Mit Google verbinden

Es gibt verschiedene Möglichkeiten, Google Distributed Cloud-Cluster, die in Ihrem lokalen Rechenzentrum ausgeführt werden, mit dem Google Cloud-Netzwerk zu verbinden. Dazu gehören:

Normale Internetverbindung

In bestimmten Fällen können Sie das Internet als Verbindung zwischen Google und Ihrem lokalen Rechenzentrum nutzen. Beispiel:

  • Ihre Google Distributed Cloud-Bereitstellung ist bei Ihnen vor Ort abgeschlossen und Ihre lokalen Komponenten kommunizieren nur selten mit dem Google Cloud-Netzwerk. Sie verwenden die Verbindung hauptsächlich für die Clusterverwaltung. Geschwindigkeit, Zuverlässigkeit und Sicherheit der Verbindung sind nicht entscheidend.

  • Der lokale Cluster ist eigenständig, außer beim Zugriff auf einen Google-Dienst wie Cloud SQL. Für den Traffic zwischen dem lokalen Cluster und dem Google-Dienst werden öffentliche IP-Adressen verwendet. Aus Sicherheitsgründen konfigurieren Sie Firewallregeln.

HA VPN

Bei HA VPN und Cloud Router durchquert der Traffic zwischen Google und Ihrem lokalen Rechenzentrum das öffentliche Internet, ist jedoch verschlüsselt. Lokale Komponenten können über private IP-Adressen mit Cloud-Komponenten kommunizieren. Cloud Router tauscht Routen dynamisch zwischen Ihren Google Cloud-Netzwerken und Ihrem lokalen Netzwerk aus. Dynamisches Routing ist besonders nützlich, wenn Ihr Netzwerk erweitert und verändert wird, da es dafür sorgt, dass der richtige Routingzustand an Ihr lokales Rechenzentrum übertragen wird.

Partner Interconnect

Partner Interconnect stellt die Verbindung zwischen Ihrem lokalen Netzwerk und dem Google Cloud-Netzwerk über einen unterstützten Dienstanbieter her. Der Traffic zwischen Google und Ihrem lokalen Rechenzentrum durchläuft nicht das öffentliche Internet. Lokale Komponenten können über private IP-Adressen mit Cloud-Komponenten kommunizieren. Die Verbindung zu Google ist schnell, sicher und zuverlässig.

Dedicated Interconnect

Dedicated Interconnect stellt eine direkte physische Verbindung zwischen Ihrem lokalen Netzwerk und dem Google Cloud-Netzwerk bereit. Diese Art der Verbindung kann kostengünstig sein, wenn Sie eine hohe Bandbreite benötigen. Der Traffic zwischen Google und Ihrem lokalen Rechenzentrum durchläuft nicht das öffentliche Internet. Lokale Komponenten können über private IP-Adressen mit Cloud-Komponenten kommunizieren. Ihre Verbindung zu Google ist sicher und zuverlässig und sogar schneller als eine Verbindung über Partner Interconnect.

Auswirkungen einer vorübergehenden Trennung

Informationen dazu, was passiert, wenn Sie die Verbindung trennen, finden Sie unter Auswirkungen einer temporären Verbindungsunterbrechung zu Google Cloud.

Verbindungstyp auswählen

Weitere Informationen zur Auswahl eines Verbindungstyps finden Sie unter:

Netzwerküberwachung

Unabhängig davon, wie Sie eine grundlegende Verbindung zu Google herstellen, können Sie von den Erkenntnissen profitieren, die Ihnen das Netzwerk-Logging und -Monitoring bieten. Weitere Informationen finden Sie unter Logging und Monitoring für Google Distributed Cloud.

Grundlegende Verbindung optimieren

Sobald Ihre grundlegende Verbindung hergestellt wurde, können Sie Features hinzufügen, die den Zugriff, die Sicherheit und die Sichtbarkeit verbessern. Sie können beispielsweise den privaten Google-Zugriff oder Connect aktivieren.

In der restlichen Anleitung in diesem Thema wird davon ausgegangen, dass Sie für Ihre grundlegende Verbindung zu Google eine der folgenden Optionen verwenden:

Privater Google-Zugriff

Mit dem privaten Google-Zugriff können VMs, die nur private IP-Adressen haben, die IP-Adressen von Google APIs und Google-Diensten erreichen. Dieses Szenario umfasst den Fall, in dem Ihre Google Distributed Cloud-Clusterknoten nur private IP-Adressen haben. Sie aktivieren den privaten Google-Zugriff auf der Subnetzebene.

Mit dem privaten Google-Zugriff durchlaufen Anfragen von Ihrem lokalen Rechenzentrum an Google-Dienste nicht das öffentliche Internet, sondern die Cloud Interconnect- oder Cloud VPN-Verbindung.

Verwenden Sie den privaten Google-Zugriff in folgenden Situationen:

  • Ihre lokalen VMs ohne öffentliche IP-Adressen müssen eine Verbindung zu Google-Diensten wie BigQuery, Pub/Sub oder Container Registry herstellen.

  • Sie möchten eine Verbindung zu Google-Diensten herstellen, ohne das öffentliche Internet zu durchlaufen.

Eine Liste der Dienste, die den privaten Google-Zugriff von lokalen VMs unterstützen, finden Sie unter Unterstützte Dienste. Informationen zur Verwendung des privaten Google-Zugriffs von lokalen VMs finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Dienste, die keinen privaten Google-Zugriff erfordern

Manchmal benötigen Sie privaten Google-Zugriff nicht, um einen Dienst von einer VM aus zu erreichen, die nur eine private IP-Adresse hat. Beispiel:

  • Sie erstellen eine Cloud SQL-Instanz mit einer öffentlichen IP-Adresse und einer privaten IP-Adresse. Anschließend können Ihre lokalen Komponenten über ihre private IP-Adresse auf die Cloud SQL-Instanz zugreifen. Sie benötigen in diesem Fall keinen privaten Google-Zugriff, da Sie nicht die öffentliche IP-Adresse eines Google-Dienstes erreichen müssen. Dieser Ansatz funktioniert nur, wenn Cloud Router Ihrem lokalen Netzwerk die private IP-Adresse der Cloud SQL-Instanz anbietet.

  • Sie haben einen Google Distributed Cloud-Cluster in Google Cloud und die Clusterknoten haben private IP-Adressen. Ihre lokalen Komponenten können auf einen NodePort-Service oder einen internen Load-Balancing-Service im Google Distributed Cloud-Cluster zugreifen.

VPC Service Controls

Wenn Sie zusätzlichen Schutz vor der Daten-Exfiltration haben möchten, können Sie VPC Service Controls verwenden. Sie können Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.

Wenn Sie VPC Service Controls verwenden, werden beim Ausführen einiger gkectl-Befehle möglicherweise Fehler angezeigt, z. B. "Validation Category: GCP - [UNKNOWN] GCP service: [Stackdriver] could not get GCP services". Fügen Sie Ihren Befehlen den Parameter --skip-validation-gcp hinzu, um diese Fehler zu vermeiden.

Connect

Mit Connect können Sie Ihre lokalen Nutzercluster über die Google Cloud Console aufrufen und verwalten.

Nächste Schritte