IBM Cloud Docs
Informationen zu Private Path Services

Informationen zu Private Path Services

Private Pfadservices stellen private Konnektivität für IBM Cloud und Services anderer Anbieter bereit. Ein Private Path-Dienst erfordert einen Private Path-Netzwerklastenausgleich (NLB) zur Bereitstellung eines Dienstes auf IBM Cloud und ein Virtual Private Endpoint (VPE)-Gateway, über das Verbraucher eine Verbindung zum Dienst herstellen können. Der Datenverkehr verbleibt im IBM Backbone, ohne das Internet zu durchqueren.

Der typische Prozess zur Herstellung einer privaten Verbindung zwischen Anbietern und Verbrauchern sieht wie folgt aus:

  1. Der Provider erstellt einen Private Path-Service.
  2. Der Provider ordnet seinen Service für private Pfade einer NLB für private Pfade zu.
  3. Der Provider teilt relevante Informationen mit Servicekonsumenten, einschließlich eines eindeutigen CRN (Private Path Service Cloud Resource Name).
  4. Der Consumer erstellt ein VPE-Gateway, das den CRN des Private Path Service konfiguriert. Im Gegenzug wird eine Verbindungsanfrage an den Dienstanbieter gesendet.
  5. Der Provider erlaubt oder verweigert die Anforderung des Konsumenten und richtet bei Bedarf eine Kontenrichtlinie ein (alternativ kann der Provider eine Kontenrichtlinie einrichten, um Konsumentenanforderungen automatisch zuzulassen oder zu verweigern).
  6. Der Konsument wird über den Status der Verbindungsanforderung benachrichtigt. Wenn dies zulässig ist, kann der Konsument auf den Service zugreifen. Wenn dies verweigert wird, kann der Konsument den Provider kontaktieren, um weitere Informationen zu erhalten.

Weitere Informationen finden Sie im Private Path Solution Guide.

Ob Sie die folgenden Aktionen ausführen können, hängt von der Ebene der IAM-Berechtigungen, die Ihrem IBM Cloud-Account zugeordnet sind, ab. Weitere Informationen finden Sie unter Erforderliche Berechtigungen.

Erste Schritte mit Private Path Service

Führen Sie als Service-Provider die folgenden Schritte aus, um zu beginnen:

  1. Stellen Sie sicher, dass Sie eine Virtual Private Cloud (VPC) und mindestens ein Subnetz in der ausgewählten VPC haben.

  2. Erstellen Sie einen privaten Pfad NLB.

    • Sie können eine NLB mit privatem Pfad erstellen, während Sie Ihren Service für privaten Pfad erstellen, oder Sie können die Bereitstellungsseite Lastausgleichsfunktion für VPC verwenden, um einen zu erstellen. Informationen zum Erstellen einer Lastausgleichsfunktion für private Pfade, getrennt vom Service für private Pfade, finden Sie unter Netzlastausgleichsfunktion für private Pfade erstellen.
    • Sie müssen dasselbe Konto innerhalb derselben VPC-Region für Ihren Private Path NLB- und Private Path-Dienst verwenden.

  3. Erstellen Sie einen privaten Pfadservice.

    • Legen Sie die Standardrichtlinie fest, wenn einem Konto keine bestimmte Richtlinie zugeordnet ist. Die Standardrichtlinie (Überprüfen) ermöglicht Ihnen, jede Anforderung zuzulassen oder abzulehnen, während Zulassen und Verweigern den Prozess für Verbindungsanforderungen ohne bestimmte Accountrichtlinien automatisieren.
    • Erstellen Sie Kontorichtlinien für bestimmte Konto-IDs jetzt oder später. Diese Richtlinien legen fest, welche Aktion ausgeführt werden soll, wenn der Provider eine Anforderung von einem bestimmten Konto empfängt, und haben Vorrang vor der Standardrichtlinie.

Private Path-Service-Anwendungsfälle

Die folgenden Anwendungsfälle zeigen Ihnen die verschiedenen Möglichkeiten, wie Sie die Dienste des privaten Pfads nutzen können.

In allen Anwendungsfällen des privaten Pfads können Sie ALB-Richtlinienfunktionen verwenden, um den Datenverkehr des privaten Pfads zu steuern.

