Zugriff auf private Dienste

Diese Seite bietet eine Übersicht über den Zugriff auf private Dienste.

Google und Drittanbieter (zusammen als Dienstersteller bezeichnet) können in VPCs gehostete Dienste anbieten. Das sind Dienste, die auf VMs ausgeführt werden, die in einem VPC-Netzwerk gehostet werden. Mit dem Zugriff auf private Dienste können Sie diese Dienste erreichen, indem Sie eine private Verbindung zwischen Ihrem VPC-Netzwerk und dem VPC -Netzwerk des Diensterstellers erstellen. Die private Verbindung richtet eine VPC-Netzwerk-Peering-Verbindung zwischen Ihrem Netzwerk und dem Netzwerk des Diensterstellers ein.

Der Traffic für den Zugriff auf private Dienste verläuft intern im Google-Netzwerk, nicht über das öffentliche Internet. Instanzen in Ihrem VPC-Netzwerk können den Dienst über ihre internen IPv4-Adressen erreichen. Ihre Instanzen können externe IP-Adressen haben. Diese sind für den Zugriff auf private Dienste jedoch nicht erforderlich und werden nicht dafür verwendet.

Unterstützte Dienste

Die folgenden in Google VPCs gehosteten Dienste unterstützen den Zugriff auf private Dienste:

Zugriff auf private Dienste und VPC-Netzwerk-Peering

Bei einer privaten Verbindung sind das Netzwerk des Diensterstellers und Ihr Netzwerk über VPC-Netzwerk-Peering verbunden. Damit das Routing zwischen den beiden Netzwerken ordnungsgemäß funktioniert, müssen sie unterschiedliche IP-Adressbereiche verwenden. Um Überschneidungen zu vermeiden, erstellen Sie in Ihrem Netzwerk einen oder mehrere zugewiesene Bereiche, die mit der privaten Verbindung verwendet werden.

Wenn Sie einen Bereich in Ihrem VPC-Netzwerk zuweisen, kann dieser Bereich nicht für andere Ressourcen verwendet werden, z. B. für Subnetze oder Ziele von benutzerdefinierten statischen Routen.

Informationen zum Auswählen eines zugewiesenen Bereichs finden Sie unter IP-Adressbereich für den zugewiesenen Bereich auswählen.

Workflow für den Zugriff auf private Dienste

Wenn Sie den Zugriff auf private Dienste verwenden, werden Ressourcen sowohl in Ihrem VPC-Netzwerk als auch im Netzwerk des Diensterstellers bereitgestellt. Die folgenden Schritte beschreiben den Prozess:

  1. Als Dienstnutzer stellen Sie eine Dienstinstanz mit Zugriff auf private Dienste bereit. Die Details können je nach dem bereitgestellten Dienst variieren. Die folgenden Schritte können von Ihnen ausgeführt oder vom Dienstersteller im Rahmen der Bereitstellung der Dienstinstanz automatisiert werden:

    1. Sie weisen einen IP-Adressbereich in Ihrem VPC-Netzwerk zu. Dieser zugewiesene Bereich ist ausschließlich für den Dienstersteller reserviert.

    2. Sie erstellen eine private Verbindung zum Dienstersteller und geben den von Ihnen erstellten zugewiesenen Bereich an.

    3. Sie stellen eine Dienstinstanz bereit, z. B. eine Cloud SQL-Instanz, und verweisen dabei auf die von Ihnen erstellte private Verbindung.

  2. Der Dienstersteller stellt Ressourcen für Ihre Dienstinstanz bereit.

    1. Der Dienstersteller erstellt ein Projekt für Ihre Dienstinstanz. Das Projekt ist isoliert, was bedeutet, dass es mit keinen anderen Kunden geteilt wird und dem Dienstnutzer nur die Ressourcen in Rechnung gestellt werden, die er bereitstellt.

    2. In diesem Projekt erstellt der Dienstersteller ein VPC-Netzwerk, das für Sie bestimmt ist.

    3. In diesem Netzwerk erstellt der Dienstersteller ein Subnetz. Der IP-Adressbereich für dieses Subnetz wird aus dem von Ihnen angegebenen zugewiesenen Bereich ausgewählt. Der Dienstersteller wählt in der Regel einen CIDR-Block von /29 bis /24 aus. Sie können den IP-Adressbereich des Subnetzes des Diensterstellers nicht auswählen oder ändern.

    4. Der Dienstinstanz wird eine IP-Adresse aus dem neuen Subnetz zugewiesen.

  3. Die private Verbindung wird aktiviert.

    1. Die VPC-Netzwerk-Peering-Verbindung wird hergestellt.

    2. Ihr VPC-Netzwerk importiert Routen aus dem Netzwerk des Diensterstellers.

    3. VMs in Ihrem Netzwerk können über die interne IP-Adresse mit der Dienstinstanz kommunizieren. Der Traffic verläuft vollständig im Google-Netzwerk und nicht über das öffentliche Internet.

