Private Service Connect-Schnittstellen
Diese Seite bietet eine Übersicht über Private Service Connect-Schnittstellen.
Eine Private Service Connect-Schnittstelle ist eine Ressource, mit der das VPC-Netzwerk (Virtual Private Cloud) eines Erstellers Verbindungen zu verschiedenen Zielen in einem Nutzer-VPC-Netzwerk initiieren kann. Ersteller- und Nutzernetzwerke können sich in verschiedenen Projekten und Organisationen befinden.
Wenn Sie eine Private Service Connect-Schnittstellenverbindung erstellen möchten, benötigen Sie eine VM-Instanz mit mindestens zwei Netzwerkschnittstellen. Die erste Schnittstelle stellt eine Verbindung zu einem Subnetz in einem Ersteller-VPC-Netzwerk her. Die anderen Schnittstellen können Private Service Connect-Schnittstellen sein, die Verbindungen zu Netzwerkanhängen in verschiedenen Nutzer-VPC-Netzwerken anfordern. Wird eine Verbindung akzeptiert,weist Google Cloud der Private Service Connect-Schnittstelle eine interne IP-Adresse aus dem vom Netzwerkanhang angegebenen Nutzersubnetz zu.
Mit dieser Private Service Connect-Schnittstellenverbindung können Ersteller- und Nutzerorganisationen ihre VPC-Netzwerke so konfigurieren, dass die beiden Netzwerke verbunden sind und über interne IP-Adressen kommunizieren können. Die Organisation des Diensterstellers kann beispielsweise das VPC-Netzwerk des Diensterstellers aktualisieren, um Routen für Dienstnutzersubnetze hinzuzufügen.
Abbildung 1. In einem Ersteller-VPC-Netzwerk hat vm-1 zwei Netzwerkschnittstellen. Eine virtuelle Netzwerkschnittstelle (vNIC) stellt eine Verbindung zu einem Subnetz im Netzwerk des Erstellers her. Die andere Schnittstelle ist eine virtuelle Private Service Connect-Schnittstelle, die eine Verbindung zu einem Netzwerkanhang in einem Nutzernetzwerk herstellt (zum Vergrößern klicken).
Eine Verbindung zwischen einer Private Service Connect-Schnittstelle und einem Netzwerkanhang ähnelt der Verbindung zwischen einer Private Service Connect-Endpunkt und einem Dienstanhang. Allerdings gibt es zwei wichtige Unterschiede:
- Mit einer Private Service Connect-Schnittstelle kann ein Ersteller-VPC-Netzwerk Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren (verwalteter ausgehender Dienst-Traffic). Ein Endpunkt funktioniert in umgekehrter Richtung, sodass ein Nutzer-VPC-Netzwerk Verbindungen zu einem Ersteller-VPC-Netzwerk initiieren kann (verwalteter Dienst-Ingress).
- Private Service Connect-Schnittstellenverbindungen sind transitiv. Das bedeutet, dass Arbeitslasten in einem Erstellernetzwerk Verbindungen zu anderen Arbeitslasten initiieren können, die mit dem Nutzer-VPC-Netzwerk verbunden sind. Über Private Service Connect-Endpunkte können nur Verbindungen zum VPC-Netzwerk des Diensterstellers initiiert werden.
Abbildung 2. Mit Private Service Connect-Endpunkten können Dienstnutzer Verbindungen zu Diensterstellern initiieren, während Private Service Connect-Schnittstellen es Diensterstellern ermöglichen, eine Verbindung zu Dienstnutzern zu initiieren (zum Vergrößern klicken).
Verbindung zu Arbeitslasten in anderen Netzwerken herstellen
Da Private Service Connect-Schnittstellenverbindungen transitiv sind, können Ressourcen in Ersteller-VPC-Netzwerken mit Arbeitslasten kommunizieren, die mit dem Nutzer-VPC-Netzwerk verbunden sind, sofern die Konfiguration des Nutzer-VPC-Netzwerks dies zulässt. Der Support umfasst
- Arbeitslasten in Netzwerken, die über Cloud VPN-Tunnel, Cloud Interconnect oder VPC Netzwerk-Peering mit dem Nutzer-VPC-Netzwerk verbunden sind.
