Informationen zu Richtlinien für Dienstverbindungen

In diesem Dokument wird beschrieben, wie Netzwerkadministratoren Richtlinien für Dienstverbindungen verwenden können, um über die Automatisierung von Dienstverbindungen Verbindungen zu unterstützten verwalteten Dienstinstanzen herzustellen. Bevor Sie dieses Dokument lesen, sollten Sie mit den Konzepten unter Automatisierung der Dienstverbindung vertraut sein.

Spezifikationen

Richtlinien für Dienstverbindungen haben die folgenden Spezifikationen:

• Sie können nur eine Richtlinie für Dienstverbindungen für jede Kombination aus Netzwerk, Region und Dienstklasse erstellen. Sie können beispielsweise nur eine Richtlinie für Dienstverbindungen für vpc1 in us-central1 für google-cloud-sql haben. Diese Validierung bedeutet, dass nur eine Richtlinie für Dienstverbindungen einen bestimmten Private Service Connect-Endpunkt steuert.

• Administratoren von Dienstinstanzen können die administrative API oder die Benutzeroberfläche des Dienstes verwenden, um den Dienst bereitzustellen und die Verbindung mithilfe der Automatisierung von Dienstverbindungen zu konfigurieren.

• Wenn die Erstellung oder Löschung eines Endpunkts durch die Automatisierung von Dienstverbindungen blockiert wird, wird der Vorgang in einem automatisierten Prozess regelmäßig wiederholt, bis das Problem behoben ist.

• Die Subnetze, die in der Konfiguration der Dienstverbindungsrichtlinie enthalten sind, stellen IP-Adressen bereit, die Private Service Connect-Endpunkten zugewiesen werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden.

  Die Subnetze müssen reguläre Subnetze sein und sich in derselben Region wie die Richtlinie für Dienstverbindungen befinden. Reguläre Subnetze unterscheiden sich von Private Service Connect-Subnetzen.

  Als Best Practice empfehlen wir, die Subnetze nicht für andere Ressourcen zu verwenden. Wenn andere Ressourcen IP-Adressen aus dem Subnetz verwenden, kann es sein, dass Ihnen nicht genügend IP-Adressen zur Zuweisung an Endpunkte zur Verfügung stehen.

• Verwaltete Dienste, für die Richtlinien für Dienstverbindungen verwendet werden, unterstützen möglicherweise Verbindungen zu Dienstinstanzen über IPv4-Endpunkte, IPv6-Endpunkte oder beides. Wenn der Dienst sowohl IPv4 als auch IPv6 unterstützt, können Dienstinstanzadministratoren bei der Bereitstellung einer Dienstinstanz eine IP-Version auswählen.

• Sie können Richtlinien für Dienstverbindungen mit freigegebener VPC verwenden.

• Standardmäßig müssen sich die Dienstinstanz und die Endpunkte, die eine Verbindung zur Dienstinstanz herstellen, im selben Projekt befinden (oder im Fall einer freigegebene VPC in verbundenen Projekten).

  Bei unterstützten Google-Diensten können Sie einen benutzerdefinierten Bereich für Dienstinstanzen konfigurieren.

• Auf Endpunkte, die über die Automatisierung von Dienstverbindungen erstellt werden, können vom Dienstersteller Labels angewendet werden. Weitere Informationen zu Labels finden Sie unter Ressourcen mit Labels organisieren.

• Wenn Sie die Private Service Connect-Automatisierung von Dienstverbindungen mit mehreren VPC-Netzwerken im selben Projekt verwenden möchten, erstellen Sie für jedes Netzwerk eine Richtlinie für Dienstverbindungen.

• Optional können Sie ein Verbindungslimit konfigurieren, um die maximale Anzahl von Private Service Connect-Verbindungen anzugeben, die ein bestimmter Dienstersteller im VPC-Netzwerk und in der Region der Richtlinie erstellen kann.

• Endpunkte, die über Richtlinien für Dienstverbindungen erstellt werden, können über die Verbindungsweiterleitung in anderen VPC-Netzwerken verfügbar gemacht werden.

Autorisierung

Mit Richtlinien für Dienstverbindungen können Nutzer die Bereitstellung der Konnektivität an verwaltete Dienste delegieren. Der Dienstersteller hat keinen direkten Zugriff auf das Projekt des Dienstnutzers und keine IAM-Berechtigungen dafür. Stattdessen konfiguriert der Ersteller eine Dienstverbindungszuordnung in seinem eigenen Projekt.

Wenn die Dienstverbindungszuordnung erstellt oder aktualisiert wird, in der Regel als Reaktion auf eine Anfrage eines Nutzerdienstadministrators an die administrative API oder Benutzeroberfläche des verwalteten Dienstes, führt die Automatisierung der Dienstverbindung eine Reihe von Autorisierungsprüfungen durch. Wenn alle Prüfungen bestanden sind, werden Private Service Connect-Endpunkte wie in der Anfrage angegeben erstellt.

Informationen zur Autorisierung finden Sie unter Autorisierungsmodell.

Verbindungsrichtlinien in freigegebene VPC-Netzwerken

Richtlinien für Dienstverbindungen können die Verbindung zu Dienstinstanzen automatisieren, die sich in Hostprojekten oder in angehängten Dienstprojekten befinden.

Wenn Sie eine freigegebene VPC verwenden, müssen Sie die Richtlinie für Dienstverbindungen im Hostprojekt erstellen. Endpunkte werden in dem Projekt erstellt, das in der Konfiguration der Dienstinstanz angegeben ist.

