Private Service Connect

Auf dieser Seite werden Konzepte im Zusammenhang mit Private Service Connect beschrieben. Sie können Private Service Connect für Folgendes verwenden:

• Verbindung zu einer Cloud SQL-Instanz von mehreren VPC-Netzwerken aus herstellen, die zu verschiedenen Gruppen, Teams, Projekten oder Organisationen gehören.
• Verbindung zu einer primären Instanz oder einem ihrer Lesereplikate herstellen.

Private Service Connect-Endpunkt

Sie können Private Service Connect-Endpunkte verwenden, um privat von Ihren VPC-Netzwerken für Nutzer auf Cloud SQL-Instanzen zuzugreifen. Diese Endpunkte sind interne IP Adressen, die mit einer Weiterleitungsregel verknüpft sind, die auf einen Dienstanhang einer Cloud SQL-Instanz verweist.

Sie können den Endpunkt entweder automatisch von Cloud SQL erstellen lassen oder ihn manuell erstellen.

So lassen Sie den Endpunkt automatisch von Cloud SQL erstellen:

1. Erstellen Sie eine Richtlinie für Dienstverbindungen in Ihren VPC-Netzwerken.

2. Erstellen Sie eine Cloud SQL-Instanz für die Private Service Connect aktiviert ist, und konfigurieren Sie die Instanz so, dass ein Endpunkt automatisch erstellt wird. Geben Sie beim Erstellen der Instanz Parameter für die automatische Verbindung an, z. B. VPC-Netzwerke und -Projekte.

   Cloud SQL sucht die Richtlinie für Dienstverbindungen in diesen Netzwerken und erstellt einen Private Service Connect-Endpunkt, der auf den Dienstanhang der Instanz verweist.

   Nachdem Sie die Instanz erstellt und Cloud SQL den Endpunkt erstellt hat, können die Clients in den entsprechenden VPC-Netzwerken über den Endpunkt eine Verbindung zur Instanz herstellen, entweder über eine IP-Adresse oder einen DNS-Eintrag.

So erstellen Sie den Endpunkt manuell:

1. Erstellen Sie eine Cloud SQL-Instanz , für die Private Service Connect aktiviert ist.
2. Rufen Sie den Dienstanhang URI ab, den Sie zum manuellen Erstellen des Endpunkts benötigen.

3. Reservieren Sie eine interne IP-Adresse in Ihrem VPC-Netzwerk für den Endpunkt und erstellen Sie einen Endpunkt mit dieser Adresse.

   Nachdem Sie die Instanz erstellt und Cloud SQL den Endpunkt erstellt hat, können die Clients in den entsprechenden VPC-Netzwerken über den Endpunkt eine Verbindung zur Instanz herstellen, entweder über eine IP-Adresse oder einen DNS-Eintrag.

Richtlinie für Dienstverbindungen

Mit einer Richtlinie für Dienstverbindungen können Sie eine bestimmte Dienstklasse zum Erstellen einer Private Service Connect-Verbindung zwischen VPC-Netzwerken autorisieren. So können Sie Private Service Connect-Endpunkte automatisch bereitstellen.

Sie können maximal eine Richtlinie für jede Kombination aus Dienstklasse, Region und VPC-Netzwerk erstellen. Eine Richtlinie bestimmt die Automatisierung der Dienstverbindung für diese bestimmte Kombination. Wenn Sie eine Richtlinie konfigurieren, wählen Sie ein Subnetz aus. Das Subnetz wird verwendet, um IP-Adressen für die Endpunkte zuzuweisen, die Sie über die Richtlinie erstellen. Wenn mehrere Richtlinien für Dienstverbindungen dieselbe Region verwenden, können Sie dasselbe Subnetz für alle Richtlinien wiederverwenden.

Wenn Sie beispielsweise die Automatisierung der Dienstverbindung mit zwei Diensten in drei verschiedenen Regionen verwenden möchten, erstellen Sie sechs Richtlinien. Sie können mindestens drei Subnetze verwenden: eines für jede Region.