Anwendungsfall 1: Service mit einem einzelnen Konsumenten verbinden

Als Anbieter möchten Sie Ihre Dienstleistung mit einem Verbraucher verbinden, ohne dass Datenverkehr über das Internet fließt und ohne dass Zugriff auf Ihre gesamte VPC gewährt wird. Ihr Verbraucher kann ein Kunde, eine andere Abteilung in Ihrem Unternehmen oder etwas anderes sein.

Diese Abbildung zeigt, wie ein Dienst für private Pfade eingerichtet wird. Durch die Einrichtung eines privaten Pfadservice können Sie einen Service für einen Kunden privat zugänglich machen.

Zunächst verbindet sich eine Verbraucheranwendung mit einem VPE-Gateway in der VPC des Verbrauchers. Dann verbindet sich das VPE-Gateway mit dem Private Path NLB in der VPC des Anbieters. Der Private Path NLB wiederum ist mit dem Dienst des Anbieters verbunden. Der Dienst des Anbieters reagiert dann auf die Anfrage des Verbrauchers durch Direct Server Return (DSR). Diese Aktivität des Private Path-Service ist vollständig in einer einzelnen Region (Vereinigte Staaten (Süden)) in einem privaten IBM Cloud-Netz enthalten.

Ein privater Pfad, der einen Dienst für einen
privater Pfad, der einen Dienst für einen Kunden zugänglich macht, ohne das öffentliche Internet zu

Anwendungsfall 2: Verbindung eines Dienstes mit mehreren Verbrauchern

Diese Abbildung zeigt, wie ein Private-Path-Dienst mit Verbindungen zu mehreren VPE-Gateways von Verbrauchern eingerichtet wird.

Zunächst verbindet sich eine Verbraucheranwendung mit einem VPE-Gateway in den VPCs des Verbrauchers. Dann verbindet sich das VPE-Gateway mit dem Private Path NLB in der VPC des Anbieters. Der Private Path NLB wiederum ist mit dem Dienst des Anbieters verbunden. Der Dienst des Anbieters reagiert dann auf die Anfrage des Verbrauchers über DSR. Diese Aktivität des Private Path-Service ist vollständig in einer einzelnen Region (Vereinigte Staaten (Süden)) in einem privaten IBM Cloud-Netz enthalten.

Ein privater Pfad, der einen Dienst für mehrere
privater Pfad, der einen Dienst für mehrere Kunden zugänglich macht, ohne das öffentliche Internet zu

Anwendungsfall 3: Service mit einem Kunden in Ihrer VPC verbinden

Dieses Diagramm veranschaulicht, wie ein Private-Path-Dienst mit Verbindungen zum VPE-Gateway eines Verbrauchers innerhalb Ihrer VPC eingerichtet wird.

Verwenden Sie einen Private Path Service innerhalb einer einzelnen VPC, wenn Sie die Leistung und Skalierbarkeit eines Private Path Network Load Balancers verbessern müssen.

Zunächst stellt eine Verbraucheranwendung eine Verbindung zum VPE-Gateway des Verbrauchers innerhalb der VPC des Anbieters her. Dann verbindet sich das VPE-Gateway mit dem Private Path NLB in der VPC des Anbieters. Der Private Path NLB wiederum ist mit dem Dienst des Anbieters verbunden. Der Dienst des Anbieters reagiert dann auf die Anfrage des Verbrauchers über DSR. Diese Aktivität des Private Path-Service ist vollständig in einer einzelnen Region (Vereinigte Staaten (Süden)) in einem privaten IBM Cloud-Netz enthalten.

