Diese Seite wurde von der Cloud Translation API übersetzt.

Verbindung zu Diensten, die in einer serverlosen Umgebung gehostet werden

Auf dieser Seite wird beschrieben, wie Sie Integration Connectors für die Verbindung mit Diensten konfigurieren, die in serverlosen Umgebungen wie Cloud Run in Google Cloud gehostet werden.

Das folgende Bild zeigt die Einrichtung einer privaten Netzwerkverbindung von Integration Connectors zu einem Dienst, der in der Cloud Run-Umgebung in Google Cloud gehostet wird:

Auf dieser Seite wird davon ausgegangen, dass Sie mit den folgenden Konzepten vertraut sind:

Hinweise

Beachten Sie beim Erstellen eines PSC-Dienstanhangs die folgenden wichtigen Punkte:

Der PSC-Dienstanhang und der Load Balancer werden in verschiedenen Subnetzen innerhalb desselben VPC erstellt. Der Dienstanhang wird immer in einem NAT-Subnetz erstellt.
Traffic vom Load Balancer und von der Systemdiagnoseprüfung muss an denselben Port gesendet werden.
Konfigurieren Sie die Firewallregeln so, dass der Trafficfluss erleichtert wird.
Regeln für eingehenden Traffic

Der Traffic aus dem Subnetz der PSC-Dienstanwendung muss Ihren Backend-Dienst erreichen.

Regeln für ausgehenden Traffic

Der ausgehende Traffic ist in einem Google Cloud-Projekt standardmäßig aktiviert, sofern keine speziellen Ausschlussregeln konfiguriert sind.
Alle Ihre Google Cloud-Komponenten wie der PSC-Dienstanhang und der Load Balancer müssen sich in derselben Region befinden.

PSC-Dienstanhang erstellen

Damit eine private Verbindung von Integration Connectors hergestellt werden kann, muss Ihr Dienst über einen PSC-Dienstanhang für Integration Connectors verfügbar gemacht werden. Für eine Dienstanwendung wird immer ein Load Balancer verwendet. Wenn Ihr Dienst also nicht hinter einem Load Balancer ausgeführt wird, muss ein Load Balancer konfiguriert werden.

Erstellen Sie ein Lastenausgleichsmodul. Wenn Sie bereits einen Load Balancer haben, überspringen Sie diesen Schritt.
Folgen Sie der Anleitung unter Regionalen internen Application Load Balancer mit Cloud Run einrichten, um einen Application Load Balancer mit einer serverlosen NEG als Backend zu erstellen.

Dienstanhang erstellen

Erstellen Sie ein Subnetz für PSC NAT. Mit dem folgenden Befehl wird ein Subnetz mit dem Namen psc-nat-subnet1 und dem Zweck PRIVATE_SERVICE_CONNECT erstellt.

gcloud compute networks subnets create psc-nat-subnet1 \
          --network=VPC_NETWORK --range=SUBNET_RANGE_1 \
          --purpose=PRIVATE_SERVICE_CONNECT

Erstellen Sie eine Firewallregel, um Traffic von der PSC-NAT zum Load Balancer zuzulassen.

gcloud compute network-firewall-policies rules create PRIORITY --firewall-policy FIREWALL_POLICY_NAME_SA \
    --direction=INGRESS  --network=VPC_NETWORK \
    --action=allow --allow=tcp:BACKEND_SERVER_PORT --src-ip-ranges=SUBNET_RANGE_1

Erstellen Sie einen Dienstanhang mit expliziter Genehmigung.

gcloud compute service-attachments create SERVICE_ATTACHMENT_NAME --producer-forwarding-rule=FORWARDING_RULE_NAME  --connection-preference=ACCEPT_MANUAL --consumer-accept-list=SERVICE_DIRECTORY_PROJECT_ID=LIMIT --nat-subnets=psc-nat-subnet1

In diesem Befehl ist LIMIT das Verbindungslimit für das Projekt. Das Verbindungslimit gibt die Anzahl der PSC-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. So rufen Sie das SERVICE_DIRECTORY_PROJECT_ID ab:

Sie können den PSC-Dienstanhang so erstellen, dass nur Anfragen von den angegebenen Google Cloud-Projekten akzeptiert werden. Dazu benötigen Sie jedoch die Projekt-ID des Dienstverzeichnisses, das mit Ihrem Google Cloud-Projekt verknüpft ist. Um die Projekt-ID des Dienstverzeichnisses abzurufen, können Sie die List Connections API verwenden, wie im folgenden Beispiel gezeigt.