Nachdem Sie eine Richtlinie für Dienstverbindungen erstellt haben, können Sie nur die Subnetze und Verbindungslimits der Richtlinie aktualisieren. Wenn Sie andere Felder aktualisieren müssen, gehen Sie so vor:

1. Entfernen Sie alle Verbindungen, die die Richtlinie verwenden.
2. Löschen Sie die Richtlinie.
3. Erstellen Sie eine neue Richtlinie.

Dienstanhang

Wenn Sie eine Cloud SQL-Instanz erstellen und die Instanz für die Verwendung von Private Service Connect konfigurieren, erstellt Cloud SQL automatisch einen Dienstanhang für die Instanz. Ein Dienstanhang ist ein Verknüpfungspunkt, über den VPC-Netzwerke auf die Instanz zugreifen.

Sie erstellen einen Private Service Connect-Endpunkt, über den das VPC-Netzwerk eine Verbindung zum Dienstanhang herstellt. So kann das Netzwerk auf die Instanz zugreifen.

Jede Cloud SQL-Instanz hat einen Dienstanhang, zu dem der Private Service Connect-Endpunkt über das VPC-Netzwerk eine Verbindung herstellen kann. Wenn mehrere Netzwerke vorhanden sind, hat jedes Netzwerk einen eigenen Endpunkt.

DNS-Namen und -Einträge

Bei Instanzen, auf denen Private Service Connect aktiviert ist, empfehlen wir die Verwendung des DNS-Namens, da verschiedene Netzwerke eine Verbindung zur selben Instanz herstellen können und Private Service Connect-Endpunkte in jedem Netzwerk unterschiedliche IP-Adressen haben können. Außerdem benötigt der Cloud SQL Auth-Proxy DNS-Namen, um eine Verbindung zu diesen Instanzen herzustellen.

Cloud SQL-Instanzen, für die Private Service Connect aktiviert ist, können zwei Arten von DNS-Namen haben:

• Ein DNS-Name pro Instanz. Dieser ist für Instanzen in allen Cloud SQL-Versionen verfügbar. Die primäre Instanz und jede Replikatinstanz haben separate DNS-Namen pro Instanz.

• Ein globaler DNS-Name für den Schreibendpunkt. Dieser ist für Instanzen in der Cloud SQL Enterprise Plus-Version verfügbar, um die erweiterte Notfallwiederherstellung zu unterstützen. Ein Schreibendpunkt ist ein globaler DNS-Name, der automatisch in die IP-Adresse der aktuellen primären Instanz aufgelöst wird. Im Falle eines Failovers oder Switchovers des Replikats leitet dieser Schreibendpunkt eingehende Verbindungen automatisch zur neuen primären Instanz um. Wenn Sie einen Schreibendpunkt verwenden, müssen Sie keine Änderungen an der Anwendungsverbindung vornehmen, wenn Sie ein Failover oder Switchover des Replikats zur Wiederherstellung nach einem regionalen Ausfall oder eine Notfallwiederherstellungsübung durchführen.

Für einen DNS-Namen pro Instanz können Sie entweder DNS-Einträge automatisch von Cloud SQL erstellen lassen oder den DNS-Namen manuell erstellen.

Wenn Sie den manuellen Ansatz verwenden, können Sie den empfohlenen DNS-Namen pro Instanz aus der API-Antwort der Instanzsuche abrufen und dann den DNS-Eintrag in einer privaten DNS-Zone im entsprechenden VPC-Netzwerk erstellen. Weitere Informationen finden Sie unter DNS manuell konfigurieren.

DNS-Automatisierungsfunktion

Alternativ können Sie die DNS-Automatisierungsfunktion verwenden, um Cloud SQL DNS-Einträge für den DNS-Namen pro Instanz in Ihren autorisierten VPC-Netzwerken für Nutzer automatisch bereitstellen und verwalten zu lassen.

Weitere Informationen zum Aktivieren und Konfigurieren der DNS-Automatisierung finden Sie unter Instanz mit aktivierter DNS-Automatisierung erstellen.