Nachdem die erste Bereitstellung erstellt wurde, können Sie die folgenden Aktionen ausführen:

  • Weitere Ressourcen bereitstellen: Wenn Sie zusätzliche Ressourcen für denselben Dienst bereitstellen, platziert der Dienstersteller sie in vorhandenen Subnetzen, sofern Platz vorhanden ist. Wenn ein Subnetz voll ist, wird in dieser Region ein neues Subnetz aus dem zugewiesenen Bereich erstellt.

  • Ressourcen löschen: Ein Subnetz im Netzwerk des Diensterstellers wird nur gelöscht, wenn Sie alle Dienstressourcen darin löschen. Informationen zum Löschen von Ressourcen finden Sie in der Dokumentation des jeweiligen Diensterstellers.

Beispiel

Das folgende Diagramm zeigt die Verwendung einer privaten Verbindung für den Zugriff auf Dienstinstanzen.

Ressourcen in einem Dienstnutzernetzwerk können über den Zugriff auf private Dienste auf eine Cloud SQL-Instanz zugreifen.
Zugriff auf private Dienste (zum Vergrößern anklicken)

In diesem Beispiel hat das VPC-Netzwerk des Dienstnutzers Google-Diensten den Adressbereich 10.240.0.0/16 zugewiesen und eine private Verbindung eingerichtet, die den zugewiesenen Bereich verwendet.

  • Die private Verbindung ist dem zugewiesenen Bereich 10.240.0.0/16 zugeordnet.

  • Google erstellt ein Projekt und ein VPC-Netzwerk für die Ressourcen des Dienstnutzers. Die VPC-Netzwerke sind über VPC-Netzwerk-Peering verbunden.

  • Der Dienstersteller erstellt ein Subnetz, das den IP-Adressbereich 10.240.0.0/24 verwendet.

  • Der Cloud SQL-Instanz wird die IP-Adresse 10.240.0.2 zugewiesen.

  • Nachdem das Subnetz erstellt wurde, importiert das Netzwerk des Dienstnutzers Routen aus dem Dienstnetzwerk.

  • Im VPC-Netzwerk des Dienstnutzers werden Anfragen mit dem Ziel 10.240.0.2 über die private Verbindung an das Netzwerk des Diensterstellers weitergeleitet.

  • Der Dienstnutzer stellt in europe-west1 eine Dienstinstanz für einen anderen Google-Dienst bereit. Da Google der Dienstersteller ist, können dasselbe Projekt und Netzwerk verwendet werden. Da sich die Instanz jedoch in einer anderen Region befindet, ist ein neues Subnetz erforderlich. Google erstellt ein neues Subnetz, das den IP-Adressbereich 10.240.10.0/24 verwendet, und weist der Dienstinstanz die IP-Adresse 10.240.10.2 zu.

Erreichbarkeit von Dienstinstanzen

Nur ein VPC-Netzwerk eines Dienstnutzers kann eine private Verbindung zu einer bestimmten verwalteten Dienstinstanz erstellen. Es gibt jedoch Möglichkeiten, die private Verbindung für Ressourcen außerhalb dieses VPC-Netzwerk verfügbar zu machen:

Wenn keine dieser Optionen für Ihren Anwendungsfall geeignet ist, bietet der Dienstersteller möglicherweise andere Möglichkeiten, eine Verbindung zum Dienst herzustellen, die besser passen, z. B. über Private Service Connect. Weitere Informationen finden Sie in der Dokumentation des Dienstes.

Zugriff über NCC

Bei einigen Diensten, die über den Zugriff auf private Dienste verfügbar sind, können Sie NCC verwenden, um den Dienst für andere Spokes in einem Hub erreichbar zu machen, indem Sie einen Ersteller-VPC-Spoke erstellen. Weitere Informationen, einschließlich der unterstützten Dienste, finden Sie unter Ersteller-VPC Spokes.

Zugriff über freigegebene VPC

Wenn Sie eine gemeinsam genutzte VPC verwenden, erstellen Sie den zugewiesenen IP-Bereich und die private Verbindung im Hostprojekt. Normalerweise muss ein Netzwerkadministrator im Hostprojekt diese Aufgaben ausführen. Nachdem das Hostprojekt eingerichtet wurde, können VM-Instanzen in Dienstprojekten die private Verbindung nutzen.

