Diese Seite wurde von der Cloud Translation API übersetzt.

Private Service Connect-Schnittstellen

Diese Seite bietet eine Übersicht über Private Service Connect-Schnittstellen.

Eine Private Service Connect-Schnittstelle ist eine Ressource, mit der das VPC-Netzwerk (Virtual Private Cloud) eines Erstellers Verbindungen zu verschiedenen Zielen in einem Nutzer-VPC-Netzwerk initiieren kann. Ersteller- und Nutzernetzwerke können sich in verschiedenen Projekten und Organisationen befinden.

Wenn Sie eine Private Service Connect-Schnittstelle erstellen, erstellen Sie eine VM-Instanz mit mindestens zwei Netzwerkschnittstellen. Die erste Schnittstelle stellt eine Verbindung zu einem Subnetz in einem VPC-Netzwerk des Erstellers her. Die zweite Schnittstelle ist eine Private Service Connect-Schnittstelle, die eine Verbindung zu einem Netzwerkanhang in einem Nutzernetzwerk anfordert. Wird die Verbindung akzeptiert, weist Google Cloud der Private Service Connect-Schnittstelle eine interne IP-Adresse aus dem Nutzersubnetz zu, das vom Netzwerkanhang angegeben wird.

Über diese Private Service Connect-Schnittstellenverbindung können Ersteller- und Nutzerorganisationen ihre VPC-Netzwerke so konfigurieren, dass die beiden Netzwerke verbunden sind und über interne IP-Adressen kommunizieren können. Die Erstellerorganisation kann beispielsweise das VPC-Netzwerk des Erstellers aktualisieren, um Routen für Nutzersubnetze hinzuzufügen.

**Abbildung 1.** Vm-1 in einem Ersteller-VPC-Netzwerk hat zwei Netzwerkschnittstellen. Eine Standardnetzwerkschnittstelle stellt eine Verbindung zu einem Subnetz im Netzwerk des Erstellers her, die andere eine Private Service Connect-Schnittstelle, die mit einem Netzwerkanhang in einem Nutzernetzwerk verbunden ist (zum Vergrößern klicken).

Eine Verbindung zwischen einer Private Service Connect-Schnittstelle und einem Netzwerkanhang ähnelt der Verbindung zwischen einer Private Service Connect-Endpunkt und einem Dienstanhang. Allerdings gibt es zwei wichtige Unterschiede:

Mit einer Private Service Connect-Schnittstelle kann ein Ersteller-VPC-Netzwerk Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren (verwalteter ausgehender Dienst-Traffic). Ein Endpunkt funktioniert in umgekehrter Richtung, sodass ein Nutzer-VPC-Netzwerk Verbindungen zu einem Ersteller-VPC-Netzwerk initiieren kann (verwalteter Dienst-Ingress).
Private Service Connect-Schnittstellenverbindungen sind transitiv. Das bedeutet, dass Arbeitslasten in einem Erstellernetzwerk Verbindungen zu anderen Arbeitslasten initiieren können, die mit dem Nutzer-VPC-Netzwerk verbunden sind. Private Service Connect-Endpunkte können nur Verbindungen zum VPC-Netzwerk des Erstellers initiieren.

**Abbildung 2.** Mit Private Service Connect-Endpunkten können Dienstnutzer Verbindungen zu Diensterstellern initiieren, während Private Service Connect-Schnittstellen es Diensterstellern ermöglichen, eine Verbindung zu Dienstnutzern zu initiieren (zum Vergrößern klicken).