Wenn Sie die DNS-Automatisierungsfunktion in Cloud SQL Enterprise Plus-Instanzen verwenden, werden DNS-Einträge für den globalen DNS-Namen des Schreibendpunkts in Ihren autorisierten VPC-Netzwerken für Nutzer ebenfalls automatisch von Cloud SQL bereitgestellt und verwaltet.

Für die DNS-Automatisierung gelten die folgenden Einschränkungen:

• Es ist nicht möglich, über den Auth-Proxy oder Sprachconnectors eine Verbindung zu einem DNS-Namen pro Instanz oder einem Schreibendpunkt herzustellen, der über die DNS-Automatisierung erstellt wurde.
• Die Konfiguration der DNS-Automatisierung über die Google Cloud Konsole oder mit Terraform wird nicht unterstützt.

Zulässige Private Service Connect-Projekte

Zulässige Projekte sind Projekte, die mit VPC-Netzwerken verknüpft und für die einzelnen Cloud SQL-Instanzen spezifisch sind. Wenn eine Instanz nicht in einem zulässigen Projekt enthalten ist, können Sie Private Service Connect nicht für die Instanz aktivieren.

Bei diesen Projekten können Sie für jede Instanz Private Service Connect-Endpunkte erstellen. Wenn ein Projekt nicht explizit zulässig ist, können Sie trotzdem einen Endpunkt für die Instanzen im Projekt erstellen. Der Endpunkt bleibt jedoch im Status PENDING.

Private Service Connect-Endpunktweitergabe

Standardmäßig sind Private Service Connect-Verbindungen nicht transitiv von VPC-Netzwerken mit Peering. Sie müssen in jedem VPC-Netzwerk, das eine Verbindung zu Ihrer Cloud SQL Instanz herstellen muss, einen Private Service Connect-Endpunkt erstellen. Wenn beispielsweise drei VPC-Netzwerke eine Verbindung zu Ihrer Instanz herstellen müssen, müssen Sie drei Private Service Connect-Endpunkte erstellen – einen für jedes VPC-Netzwerk.

Wenn Sie Private Service Connect-Endpunkte jedoch über den Network Connectivity Center-Hub weitergeben, können diese Endpunkte von jedem anderen VPC-Netzwerk im selben Hub erreicht werden. Der Hub bietet ein zentrales Modell für die Konnektivitätsverwaltung, um VPC-Spoke-Netzwerke mit Private Service Connect-Endpunkten zu verbinden.

Die Funktion zur Verbindungsweitergabe in NCC bietet folgende Vorteile für die Bereitstellung von Private Service Connect:

Sie können ein VPC-Netzwerk für gemeinsame Dienste verwenden, um mehrere Private Service Connect-Endpunkte zu erstellen. Wenn Sie dem NCC-Hub ein einzelnes VPC-Netzwerk für gemeinsame Dienste hinzufügen, sind alle Private Service Connect-Endpunkte im VPC-Netzwerk transitiv für andere VPC-Spoke-Netzwerke über den Hub zugänglich. So müssen Sie nicht jeden Private Service Connect-Endpunkt in jedem VPC-Netzwerk einzeln verwalten.

Informationen zum Weitergeben von Private Service Connect-Endpunkten an VPC-Spoke-Netzwerke über den NCC-Hub finden Sie im Codelab zur NCC-Private Service Connect-Weitergabe.

Private Service Connect-Backend

Sie können Private Service Connect-Back-Ends als Alternative zu Private Service Connect-Endpunkten, verwenden, um auf Cloud SQL-Instanzen zuzugreifen. Zur Vereinfachung empfehlen wir, eine Verbindung zu Ihren Cloud SQL-Instanzen über Private Service Connect-Endpunkte herzustellen. Für zusätzliche Kontrolle und Sichtbarkeit können Sie eine Verbindung über Private Service Connect-Back-Ends herstellen.

