Private Service Connect-Back-Ends

Sie können auf Google APIs und veröffentlichte Dienste zugreifen, indem Sie einen Private Service Connect-Endpunkt (basierend auf einer Weiterleitungsregel) oder ein Private Service Connect-Back-End (basierend auf einem Load Balancer) erstellen. Dieser Leitfaden konzentriert sich auf Private Service Connect-Back-Ends.

Private Service Connect-Back-Ends verwenden einen Load Balancer, der mit Private Service Connect-NEG-Back-Ends (Netzwerk-Endpunktgruppe) konfiguriert ist. Diese Konfiguration wurde zuvor als Private Service Connect-Endpunkt mit HTTP(S)-Nutzerdienstkontrollen bezeichnet.

Der Zugriff auf APIs und Dienste über einen vom Nutzer verwalteten Load-Balancer bietet mehrere Vorteile. Load Balancer können als zentralisierter Richtlinien-Erzwingungspunkt dienen, an dem Sicherheitsrichtlinien (z. B. Google Cloud Armor-Richtlinien und SSL-Richtlinien) oder Routingrichtlinien (z. B. Google Cloud-URL-Zuordnungen) erzwungen werden. Sie bieten zentralisierte Messwerte und Logging, die ein veröffentlichter Dienst möglicherweise nicht bereitstellt, und ermöglichen Nutzern, ihre eigene Weiterleitung und ihren eigenen Failover zu steuern.

Abbildung 1 zeigt einen Load Balancer, bei dem eine Private Service Connect-NEG eine Verbindung zu einem veröffentlichten Dienst herstellt. Der Client-Traffic wird an einen Load Balancer geleitet, der diesen verarbeitet, und dann an ein Private Service Connect-Back-End, das einem veröffentlichten Dienst zugeordnet ist, der in einem anderen VPC-Netzwerk ausgeführt wird.

Abbildung 1. Mit einem globalen externen Application Load Balancer können Dienstnutzer mit Internetzugriff Traffic an Dienste im VPC-Netzwerk des Diensterstellers senden (zum Vergrößern klicken).

Bereitstellungsübersicht

So greifen Sie über Private Service Connect-Back-Ends auf APIs und Dienste zu:

  1. Identifizieren Sie die API oder den Dienst, zu der Sie eine Verbindung herstellen möchten.

    Für Google APIs: Wählen Sie einen regionalen Dienstendpunkt aus.

    Für veröffentlichte Dienste: Fragen Sie den Dienstersteller nach dem URI des Dienstanhangs.

  2. Stellen Sie einen Load Balancer bereit, um Traffic an den veröffentlichten Dienst zu senden. Wählen Sie einen Load Balancer aus, der Ihren Anforderungen entspricht – auch abhängig davon, ob Sie Internetclients oder interne Clients verwenden oder eine regionale Isolierung benötigen. Sie können auch einen vorhandenen Load Balancer wiederverwenden.

  3. Stellen Sie die Private Service Connect-NEGs bereit und fügen Sie sie Ihrem Back-End-Dienst des Load Balancers hinzu. Erstellen Sie Private Service Connect-NEGs, die auf Ihren veröffentlichten Dienst verweisen. Fügen Sie dann die NEGs dem Back-End-Dienst des Load Balancers hinzu, damit der Load Balancer Traffic an sie senden kann.

Unterstützte Load Balancer und Ziele

Sie können ein Back-End für den Zugriff auf einen veröffentlichten Dienst oder eine standortbezogene Google API verwenden.

Weitere Informationen zum Load Balancer, dem Sie ein Private Service Connect-Back-End hinzufügen möchten, finden Sie in der Dokumentation zum Load Balancing.

Veröffentlichte Dienste als Ziele

Ein Private Service Connect-Back-End für veröffentlichte Dienste erfordert zwei Load Balancer: einen Nutzer-Load-Balancer und einen Ersteller-Load-Balancer.

