Automatisierung von Dienstverbindungen

Mit der Automatisierung von Dienstverbindungen können Dienstnutzer die Bereitstellung von Verbindungen zu verwalteten Diensten automatisieren.

Ein Datenbankadministrator stellt eine Datenbankinstanz bereit und möchte, dass Dienstnutzer über einen Private Service Connect-Endpunkt auf diese Datenbank zugreifen können. Der Datenbankadministrator hat möglicherweise nicht die erforderlichen IAM-Anmeldedaten (Identity and Access Management) oder das erforderliche Fachwissen, um Netzwerkressourcen bereitzustellen.

Wenn ein verwalteter Dienst die Automatisierung von Dienstverbindungen unterstützt, können die Konfiguration der Dienstinstanz und die Netzwerkkonfiguration an die entsprechenden Administratoren delegiert werden:

  • Administratoren von Dienstinstanzen können festlegen, über welche Netzwerke auf ihre Dienste zugegriffen werden kann.

  • Netzwerkadministratoren können steuern, zu welchen Diensten Verbindungen zugelassen werden sollen.

Wenn diese Konfigurationen übereinstimmen, wird durch die Automatisierung der Dienstverbindung ein Endpunkt in den entsprechenden Netzwerken erstellt, der eine Verbindung zur verwalteten Dienstinstanz ermöglicht.

Übersicht über die Automatisierung von Dienstverbindungen

Im folgenden Abschnitt wird eine einfache Konfiguration in einem einzelnen VPC-Netzwerk beschrieben, in dem die Automatisierung von Dienstverbindungen verwendet wird. Informationen zu anderen Konfigurationen finden Sie unter Freigegebene VPC und Google-Dienste mit benutzerdefiniertem Dienstinstanzbereich.

Die Bereitstellung einer Instanz eines verwalteten Dienstes, der die Automatisierung von Dienstverbindungen unterstützt, umfasst die folgenden Schritte:

  1. Ein Netzwerkadministrator erstellt eine Richtlinie für Dienstverbindungen für sein VPC-Netzwerk.

    Die Richtlinie für Dienstverbindungen verweist auf eine Dienstklasse – eine global eindeutige Ressource, die einen bestimmten Erstellerdienst identifiziert. Eine einzelne Richtlinie für Dienstverbindungen ist auf eine einzelne Dienstklasse und ein einzelnes Nutzer-VPC-Netzwerk beschränkt, das die Möglichkeit zum Konfigurieren einer Verbindung innerhalb dieses Bereichs delegiert.

  2. Ein Dienstinstanzadministrator stellt eine verwaltete Dienstinstanz bereit mithilfe der administrativen API oder der Benutzeroberfläche des Dienstes. In der Konfiguration der Dienstinstanz wird angegeben, welche Netzwerke über die Automatisierung von Dienstverbindungen auf den Dienst zugreifen können.

  3. Durch die Automatisierung von Dienstverbindungen wird ein Endpunkt im VPC-Netzwerk des Nutzers erstellt. Über diesen Endpunkt können Anfragen an die Dienstinstanz gesendet werden.

Mit der Automatisierung der Dienstverbindung können Dienstnutzer die Bereitstellung der Verbindung zu verwalteten Diensten automatisieren (zum Vergrößern klicken).

Erstellerkonfiguration

In den folgenden Abschnitten werden Ressourcen beschrieben, mit denen Dienstersteller die Automatisierung von Dienstverbindungen konfigurieren.

Dienstklassen

Eine Dienstklasse ist eine global eindeutige Darstellung eines verwalteten Diensttyps. Jeder Ersteller ist der ausschließliche Eigentümer seiner Dienstklasse. Nutzer verweisen auf die Dienstklasse in ihren Richtlinien für Dienstverbindungen, die die Bereitstellung autorisieren und die Konnektivität an den Ersteller delegieren.

Richtlinien für Dienstverbindungen können nur für Dienste mit einer Dienstklasse erstellt werden.