- Arbeitslasten mit externen IP-Adressen, die über Cloud NAT vom Nutzer-VPC-Netzwerk aus erreichbar sind.
- Google APIs und Google-Dienste, die über privaten Google-Zugriff oder VPC Service Controls vom VPC-Netzwerk des Kunden aus erreichbar sind. Für die Verwendung von VPC Service Controls mit Private Service Connect-Schnittstellen ist eine zusätzliche Konfiguration erforderlich.
- Veröffentlichte Dienste und Google APIs, die über Private Service Connect-Endpunkte und Back-Ends aus dem VPC-Netzwerk des Kunden erreichbar sind.
- Arbeitslasten in VPC-Spokes, die mit dem Nutzer-VPC-Netzwerk verbunden sind.
Abbildung 3. Ein Ersteller-VPC-Netzwerk, das über eine Private Service Connect-Schnittstellenverbindung mit einem Nutzer-VPC-Netzwerk verbunden ist, kann mit Arbeitslasten kommunizieren, die mit dem Nutzer-VPC-Netzwerk verbunden sind (zum Vergrößern klicken).
Beispielanwendungsfälle
Ein Beispiel für einen Anwendungsfall für Private Service Connect-Schnittstellen ist ein verwalteter Dienst, der Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren muss, um auf Nutzerdaten zuzugreifen. Der Dienst benötigt möglicherweise auch Zugriff auf Daten oder Dienste, die im lokalen Netzwerk eines Nutzers, über ein VPN, über eine Cloud Interconnect-verbindung oder von einem Drittanbieterdienst verfügbar sind. Eine Private Service Connect-Schnittstellenverbindung kann alle diese Anforderungen erfüllen.
Ein weiterer Anwendungsfall ist ein verwalteter Dienst, der ein API-Gateway bereitstellt. Wenn der Dienst Aufrufe für verschiedene APIs empfängt, werden mit Private Service Connect-Schnittstellen Verbindungen zu Nutzer-VPC-Netzwerken initiiert. Der Gatewayservice sendet API-Anfragen an Backend-Ziele, die die Anfragen verarbeiten.
Private Service Connect-Schnittstellen und Private Service Connect-Endpunkte ergänzen sich und können im selben VPC-Netzwerk verwendet werden.
Beispiel: Abbildung 4 beschreibt die Netzwerkkonfiguration eines verwalteten Dienstes, der Analysen bereitstellt. Der Analysedienst kann Verbindungen zum Nutzer-VPC-Netzwerk über eine Private Service Connect-Schnittstelle initiieren. Über einen Private Service Connect-Endpunkt im Nutzernetzwerk kann der Analysedienst Verbindungen zu einem Datenbankdienst in einem anderen VPC-Netzwerk initiieren. Der Traffic vom Analysedienst zum Datenbankdienst wird durch das Nutzernetzwerk geleitet, sodass der Nutzer den Traffic zwischen den beiden Diensten überwachen und Sicherheit bieten kann.
Abbildung 4. Private Service Connect-Schnittstellen und Private Service Connect-Endpunkte ergänzen sich in dieser Beispielkonfiguration. Über die Schnittstelle kann der Analysedienst Verbindungen zum VPC-Netzwerk des Nutzers initiieren. Über den Endpunkt kann der Analysedienst Verbindungen vom VPC-Netzwerk des Nutzers zum Datenbankdienst initiieren (zum Vergrößern klicken).
Private Service Connect-Schnittstellentypen
Es gibt zwei Arten von Private Service Connect-Schnittstellen:
Virtuelle Private Service Connect-Schnittstellen basieren auf den virtuellen Netzwerkschnittstellen (vNICs), die von Compute Engine-VMs verwendet werden.
Dynamische Private Service Connect-Schnittstellen (Vorschau) basieren auf dynamischen NICs.
