Auf dieser Seite werden Konzepte im Zusammenhang mit Private Service Connect beschrieben. Sie können Private Service Connect für folgende Zwecke verwenden:
- Sie können eine Verbindung zu einer Cloud SQL-Instanz von mehreren VPC-Netzwerken aus herstellen, die zu verschiedenen Gruppen, Teams, Projekten oder Organisationen gehören.
- Verbindung zu einer primären Instanz oder einem ihrer Lesereplikate herstellen
Private Service Connect-Endpunkt
Sie können Private Service Connect-Endpunkte verwenden, um privat über Ihre VPC-Netzwerke auf Cloud SQL-Instanzen zuzugreifen. Diese Endpunkte sind interne IP-Adressen, die einer Weiterleitungsregel zugeordnet sind, die auf einen Dienstanhang einer Cloud SQL-Instanz verweist.
Sie können den Endpunkt entweder automatisch von Cloud SQL erstellen lassen oder ihn manuell erstellen.
Damit Cloud SQL den Endpunkt automatisch erstellt, gehen Sie so vor:
- Erstellen Sie eine Richtlinie für Dienstverbindungen in Ihren VPC-Netzwerken.
Erstellen Sie eine Cloud SQL-Instanz mit aktiviertem Private Service Connect für die Instanz und konfigurieren Sie die Instanz so, dass automatisch ein Endpunkt erstellt wird. Geben Sie beim Erstellen der Instanz Parameter für die automatische Verbindung an, z. B. VPC-Netzwerke und Projekte.
Cloud SQL sucht in diesen Netzwerken nach der Richtlinie für Dienstverbindungen und erstellt einen Private Service Connect-Endpunkt, der auf den Dienstanhang der Instanz verweist.
Nachdem Sie die Instanz erstellt und Cloud SQL den Endpunkt erstellt hat, können die Clients in den entsprechenden VPC-Netzwerken über eine IP-Adresse oder einen DNS-Eintrag eine Verbindung zur Instanz über den Endpunkt herstellen. Diese Funktion, mit der Cloud SQL den Endpunkt automatisch erstellt, ist in der Vorschau verfügbar.
So erstellen Sie den Endpunkt manuell:
- Erstellen Sie eine Cloud SQL-Instanz, für die Private Service Connect aktiviert ist.
- Rufen Sie den URI des Dienstanhangs ab, den Sie zum manuellen Erstellen des Endpunkts benötigen.
Reservieren Sie eine interne IP-Adresse in Ihrem VPC-Netzwerk für den Endpunkt und erstellen Sie einen Endpunkt mit dieser Adresse.
Nachdem Sie die Instanz erstellt und Cloud SQL den Endpunkt erstellt hat, können die Clients in den entsprechenden VPC-Netzwerken über eine IP-Adresse oder einen DNS-Eintrag eine Verbindung zur Instanz über den Endpunkt herstellen.
Richtlinie für Dienstverbindungen
Mit einer Richtlinie für Dienstverbindungen können Sie eine bestimmte Dienstklasse autorisieren, eine Private Service Connect-Verbindung zwischen VPC-Netzwerken herzustellen. Dadurch können Sie Private Service Connect-Endpunkte automatisch bereitstellen. Diese Funktion ist in der Vorschau verfügbar.
Sie können für jede Dienstklassen-, Regions- und VPC-Netzwerkkombination maximal eine Richtlinie erstellen. Eine Richtlinie legt die Automatisierung der Dienstverbindung für genau diese Kombination fest. Wenn Sie eine Richtlinie konfigurieren, wählen Sie ein Subnetz aus. Das Subnetz wird verwendet, um den Endpunkten IP-Adressen zuzuweisen, die Sie über die Richtlinie erstellen. Wenn mehrere Dienstverbindungsrichtlinien dieselbe Region verwenden, können Sie dasselbe Subnetz für alle Richtlinien wiederverwenden.
Wenn Sie beispielsweise die Automatisierung der Dienstverbindung für zwei Dienste in drei verschiedenen Regionen verwenden möchten, erstellen Sie sechs Richtlinien. Sie können mindestens drei Subnetze verwenden: eines für jede Region.
Nachdem Sie eine Richtlinie für Dienstverbindungen erstellt haben, können Sie nur die Subnetze und das Verbindungslimit der Richtlinie aktualisieren. Wenn Sie andere Felder aktualisieren möchten, gehen Sie so vor:
- Entfernen Sie alle Verbindungen, die die Richtlinie verwenden.
- Löschen Sie die Richtlinie.
- Erstellen Sie eine neue Richtlinie.
Dienstanhang
Wenn Sie eine Cloud SQL-Instanz erstellen und die Instanz für die Verwendung von Private Service Connect konfigurieren, erstellt Cloud SQL automatisch einen Dienstanhang für die Instanz. Ein Dienstanhang ist ein Verknüpfungspunkt, über den VPC-Netzwerke auf die Instanz zugreifen.
Sie erstellen einen Private Service Connect-Endpunkt, über den das VPC-Netzwerk eine Verbindung zum Dienstanhang herstellt. Dadurch kann das Netzwerk auf die Instanz zugreifen.