Verbindung zu Arbeitslasten in anderen Netzwerken herstellen

Da Private Service Connect-Schnittstellenverbindungen transitive sind, können Ressourcen in VPC-Netzwerken von Dienstleistern mit Arbeitslasten kommunizieren, die mit dem Nutzernetzwerk verbunden sind, sofern die VPC-Netzwerkkonfiguration des Nutzers dies zulässt. Der Support umfasst

Arbeitslasten in Netzwerken, die über Cloud VPN-Tunnel, Cloud Interconnect oder VPC Netzwerk-Peering mit dem Nutzer-VPC-Netzwerk verbunden sind.
Arbeitslasten mit externen IP-Adressen, die über Cloud NAT vom VPC-Netzwerk des Kunden aus erreichbar sind.
Google APIs und ‑Dienste, die über das VPC-Netzwerk des Kunden über den privaten Google-Zugriff oder VPC Service Controls erreichbar sind. Für die Verwendung von VPC Service Controls mit Private Service Connect-Schnittstellen ist eine zusätzliche Konfiguration erforderlich.
Veröffentlichte Dienste und Google APIs, die über Private Service Connect-Endpunkte und Back-Ends vom VPC-Netzwerk des Verbrauchers aus erreichbar sind.
Arbeitslasten in VPC-Spokes, die mit dem VPC-Netzwerk des Nutzers verbunden sind.

**Abbildung 3.** Ein VPC-Netzwerk eines Erstellers, das über eine Private Service Connect-Schnittstelle mit einem VPC-Netzwerk eines Nutzers verbunden ist, kann mit Arbeitslasten kommunizieren, die mit dem VPC des Nutzers verbunden sind (zum Vergrößern klicken).

Beispielanwendungsfälle

Ein Beispiel für einen Anwendungsfall für Private Service Connect-Schnittstellen ist ein verwalteter Dienst, der Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren muss, um auf Nutzerdaten zuzugreifen. Der Dienst benötigt möglicherweise auch Zugriff auf Daten oder Dienste, die im lokalen Netzwerk eines Nutzers, über ein VPN, über eine Cloud Interconnect-verbindung oder von einem Drittanbieterdienst verfügbar sind. Eine Private Service Connect-Schnittstellenverbindung kann alle diese Anforderungen erfüllen.

Ein weiterer Anwendungsfall ist ein verwalteter Dienst, der ein API-Gateway bereitstellt. Wenn der Dienst Aufrufe für verschiedene APIs erhält, verwendet er Private Service Connect-Schnittstellen, um Verbindungen zu Nutzer-VPC-Netzwerken herzustellen. Der Gateway-Dienst sendet API-Anfragen an Backend-Ziele, die die Anfragen verarbeiten.

Private Service Connect-Schnittstellen und Private Service Connect-Endpunkte ergänzen sich und können im selben VPC-Netzwerk verwendet werden.

Beispiel: Abbildung 4 beschreibt die Netzwerkkonfiguration eines verwalteten Dienstes, der Analysen bereitstellt. Der Analysedienst kann über eine Private Service Connect-Schnittstelle Verbindungen zum VPC-Netzwerk des Nutzers herstellen. Über einen Private Service Connect-Endpunkt im Nutzernetzwerk kann der Analysedienst Verbindungen zu einem Datenbankdienst in einem anderen VPC-Netzwerk initiieren. Der Traffic vom Analysedienst zum Datenbankdienst wird durch das Nutzernetzwerk geleitet, sodass der Nutzer den Traffic zwischen den beiden Diensten überwachen und Sicherheit bieten kann.

**Abbildung 4.** Private Service Connect-Schnittstellen und Private Service Connect-Endpunkte ergänzen sich in dieser Beispielkonfiguration. Über die Schnittstelle kann der Analysedienst Verbindungen zum Nutzer-VPC-Netzwerk herstellen. Über den Endpunkt kann der Analysedienst Verbindungen vom VPC-Netzwerk des Nutzers zum Datenbankdienst initiieren (zum Vergrößern klicken).