Die wichtigsten Unterschiede zwischen virtuellen und dynamischen Private Service Connect-Schnittstellen werden in der folgenden Tabelle beschrieben:
| Typ | Maximale Anzahl von Private Service Connect-Schnittstellen pro VM | Schnittstellenverwaltung | Unterstützte Gastbetriebssysteme |
|---|---|---|---|
| Virtuelle Private Service Connect-Schnittstelle | Bis zu 9 (abhängig von der Anzahl der vCPUs) | Beim Erstellen der VM hinzugefügt; beim Löschen der VM entfernt | Linux, Windows |
| Dynamische Private Service Connect-Schnittstelle | Bis zu 15 (abhängig von der Anzahl der vCPUs) | Kann jederzeit hinzugefügt werden; kann unabhängig von der VM entfernt werden | Nur Linux |
Erwägen Sie die Verwendung virtueller Private Service Connect-Schnittstellen, wenn Sie davon ausgehen, dass die Schnittstellenkonfiguration während des gesamten Lebenszyklus der VM unverändert bleibt.
Sie sollten dynamische Private Service Connect-Schnittstellen verwenden, wenn Folgendes zutrifft:
- Sie müssen Verbindungen zu VPC-Netzwerken von Nutzern dynamisch verwalten.
- Sie benötigen mehr Private Service Connect-Schnittstellen pro VM.
- Sie müssen Ausfallzeiten bei Änderungen an der Private Service Connect-Schnittstelle vermeiden.
Spezifikationen
Eine Private Service Connect-Schnittstelle ist eine spezielle Art von Netzwerkschnittstelle, die eine Verbindung zu einem Netzwerkanhang herstellt.
Die Spezifikationen für Netzwerkschnittstellen gelten auch für Private Service Connect-Schnittstellen.
Die folgenden Spezifikationen gelten für beide Arten von Private Service Connect-Schnittstellen:
- Für eine VM, die Private Service Connect-Schnittstellen verwendet, sind mindestens zwei Netzwerkschnittstellen erforderlich. Die erste Netzwerkschnittstelle ist immer die Standardschnittstelle mit dem Namen
nic0. Diese Schnittstelle stellt eine Verbindung zu einem Ersteller-Subnetz her. Die zweite Schnittstelle ist eine Private Service Connect-Schnittstelle, die eine Verbindung zu einem Nutzer-Subnetz anfordert. - Wenn ein Nutzerprojekt eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, Google Cloudwird die Schnittstelle mit IP-Adressen aus dem Subnetz des Netzwerkanhangs konfiguriert:
- Eine interne IPv4-Adresse wird aus dem primären IP-Adressbereich des Subnetzes zugewiesen.
- Wenn das Subnetz des Netzwerkanhangs Dual Stack ist und die Private Service Connect-Schnittstelle Dual Stack ist, wird eine interne IPv6-Adresse aus dem IPv6-Bereich des Subnetzes zugewiesen.
- Sie können keine reinen IPv6-Subnetze (Vorschau) für Netzwerkverbindungen verwenden.
- Wenn ein Netzwerkanhang nicht genügend IP-Adressen für die Zuweisung für Private Service Connect-Schnittstellen hat, schlägt die Erstellung der Schnittstelle fehl und es wird ein Fehler zurückgegeben:
- Wenn der Fehler beim Erstellen einer VM auftritt, wird die VM nicht erstellt.
- Wenn der Fehler beim Hinzufügen einer dynamischen Private Service Connect-Schnittstelle zu einer vorhandenen VM auftritt, wird die Schnittstelle nicht hinzugefügt.
- Sie müssen das Gastbetriebssystem der VM einer Private Service Connect-Schnittstelle manuell konfigurieren, um Traffic über die Schnittstelle weiterzuleiten.
- Private Service Connect-Schnittstellen unterstützen Alias-IP-Bereiche. Alias-IP-Bereiche müssen aus dem primären IPv4-Adressbereich des Subnetzes der Netzwerkverbindung stammen.
- Google Cloud prüft, ob sich IP-Adressen, die einer Private Service Connect-Schnittstelle zugewiesen sind, mit den Adressbereichen von Subnetzen überschneiden, die mit den anderen Netzwerkschnittstellen der VM verbunden sind. Wenn nicht genügend Adressen verfügbar sind, schlägt das Erstellen der VM fehl.
- Eine Private Service Connect-Schnittstelle kommuniziert auf dieselbe Weise wie eine Netzwerkschnittstelle.
- Verbindungen zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle sind bidirektional und transitiv. Arbeitslasten im Ersteller-VPC-Netzwerk können Verbindungen zu Arbeitslasten initiieren, die mit dem Nutzer-VPC-Netzwerk verbunden sind.
