Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriff auf private Dienste

Diese Seite bietet eine Übersicht über den Zugriff auf private Dienste.

Google und Drittanbieter (zusammen als Dienstersteller bezeichnet) können VPC-gehostete Dienste anbieten. Das sind Dienste, die auf VMs ausgeführt werden, die in einem VPC-Netzwerk gehostet werden. Mit dem Zugriff auf private Dienste können Sie diese Dienste erreichen, indem Sie eine private Verbindung zwischen Ihrem VPC-Netzwerk und dem VPC-Netzwerk des Diensterstellers herstellen. Die private Verbindung richtet eine VPC-Netzwerk-Peering-Verbindung zwischen Ihrem Netzwerk und dem Netzwerk des Diensterstellers ein.

Der Traffic für den Zugriff auf private Dienste verläuft intern im Google-Netzwerk, nicht über das öffentliche Internet. Instanzen in Ihrem VPC-Netzwerk können den Dienst über ihre internen IPv4-Adressen erreichen. Ihre Instanzen können externe IP-Adressen haben. Diese sind für den Zugriff auf private Dienste jedoch nicht erforderlich.

Unterstützte Dienste

Die folgenden in Google-VPCs gehosteten Dienste unterstützen den Zugriff auf private Dienste:

AI Platform Training
AlloyDB for PostgreSQL
Apigee
Sicherung und Notfallwiederherstellung
Cloud Build
Cloud Intrusion Detection System
Cloud SQL (unterstützt kein DNS-Peering)
Cloud TPU
Enterprise-Cloud mit IBM Power für Google Cloud zusammenführen
Filestore
Google Cloud Managed Lustre
Google Cloud VMware Engine
Looker (Google Cloud Core)
Memorystore for Memcached
Memorystore for Redis
Vertex AI

Zugriff auf private Dienste und VPC-Netzwerk-Peering

Bei einer privaten Verbindung sind das Netzwerk des Diensterstellers und Ihr Netzwerk über VPC-Netzwerk-Peering verbunden. Damit das Routing zwischen den beiden Netzwerken richtig funktioniert, müssen die beiden Netzwerke unterschiedliche IP-Adressbereiche verwenden. Um Überschneidungen zu vermeiden, erstellen Sie einen oder mehrere zugewiesene Bereiche in Ihrem Netzwerk, die für die private Verbindung verwendet werden sollen.

Wenn Sie einen Bereich in Ihrem VPC-Netzwerk zuweisen, kann dieser Bereich nicht für andere Ressourcen wie Subnetze oder Ziele von benutzerdefinierten statischen Routen verwendet werden.

Informationen zum Auswählen eines zugewiesenen Bereichs finden Sie unter IP-Adressbereich für den zugewiesenen Bereich auswählen.

Workflow für den Zugriff auf private Dienste

Wenn Sie den privaten Zugriff auf Dienste verwenden, werden Ressourcen sowohl in Ihrem VPC-Netzwerk als auch im Netzwerk des Diensterstellers bereitgestellt. Im Folgenden wird der Vorgang beschrieben:

Als Dienstnutzer stellen Sie eine Dienstinstanz mit privatem Dienstzugriff bereit. Die Details können je nach bereitgestelltem Dienst variieren. Die folgenden Schritte werden möglicherweise von Ihnen ausgeführt oder vom Dienstersteller im Rahmen der Bereitstellung der Dienstinstanz automatisiert:
1. Sie weisen einen IP-Adressbereich in Ihrem VPC-Netzwerk zu. Dieser zugewiesene Bereich ist ausschließlich für den Dienstersteller reserviert.
2. Sie stellen eine private Verbindung zum Dienstersteller her und geben den zugewiesenen Bereich an, den Sie erstellt haben.
3. Sie stellen eine Dienstinstanz bereit, z. B. eine Cloud SQL-Instanz, die auf die von Ihnen erstellte private Verbindung verweist.
Der Dienstersteller stellt Ressourcen für Ihre Dienstinstanz bereit.
1. Der Dienstersteller erstellt ein Projekt für Ihre Dienstinstanz. Das Projekt ist isoliert, was bedeutet, dass es mit keinen anderen Kunden geteilt wird und dem Dienstnutzer nur die Ressourcen in Rechnung gestellt werden, die von ihm bereitgestellt werden.
2. In diesem Projekt erstellt der Dienstersteller ein VPC-Netzwerk, das Ihnen zugeordnet ist.
3. Der Dienstanbieter erstellt in diesem Netzwerk ein Subnetz. Der IP-Adressbereich für dieses Subnetz wird aus dem zugewiesenen Bereich ausgewählt, den Sie angegeben haben. Der Dienst-Producer wählt in der Regel einen CIDR-Block von /29 bis /24 aus. Sie können den Subnetz-IP-Adressbereich des Diensterstellers nicht auswählen oder ändern.
4. Der Dienstinstanz wird eine IP-Adresse aus dem neuen Subnetz zugewiesen.
Die private Verbindung wird aktiv.
1. Die VPC-Netzwerk-Peering-Verbindung wird hergestellt.
2. Ihr VPC-Netzwerk importiert Routen aus dem Netzwerk des Diensterstellers.
3. VMs in Ihrem Netzwerk können über die interne IP-Adresse mit der Dienstinstanz kommunizieren. Der Traffic verläuft vollständig im Google-Netzwerk und nicht über das öffentliche Internet.