Nutzerkonfiguration

In dieser Tabelle werden die Nutzer-Load Balancer beschrieben, die von Private Service Connect-Back-Ends für veröffentlichte Dienste unterstützt werden. Außerdem wird angegeben, welche Back-End-Dienstprotokolle mit jedem Nutzer-Load Balancer verwendet werden können. Die Nutzer-Load Balancer können auf veröffentlichte Dienste zugreifen, die auf unterstützten Ersteller-Load Balancern gehostet werden.

Nutzer-Load Balancer Protokolle IP-Version

Globaler externer Application Load Balancer (unterstützt mehrere Regionen)

Hinweis: Der klassische Application Load Balancer wird nicht unterstützt.

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Regionaler externer Application Load Balancer

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Regionaler interner Application Load Balancer

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Cross-region internal Application Load Balancer

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Regionaler interner Proxy-Network Load Balancer

  • TCP
IPv4

Regionsübergreifender interner Proxy-Network Load Balancer

  • TCP
IPv4

Regionaler externer Proxy-Network-Load-Balancer

  • TCP
IPv4

Globaler externer Proxy-Network Load Balancer

Wenn Sie diesen Load Balancer mit einer Private Service Connect-NEG verknüpfen möchten, verwenden Sie die Google Cloud CLI oder senden Sie eine API-Anfrage.

Hinweis: Der klassische Proxy-Network Load Balancer wird nicht unterstützt.

  • TCP/SSL
IPv4

Erstellerkonfiguration

In dieser Tabelle wird die Konfiguration für die Ersteller-Load-Balancer beschrieben, die von Private Service Connect-Back-Ends für veröffentlichte Dienste unterstützt werden.

Konfiguration Ersteller-LoadBalancer
Interner Passthrough-Network Load Balancer Regionaler interner Application Load Balancer Regionaler interner Proxy-Network Load Balancer
Unterstützte Ersteller-Back-Ends
  • Zonale GCE_VM_IP-NEGs
  • Instanzgruppen
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
  • Zonale GCE-VM_IP_PORT-NEGs
  • Hybrid-NEGs
  • Serverlose NEGs
  • Private Service Connect-NEGs
  • Instanzgruppen
Weiterleitungsregelprotokolle
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
Weiterleitungsregelports Wir empfehlen, einen einzelnen Port zu verwenden. Weitere Informationen findest du unter Konfiguration des Producer-Ports. Unterstützt einen einzelnen Anschluss Unterstützt einen einzelnen Anschluss
Proxyprotokoll
IP-Version IPv4 IPv4 IPv4

Eine Beispiel-Backend-Konfiguration, die einen globalen externen Application Load Balancer verwendet, finden Sie unter Zugriff auf veröffentlichte Dienste über Backends.

Regionale Google API-Ziele

In dieser Tabelle wird beschrieben, welche Load-Balancer ein Private Service Connect-Backend für den Zugriff auf regionale Google APIs verwenden können.

Eine Beispielkonfiguration, die einen internen Application Load Balancer verwendet, finden Sie unter Über Back-Ends auf Google APIs zugreifen.

Konfiguration Details
Nutzerkonfiguration (Private Service Connect-Backend)
Unterstützte Nutzer-Load-Balancer
  • Interner Application Load Balancer

    Protokolle: HTTPS

  • Regionaler externer Application Load Balancer

    Protokolle: HTTPS

IP-Version IPv4
Ersteller
Unterstützte Dienste Unterstützte regionale Google APIs

Globale Google API-Ziele

In dieser Tabelle wird beschrieben, welche Load Balancer ein Private Service Connect-Backend für den Zugriff auf eine globale Google API verwenden können.

Konfiguration Details
Nutzerkonfiguration (Private Service Connect-Backend)
Unterstützte Nutzer-Load-Balancer
  • Globaler externer Application Load Balancer

    Hinweis: Der klassische Application Load Balancer wird nicht unterstützt.

  • Regionsübergreifender interner Application Load Balancer

IP-Version IPv4
Ersteller
Unterstützte Dienste

Verbindungsstatus

Endpunkte, Back-Ends und Dienstanhänge von Private Service Connect haben einen Verbindungsstatus, der den Status ihrer Verbindung beschreibt. Die Nutzer- und Erstellerressourcen, die die beiden Seiten einer Verbindung bilden, haben immer denselben Status. Sie können Verbindungsstatus aufrufen, wenn Sie Endpunktdetails aufrufen, ein Backend beschreiben oder Details zu einem veröffentlichten Dienst ansehen.