- Dynamische und virtuelle Private Service Connect-Schnittstellen können auf derselben VM vorhanden sein.
- Private Service Connect-Schnittstellen unterstützen VPC Service Controls. Für diese Kombination ist eine zusätzliche Routingkonfiguration erforderlich.
Spezifikationen für virtuelle Private Service Connect-Schnittstellen
Die folgenden Spezifikationen gelten speziell für virtuelle Private Service Connect-Schnittstellen.
- Virtuelle Private Service Connect-Schnittstellen können nur beim Erstellen der VM erstellt und nur durch Löschen der zugehörigen VM entfernt werden.
- Sie können maximal sieben virtuelle Private Service Connect-Schnittstellen auf einer einzelnen VM erstellen, abhängig von der Anzahl der vCPUs in der VM.
Spezifikationen für dynamische Private Service Connect-Schnittstellen
Die folgenden Spezifikationen gelten speziell für dynamische Private Service Connect-Schnittstellen.
- Die Eigenschaften und Einschränkungen dynamischer NICs gelten auch für dynamische Private Service Connect-Schnittstellen.
- Sie können dynamische Private Service Connect-Schnittstellen jederzeit hinzufügen oder entfernen, ohne die VM neu starten zu müssen.
- Eine einzelne VM kann bis zu 15 dynamische Private Service Connect-Schnittstellen haben, abhängig von der Anzahl der vCPUs in der VM.
- Die maximale Übertragungseinheit (MTU) einer Netzwerkschnittstelle wird auf die MTU des VPC-Netzwerk festgelegt, mit dem sie verbunden ist. Die MTU einer dynamischen Private Service Connect-Schnittstelle muss kleiner oder gleich der MTU der übergeordneten Netzwerkschnittstelle sein. Andernfalls schlägt die Erstellung der Schnittstelle mit einem Fehler fehl.
Beschränkungen
Eine Private Service Connect-Schnittstellenverbindung kann nur auf folgende Weise beendet werden:
- Ein Ersteller löscht die VM der Schnittstelle.
- Ein Ersteller entfernt eine dynamische Private Service Connect-Schnittstelle.
- Ein Nutzer löscht ein Projekt, das mit einer Private Service Connect-Schnittstelle verbunden ist. Durch diese Aktion wird die VM der Schnittstelle beendet.
- Ein Nutzer deaktiviert die Compute Engine API in einem Projekt, das mit einer Private Service Connect-Schnittstelle verbunden ist. Durch diese Aktion wird die VM der Schnittstelle beendet.
Wenn eine VM mehrere Private Service Connect-Schnittstellen hat, muss jede Schnittstelle mit einem eindeutigen Netzwerkanhang verbunden sein und jeder Netzwerkanhang muss sich in einem anderen Nutzer-VPC-Netzwerk befinden.
Sie können Private Service Connect-Schnittstellen keine externen (öffentlich beworbenen) IP-Adressen zuweisen.
Dynamische Private Service Connect-Schnittstellen werden auf VMs mit Windows-Gastbetriebssystem nicht unterstützt. Diese Konfiguration wird zwar nicht durch die API verhindert, aber Pakete werden nicht übertragen, da Windows-Gastbetriebssystemtreiber keine dynamischen NICs unterstützen.
Private Service Connect-Schnittstellen können nicht der nächste Hop einer internen Weiterleitungsregel sein.
Sie können Private Service Connect-Schnittstellen nicht direkt mit Google Kubernetes Engine-Knoten (GKE) oder -Pods verknüpfen. Ausgehender Dienst-Traffic ist jedoch mit GKE über Private Service Connect-Schnittstellen möglich, die auf Proxy-VMs konfiguriert sind.
VMs mit Private Service Connect-Schnittstellen können nicht Teil von Backend-Diensten sein, die auf Compute Engine-VMs ausgerichtet sind. Das liegt daran, dass sich die VMs im selben Projekt wie der Backend-Dienst befinden müssen.
Preise
Die Preise für Private Service Connect-Schnittstellen werden auf der Seite der VPC-Preise beschrieben.
Nächste Schritte
- Private Service Connect-Schnittstellen erstellen und verwalten
- Führen Sie das Codelab für verwaltete Dienste mit Private Service Connect-Schnittstellen durch.