Nachdem die erste Bereitstellung erstellt wurde, haben Sie folgende Möglichkeiten:

Bereitstellung weiterer Ressourcen: Wenn Sie zusätzliche Ressourcen für denselben Dienst bereitstellen, platziert der Dienstersteller sie in vorhandenen Subnetzen, sofern dort Platz ist. Wenn ein Subnetz voll ist, wird in dieser Region ein neues Subnetz aus dem zugewiesenen Bereich erstellt.
Ressourcen löschen: Ein Subnetz im Netzwerk des Diensterstellers wird nur gelöscht, wenn Sie alle Dienstressourcen darin löschen. Informationen zum Löschen von Ressourcen finden Sie in der Dokumentation des jeweiligen Dienstanbieters.

Beispiel

Das folgende Diagramm zeigt den Zugriff auf Dienstinstanzen über eine private Verbindung.

Ressourcen in einem Dienstkonsumentennetzwerk können über den Zugriff auf private Dienste auf eine Cloud SQL-Instanz zugreifen. — Privater Zugriff auf Dienste (zum Vergrößern anklicken)

In diesem Beispiel hat das VPC-Netzwerk des Dienstnutzers Google-Diensten den Adressbereich 10.240.0.0/16 zugewiesen und eine private Verbindung eingerichtet, die den zugewiesenen Bereich verwendet.

Die private Verbindung ist dem zugewiesenen Bereich 10.240.0.0/16 zugeordnet.
Google erstellt ein Projekt und ein VPC-Netzwerk für die Ressourcen des Dienstnutzers. Die VPC-Netzwerke sind über VPC-Netzwerk-Peering verbunden.
Der Dienstersteller erstellt ein Subnetz, das den IP-Adressbereich 10.240.0.0/24 verwendet.
Der Cloud SQL-Instanz wird die IP-Adresse 10.240.0.2 zugeordnet.
Nachdem das Subnetz erstellt wurde, importiert das Dienstnutzernetzwerk Routen aus dem Dienstnetzwerk.
Im VPC-Netzwerk des Dienstnutzers werden Anfragen mit dem Ziel 10.240.0.2 über die private Verbindung an das Netzwerk des Diensterstellers weitergeleitet.
Der Dienstnutzer stellt eine Dienstinstanz für einen anderen Google-Dienst in europe-west1 bereit. Da Google der Dienstersteller ist, können dasselbe Projekt und Netzwerk verwendet werden. Da sich die Instanz jedoch in einer anderen Region befindet, ist ein neues Subnetz erforderlich. Google erstellt ein neues Subnetz, das den IP-Adressbereich 10.240.10.0/24 verwendet, und weist der Dienstinstanz die IP-Adresse 10.240.10.2 zu.

Erreichbarkeit von Dienstinstanzen

Nur ein VPC-Netzwerk eines Dienstnutzers kann eine private Verbindung zu einer bestimmten verwalteten Dienstinstanz herstellen. Es gibt jedoch Möglichkeiten, die private Verbindung für Ressourcen außerhalb dieses VPC-Netzwerk verfügbar zu machen:

Wenn Sie die Dienstinstanzen in anderen VPC-Netzwerken verfügbar machen möchten, haben Sie folgende Möglichkeiten:
- Über das Network Connectivity Center aufrufen:
- Über die freigegebene VPC zugreifen:
Informationen dazu, wie Sie die Dienstinstanzen über verbundene Netzwerke wie lokale Netzwerke verfügbar machen, finden Sie unter Zugriff über Hybridkonnektivität.

Wenn keine dieser Optionen für Ihren Anwendungsfall funktioniert, bietet der Dienstersteller möglicherweise andere Möglichkeiten, um eine Verbindung zum Dienst herzustellen, die besser geeignet sind, z. B. über Private Service Connect. Weitere Informationen finden Sie in der Dokumentation zum Dienst.

Zugriff über das Network Connectivity Center

Bei einigen Diensten, die über den Zugriff auf private Dienste verfügbar sind, können Sie den Dienst über Network Connectivity Center für andere Spokes eines Hubs erreichbar machen, indem Sie einen VPC-Spoke des Erstellers erstellen. Weitere Informationen, einschließlich der unterstützten Dienste, finden Sie unter Producer-VPC-Spokes.