In der folgenden Tabelle werden die möglichen Status beschrieben.

Verbindungsstatus Beschreibung
Angenommen Die Private Service Connect-Verbindung wird hergestellt. Die beiden VPC-Netzwerke haben eine Verbindung und funktionieren ordnungsgemäß.
Ausstehend

Die Private Service Connect-Verbindung wird nicht hergestellt und Netzwerk-Traffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine Verbindung kann diesen Status aus den folgenden Gründen haben:

Verbindungen, die aus diesen Gründen blockiert werden, bleiben auf unbestimmte Zeit im Status „Ausstehend“, bis das zugrunde liegende Problem behoben ist.

Abgelehnt

Die Private Service Connect-Verbindung wird nicht hergestellt. Netzwerk-Traffic kann nicht zwischen den beiden Netzwerken übertragen werden. Eine Verbindung kann diesen Status aus den folgenden Gründen haben:

Überprüfung erforderlich oder Unbekannt Es gibt ein Problem auf der Producer-Seite der Verbindung. Einiger Traffic kann möglicherweise zwischen den beiden Netzwerken fließen, aber einige Verbindungen funktionieren möglicherweise nicht. Beispielsweise ist das NAT-Subnetz des Erstellers möglicherweise erschöpft und kann neuen Verbindungen keine IP-Adressen zuweisen.
Beschränkt

Der Dienstanhang wurde gelöscht und die Verbindung zu Private Service Connect wird geschlossen. Netzwerk-Traffic kann nicht zwischen den beiden Netzwerken übertragen werden.

Eine geschlossene Verbindung ist ein Terminalstatus. Wenn Sie die Verbindung wiederherstellen möchten, müssen Sie sowohl den Dienstanhang als auch den Endpunkt oder das Backend neu erstellen.

Spezifikationen

Alle Private Service Connect-Back-Ends haben die folgenden Spezifikationen:

  • Nur die unterstützten Load-Balancer können Private Service Connect-NEGs als Back-Ends verwenden.
  • Private Service Connect-NEGs können nicht mit anderen NEG-Typen im selben Backend-Dienst kombiniert werden. Selbst gehostete Anwendungen und verwaltete Dienste können jedoch Backends desselben Load-Balancers sein, solange sie Teil separater Backend-Dienste sind.
  • Backend-Dienste mit Private Service Connect-NEGs unterstützen keine Systemdiagnosen. Systemdiagnose-Ressourcen werden nicht mit Backend-Diensten konfiguriert, die für Private Service Connect verwendet werden.
  • Backend-Dienste mit Private Service Connect-NEGs unterstützen keine Sitzungsaffinität.
  • Wenn eine Private Service Connect-NEG auf einen Dienstanhang verweist, muss sich der Dienstanhang in einem anderen VPC-Netzwerk als die NEG und der Load Balancer befinden.
  • Private Service Connect-NEGs können nicht auf Dienstanhänge verweisen, die für Portzuordnungsdienste konfiguriert sind.

Private Service Connect-Back-Ends, die in globalen Backend-Diensten verwendet werden, haben zusätzliche Spezifikationen:

  • Mehrere Private Service Connect-NEGs können sich im selben Backend-Dienst befinden, solange sie aus verschiedenen Regionen stammen. Sie können nicht mehrere Private Service Connect-NEGs aus derselben Region demselben Backend-Dienst hinzufügen.
  • Private Service Connect-NEGs werden automatisch mit Ausreißererkennung konfiguriert. Mit der Ausreißererkennung kann der Load-Balancer Fehler in Antworten von veröffentlichten Diensten erkennen und einen Failover für die verbleibenden fehlerfreien Regionen ausführen. Die Standardrichtlinie für die Ausreißererkennung kann durch Anwenden Ihrer eigenen Ausreißererkennungskonfiguration für den Backend-Dienst überschrieben werden.

Preise

Preisinformationen finden Sie in den folgenden Abschnitten der Seite mit den VPC-Preisen:

Nächste Schritte