Zugriff auf privates Netzwerk konfigurieren

Auf dieser Seite wird beschrieben, wie Sie den privaten Netzwerkzugriff einrichten und Traffic in einem Netzwerk Google Cloud weiterleiten.

Zum Einrichten des privaten Netzwerkzugriffs konfigurieren Sie drei Projekte:

  • Ein Projekt, das ein VPC-Netzwerk (Virtual Private Cloud) enthält, das von der Ziel-VM-Instanz (virtuelle Maschine) oder dem internen Ziel-Load-Balancer verwendet werden soll.
  • Ein Projekt, das als Service Directory-Dienstprojekt fungiert.
  • Ein Projekt für ein Google Cloud Produkt mit der Konfiguration, die den privaten Netzwerkzugriff aufruft. Ein Beispiel für ein Google Cloud Produkt, das Endpunkte über den privaten Netzwerkzugriff aufrufen kann, ist Dialogflow CX.

Die Artefakte der Projekte können sich im selben oder in verschiedenen Projekten befinden.

Hinweis

Führen Sie vor dem Konfigurieren des privaten Netzwerkzugriffs die folgenden Schritte aus:

  • Klicken Sie für jedes Projekt in der Google Cloud Console auf der APIs & Dienste Seite auf APIs und Dienste aktivieren , um die APIs zu aktivieren, die Sie verwenden möchten, einschließlich der Service Directory API.

  • Wenn Sie Ihr VPC-Netzwerk mit lokalen Hosts verknüpfen möchten, erstellen Sie einen Cloud VPN-Tunnel oder eine Cloud Interconnect-Verbindung.

  • Achten Sie darauf, dass sich das Google Cloud Projekt im VPC Service Controls Perimeter sowohl des Netzwerkprojekts als auch des Service Directory-Projekts für servicedirectory.googleapis.com befindet.

    Learn more about VPC Service Controls.

Projekt für das VPC-Netzwerk konfigurieren

So konfigurieren Sie das Projekt für das VPC-Netzwerk:

  1. Erstellen Sie ein VPC-Netzwerk oder wählen Sie ein vorhandenes VPC-Netzwerk mit einem reinen IPv4- oder Dual-Stack-Subnetz in der gewünschten Region aus. Legacy-Netzwerke werden nicht unterstützt.

  2. Erstellen Sie die erforderlichen Firewallregeln zum Zulassen von eingehendem Traffic.

    • Wenn das Ziel eine VM oder ein interner Passthrough-Network Load Balancer ist, müssen Firewallregeln TCP-Traffic aus dem Bereich 35.199.192.0/19 zu den Ports zulassen, die von der Software auf den Ziel-VM-Instanzen verwendet werden.

    • Wenn das Ziel ein interner Application Load Balancer oder ein interner Proxy-Network Load Balancer ist, müssen Firewallregeln TCP-Traffic aus dem Bereich 35.199.192.0/19 zur IP-Adresse und zu den Ports zulassen, die vom Load Balancer verwendet werden.

    Weitere Informationen zum Bereich 35.199.192.0/19 finden Sie unter Pfade für Cloud DNS und Service Directory.

  3. Weisen Sie dem Dienst-Agent des Google Cloud Produkts, das den Endpunkt aufruft, die IAM-Rolle „Autorisierter Private Service Connect Dienst“ (roles/servicedirectory.pscAuthorizedService) zu.

    Weitere Informationen zu Rollen und Berechtigungen finden Sie unter Berechtigungen und Rollen für Service Directory.

Service Directory-Projekt konfigurieren

So konfigurieren Sie das Service Directory-Projekt:

  1. Erstellen Sie im VPC-Netzwerk eine VM oder einen internen Load Balancer.

  2. Weisen Sie dem Dienst-Agent des Google Cloud Produkts, das den Endpunkt aufruft, die IAM-Rolle „Service Directory Viewer“ (roles/servicedirectory.viewer) zu.

  3. Erstellen Sie einen Service Directory-Namespace und -Dienst. Erstellen Sie dann einen Endpunkt für diesen Dienst. Folgen Sie dazu der Anleitung im nächsten Abschnitt.