Dienstklassen sind für von Google veröffentlichte Dienste verfügbar. Dienstklassen sind auch in einer eingeschränkten Vorabversion für Dienste von Drittanbietern und intern verwaltete Dienste verfügbar, die selbst gehostet werden. Weitere Informationen finden Sie unter Unterstützte Dienste.

Karten mit Dienstverbindungen

Eine Dienstverbindungszuordnung ist eine vom Ersteller verwaltete Ressource, in der Details zum Autorisieren und Herstellen von Private Service Connect-Verbindungen zwischen Nutzer-VPC-Netzwerken und vom Ersteller verwalteten Dienstinstanzen gespeichert werden. Diese Zuordnung definiert die zulässigen Beziehungen zwischen Dienstinstanzen des Erstellers (dargestellt durch Dienstanhänge) und den Nutzerprojekten und VPC-Netzwerken, die autorisiert sind, eine Verbindung zu den Dienstinstanzen herzustellen.

Autorisierungsmodell

Mit Richtlinien für Dienstverbindungen können Nutzer die Bereitstellung der Konnektivität an verwaltete Dienste delegieren. Der Dienstersteller hat keinen direkten Zugriff auf das Projekt des Dienstnutzers und keine IAM-Berechtigungen dafür. Stattdessen konfiguriert der Ersteller eine Dienstverbindungszuordnung in seinem eigenen Projekt.

Wenn die Dienstverbindungszuordnung erstellt oder aktualisiert wird, in der Regel als Reaktion auf eine Anfrage eines Nutzerdienstadministrators an die administrative API oder Benutzeroberfläche des verwalteten Dienstes, führt die Automatisierung der Dienstverbindung eine Reihe von Autorisierungsprüfungen durch. Wenn alle Prüfungen bestanden sind, werden Private Service Connect-Endpunkte wie im Antrag angegeben erstellt.

  • Netzwerkkonfiguration (Richtlinie für Dienstverbindungen):

    • Netzwerkautorisierung: Für das VPC-Netzwerk des Nutzers muss eine gültige Richtlinie für Dienstverbindungen vorhanden sein, die das im Antrag angegebene VPC-Netzwerk, die Region und die Dienstklasse autorisiert. Mit dieser Prüfung wird sichergestellt, dass ein Administrator des Nutzernetzwerks mit IAM-Berechtigungen für das VPC-Netzwerk explizit die Möglichkeit delegiert, Private Service Connect-Endpunkte für den angegebenen Diensttyp zu erstellen.
    • Dienstinstanzbereich: Wenn die verwaltete Dienstinstanz ein Google-Dienst ist und in der Richtlinie für Dienstverbindungen ein benutzerdefinierter Dienstinstanzbereich (custom-resource-hierarchy-levels) angegeben ist, wird bei der Automatisierung von Dienstverbindungen die Liste der bereitgestellten Resource Manager-Knoten (--allowed-google-producers-resource-hierarchy-level) geprüft. Das Projekt, das der Dienstinstanzadministrator in der Benutzeroberfläche oder API des verwalteten Dienstes zum Bereitstellen und Verwalten der Dienstinstanz angegeben hat, muss innerhalb des zulässigen Bereichs liegen, der durch diese Liste definiert ist. Der Bereich kann eine Mischung aus Organisationen, Ordnern und Projekten sein.
    • Endpunktprojektvalidierung Das Projekt, in dem die Verbindungsrichtlinie erstellt wird, muss dem VPC-Netzwerk zugeordnet sein, in dem der Endpunkt erstellt werden soll. Das Projekt muss entweder das VPC-Netzwerk enthalten oder ein Dienstprojekt sein, das an das freigegebene VPC-Netzwerk angehängt ist.

  • Konfiguration der Dienstinstanz:

    • IAM-Autorisierung für Dienstadministrator Der Administrator des Consumer-Dienstes muss die IAM-Berechtigungen haben, die zum Erstellen oder Aktualisieren der Producer-Dienstinstanz erforderlich sind. Diese Berechtigungen variieren je nach Dienst, der bereitgestellt wird.