Jede Cloud SQL-Instanz hat einen Dienstanhang, zu dem der Private Service Connect-Endpunkt über das VPC-Netzwerk eine Verbindung herstellen kann. Wenn mehrere Netzwerke vorhanden sind, hat jedes Netzwerk einen eigenen Endpunkt.
DNS-Namen und -Einträge
Bei Instanzen, auf denen Private Service Connect aktiviert ist, empfehlen wir die Verwendung des DNS-Namens, da verschiedene Netzwerke eine Verbindung zur selben Instanz herstellen können und Private Service Connect-Endpunkte in jedem Netzwerk unterschiedliche IP-Adressen haben können. Außerdem benötigt der Cloud SQL Auth-Proxy DNS-Namen, um eine Verbindung zu diesen Instanzen herzustellen.
Cloud SQL erstellt DNS-Einträge nicht automatisch. Stattdessen wird ein Vorschlag für einen DNS-Namen aus der API-Antwort auf die Instanzsuche erstellt. Wir empfehlen, den DNS-Eintrag in einer privaten DNS-Zone im entsprechenden VPC-Netzwerk zu erstellen. Dies stellt einen konsistenten Ansatz zum Herstellen einer Verbindung aus verschiedenen Netzwerken bereit.
Zulässige Private Service Connect-Projekte
Zulässige Projekte sind Projekte, die mit VPC-Netzwerken verknüpft und für die einzelnen Cloud SQL-Instanzen spezifisch sind. Wenn eine Instanz nicht in einem zulässigen Projekt enthalten ist, können Sie Private Service Connect nicht für die Instanz aktivieren.
Bei diesen Projekten können Sie für jede Instanz Private Service Connect-Endpunkte erstellen. Wenn ein Projekt nicht explizit zugelassen ist, können Sie weiterhin einen Endpunkt für die Instanzen im Projekt erstellen. Der Endpunkt hat jedoch weiterhin den Status PENDING.
Private Service Connect-Endpunktweitergabe
Standardmäßig sind Private Service Connect-Verbindungen nicht transitiv von Peering-VPC-Netzwerken. Sie müssen in jedem VPC-Netzwerk, das eine Verbindung zu Ihrer Cloud SQL-Instanz herstellen muss, einen Private Service Connect-Endpunkt erstellen. Wenn Sie beispielsweise drei VPC-Netzwerke haben, die eine Verbindung zu Ihrer Instanz herstellen müssen, müssen Sie drei Private Service Connect-Endpunkte erstellen – einen Endpunkt für jedes VPC-Netzwerk.
Wenn Sie jedoch Private Service Connect-Endpunkte über den Network Connectivity Center-Hub weiterleiten, können diese Endpunkte von jedem anderen Spoke-VPC-Netzwerk im selben Hub erreicht werden. Der Hub bietet ein zentrales Modell für die Verbindungsverwaltung, um Spoke-VPC-Netzwerke mit Private Service Connect-Endpunkten zu verbinden.
Die Funktion zur Weitergabe von Verbindungen im Network Connectivity Center bietet folgende Vorteile für den Anwendungsfall von Private Service Connect-Bereitstellungen:
Sie können ein VPC-Netzwerk für gemeinsame Dienste verwenden, um mehrere Private Service Connect-Endpunkte zu erstellen. Wenn Sie dem Network Connectivity Center-Hub ein einzelnes gemeinsames VPC-Netzwerk für Dienste hinzufügen, werden alle Private Service Connect-Endpunkte im VPC-Netzwerk transitiv über den Hub für andere Spoke-VPC-Netzwerke zugänglich. Durch diese Verbindung müssen Sie nicht jeden Private Service Connect-Endpunkt in jedem VPC-Netzwerk einzeln verwalten.
Informationen dazu, wie Sie den Network Connectivity Center-Hub verwenden, um Private Service Connect-Endpunkte an Spoke-VPC-Netzwerke weiterzugeben, finden Sie im Codelab zur Weitergabe von Private Service Connect über das Network Connectivity Center.
Private Service Connect-Backend
Sie können Private Service Connect-Backends als Alternative zu Private Service Connect-Endpunkten verwenden, um auf Cloud SQL-Instanzen zuzugreifen. Zur einfacheren Verwendung empfehlen wir, über Private Service Connect-Endpunkte eine Verbindung zu Ihren Cloud SQL-Instanzen herzustellen. Für zusätzliche Kontrolle und Sichtbarkeit können Sie eine Verbindung über Private Service Connect-Back-Ends herstellen.
Wenn Sie Private Service Connect-Backends verwenden möchten, müssen Sie die folgenden Ressourcen für jeden Serving-Port einrichten, über den Sie auf eine bestimmte Cloud SQL-Instanz zugreifen möchten:
- Netzwerk-Endpunktgruppe von Private Service Connect, die auf den Dienstanhang und einen Bereitstellungsport der Cloud SQL-Instanz verweisen muss.
- Interner Proxy-Network Load Balancer (bestehend aus Backend-Dienst, TCP-Zielproxy und Weiterleitungsregel), dessen Backend die Private Service Connect-NEG ist.
- TCP-Port 1433 für direkte Verbindungen zum SQL Server-Datenbankserver.
- TCP-Port 3307 für Verbindungen über den Cloud SQL Auth-Proxy.
Nächste Schritte
- Weitere Informationen zu privaten IP-Adressen
- Verbindung zu einer Instanz über Private Service Connect herstellen.