In dieser Anleitung erfahren Sie, wie Sie einen Dienst mit Lastenausgleich über Private Service Connect für andere VPC-Netzwerke verfügbar machen.
Standardmäßig ist der interne Passthrough-Network Load Balancer, den Sie im vorherigen Tutorial erstellt haben, nur innerhalb des zugehörigen VPC-Netzwerk verfügbar. Mit Private Service Connect können Sie den Dienst veröffentlichen, um ihn für Ressourcen in anderen VPC-Netzwerken verfügbar zu machen.
Diese Anleitung richtet sich an Cloudarchitekten, Netzwerkarchitekten, Netzwerkadministratoren und IT-Administratoren.
Ziele
- Veröffentlichten Dienst erstellen
- Firewallregel für Traffic von veröffentlichten Diensten erstellen
- URI des Dienstanhangs abrufen
Kosten
In diesem Dokument verwenden Sie die folgenden kostenpflichtigen Komponenten von Google Cloud:
Mit dem Preisrechner können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung vornehmen.
Nach Abschluss der in diesem Dokument beschriebenen Aufgaben können Sie weitere Kosten vermeiden, indem Sie die erstellten Ressourcen löschen. Weitere Informationen finden Sie unter Bereinigen.
Hinweise
- Führen Sie die Schritte im vorherigen Tutorial Dienst mit Load-Balancing erstellen aus.
- Wählen Sie das Dienstproduzentenprojekt (
PRODUCER_PROJECT) aus, das Sie in der vorherigen Anleitung ausgewählt oder erstellt haben. Verwenden Sie dieses Projekt für die Schritte in dieser Anleitung.
Veröffentlichten Dienst erstellen
Damit der Dienst in anderen VPC-Netzwerken verfügbar ist, veröffentlichen Sie ihn. Wenn Sie einen Dienst veröffentlichen möchten, erstellen Sie die folgenden Ressourcen im selben Netzwerk und in derselben Region wie den Load-Balancer:
- Ein Private Service Connect-Subnetz, das IP-Adressen für die Netzwerkadressübersetzung (NAT) zwischen dem Ersteller- und dem Verbrauchernetzwerk bereitstellt.
- Ein Dienstanhang.
In dieser Anleitung wird ein veröffentlichter Dienst erstellt, auf den von jedem Projekt aus zugegriffen werden kann. In einer Produktionsumgebung können Sie stattdessen einschränken, welche Netzwerke oder Projekte auf den Dienst zugreifen können.
Console
Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf Dienst veröffentlichen.
Wählen Sie im Bereich Zieldetails die Option Load Balancer aus.
Wählen Sie Interner Passthrough-Network Load Balancer aus.
Wählen Sie den internen Load Balancer aus, den Sie erstellt haben
service-lb.Geben Sie für Servicename
published-serviceein.So erstellen Sie ein Private Service Connect-Subnetz für NAT:
- Klicken Sie auf Subnetze und dann auf Neues Subnetz reservieren.
- Geben Sie für Name
nat-subnetein. - Wählen Sie bei Region die Option
REGIONaus. - Geben Sie unter IPv4-Bereich
10.10.20.0/22ein. - Klicken Sie auf Hinzufügen.
Wählen Sie unter Verbindungseinstellung die Option Alle Verbindungen automatisch akzeptieren aus.
Klicken Sie auf Dienst hinzufügen.
gcloud
Erstellen Sie mit dem Befehl
gcloud compute networks subnets createein Private Service Connect-Subnetz.gcloud compute networks subnets create nat-subnet \ --network=service-network \ --region=REGION \ --range=10.10.20.0/22 \ --purpose=PRIVATE_SERVICE_CONNECT
Verwenden Sie den Befehl
gcloud compute service-attachments create, um den Dienst zu veröffentlichen.gcloud compute service-attachments create published-service \ --region=REGION \ --target-service=projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/service-rule \ --connection-preference=ACCEPT_AUTOMATIC \ --nat-subnets=nat-subnet
Ersetzen Sie Folgendes:
PRODUCER_PROJECTist die ID des Erstellerprojekts.REGION: die Region für den Dienstanhang. Diese muss mit der Region der IP-Adresse der Zielweiterleitungsregel übereinstimmen.
Firewallregel für Traffic von veröffentlichten Diensten erstellen
Erstellen Sie eine Firewallregel, damit Traffic aus dem Private Service Connect-NAT-Subnetz die Backend-VMs des Load-Balancers erreichen kann.
Console
Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.
Damit Traffic aus dem Private Service Connect-NAT-Subnetz die Backend-VMs des Load-Balancers erreichen kann, klicken Sie auf Firewallregel erstellen und verwenden Sie die folgenden Einstellungen:
- Geben Sie für Name
fw-allow-natein. - Wählen Sie für Netzwerk die Option
service-networkaus. - Geben Sie
1000als Priorität ein. - Wählen Sie für Traffic-Richtung die Option Eingehend aus.
- Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
- Wählen Sie unter Ziele die Option Angegebene Ziel-Tags aus.
- Geben Sie für Ziel-Tags
allow-natein. - Wählen Sie für Quellfilter die Option IPv4-Bereiche aus.
- Geben Sie unter Quell-IPv4-Bereiche den Wert
10.10.20.0/22ein. - Wählen Sie für Protokolle und Ports die Option Alle zulassen aus.
- Geben Sie für Name
Klicken Sie auf Erstellen.
gcloud
Erstellen Sie die Firewallregel
fw-allow-nat, um die Kommunikation vom Private Service Connect-NAT-Subnetz zu den VM-Back-Ends zuzulassen:gcloud compute firewall-rules create fw-allow-nat \ --network=service-network \ --action=allow \ --direction=ingress \ --source-ranges=10.10.20.0/22 \ --rules=tcp,udp,icmp
URI des Dienstanhangs abrufen
Sie verwenden den URI des Dienstanhangs, um den Endpunkt im nächsten Tutorial Über ein anderes VPC-Netzwerk auf den Dienst zugreifen zu konfigurieren.
Console
Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf den Dienst, den Sie aufrufen möchten.
Das Feld Dienstanhang enthält den URI des Dienstanhangs.
gcloud
Rufen Sie Details zum veröffentlichten Dienst mit dem Befehl
gcloud compute service-attachments describeauf.Das Feld
selfLinkenthält den URI des Dienstanhangs.gcloud compute service-attachments describe \ published-service --region=REGIONErsetzen Sie
REGIONdurch die Region, die die Service-Anhängung enthält.