    • Autorisierung des Administrators der Dienstinstanz. In der administrativen API des Dienstes muss der Administrator der Dienstinstanz, der die Dienstinstanz erstellt hat, die Instanz so konfiguriert haben, dass Verbindungen aus dem VPC-Netzwerk, das die Verbindung anfordert, zugelassen werden.

  • Erstellerkonfiguration:

    • IAM-Berechtigungen für Produzenten. Der Administrator des Erstellerdienstes, der die Dienstverbindungszuordnung erstellt oder aktualisiert, muss IAM-Berechtigungen für die zugehörige Dienstklasse haben. Diese Prüfung trägt dazu bei, falsche Darstellungen einer öffentlichen Dienstleistungsklasse zu verhindern.

Wenn jede Bedingung erfüllt ist, erstellt das Network Connectivity-Dienstkonto die angeforderten Endpunkte in den autorisierten Netzwerken. Das Network Connectivity-Dienstkonto ist ein Dienst-Agent.

Automatische Wiederholungsversuche bei Endpunktfehlern

Die Automatisierung von Dienstverbindungen verwaltet das Erstellen und Löschen Ihrer Private Service Connect-Endpunkte vollständig.

Wenn bei der Automatisierung der Dienstverbindung kein autorisierter Endpunkt erstellt oder gelöscht werden kann, z. B. aufgrund von Kontingentbeschränkungen oder weil im Subnetz der Richtlinie für Dienstverbindungen keine IP-Adressen mehr verfügbar sind, wird der Vorgang in einem automatisierten Prozess regelmäßig wiederholt, bis das Problem behoben ist. Wenn die Erstellung oder Löschung eines Endpunkts jedoch aufgrund von Autorisierungsprüfungen fehlschlägt, wird der Vorgang nicht wiederholt.

Sie können Fehler, die die Erstellung von Endpunkten blockieren, aufrufen, indem Sie die Richtlinie für Dienstverbindungen beschreiben und das Feld pscConnections prüfen. Informationen zur Fehlerbehebung bei der Erstellung oder Löschung von Endpunkten finden Sie unter Fehlerbehebung.

Freigegebene VPC

Die Automatisierung von Dienstverbindungen kann verwendet werden, um automatisch Private Service Connect-Endpunkte in freigegebene VPC-Netzwerken zu erstellen. Da der Endpunkt mit einer IP-Adresse aus dem freigegebene VPC-Netzwerk konfiguriert ist, ist er über das Hostprojekt und alle angehängten Dienstprojekte zugänglich.

Um die im folgenden Diagramm dargestellte Konfiguration zu erstellen, werden die folgenden Aufgaben ausgeführt:

  1. Der Netzwerkadministrator erstellt eine Richtlinie für Dienstverbindungen für das vpc1-Netzwerk im Hostprojekt project1 und erlaubt Verbindungen zu Dienstinstanzen, die die Dienstklasse google-cloud-sql verwenden. Endpunkt-IP-Adressen werden aus dem Subnetz endpoint-subnet zugewiesen.

  2. Der Administrator der Dienstinstanz stellt zwei verwaltete Dienstinstanzen bereit: db-test im Projekt service-project-test und db-prod im Projekt service-project-prod. Der Administrator konfiguriert die Dienstinstanz so, dass durch die Automatisierung von Dienstverbindungen Endpunkte im Netzwerk vpc1 in project1 bereitgestellt werden, die eine Verbindung zu den Dienstinstanzen herstellen.

  3. Da alle Autorisierungsüberprüfungen erfolgreich sind, werden durch die Automatisierung der Dienstkonnektivität zwei Endpunkte erstellt, die mit endpoint-subnet verbunden sind, einer für jede Dienstinstanz. Alle VMs, die mit dem Subnetz vm-subnet verbunden sind, können auf die Endpunkte zugreifen, da sie mit demselben freigegebene VPC-Netzwerk wie die Endpunkte verbunden sind.

Sie können eine Dienstverbindungsrichtlinie in einem freigegebene VPC-Netzwerk verwenden, um eine Verbindung zu Dienstinstanzen herzustellen, die in Dienstprojekten bereitgestellt werden (zum Vergrößern klicken).

