dass sensible Daten in Ihrer Kontrolle und innerhalb Ihrer Netzwerkbegrenzungen bleiben, während Gemini Enterprise auf die Informationen in diesen Datenquellen zugreifen und sie verwenden kann. Mit Private Service Connect können Sie einen sicheren und skalierbaren Kommunikationskanal einrichten, der das öffentliche Internet umgeht und potenzielle Sicherheitsrisiken minimiert, die mit herkömmlichen Netzwerkkonfigurationen verbunden sind.
Gemini Enterprise unterstützt die folgenden selbst gehosteten Datenquellenmuster:
Lokal oder Multi-Cloud:Datenquellen, die in Ihrem Rechenzentrum oder bei einem anderen Cloud-Anbieter (z. B. Amazon Web Services EC2 oder EKS oder Microsoft Azure-VMs) bereitgestellt werden und eine hybride Netzwerkverbindung nutzen.
Google Kubernetes Engine:Datenquellen, die in GKE-Clustern gehostet werden.
Google Cloud Compute Engine:Datenquellen, die auf Google Compute Engine-VMs bereitgestellt werden.
Private Service Connect mit selbst gehosteten Diensten verwenden
Private Service Connect ist eine Google Cloud Netzwerkfunktion, die den privaten Zugriff von einem VPC-Netzwerk (Virtual Private Cloud) eines Nutzers auf verwaltete Dienste ermöglicht. Es wird eine sichere, explizite Verbindung zwischen einem Dienstnutzer und einem Dienstersteller hergestellt, sodass kein VPC-Peering, kein komplexes Routing und keine öffentlichen IP-Adressen erforderlich sind.
Sie können eine Gemini Enterprise Private Service Connect-Bereitstellung mit den folgenden Optionen einrichten:
Gemini Enterprise als Dienstnutzer
Ihr Netzwerk mit Load-Balancern, die als Dienstersteller auf lokale, Multi-Cloud- oder Google Cloud -Compute-Ressourcen verweisen
Informationen zu bestimmten Aspekten der Verwendung von Private Service Connect zum Verbinden Ihres selbst gehosteten Dienstes mit Gemini Enterprise finden Sie in den folgenden Abschnitten.
VPC-Netzwerk- und Subnetzkonfiguration
Beachten Sie Folgendes:
Die Proxyzuweisung erfolgt auf VPC-Ebene, nicht auf der Load-Balancer-Ebene. Sie müssen in jeder Region eines virtuellen Netzwerks (VPC), in dem Sie Envoy-basierte Load-Balancer verwenden, ein Nur-Proxy-Subnetz erstellen. Wenn Sie mehrere Load-Balancer in derselben Region und im selben VPC-Netzwerk bereitstellen, nutzen sie dasselbe Nur-Proxy-Subnetz für das Load-Balancing.
Systemdiagnoseprüfungen stammen von den Envoy-Proxys im Nur-Proxy-Subnetz in der Region. Damit die Systemdiagnosetests korrekt ausgeführt werden können, müssen Sie in der externen Umgebung Firewallregeln erstellen, die Traffic vom Nur-Proxy-Subnetz zu Ihren externen Backends zulassen.
Das Nur-Proxy-Subnetz ist das Quellsubnetz, das auf die cloudübergreifende Datenbank ausgerichtet ist. Achten Sie darauf, dass dieses Subnetz von einem Cloud Router angeboten wird. Weitere Informationen finden Sie unter Bestimmte VPC-Subnetze bewerben.
Das Nur-Proxy-Subnetz muss auf der Zulassungsliste für die lokale oder Cross-Cloud-Firewall stehen.
Nur-Proxy-Subnetze müssen unabhängig davon erstellt werden, ob Ihr VPC-Netzwerk im automatischen oder im benutzerdefinierten Modus arbeitet. Ein Nur-Proxy-Subnetz muss mindestens 64 IP-Adressen bereitstellen. Das entspricht einer Präfixlänge von maximal /26. Als Subnetzgröße wird /23 (512 Nur-Proxy-Adressen) empfohlen.
Private Service Connect-NAT-Subnetz
Pakete aus dem VPC-Netzwerk des Nutzers werden mithilfe von Quell-NAT (SNAT) übersetzt, sodass ihre ursprünglichen Quell-IP-Adressen in Quell-IP-Adressen aus dem NAT-Subnetz im VPC-Netzwerk des Erstellers umgewandelt werden. In Private Service Connect für NAT-Subnetze können keine Arbeitslasten gehostet werden.
Die Mindestgröße für ein Private Service Connect-NAT-Subnetz ist /29. Sie können einem Dienst-Anhang jederzeit zusätzliche NAT-Subnetze hinzufügen, ohne den Traffic zu unterbrechen.