Syntax

curl -X GET \
    -H "authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://connectors.googleapis.com/v1/projects/CONNECTORS_PROJECT_ID/locations/-/connections"

Ersetzen Sie Folgendes:

CONNECTORS_PROJECT_ID: Die ID Ihres Google Cloud-Projekts, in dem Sie die Verbindung erstellt haben.

Beispiel

In diesem Beispiel wird die Projekt-ID des Dienstverzeichnisses für das Google Cloud-Projekt connectors-test abgerufen.

curl -X GET \
    -H "authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://connectors.googleapis.com/v1/projects/connectors-test/locations/-/connections"

Wenn Sie diesen Befehl im Terminal ausführen, wird eine Ausgabe wie die folgende angezeigt:

.....
{
  "connections": [
    {
      "name": "projects/connectors-test/locations/asia-northeast1/connections/big-query-iam-invalid-sa",
      "createTime": "2022-10-07T09:02:31.905048520Z",
      "updateTime": "2022-10-07T09:22:39.993778690Z",
      "connectorVersion": "projects/connectors-test/locations/global/providers/gcp/connectors/bigquery/versions/1",
      "status": {
        "state": "ACTIVE"
      },
      "configVariables": [
        {
          "key": "project_id",
          "stringValue": "connectors-test"
        },
        {
          "key": "dataset_id",
          "stringValue": "testDataset"
        }
      ],
      "authConfig": {},
      "serviceAccount": "564332356444-compute@developer.gserviceaccount.com",
      "serviceDirectory": "projects/abcdefghijk-tp/locations/asia-northeast1/namespaces/connectors/services/runtime",
      "nodeConfig": {
        "minNodeCount": 2,
        "maxNodeCount": 50
      }
    },
....

In der Beispielausgabe lautet die Projekt-ID des Dienstverzeichnisses für das Google Cloud-Projekt connectors-test abcdefghijk-tp.

Endpunktanhang zum Verwenden des PSC-Dienstanhangs erstellen

Endpunktanhang als IP-Adresse

Eine Anleitung zum Erstellen eines Endpunktanhangs als IP-Adresse finden Sie unter Endpunktanhang als IP-Adresse erstellen.

Endpunktanhang als Hostname

In bestimmten Fällen, z. B. bei TLS-fähigen Back-Ends, müssen Sie für die TLS-Bestätigung Hostnamen anstelle von privaten IP-Adressen verwenden. Wenn anstelle einer IP-Adresse für das Hostziel ein privates DNS verwendet wird, müssen Sie zusätzlich zum Erstellen einer Endpunktverknüpfung als IP-Adresse auch verwaltete Zonen konfigurieren. Eine Anleitung zum Erstellen eines Endpunkt-Anhangs als Hostnamen finden Sie unter Endpunkt-Anhang als Hostnamen erstellen.

Wenn Sie Ihre Verbindung später so konfigurieren, dass der Endpunktanhang verwendet wird, können Sie diesen auswählen.

Verbindung für die Verwendung des Endpunktanhangs konfigurieren

Nachdem Sie einen Endpunktanhang erstellt haben, verwenden Sie ihn in Ihrer Verbindung. Wenn Sie eine neue Verbindung erstellen oder eine vorhandene Verbindung aktualisieren, wählen Sie im Bereich „Ziele“ als Zieltyp Endpunktanhang und dann den von Ihnen erstellten Endpunktanhang aus der Liste Endpunktanhang aus.

Wenn Sie eine verwaltete Zone erstellt haben, wählen Sie Hostadresse als Zieltyp aus und verwenden Sie den A-Eintrag, den Sie beim Erstellen der verwalteten Zone erstellt haben.

Tipps zur Fehlerbehebung

Halten Sie sich an die in diesem Abschnitt aufgeführten Richtlinien, um häufige Probleme zu vermeiden:

Prüfen Sie den Verbindungsstatus, um sicherzustellen, dass die Endpunktverknüpfung richtig eingerichtet und die PSC-Verbindung hergestellt ist. Weitere Informationen finden Sie unter Verbindung der Endpunktanhänge prüfen.
Informationen zur Fehlerbehebung bei Load Balancer-Problemen finden Sie unter Probleme mit internen Application Load Balancern beheben.
Mit dem Google Cloud-Konnektivitätstest können Sie Lücken in Ihrer Netzwerkkonfiguration erkennen. Weitere Informationen finden Sie unter Konnektivitätstests erstellen und ausführen.