Zugriff über Hybridkonnektivität

In hybriden Netzwerkszenarien ist ein lokales Netzwerk entweder über eine Cloud VPN oder Cloud Interconnect-Verbindung mit einem VPC-Netzwerk verbunden. Standardmäßig können lokale Hosts das Netzwerk des Diensterstellers über den Zugriff auf private Dienste nicht erreichen.

Das VPC-Netzwerk verfügt möglicherweise über benutzerdefinierte statische oder dynamische Routen, um Traffic korrekt an Ihr lokales Netzwerk zu leiten. Das Netzwerk des Diensterstellers enthält diese Routen jedoch nicht. Wenn Sie eine private Verbindung erstellen, tauschen das VPC-Netzwerk und das Netzwerk des Diensterstellers nur Subnetzrouten aus.

Das Netzwerk des Diensterstellers enthält eine Standardroute (0.0.0.0/0) zum Internet. Wenn Sie eine Standardroute in das Netzwerk des Diensterstellers exportieren, wird diese ignoriert, weil die Standardroute des Diensterstellernetzwerks Vorrang hat. Definieren und exportieren Sie stattdessen eine benutzerdefinierte Route mit einem spezifischeren Ziel.

Weitere Informationen finden Sie unter Hybridkonnektivität konfigurieren.

Netzwerk des Diensterstellers

Auf der Diensterstellerseite der privaten Verbindung steht ein VPC-Netzwerk, in dem Ihre Dienstressourcen bereitgestellt werden. Das Netzwerk des Diensterstellers wird ausschließlich für Sie erstellt und enthält nur Ihre Ressourcen.

Eine Ressource im Netzwerk des Diensterstellers ist vergleichbar mit anderen Ressourcen in Ihrem VPC-Netzwerk. Beispielsweise ist sie über interne IP-Adressen anderer Ressourcen in Ihrem VPC-Netzwerk erreichbar. Sie können auch Firewallregeln in Ihrem VPC-Netzwerk erstellen, um den Zugriff auf das Netzwerk des Dienstanbieters zu steuern.

Weitere Informationen zur Diensterstellerseite finden Sie unter Zugriff auf private Dienste aktivieren in der Dokumentation zu Service Infrastructure. Diese Dokumentation dient nur Informationszwecken und ist nicht erforderlich, um den privaten Zugriff auf Dienste zu ermöglichen oder zu nutzen.

Private Verbindungen mit Organisationsrichtlinien einschränken

Sie können benutzerdefinierte Einschränkungen für Organisationsrichtlinien verwenden, um Einschränkungen für private Verbindungen zu definieren. Wenn Sie beispielsweise benutzerdefinierte Einschränkungen mit dem Ressourcentyp servicenetworking.googleapis.com/Connection konfigurieren, können Sie Folgendes tun:

  • Angeben, welche VPC-Netzwerke eine Verbindung über private Verbindungen herstellen können
  • Einschränkungen für die Namen zugewiesener Bereiche angeben, die Sie zum Erstellen privater Verbindungen verwenden können

Weitere Informationen finden Sie unter Ressourcen mit benutzerdefinierten Einschränkungen verwalten.

Preise

Informationen zu den Preisen für den Zugriff auf private Dienste finden Sie auf der Seite „VPC-Preise“ unter Zugriff auf private Dienste.

Beschränkungen

Für den Zugriff auf private Dienste gelten die folgenden Einschränkungen:

  • Da private Verbindungen als VPC-Netzwerk-Peering-Verbindungen implementiert werden, gelten die Verhaltensweisen und Einschränkungen von Peering-Verbindungen auch für private Verbindungen. Da VPC-Netzwerk-Peering beispielsweise nicht transitiv ist, ist eine private Verbindung nicht für Peer-VPC-Netzwerke verfügbar.

    Weitere Informationen finden Sie unter VPC-Netzwerk-Peering, Einschränkungen für VPC-Netzwerk-Peering, und Kontingente und Limits.

  • Nur ein VPC-Netzwerk eines Dienstnutzers kann eine private Verbindung erstellen, die eine Verbindung zu einer bestimmten verwalteten Dienstinstanz herstellt. Es gibt jedoch Möglichkeiten, die private Verbindung für Ressourcen außerhalb dieses VPC-Netzwerk verfügbar zu machen. Weitere Informationen finden Sie unter Erreichbarkeit von Dienstinstanzen.

  • Sie können den IP-Adressbereich, der einem zugewiesenen Bereich zugeordnet ist, nicht ändern. Sie können jedoch ändern, welche zugewiesenen Bereiche einer privaten Verbindung zugeordnet sind.

  • Die Verwendung von IPv6-Adressbereichen mit dem Zugriff auf private Dienste wird nicht unterstützt.

Nächste Schritte