Endpunkt mit privatem Netzwerkzugriff erstellen

So erstellen Sie einen Endpunkt mit konfiguriertem privatem Netzwerkzugriff:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Service Directory-Namespaces auf. Service Directory-Namespaces aufrufen
  2. Klicken Sie auf einen Namespace.
  3. Klicken Sie auf einen Dienst.
  4. Klicken Sie auf Endpunkt hinzufügen.
  5. Geben Sie unter Endpunktname einen Namen für den Endpunkt ein.
  6. Geben Sie unter IP-Adresse eine IPv4-Adresse ein, z. B. 192.0.2.0.
  7. Geben Sie unter Port eine Portnummer ein, z. B. 443 oder 80 ein.
  8. Wählen Sie unter Zugeordnetes VPC-Netzwerk die gewünschte Option
      aus, um den privaten Netzwerkzugriff zu aktivieren:
    • Wenn Sie aus einer Liste verfügbarer Netzwerke auswählen möchten, klicken Sie auf Aus Liste auswählen und wählen Sie dann das Netzwerk aus.
    • Wenn Sie ein Projekt und ein Netzwerk angeben möchten, klicken Sie auf Über Projekt- und Netzwerknamen angeben und geben Sie dann die Projektnummer und den Netzwerknamen ein.
  9. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie den gcloud service-directory endpoints create Befehl mit der Projekt-ID und dem angegebenen Netzwerkpfad.

gcloud service-directory endpoints create ENDPOINT_NAME \
--project=PROJECT_ID \
--location=REGION \
--namespace=NAMESPACE_NAME \
--service=SERVICE_ID \
--address=IP_ADDRESS \
--port=PORT_NUMBER \
--network=NETWORK_PATH

Ersetzen Sie Folgendes:

  • ENDPOINT_NAME: ein Name für den Endpunkt, den Sie in Ihrem Dienst erstellen, z. B. my-endpoint
  • PROJECT_ID: die ID des Projekts
  • REGION: die Google Cloud Region, die den Namespace enthält
  • NAMESPACE_NAME: der Name, den Sie dem Namespace gegeben haben, z. B. my-namespace
  • SERVICE_ID: die ID des Dienstes
  • IP_ADDRESS: die IP-Adresse des Endpunkts, z. B. 192.0.2.0
  • PORT_NUMBER: die Ports, auf denen die Endpunkte ausgeführt werden, in der Regel 443 oder 80
  • NETWORK_PATH: die URL zum Netzwerk, z. B. projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME

Produktprojekt konfigurieren Google Cloud

So konfigurieren Sie das Google Cloud Produktprojekt:

  1. Aktivieren Sie die Google Cloud Produkt-API.

  2. Konfigurieren Sie Ihr Google Cloud Produkt so, dass der von Ihnen erstellte Service Directory Dienst aufgerufen wird. Die erforderlichen Schritte hängen vom jeweiligen Google Cloud Produkt ab.

Anwendungsfälle

Dieser Abschnitt enthält Beispielanwendungsfälle für die Konfiguration des privaten Netzwerkzugriffs.

HTTP-Endpunkt aufrufen, wenn sich ein VPC-Netzwerk, eine VM und Service Directory im selben Projekt befinden

In diesem Anwendungsfall richten Sie Dialogflow CX, ein Google Cloud Produkt für die Verarbeitung natürlicher Sprache, so ein, dass ein HTTP-Endpunkt auf Ihrer VM aufgerufen wird. Achten Sie beim Aufrufen des Endpunkts darauf, dass der Traffic nicht über das öffentliche Internet geleitet wird.

In diesem Anwendungsfall erstellen Sie die folgenden Artefakte im selben Projekt:

  • VPC-Netzwerk
  • VM
  • Service Directory-Dienst
  • Dialogflow CX

Abbildung 1 zeigt, wie Sie einer Google-Dienstkonfiguration eines Projekts den ausgehenden Traffic zu einer VM erlauben können. Die VM befindet sich in einem VPC-Netzwerk des Projekts.

Ermöglichen Sie, dass eine Google-Dienstkonfiguration eines Projekts ausgehenden Traffic an eine VM in einem Netzwerkprojekt sendet.
Abbildung 1 Einer Google-Dienstkonfiguration eines Projekts den ausgehenden Traffic zu einer VM erlauben (zum Vergrößern klicken)

Netzwerk und Zielnetzwerk einrichten

  1. Erstellen Sie ein Projekt, z. B. myproject.

  2. Erstellen Sie ein VPC Netzwerk, z. B. vpc-1.

    Wählen Sie beim Erstellen des VPC-Netzwerk unter Modus für Subnetzerstellung die Option Automatisch aus.

  3. Erstellen Sie eine Firewallregel, z. B. firewall-1.

    Geben Sie beim Erstellen der Firewallregel die folgenden Werte ein oder wählen Sie sie aus:

    • Wählen Sie für Network die Option vpc-1 aus.
    • Geben Sie für Quell-IPv4-Bereiche 35.199.192.0/19 ein.
    • Wählen Sie unter Protokolle und Ports die Option TCP aus und geben Sie 443 oder 80 ein.