Sie können veröffentlichte Dienste entweder mit vordefinierten Dashboards oder mit Google Cloud Messwerten für die Private Service Connect-NAT-Nutzung überwachen.
Konfiguration des Load Balancers
Ein Dienstersteller platziert seine Anwendung oder seinen Dienst hinter einem Google Cloud internen Load Balancer. Wir empfehlen die Verwendung eines internen TCP-Proxy-Load-Balancers. Wenn Sie Google Kubernetes Engine verwenden, können Sie einen internen Passthrough-Network-Load-Balancer verwenden.
Da Gemini Enterprise nicht an allen Standorten verfügbar ist, müssen Sie beim Erstellen der Weiterleitungsregel für den internen Load-Balancer den globalen Zugriff aktivieren. Wenn Sie den globalen Zugriff nicht aktivieren, kann das Erstellen von Endpunkten für Gemini Enterprise (den Dienstnutzer) fehlschlagen. Achten Sie darauf, dass Sie den globalen Zugriff aktiviert haben, bevor Sie den Private Service Connect-Dienstanhang erstellen. Weitere Informationen zum Clientzugriff für interne Load Balancer finden Sie unter Clientzugriff.
Konfiguration von Dienstanhängen
Um einen Dienst mit Private Service Connect zu veröffentlichen, erstellt ein Dienstersteller einen Dienstanhang. Mit dieser Anlage können Dienstnutzer wie Gemini Enterprise eine Verbindung zum Dienst des Erstellers herstellen. Informationen zum Veröffentlichen eines Dienstes und zum Erstellen eines Dienstanhangs finden Sie unter Dienst veröffentlichen.
Der Dienstersteller hat zwei primäre Optionen zum Steuern von Nutzerverbindungen, die mit den folgenden Verbindungseinstellungen verwaltet werden:
Alle Verbindungen automatisch akzeptieren: Dadurch kann jeder Nutzer eine Verbindung herstellen, ohne dass eine explizite Genehmigung erforderlich ist.
Verbindungen für ausgewählte Projekte akzeptieren (explizite Genehmigung): Hier müssen Sie jedes Projekt, das eine Verbindung anfordert, manuell genehmigen. Mit dieser Option können Sie ein Projekt annehmen oder ablehnen.
Wenn Sie die explizite Projektgenehmigung verwenden, müssen Sie Folgendes tun, um eine Verbindung zu Ihrer Dienstanhängevorrichtung herzustellen:
Erstellen Sie einen Datenspeicher, z. B. einen Jira Data Center-Datenspeicher.
Akzeptieren Sie auf der Seite Private Service Connect der Google Cloud-Konsole die ausstehende Verbindung vom Gemini Enterprise-Mandantenprojekt für Ihren neuen Datenspeicher. Sie können das Mandantenprojekt anhand seiner Projekt-ID identifizieren, die mit
-tpendet. Weitere Informationen finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.Klicken Sie in der Google Cloud -Konsole auf der Seite Gemini Enterprise unter Datenspeicher auf den Namen des neuen Datenspeichers, um den Status aufzurufen. Der Status des Datenspeichers wird auf der Seite Daten angezeigt.
Sie können die Mandantenprojekt-ID für Gemini Enterprise erst sehen, wenn Sie einen Datenspeicher erstellt haben. Der Status des Datenspeichers bleibt Wird erstellt, bis Sie die Projektverbindung in Private Service Connect akzeptieren.
Wählen Sie beim Erstellen eines Dienstanhangs nicht das Proxy-Protokoll aus, es sei denn, es wird vom selbst gehosteten Dienst unterstützt. Dies führt zu einem SSL/TLS-Fehler. Sie können das Proxy-Protokoll deaktivieren, indem Sie den Dienstanhang bearbeiten.
Firewallkonfiguration
Konfigurieren Sie Firewallregeln für eingehenden Traffic, um Traffic zwischen dem Private Service Connect-NAT-Subnetz und den Backend-VMs im Load-Balancer des Producer-Dienstes zuzulassen. Wenn Sie eine Hybrid-NEG oder eine Internet-NEG als Back-End verwenden, sind keine Firewallregeln erforderlich.
Nächste Schritte
Weitere Informationen zur Integration von Gemini Enterprise in Private Service Connect finden Sie in den folgenden Codelabs auf Google Developer Codelabs:
Weitere Informationen zur Verwendung eines internen Load Balancers über VPC-Netzwerke hinweg in Google Kubernetes Engine finden Sie unter Internen Load Balancer über VPC-Netzwerke hinweg erstellen.