Wenn Sie Private Service Connect-Back-Ends verwenden möchten, müssen Sie die folgenden Ressourcen für jeden Serving-Port einrichten, über den Sie auf eine bestimmte Cloud SQL-Instanz zugreifen möchten:

• Eine Netzwerk-Endpunktgruppe (Network Endpoint Group, NEG) von Private Service Connect, die auf den Dienstanhang und einen Serving-Port der Cloud SQL-Instanz verweisen muss.
• Einen internen Proxy-Netzwerk-Load-Balancer (bestehend aus Backend-Dienst, TCP-Zielproxy und Weiterleitungsregel), dessen Backend die Private Service Connect-NEG ist.

Die unterstützten Serving-Ports für SQL Server sind:

• TCP-Port 1433 für direkte Verbindungen zum SQL Server-Datenbankserver.
• TCP-Port 3307 für Verbindungen über den Cloud SQL Auth-Proxy.

Ausgehende Private Service Connect-Verbindungen

Sie können eine Private Service Connect-Schnittstelle an Ihre vorhandenen Cloud SQL-Instanzen mit aktiviertem Private Service Connect anhängen, indem Sie einen Netzwerkanhang verwenden, damit Ihre Cloud SQL-Instanz ausgehende Verbindungen zu Ihrem Netzwerk herstellen kann. Um eine Verbindung zur Private Service Connect Schnittstelle Ihres Netzwerks herzustellen, benötigen Sie einen neuen oder vorhandenen Netzwerkanhang in Ihrem Google Cloud Projekt.

Sie können ausgehende Verbindungen verwenden, um Daten von einem externen Server in Ihrem Netzwerk zu migrieren, einen verknüpften Server zu verwenden, für den eine ausgehende Verbindung erforderlich ist, oder eine homogene Migration mit Database Migration Service durchzuführen.

Beschränkungen

Wenn Sie eine Private Service Connect-Schnittstelle mit einem Netzwerkanhang verwenden, um ausgehende Verbindungen von Ihrer Cloud SQL-Instanz zu Ihrem Netzwerk herzustellen, gelten die folgenden Einschränkungen:

• Das Aktivieren oder Deaktivieren der ausgehenden Private Service Connect-Verbindung erfordert Ausfallzeiten. Dieser Vorgang dauert etwa 8 Minuten und verursacht eine Ausfallzeit von etwa 3 Minuten.
• Wenn Sie einen Hostnamen oder DNS für Ihre ausgehende Verbindung verwenden, muss der DNS-Name öffentlich auflösbar sein und in einen RFC 1918-IP-Bereich aufgelöst werden.
• IPv6-Adressen werden nicht unterstützt.
• Öffentliche IP-Adressen werden nicht unterstützt.
• Die ausgehende Private Service Connect-Verbindung kann nicht für eine Lesereplikatinstanz aktiviert werden.
• Switchover wird für Instanzen mit aktivierter ausgehender Private Service Connect -Verbindung nicht unterstützt.
• Sie können die ausgehende Private Service Connect-Verbindung nicht für eine Instanz aktivieren, die ein Replikat für die Notfallwiederherstellung hat.
• Sie können das Replikat einer Instanz, für die die ausgehende Private Service Connect-Verbindung aktiviert ist, nicht in ein Replikat für die Notfallwiederherstellung umwandeln.
• Wenn die IP-Adresse der ausgehenden Verbindung mit der eth0-IP-Adresse oder der Private Service Connect-Weiterleitungsregel in Konflikt steht, kann die Verbindung möglicherweise nicht korrekt hergestellt werden. Weitere Informationen finden Sie unter Private Service Connect.
• Wenn Ihre Instanz sowohl für den Zugriff auf private Dienste als auch für Private Service Connect konfiguriert ist, können Sie die ausgehende Private Service Connect- Verbindung nicht für Ihre Instanz aktivieren.
• Wenn Sie die ausgehende Private Service Connect-Verbindung für eine Instanz aktivieren, können Sie kein Replikat für diese Instanz erstellen.

Weitere Informationen zum Einrichten der ausgehenden Verbindung für Ihre Cloud SQL-Instanz finden Sie unter Ausgehende Verbindung konfigurieren.

Nächste Schritte

• Weitere Informationen zu privaten IP-Adressen
• Verbindung zu einer Instanz über Private Service Connect herstellen.