  4. Erstellen Sie in der Region us-central1 eine VM, z. B. vm-1.

    Geben Sie beim Erstellen der VM die folgenden Werte ein oder wählen Sie sie aus:

    • Wählen Sie unter Netzwerk > Netzwerkschnittstellen die Option vpc-1 aus.
    • Wählen Sie für Firewall die Option HTTP-Traffic zulassen aus.

    Wenn Sie HTTPS verwenden möchten, wählen Sie HTTPS-Traffic zulassen aus. Achten Sie außerdem darauf, dass Sie ein TLS-Zertifikat (Transport Layer Security) der Public-Key-Infrastruktur (PKI) installieren.

  5. Erstellen Sie in der Region us-central1 einen Namespace, z. B. namespace-1.

  6. Registrieren Sie im Namespace einen Service Directory-Dienst, z. B. sd-1.

  7. Erstellen Sie einen Endpunkt in sd-1. Verwenden Sie für die Endpunktadresse die interne IP-Adresse von vm-1 auf Port 443. Weitere Informationen finden Sie unter Endpunkt mit privatem Netzwerk zugriff erstellen.

  8. Weisen Sie dem Dienst-Agent des Google Cloud Produkts, das den Endpunkt aufruft, die folgenden IAM-Rollen zu:

    • Rolle „Service Directory-Betrachter“ (roles/servicedirectory.viewer)
    • Rolle „Autorisierter Private Service Connect-Dienst“ (roles/servicedirectory.pscAuthorizedService)

  9. Optional: Wenn Sie weitere VMs hinzufügen möchten, können Sie eine weitere VM einrichten, z. B. vm-2, und ihren Endpunkt hinzufügen, z. B. endpoint-2.

Produkt einrichten Google Cloud

  1. Konfigurieren Sie eine Google Cloud Produktkonfiguration, z. B. " Cloud Scheduler, ruf mich jede Minute an".
  2. Richten Sie eine HTTP-Anfrage ein.
  3. Geben Sie an, dass Anfragen über ein privates Netzwerk gesendet werden sollen, z. B. über sd-1.
  4. Optional: Konfigurieren Sie die Einstellungen für den Certificate Authority Service.

Das Google Cloud Produkt kann jetzt die HTTP-Anfrage über sd-1 aufrufen.

HTTP-Endpunkt aufrufen, wenn sich ein freigegebene VPC-Netzwerk, eine VM und Service Directory in verschiedenen Projekten befinden

In diesem Anwendungsfall richten Sie Dialogflow CX, ein Google Cloud Dienst für die Verarbeitung natürlicher Sprache, so ein, dass ein HTTP-Endpunkt auf Ihrer VM aufgerufen wird. Achten Sie beim Aufrufen des Endpunkts darauf, dass der Traffic nicht über das öffentliche Internet geleitet wird.

In diesem Anwendungsfall erstellen Sie die folgenden Artefakte in verschiedenen Projekten:

  • Gemeinsam genutztes VPC-Netzwerk
  • VM
  • Service Directory-Dienst
  • Dialogflow CX

Beachten Sie Folgendes, bevor Sie die Projekte erstellen:

  • Achten Sie darauf, dass der API-Aufruf den VPC Service Controls-Perimeter berücksichtigt.
  • Achten Sie darauf, dass die Konfiguration des Google Cloud Dienstprojekts ausgehenden Traffic zu einer VM ermöglicht, die sich im VPC-Netzwerkprojekt befindet.
  • Das Producer-Projekt ist möglicherweise nicht dasselbe wie das Google Cloud Dienst projekt.
  • Achten Sie darauf, dass die VPC Service Controls-Perimeter beider Projekte verwendet werden.
  • Das Service Directory-Projekt und das Netzwerkprojekt müssen nicht verbunden sein, aber beide müssen Teil desselben VPC Service Controls sein.
  • Im Netzwerk und im Dienst sind Firewall und IAM standardmäßig deaktiviert.

Abbildung 2 zeigt, wie Sie Traffic über den privaten Netzwerkzugriff senden können, wobei die VPC Service Controls-Perimeter erzwungen werden.

Traffic über privaten Netzwerkzugriff mit erzwungenen VPC Service Controls-Perimetern senden
Abbildung 2 Traffic über den privaten Netzwerkzugriff senden wobei die VPC Service Controls-Perimeter erzwungen werden (zum Vergrößern klicken).