Spezifikationen

Eine Private Service Connect-Schnittstelle ist eine spezielle Art Netzwerkschnittstelle, die eine Verbindung zu einem Netzwerkanhang herstellt. Die Spezifikationen für Netzwerkschnittstellen gelten auch für Private Service Connect-Schnittstellen.
Wenn Sie eine VM für Private Service Connect-Schnittstellen erstellen, erstellen Sie mindestens zwei Netzwerkschnittstellen. Die erste Netzwerkschnittstelle ist immer die Standardnetzwerkschnittstelle mit dem Namen nic0. Diese Schnittstelle stellt eine Verbindung zu einem Ersteller-Subnetz her. Die zweite Schnittstelle ist eine Private Service Connect-Schnittstelle, die eine Verbindung zu einem Nutzersubnetz anfordert. Sie können bis zu sieben Private Service Connect-Schnittstellen zu einer einzelnen VM hinzufügen.
Wenn ein Nutzerprojekt eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, konfiguriert Google Cloud die Schnittstelle mit IP-Adressen aus dem Subnetz des Netzwerkanhangs:
- Eine interne IPv4-Adresse wird aus dem primären IP-Adressbereich des Subnetzes zugewiesen.
- Wenn das Subnetz des Netzwerkanhangs Dual-Stack ist und die Private Service Connect-Schnittstelle Dual-Stack ist, wird eine interne IPv6-Adresse aus dem IPv6-Bereich des Subnetzes zugewiesen.
Private Service Connect-Schnittstellen unterstützen Alias-IP-Bereiche. Alias-IP-Bereiche müssen aus dem primären IPv4-Adressbereich des Subnetzes der Netzwerkverbindung stammen.
Google Cloud sorgt dafür, dass sich die IP-Adressen, die einer Private Service Connect-Schnittstelle zugewiesen sind, nicht mit den Adressbereichen von Subnetzen überschneiden, die mit den anderen Netzwerkschnittstellen der VM verbunden sind. Wenn nicht genügend Adressen verfügbar sind, schlägt das Erstellen der VM fehl.
Eine Private Service Connect-Schnittstelle kommuniziert auf die gleiche Weise wie eine Netzwerkschnittstelle.
Verbindungen zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle sind bidirektional und transitiv. Arbeitslasten im VPC-Netzwerk des Erstellers können Verbindungen zu Arbeitslasten initiieren, die mit dem VPC-Netzwerk des Nutzers verbunden sind.

Beschränkungen

Eine Private Service Connect-Schnittstellenverbindung kann nur auf folgende Arten beendet werden:
- Ein Produzent löscht die VM der Schnittstelle.
- Ein Nutzer löscht ein Projekt, das mit einer Private Service Connect-Schnittstelle verbunden ist. Dadurch wird die VM der Benutzeroberfläche beendet.
- Ein Nutzer deaktiviert die Compute Engine API in einem Projekt, das mit einer Private Service Connect-Schnittstelle verbunden ist. Dadurch wird die VM der Schnittstelle angehalten.
Achtung :Google empfiehlt, Mehrmandantenarchitekturen zu vermeiden, bei denen mehrere Nutzerprojekte eine Verbindung zur selben VM der Private Service Connect-Schnittstelle herstellen. Wenn in einer mehrmandantenfähigen Architektur ein Nutzer seine Private Service Connect-Schnittstellenverbindung beendet, verlieren auch andere Nutzer, die mit derselben VM verbunden sind, die Verbindung.
Private Service Connect-Schnittstellen unterstützen externe IP-Adressen nicht.
Private Service Connect-Schnittstellen können nicht der nächste Hop einer internen Weiterleitungsregel sein.
Sie können Private Service Connect-Schnittstellen nicht direkt mit Google Kubernetes Engine (GKE)-Knoten oder -Pods verknüpfen. Ausgehender Dienst-Traffic ist jedoch mit GKE über Private Service Connect-Schnittstellen möglich, die auf Proxy-VMs konfiguriert sind.

Preise

Die Preise für Private Service Connect-Schnittstellen werden auf der Seite der VPC-Preise beschrieben.