Ein privater Pfad, der einen Dienst für einen Kunden innerhalb derselben
privater Pfad, der einen Dienst für einen Kunden innerhalb derselben VPC bereitstellt, ohne das öffentliche Internet zu

Anwendungsfall 4: Ermöglichen der Verbindung IBM Cloud mit der VPC eines Anbieters

Private Path ermöglicht die Verbindung zwischen einem IBM Cloud wie IBM Cloud Code Engine und Ihrer VPC, ohne die Sicherheit zu beeinträchtigen oder Ihre VPC zu gefährden. Code Engine ist ein mandantenfähiger Rechendienst, der Quellcode oder containerisierte Workloads ausführt. Dank der dynamischen Skalierungsfunktionen können Ihre Anwendungen auf der Grundlage der eingehenden Anfragen automatisch hoch- und herunterskaliert werden, sogar bis auf Null. Mit seinem Pay-per-Use-Modell berechnet Code Engine nur die tatsächlich genutzte Rechenkapazität. Weitere Informationen finden Sie unter IBM Cloud Code Engine.

Dieses Diagramm veranschaulicht, wie ein Private Path-Dienst mit Verbindungen zum VPE-Gateway einer Code Engine-Anwendung und Ihrer VPC eingerichtet wird. Zunächst verbindet sich die Anwendung Code Engine mit dem VPE-Gateway innerhalb der VPC von Code Engine. Dann verbindet sich das VPE-Gateway mit dem Private Path NLB in der VPC des Anbieters. Der Private Path NLB wiederum ist mit der Anwendung des Anbieters verbunden. Die Anwendung des Anbieters antwortet dann auf die Anfrage. Diese Private Path-Dienstaktivität ist vollständig in einer einzelnen Region (us-south) in einem privaten IBM Cloud-Netzwerk enthalten.

Verwenden Sie Code Engine und Private Path, um komplexe Architekturen mit dynamischen und statischen
Sie Code Engine und Private Path, um komplexe Architekturen mit dynamischen und statischen Skalierungsanforderungen

Anwendungsfall 5: Verwendung eines ALB mit einem Private Path NLB zum Hosten von Diensten außerhalb einer VPC

Das folgende Diagramm veranschaulicht den Prozess der Einrichtung eines Private Path-Dienstes, um den Dienst eines Kunden mit dem Endpunkt eines Anbieters zu verbinden, der vor Ort oder an anderen privaten Standorten gehostet werden kann, die von der VPC des Anbieters aus zugänglich sind:

  1. Die Anwendung oder der Dienst des Kunden stellt eine Verbindung zu einem Virtual Private Endpoint (VPE)-Gateway innerhalb der VPC des Kunden her.

    Die VPC des Kunden kann ein IBM Dienst mit Unterstützung für private Pfade sein, wie MQ as a Service oder Code Engine. Dies ermöglicht Verbindungen wie die Verknüpfung eines On-Cloud MQ Queue Managers mit einem On-Premises Queue Manager oder die Verbindung eines Code Engine Projekts mit On-Premises Ressourcen.

  2. Das VPE-Gateway verbindet sich dann mit dem Private Path Network Load Balancer (NLB), der sich in der VPC des Anbieters befindet.

  3. Damit der Private Path NLB seinen Endpunkt vor Ort erreichen kann, fügt der Anbieter seinen Application Load Balancer (ALB) als Mitglied des Private Path NLB hinzu.

  4. Der Anbieter konfiguriert den lokalen Endpunkt als ALB-Pool-Mitglied.

  5. Schließlich verbindet der Anbieter den lokalen Endpunkt mit seinem ALB über IBM Cloud Direct Link.

Der Anbieter kann darüber hinaus ALB-Richtlinienfunktionen nutzen, um den Datenverkehr an den entsprechenden ALB-Pool und das entsprechende Mitglied zu leiten. Weitere Informationen finden Sie unter Richtlinienbasierter Lastausgleich.

Es wird empfohlen, die zonale Affinität im Private Path Service zu aktivieren, um sicherzustellen, dass der Datenverkehr vom Client zum VPE-Gateway zu einem Private Path NLB und ALB innerhalb derselben Zone (falls verfügbar) geleitet wird, wodurch zonenübergreifender Verkehr vermieden wird.

Ein privater Pfad, der den Dienst eines Verbrauchers mit dem lokalen Dienst eines Anbieters unter Verwendung eines ALB in einem NLB-Pool für private Pfade verbindet
Ein privater Pfad, der den Dienst eines Verbrauchers mit dem lokalen Dienst eines Anbieters unter Verwendung eines ALB in einem NLB-Pool für private Pfade verbindet