Netzwerkprojekt konfigurieren

  1. Erstellen Sie ein Projekt, z. B. my-vpc-project.

  2. Erstellen Sie ein VPC Netzwerk, z. B. vpc-1.

    Wählen Sie beim Erstellen des VPC-Netzwerk unter Modus für Subnetzerstellung die Option Automatisch aus.

  3. Erstellen Sie eine Firewallregel, z. B. firewall-1.

    Geben Sie beim Erstellen der Regel die folgenden Werte ein oder wählen Sie sie aus:

    • Wählen Sie für Network die Option vpc-1 aus.
    • Geben Sie für Quell-IPv4-Bereiche 35.199.192.0/19 ein.
    • Wählen Sie unter Protokolle und Ports die Option TCP aus und geben Sie 443 oder 80 ein.

  4. Erstellen Sie in der Region us-central1 eine VM, z. B. vm-1.

    Geben Sie beim Erstellen der VM die folgenden Werte ein oder wählen Sie sie aus:

    • Wählen Sie unter Netzwerk > Netzwerkschnittstellen die Option vpc-1 aus.
    • Wählen Sie für Firewall die Option HTTP-Traffic zulassen aus.

    Wenn Sie HTTPS verwenden möchten, wählen Sie HTTPS-Traffic zulassen aus. Achten Sie außerdem darauf, dass Sie ein TLS-Zertifikat (Transport Layer Security) der Public-Key-Infrastruktur (PKI) installieren.

Wenn Sie VPC Service Controls verwenden, ermöglicht der VPC Service Controls-Perimeter Service Directory die Verbindung sowohl zum Google Cloud Dienstprojekt als auch zum Service Directory-Projekt.

Service Directory-Projekt konfigurieren

  1. Erstellen Sie ein Projekt, z. B. my-sd-project.

  2. Sie benötigen eine zusätzliche IAM-Berechtigung, da das VPC-Netzwerkprojekt und das Service Directory-Projekt unterschiedliche Projekte sind.

    Weisen Sie dem IAM-Prinzipal, das den Service Directory-Endpunkt erstellt, im Netzwerkprojekt die Rolle „Service Directory Network Attacher“ (roles/servicedirectory.networkAttacher) zu.

  3. Erstellen Sie einen Service Directory-Endpunkt, der auf die VM im VPC-Netzwerk verweist:

    1. Erstellen Sie in der Region us-central1 einen Namespace, z. B. namespace-1.
    2. Registrieren Sie im Namespace einen Service Directory-Dienst, z. B. sd-1.
    3. Erstellen Sie einen Endpunkt in sd-1. Verwenden Sie für die Endpunktadresse die interne IP-Adresse von vm-1 auf Port 443. Weitere Informationen finden Sie unter Endpunkt mit privatem Netzwerk zugriff erstellen.

  4. Weisen Sie dem Dienst-Agent des Google Cloud Produkts, das den Endpunkt aufruft, die folgenden IAM-Rollen zu:

    • Rolle „Service Directory-Betrachter“ (roles/servicedirectory.viewer) im Service Directory-Projekt
    • Rolle „Autorisierter Private Service Connect-Dienst“ (roles/servicedirectory.pscAuthorizedService) im Netzwerkprojekt

Wenn Sie VPC Service Controls verwenden, ermöglicht der VPC Service Controls-Perimeter Service Directory die Verbindung sowohl zum Google Cloud Dienstprojekt als auch zum Service Directory-Projekt.

Dienstprojekt konfigurieren Google Cloud

  1. Aktivieren Sie die API für den verwendeten Google Cloud Dienst.
  2. Wenn Sie den Google Cloud Dienst PUSH konfigurieren möchten, verwenden Sie den Service Directory-Dienst aus dem Service Directory-Projekt.

Wenn Sie VPC Service Controls verwenden, ermöglicht der VPC Service Controls-Perimeter Service Directory die Verbindung sowohl zum Netzwerkprojekt als auch zum Service Directory-Projekt.

Privaten Netzwerkzugriff von Service Directory mit Dialogflow verwenden

Eine Anleitung zur Verwendung des privaten Netzwerkzugriffs von Service Directory mit Dialogflow finden Sie unter Service Directory für den privaten Netzwerkzugriff verwenden.

Nächste Schritte

  • Eine Übersicht über Service Directory finden Sie unter der Service Directory Übersicht.
  • Weitere Informationen zu Private Service Connect finden Sie unter Private Service Connect.
  • Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Service Directory auftreten können, finden Sie unter Fehlerbehebung.