Über die freigegebene VPC zugreifen

Wenn Sie eine freigegebene VPC verwenden, erstellen Sie den zugewiesenen IP-Bereich und die private Verbindung im Hostprojekt. Normalerweise muss ein Netzwerkadministrator im Hostprojekt diese Aufgaben ausführen. Nachdem das Hostprojekt eingerichtet wurde, können VM-Instanzen in Dienstprojekten die private Verbindung nutzen.

Zugriff über Hybridkonnektivität

In hybriden Netzwerkszenarien ist ein lokales Netzwerk entweder über eine Cloud VPN- oder eine Cloud Interconnect-Verbindung mit einem VPC-Netzwerk verbunden. Standardmäßig können lokale Hosts das Netzwerk des Diensterstellers über den Zugriff auf private Dienste nicht erreichen.

Das VPC-Netzwerk verfügt möglicherweise über benutzerdefinierte statische oder dynamische Routen, um Traffic korrekt an Ihr lokales Netzwerk zu leiten. Das Netzwerk des Diensterstellers enthält diese Routen jedoch nicht. Wenn Sie eine private Verbindung erstellen, tauschen das VPC-Netzwerk und das Netzwerk des Diensterstellers nur Subnetzrouten aus.

Hinweis: Das Netzwerk des Diensterstellers enthält eine Standardroute (0.0.0.0/0) zum Internet. Wenn Sie eine Standardroute in das Netzwerk des Diensterstellers exportieren, wird diese ignoriert, weil die Standardroute des Diensterstellernetzwerks Vorrang hat. Definieren und exportieren Sie stattdessen eine benutzerdefinierte Route mit einem spezifischeren Ziel.

Weitere Informationen finden Sie unter Hybridverbindung konfigurieren.

Netzwerk des Diensterstellers

Auf der Diensterstellerseite der privaten Verbindung steht ein VPC-Netzwerk, in dem Ihre Dienstressourcen bereitgestellt werden. Das Netzwerk des Diensterstellers wird ausschließlich für Sie erstellt und enthält nur Ihre Ressourcen.

Eine Ressource im Netzwerk des Diensterstellers ist vergleichbar mit anderen Ressourcen in Ihrem VPC-Netzwerk. Beispielsweise ist sie über interne IP-Adressen anderer Ressourcen in Ihrem VPC-Netzwerk erreichbar. Sie können auch Firewallregeln in Ihrem VPC-Netzwerk erstellen, um den Zugriff auf das Netzwerk des Dienstanbieters zu steuern.

Weitere Informationen zur Diensterstellerseite finden Sie in der Dokumentation zu Service Infrastructure unter Zugriff auf private Dienste aktivieren. Diese Dokumentation dient nur Informationszwecken und ist nicht erforderlich, um den privaten Zugriff auf Dienste zu ermöglichen oder zu nutzen.

Preise

Informationen zu den Preisen für den Zugriff auf private Dienste finden Sie auf der Seite „VPC-Preise“ unter Zugriff auf private Dienste.

Beschränkungen

Für den Zugriff auf private Dienste gelten die folgenden Einschränkungen:

Da private Verbindungen als VPC-Netzwerk-Peering-Verbindungen implementiert werden, gelten die Verhaltensweisen und Einschränkungen von Peering-Verbindungen auch für private Verbindungen. Da das VPC-Netzwerk-Peering beispielsweise nicht transitiv ist, ist eine private Verbindung nicht für Peering-VPC-Netzwerke verfügbar.

Weitere Informationen finden Sie unter VPC-Netzwerk-Peering, Einschränkungen für VPC-Netzwerk-Peering und Kontingente und Limits.
Nur ein VPC-Netzwerk des Dienstnutzers kann eine private Verbindung erstellen, die mit einer bestimmten Instanz eines verwalteten Dienstes verbunden ist. Es gibt jedoch Möglichkeiten, die private Verbindung für Ressourcen außerhalb dieses VPC-Netzwerk verfügbar zu machen. Weitere Informationen finden Sie unter Erreichbarkeit von Dienstinstanzen.
Sie können den IP-Adressbereich, der einem zugewiesenen Bereich zugeordnet ist, nicht ändern. Sie können jedoch ändern, welche zugewiesenen Bereiche einer privaten Verbindung zugeordnet sind.
Die Verwendung von IPv6-Adressbereichen mit dem Zugriff auf private Dienste wird nicht unterstützt.

Nächste Schritte

Informationen zum Zuweisen von IP-Adressbereichen, zum Erstellen privater Verbindungen oder zum Freigeben privater DNS-Zonen finden Sie unter Zugriff auf private Dienste konfigurieren.