Google-Dienste mit benutzerdefiniertem Dienstinstanzbereich

Standardmäßig ist für die Automatisierung von Dienstverbindungen erforderlich, dass sich die Dienstinstanz und die Endpunkte, die eine Verbindung zur Dienstinstanz herstellen, im selben Projekt befinden (oder im Fall einer freigegebene VPC in verbundenen Projekten). Bei unterstützten Google-Diensten können sich Dienstinstanzen und Verbindungs-Endpunkte in verschiedenen Projekten oder Organisationen befinden.

Um die im folgenden Diagramm dargestellte Konfiguration zu erstellen, werden die folgenden Aufgaben ausgeführt:

  1. Die Netzwerkadministratoren für vpc-1, vpc-2 und vpc-3 erstellen Richtlinien für Dienstverbindungen in ihren jeweiligen VPC-Netzwerken. Sie ermöglichen die Verbindung zu Dienstinstanzen, die die Dienstklasse google-cloud-sql verwenden und im Projekt project-1 in der Organisation org-1 bereitgestellt werden.

  2. Der Administrator der Dienstinstanz stellt eine verwaltete Dienstinstanz db-1 in project-1 über die administrative API oder die Benutzeroberfläche des Dienstes bereit. Der Administrator konfiguriert die Dienstinstanz so, dass durch die Automatisierung von Dienstverbindungen Endpunkte in vpc-1 und vpc-2 bereitgestellt werden, die eine Verbindung zu db-1 herstellen.

  3. Für vpc-1 und vpc-2 sind alle Autorisierungsprüfungen erfolgreich und die Automatisierung von Dienstverbindungen erstellt einen Endpunkt in jedem Netzwerk. VMs in diesen Netzwerken können über die Endpunkte Traffic an die Dienstinstanz senden.

    In vpc-3 wird jedoch kein Endpunkt erstellt, da dieses Netzwerk nicht für die automatische Verbindung in der Konfiguration der db-1-Dienstinstanz konfiguriert ist.

    Wenn vpc-3 auf die Dienstinstanz db-1 zugreifen muss, kann sich der Netzwerkadministrator an den Datenbankadministrator wenden und ihn bitten, vpc-3 der Verbindungskonfiguration für db-1 hinzuzufügen.

Sie können die Verbindung zu unterstützten Google-Diensten aus verschiedenen Projekten, Ordnern oder Organisationen automatisieren (zum Vergrößern klicken).

Unterstützte Dienste

Die folgenden Google-Dienste unterstützen die Automatisierung von Dienstverbindungen.

Google-Dienst Zugriff gewährt
AlloyDB for PostgreSQL Ermöglicht Ihnen, Verbindungen zu AlloyDB for PostgreSQL-Instanzen automatisch zu erstellen.
Cloud SQL Ermöglicht das Automatisieren des Erstellens von Verbindungen zu Cloud SQL-Instanzen.
Memorystore for Redis Cluster Ermöglicht die Automatisierung des Erstellens von Verbindungen zu Memorystore for Redis-Clusterinstanzen.
Memorystore for Valkey Ermöglicht das Automatisieren des Erstellens von Verbindungen zu Memorystore for Valkey-Instanzen.
Vertex AI Vektorsuche Ermöglicht das automatisierte Erstellen von Verbindungen zu Vektorsuchendpunkten.

Wenden Sie sich an den Dienstanbieter, um herauszufinden, ob ein verwalteter Drittanbieterdienst Richtlinien für Dienstverbindungen unterstützt. Wenn ein Dienst Richtlinien für Dienstverbindungen unterstützt, kann Ihnen der Dienstanbieter die zugehörige Dienstklasse bereitstellen.

Erstellerseitige Automatisierungsressourcen sind in der eingeschränkten Vorschau verfügbar. Wenn Sie die Verbindung auf Nutzerseite für Ihren eigenen verwalteten Dienst automatisieren möchten, wenden Sie sich an Ihren Google Cloud-Vertriebsmitarbeiter.