Informationen zu Richtlinien für Dienstverbindungen

Auf dieser Seite erhalten Sie eine Übersicht über Richtlinien für Dienstverbindungen.

Dienstnutzer können Richtlinien für Dienstverbindungenn erstellen, die die Bereitstellung und Konnektivität für berechtigte verwaltete Dienstinstanzen automatisieren. Dieser Vorgang wird als Private Service Connect-Automatisierung von Dienstverbindungen bezeichnet.

Ein Nutzerdienstadministrator kann beispielsweise ein Datenbankadministrator sein, der eine Datenbank bereitstellt und dann Private Service Connect so konfiguriert, dass diese Datenbank erreicht wird. Der Datenbankadministrator hat jedoch möglicherweise nicht die erforderlichen IAM-Anmeldedaten (Identity and Access Management) oder weiß nicht, wie er Netzwerkressourcen bereitstellen kann. Wenn eine Richtlinie für Dienstverbindungen vorhanden ist und der Erstellerdienst für die Dienstautomatisierung konfiguriert ist, kann der Datenbankadministrator anfordern, dass eine Instanz des Erstellerdienstes über die Automatisierung von Dienstverbindungen mit seinem Netzwerk verbunden wird.

Richtlinien für Dienstverbindungen sind für die folgenden Rollen nützlich:

  • Nutzerdienstadministratoren können Instanzen verwalteter Erstellerdienste bereitstellen und die Konnektivität über die administrative API oder die Benutzeroberfläche des Erstellerdienstes konfigurieren. Es sind keine zusätzlichen Schritte zur Konfiguration von Private Service Connect erforderlich.
  • Netzwerkadministratoren können eine Reihe von Richtlinien erstellen, die steuern, welche Dienste und Subnetze für Verbindungen verwendet werden.
  • Dienstersteller können den Prozess der gemeinsamen Nutzung von Dienstanhängen und die Anleitung für Nutzer zur Bereitstellung der Konnektivität vereinfachen. Nutzer mit Richtlinien für Dienstverbindungen können einen Erstellerdienst über die administrative API oder die Benutzeroberfläche des Erstellers konfigurieren.

Bereitstellung der Dienstinstanz

Die Bereitstellung der Instanz eines verwalteten Dienstes mithilfe von Richtlinien für Dienstverbindungen umfasst die folgenden Schritte, die in Abbildung 1 dargestellt werden:

  1. Ein Nutzer-Netzwerkadministrator erstellt eine Richtlinie für Dienstverbindungen für sein VPC-Netzwerk. Dieses Netzwerk kann optional ein freigegebenes VPC-Netzwerk sein.

    Mit der Richtlinie für Dienstverbindungen kann Google automatisch Private Service Connect-Endpunkte im Namen des Nutzerdienstadministrators bereitstellen. Die Richtlinie für Dienstverbindungen verweist auf eine Dienstklasse – eine global eindeutige Ressource, die einen bestimmten Erstellerdienst identifiziert. Eine einzelne Richtlinie für Dienstverbindungen ist auf eine einzelne Dienstklasse und ein einzelnes Nutzer-VPC-Netzwerk beschränkt, das die Möglichkeit zum Konfigurieren einer Verbindung innerhalb dieses Bereichs delegiert.

  2. Ein Nutzerdienstadministrator stellt eine verwaltete Dienstinstanz bereit und konfiguriert die Verbindung zu dieser Instanz mithilfe der administrativen API oder der Benutzeroberfläche des Dienstes.

    Wenn Sie die Richtlinie für Dienstverbindungen in einem freigegebene VPC-Netzwerk erstellt haben, können Sie die Instanz des verwalteten Dienstes in einem angehängten Dienstprojekt bereitstellen.

  3. Der Ersteller empfängt die Verbindungskonfiguration des Nutzers und übergibt diese Informationen an eine Dienstverbindungszuordnung.

  4. Das Dienstkonto für die Netzwerkverbindung erstellt einen Endpunkt im VPC-Netzwerk des Nutzers. Dieser Endpunkt stellt eine Verbindung zu einem Dienstanhang im VPC-Netzwerk des Erstellers her.

Ein Netzwerkadministrator erstellt eine Richtlinie für Dienstverbindungen. Ein Nutzerdienstadministrator kann dann verwaltete Dienstinstanzen über die administrative API oder Benutzeroberfläche dieses Dienstes bereitstellen (zum Vergrößern klicken).