Wenn Sie eine Richtlinie für Dienstverbindungen in einem freigegebene VPC-Netzwerk erstellen und eine Dienstinstanz in einem Dienstprojekt bereitstellen, werden die mit der Richtlinie für Dienstverbindungen verknüpften Subnetze durch die Automatisierung von Dienstverbindungen freigegeben. Dazu wird das Network Connectivity-Dienstkonto des Dienstprojekts aktualisiert. Dieses Dienstkonto erhält die Rolle Compute-Netzwerknutzer (roles/compute.networkUser) für die freigegebenen Subnetze.

Ein Bereitstellungsbeispiel finden Sie unter Freigegebene VPC.

Verbindungsrichtlinien mit benutzerdefiniertem Dienstinstanzbereich

Standardmäßig werden durch die Automatisierung von Dienstverbindungen Endpunkte für Dienstinstanzen und zugehörige Richtlinien für Dienstverbindungen erstellt, die sich im selbenGoogle Cloud -Projekt (oder im Fall von freigegebene VPC in verbundenen Projekten) befinden. Bei unterstützten Google-Diensten können sich Dienstinstanzen und Verbindungsendpunkte auch in verschiedenen Projekten oder Organisationen befinden.

Nicht alle Google-Dienste unterstützen die Konfiguration eines benutzerdefinierten Dienstinstanzbereichs. Ob ein Dienst einen benutzerdefinierten Bereich für Dienstinstanzen unterstützt, erfahren Sie in der Dokumentation des jeweiligen Dienstes.

Mit der Einstellung Service instance scope (--producer-instance-location) können Sie die Verbindung zu Dienstinstanzen konfigurieren, die sich in anderen Resource Manager-Knoten (Projekten, Ordnern und Organisationen) befinden.

• Wenn der Wert auf no_producer_instance_location festgelegt ist, werden Endpunkte nur im selben Projekt erstellt. Dies ist der Standardwert.
• Wenn sie auf custom_resource_hierarchy_levels festgelegt ist, geben Sie die Liste der Resource Manager-Knoten im Feld --allowed-google-producers-resource-hierarchy-level an.

Wenn Sie den Bereich der Dienstinstanz für eine Richtlinie für Dienstverbindungen aktualisieren, sind vorhandene Endpunkte nicht betroffen.

Ein Bereitstellungsbeispiel finden Sie unter Google-Dienste mit benutzerdefiniertem Bereich für Dienstinstanzen.

Endpunkt-IP-Versionen

Die möglichen IP-Versionen von Endpunkten, die eine Verbindung zu Dienstinstanzen herstellen (IPv4, IPv6 oder beides), werden vom Dienstanbieter und nicht von der Automatisierung von Dienstverbindungen bestimmt. Wenn der Dienst sowohl IPv4 als auch IPv6 unterstützt, können Dienstinstanzadministratoren eine IP-Version auswählen, wenn sie eine Instanz über die administrative API eines Dienstes bereitstellen. Informationen zu den unterstützten IP-Versionen eines Dienstes finden Sie in der Dokumentation des Dienstes.

Wenn ein Administrator einer Dienstinstanz eine IP-Version auswählt, prüft die Automatisierung von Dienstverbindungen die Richtlinie für Dienstverbindungen auf kompatible Subnetze, die zum Erstellen von Endpunkt-IP-Adressen verwendet werden können:

• Nur-IPv4-Subnetze unterstützen IPv4-Endpunkte.
• Dual-Stack-Subnetze unterstützen sowohl IPv4- als auch IPv6-Endpunkte.
• Reine IPv6-Subnetze (Vorschau) unterstützen IPv6-Endpunkte.

Wenn die Richtlinie für Dienstverbindungen kein kompatibles Subnetz hat, schlägt die Anfrage fehl und es wird kein Endpunkt erstellt.

Außerdem muss die IP-Version des Endpunkts mit der IP-Version der Dienstinstanz kompatibel sein, die durch die Weiterleitungsregel des zugehörigen Dienstanhangs bestimmt wird. Private Service Connect unterstützt die folgenden Kombinationen von IP-Versionen:

• IPv4-Endpunkt zum IPv4-Dienstanhang
• IPv6-Endpunkt zum IPv6-Dienstanhang

• IPv6-Endpunkt zum IPv4-Dienstanhang

  In dieser Konfiguration übersetzt Private Service Connect automatisch zwischen den beiden IP-Versionen.

Das Verbinden eines IPv4-Endpunkts mit einem IPv6-Dienstanhang wird nicht unterstützt.

Wenn Sie sowohl IPv4- als auch IPv6-Clients den Zugriff auf eine Instanz eines verwalteten Dienstes ermöglichen möchten, konfigurieren Sie die Verbindung für separate IPv4- und IPv6-Endpunkte, die mit demselben Dienst verbunden sind.

Beschränkungen

• Richtlinien für Dienstverbindungen unterstützen nur die Automatisierung der Erstellung von Private Service Connect-Endpunkten. Das Erstellen von Private Service Connect-Back-Ends oder -Dienstanhängen wird nicht unterstützt.
• Sie können Private Service Connect-Endpunkte, die durch die Dienstverbindungsautomatisierung erstellt werden, nicht direkt löschen. Wenn Sie das Löschen dieser Endpunkte auslösen möchten, deaktivieren Sie die Dienstverbindung.
• Sie können nur die Subnetze und das Verbindungslimit für eine Richtlinie für Dienstverbindungen aktualisieren. Wenn Sie andere Felder aktualisieren möchten, löschen Sie die Richtlinie und erstellen Sie eine neue Richtlinie.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Nächste Schritte

• Richtlinien für Dienstverbindungen konfigurieren