Private Service Connect

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite werden Konzepte im Zusammenhang mit Private Service Connect beschrieben. Sie können Private Service Connect für folgende Zwecke verwenden:

• Sie können eine Verbindung zu einer Cloud SQL-Instanz von mehreren VPC-Netzwerken aus herstellen, die zu verschiedenen Gruppen, Teams, Projekten oder Organisationen gehören.
• Verbindung zu einer primären Instanz oder einem ihrer Lesereplikate herstellen

Private Service Connect-Endpunkt

Sie können Private Service Connect-Endpunkte verwenden, um privat von Ihren VPC-Netzwerken für Nutzer auf Cloud SQL-Instanzen zuzugreifen. Diese Endpunkte sind interne IP-Adressen, die einer Weiterleitungsregel zugeordnet sind, die auf einen Dienstanhang einer Cloud SQL-Instanz verweist.

Sie können den Endpunkt entweder automatisch von Cloud SQL für Sie erstellen lassen oder ihn manuell erstellen.

Wenn Cloud SQL den Endpunkt automatisch erstellen soll, gehen Sie so vor:

1. Erstellen Sie in Ihren VPC-Netzwerken eine Richtlinie für Dienstverbindungen.

2. Erstellen Sie eine Cloud SQL-Instanz mit aktiviertem Private Service Connect für die Instanz und konfigurieren Sie die Instanz so, dass automatisch ein Endpunkt erstellt wird. Geben Sie beim Erstellen der Instanz Parameter für die automatische Verbindung an, z. B. VPC-Netzwerke und Projekte.

   Cloud SQL sucht in diesen Netzwerken die Richtlinie für Dienstverbindungen und erstellt einen Private Service Connect-Endpunkt, der auf den Dienstanhang der Instanz verweist.

   Nachdem Sie die Instanz und Cloud SQL den Endpunkt erstellt haben, können die Clients in den entsprechenden VPC-Netzwerken vom Endpunkt aus eine Verbindung zur Instanz herstellen, entweder über eine IP-Adresse oder einen DNS-Eintrag. Diese Funktion, mit der Cloud SQL den Endpunkt automatisch erstellt, ist in der Vorabversion verfügbar.

So erstellen Sie den Endpunkt manuell:

1. Erstellen Sie eine Cloud SQL-Instanz mit aktiviertem Private Service Connect für die Instanz.
2. Rufen Sie den URI für den Dienstanhang ab, den Sie zum manuellen Erstellen des Endpunkts benötigen.

3. Reservieren Sie in Ihrem VPC-Netzwerk eine interne IP-Adresse für den Endpunkt und erstellen Sie einen Endpunkt mit dieser Adresse.

   Nachdem Sie die Instanz erstellt und Cloud SQL den Endpunkt erstellt hat, können die Clients in den entsprechenden VPC-Netzwerken vom Endpunkt aus eine Verbindung zur Instanz herstellen, entweder über eine IP-Adresse oder einen DNS-Eintrag.

Richtlinie für Dienstverbindungen

Mit einer Richtlinie für Dienstverbindungen können Sie eine bestimmte Dienstklasse zum Erstellen einer Private Service Connect-Verbindung zwischen VPC-Netzwerken autorisieren. Daher können Sie Private Service Connect-Endpunkte automatisch bereitstellen. Diese Funktion ist in der Vorabversion verfügbar.

Sie können maximal eine Richtlinie für jede Kombination aus Dienstklasse, Region und VPC-Netzwerk erstellen. Eine Richtlinie schreibt die Automatisierung der Dienstkonnektivität für diese bestimmte Kombination vor. Wenn Sie eine Richtlinie konfigurieren, wählen Sie ein Subnetz aus. Das Subnetz wird verwendet, um den Endpunkten, die Sie über die Richtlinie erstellen, IP-Adressen zuzuweisen. Wenn mehrere Richtlinien für Dienstverbindungen dieselbe Region haben, können Sie dasselbe Subnetz für alle Richtlinien wiederverwenden.

Wenn Sie beispielsweise die Automatisierung der Dienstverbindung mit zwei Diensten in drei verschiedenen Regionen verwenden möchten, erstellen Sie sechs Richtlinien. Sie können mindestens drei Subnetze verwenden: eines für jede Region.

Nachdem Sie eine Richtlinie für Dienstverbindungen erstellt haben, können Sie nur die Subnetze und das Verbindungslimit der Richtlinie aktualisieren. Wenn Sie andere Felder aktualisieren müssen, gehen Sie so vor:

1. Entfernen Sie alle Verbindungen, die die Richtlinie verwenden.
2. Löschen Sie die Richtlinie.
3. Erstellen Sie eine neue Richtlinie.