Unterstützte Dienste

Wenden Sie sich an den Dienstanbieter, um herauszufinden, ob ein verwalteter Dienst Richtlinien für Dienstverbindungen unterstützt. Wenn ein verwalteter Dienst Richtlinien für Dienstverbindungen unterstützt, kann Ihnen der Dienstanbieter die zugehörige Dienstklasse bereitstellen.

Dienstklassen, mit denen Ersteller ihre Dienste im Namen des Nutzers automatisieren können, sind für Ersteller in begrenzter Vorschau verfügbar. Informationen zum Automatisieren der Verbindungen für Ihre eigenen verwalteten Dienste über Dienstklassen erhalten Sie von Ihrem Google Cloud-Vertriebsmitarbeiter.

Richtlinien für Dienstverbindungen

Eine Richtlinie für Dienstverbindungen ist eine regionale Google Cloud-Ressource. Ein Netzwerkadministrator kann damit angeben, welche Erstellerdienste bereitgestellt und über die Automatisierung von Dienstverbindungen verbunden werden können. Wenn für einen verwalteten Dienst eine Dienstverbindungsrichtlinie vorhanden ist, kann ein Administrator diesen für Nutzerdienste bereitstellen.

Richtlinien für Dienstverbindungen haben die folgenden Felder:

  • Dienstklasse: Gibt den Typ des verwalteten Dienstes an, für den die Richtlinie gilt. Jeder Ersteller, der Richtlinien für Dienstverbindungen unterstützt, hat eine eigene global eindeutige Dienstklasse.
  • VPC-Netzwerk: Gibt das VPC-Netzwerk an, für das die Richtlinie gilt.
  • Subnetze: Gibt die Subnetze an, aus denen IP-Adressen für Private Service Connect-Endpunkte zugewiesen werden.
  • Verbindungslimit: Gibt die maximale Anzahl von Private Service Connect-Verbindungen an, die ein Ersteller im VPC-Netzwerk und in der Region der Richtlinie erstellen kann.

Spezifikationen

Richtlinien für Dienstverbindungen haben die folgenden Spezifikationen:

  • Sie können eine einzelne Richtlinie für Dienstverbindungen pro Kombination aus Netzwerk, Region und Dienstklasse erstellen. So wird sichergestellt, dass das Erstellen von Private Service Connect-Endpunkten nur durch eine einzige Richtlinie geregelt wird.
  • Wenn für eine bestimmte Dienstklasse eine Richtlinie für Dienstverbindungen vorhanden ist, können Nutzerdienstadministratoren den Dienst über die administrative API oder die Benutzeroberfläche des Dienstes bereitstellen und die Verbindung mithilfe der Automatisierung von Dienstverbindungen konfigurieren.
  • Die Subnetze, die in der Konfiguration der Dienstverbindungsrichtlinie enthalten sind, enthalten IP-Adressen, die Private Service Connect-Endpunkten zugewiesen werden. Diese Subnetze müssen reguläre Subnetze sein und sich in derselben Region wie die Richtlinie für Dienstverbindungen befinden. Reguläre Subnetze unterscheiden sich von private Service Connect-Subnetzen.
  • Google empfiehlt die Verwendung dedizierter Subnetze mit Richtlinien für Dienstverbindungen. So wird sichergestellt, dass die IP-Adressen der Subnetze nicht für verschiedene Ressourcen wiederverwendet werden.
  • Richtlinien für Dienstverbindungen können nur im selben Projekt wie das VPC-Netzwerk erstellt werden, für das die Richtlinie gilt.
  • Wenn Sie die Private Service Connect-Automatisierung von Dienstverbindungen mit mehreren VPC-Netzwerken im selben Projekt verwenden möchten, erstellen Sie für jedes Netzwerk eine Richtlinie für Dienstverbindungen.
  • Sie können Richtlinien für Dienstverbindungen mit freigegebener VPC verwenden.

Erstellerkonfiguration

In den folgenden Abschnitten werden Ressourcen beschrieben, mit denen Dienstersteller die Automatisierung von Dienstverbindungen konfigurieren.

Karte mit Dienstverbindungen

Eine Dienstverbindungszuordnung ist eine erstellerseitige Ressource, mit der ein Ersteller eine Zuordnung zwischen Dienstanhängen und Private Service Connect-Endpunkten angeben kann. Diese Zuordnung enthält eine Liste von VPC-Netzwerk- und Projektkombinationen, die einer Liste von Dienstanhängen zugeordnet werden können.

Ersteller definieren anhand von Dienstverbindungszuordnungen, welche Nutzerprojekte und Private Service Connect-Netzwerke verwendet werden sollen, wenn Endpunkte über die Dienstautomatisierung erstellt werden.

Wenn ein Nutzerdienstadministrator eine Anfrage zur Bereitstellung einer Dienstinstanz über die Automatisierung der Dienstverbindung stellt, gibt der Administrator ein VPC-Netzwerk an. Der verwaltete Dienst verwendet diese Informationen, um die entsprechende Dienstverbindungszuordnung zu aktualisieren und anzugeben, mit welchem Dienstanhang der Nutzer verbunden werden soll.

Dienstklasse

Eine Dienstklasse ist eine global eindeutige Darstellung eines verwalteten Diensttyps. Jeder Ersteller ist der ausschließliche Eigentümer seiner Dienstklasse. Nutzer verweisen auf die Dienstklasse in ihren Richtlinien für Dienstverbindungen, autorisieren die Bereitstellung und delegieren die Konnektivität an den Ersteller.

Dienstklassen können für von Google veröffentlichte Dienste, Dienste von Drittanbietern und intern verwaltete Dienste vorhanden sein, die selbst gehostet sind. Richtlinien für Dienstverbindungen können nur für Dienste mit einer Dienstklasse erstellt werden.

Autorisierungsmodell

Mit Richtlinien für Dienstverbindungen können Nutzer die Bereitstellung der Konnektivität an Ersteller delegieren. Der Produzent hat keinen direkten Zugriff oder IAM-Berechtigungen für das Verbraucherprojekt. Stattdessen konfiguriert der Ersteller eine Dienstverbindungszuordnung in seinem eigenen Projekt. So kann der Ersteller die Nutzerprojekte und VPC-Netzwerke angeben, in denen Endpunkte bereitgestellt werden sollen.

Wenn eine Dienstverbindungszuordnung von einem Ersteller erstellt oder aktualisiert wird, führt Google Cloud die folgenden Autorisierungsprüfungen durch:

  • Der Erstellernutzer, der die Verbindungszuordnung erstellt oder aktualisiert, hat die IAM-Inhaberschaft für die zugehörige Dienstklasse. Diese Prüfung hilft, falsche Darstellungen einer öffentlichen Dienstleistungsklasse zu verhindern.
  • Das Nutzernetzwerk hat eine gültige Richtlinie für Dienstverbindungen, die das von der Dienstverbindungszuordnung angegebene VPC-Netzwerk, die Region und die Dienstklasse autorisiert. Mit dieser Prüfung wird sichergestellt, dass ein Administrator mit IAM-Berechtigungen für das VPC-Netzwerk explizit die Möglichkeit delegiert, Private Service Connect-Endpunkte für den angegebenen Diensttyp zu erstellen.
  • Das Projekt, das der Nutzer für die Verbindung über die Benutzeroberfläche oder API des verwalteten Dienstes angegeben hat, ist der verwalteten Dienstinstanz zugeordnet. Mit dieser Prüfung können Sie das Spoofing oder Manipulieren eines verwalteten Dienstes dahingehend verhindern, eine Verbindung für nicht autorisierte Projekte zu erstellen.

Wenn jede Bedingung erfüllt ist, erstellt das Network Connectivity-Dienstkonto die angeforderten Endpunkte im Nutzernetzwerk. Das Network Connectivity-Dienstkonto ist ein Dienst-Agent.

Beschränkungen

  • Richtlinien für Dienstverbindungen unterstützen nur die Automatisierung von Private Service Connect-Endpunkten innerhalb eines Nutzer-VPC-Netzwerks. Private Service Connect-Back-Ends oder -Dienstanhänge werden nicht unterstützt.
  • Sie können Private Service Connect-Endpunkte, die durch die Dienstverbindungsautomatisierung erstellt werden, nicht direkt löschen. Wenn Sie das Löschen dieser Endpunkte auslösen möchten, deaktivieren Sie die Dienstverbindung.
  • Sie können nur die Subnetze und das Verbindungslimit für eine Richtlinie für Dienstverbindungen aktualisieren. Wenn Sie andere Felder aktualisieren möchten, löschen Sie die Richtlinie und erstellen Sie eine neue Richtlinie.
  • Richtlinien für Dienstverbindungen unterstützen das Erstellen von Endpunkten mit IPv4-Adressen. Das Erstellen von Endpunkten mit IPv6-Adressen wird nicht unterstützt.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Nächste Schritte