Dienstanhang

Wenn Sie eine Cloud SQL-Instanz erstellen und die Instanz für die Verwendung von Private Service Connect konfigurieren, erstellt Cloud SQL automatisch einen Dienstanhang für die Instanz. Ein Dienstanhang ist ein Verknüpfungspunkt, über den VPC-Netzwerke auf die Instanz zugreifen.

Sie erstellen einen Private Service Connect-Endpunkt, über den das VPC-Netzwerk eine Verbindung zum Dienstanhang herstellt. Dadurch kann das Netzwerk auf die Instanz zugreifen.

Jede Cloud SQL-Instanz hat einen Dienstanhang, zu dem der Private Service Connect-Endpunkt über das VPC-Netzwerk eine Verbindung herstellen kann. Wenn mehrere Netzwerke vorhanden sind, hat jedes Netzwerk einen eigenen Endpunkt.

DNS-Namen und -Einträge

Bei Instanzen, auf denen Private Service Connect aktiviert ist, empfehlen wir die Verwendung des DNS-Namens, da verschiedene Netzwerke eine Verbindung zur selben Instanz herstellen können und Private Service Connect-Endpunkte in jedem Netzwerk unterschiedliche IP-Adressen haben können. Außerdem benötigt der Cloud SQL Auth-Proxy DNS-Namen, um eine Verbindung zu diesen Instanzen herzustellen.

Cloud SQL erstellt DNS-Einträge nicht automatisch. Stattdessen wird ein Vorschlag für einen DNS-Namen aus der API-Antwort auf die Instanzsuche erstellt. Wir empfehlen, den DNS-Eintrag in einer privaten DNS-Zone im entsprechenden VPC-Netzwerk zu erstellen. Dies stellt einen konsistenten Ansatz zum Herstellen einer Verbindung aus verschiedenen Netzwerken bereit.

Zulässige Private Service Connect-Projekte

Zulässige Projekte sind Projekte, die mit VPC-Netzwerken verknüpft und für die einzelnen Cloud SQL-Instanzen spezifisch sind. Wenn eine Instanz nicht in einem zulässigen Projekt enthalten ist, können Sie Private Service Connect nicht für die Instanz aktivieren.

Bei diesen Projekten können Sie für jede Instanz Private Service Connect-Endpunkte erstellen. Wenn ein Projekt nicht explizit zugelassen ist, können Sie weiterhin einen Endpunkt für die Instanzen im Projekt erstellen. Der Endpunkt hat jedoch weiterhin den Status PENDING.

Private Service Connect-Endpunktweitergabe

Standardmäßig sind Private Service Connect-Verbindungen von Peering-VPC-Netzwerken nicht transitiv. Sie müssen in jedem VPC-Netzwerk, das eine Verbindung zu Ihrer Cloud SQL-Instanz herstellen muss, einen Private Service Connect-Endpunkt erstellen. Wenn Sie beispielsweise drei VPC-Netzwerke haben, die eine Verbindung zu Ihrer Instanz herstellen müssen, müssen Sie drei Private Service Connect-Endpunkte erstellen – einen Endpunkt für jedes VPC-Netzwerk.

Durch die Weitergabe von Private Service Connect-Endpunkten über den Network Connectivity Center-Hub sind diese Endpunkte jedoch für jedes andere Spoke-VPC-Netzwerk im selben Hub erreichbar. Der Hub bietet ein zentrales Modell für die Verbindungsverwaltung, um Spoke-VPC-Netzwerke mit Private Service Connect-Endpunkten zu verbinden.

Das Feature zur Verbindungsweitergabe in Network Connectivity Center eignet sich für den folgenden Anwendungsfall für Private Service Connect-Bereitstellungen:

Sie können ein VPC-Netzwerk mit gängigen Diensten verwenden, um mehrere Private Service Connect-Endpunkte zu erstellen. Durch Hinzufügen eines einzelnen VPC-Netzwerks für allgemeine Dienste zum Network Connectivity Center-Hub werden alle Private Service Connect-Endpunkte im VPC-Netzwerk vorübergehend für andere Spoke-VPC-Netzwerke über den Hub zugänglich. Durch diese Verbindung muss jeder Private Service Connect-Endpunkt in jedem VPC-Netzwerk nicht einzeln verwaltet werden.

Informationen zum Übertragen von Private Service Connect-Endpunkten an Spoke-VPC-Netzwerke mithilfe des Network Connectivity Center-Hubs finden Sie im Codelab zur Weitergabe von Private Service Connect.

Nächste Schritte

• Weitere Informationen zu privaten IP-Adressen
• Verbindung zu einer Instanz über Private Service Connect herstellen.