Activer l'accès aux services privés

En tant que producteur de services, vous pouvez permettre aux clients de services de provisionner des ressources avec des adresses IP privées (conformes à la RFC 1918) ou publiques. Si les clients de services souhaitent utiliser des adresses IP privées, ils doivent utiliser l'accès aux services privés. Toutefois, les clients de services ne peuvent utiliser l'accès aux services privés que si votre service géré le propose. Pour offrir une connectivité privée, vous devez effectuer un processus d'intégration unique.

Le processus d'intégration nécessite l'utilisation de l'API Service Networking et d'unités de location. Pour obtenir des instructions détaillées par étapes, contactez votre représentant Google.

Présentation

Les sections suivantes décrivent les composants et la topologie générale du réseau requis pour permettre l'accès aux services privés pour votre service géré.

Unités de location

Lorsqu'un client de services active votre service géré, le service crée une unité de location pour formaliser une relation entre votre organisation Google Cloud et le projet du client de services. Les unités de location isolent les ressources et les coûts de facturation entre différents clients de services.

Pour chaque client de services, vous aurez deux unités de location, une pour votre service géré et une autre pour le service de gestion des accès privés. Le service géré est le service externe que vous proposez aux clients de services. Le service de gestion des accès privés gère les connexions privées avec les réseaux VPC des clients de services. Ces unités de location doivent appartenir à la même organisation Google Cloud que celle où réside votre service géré.

Service Networking

Service Networking automatise la configuration de la connectivité privée (à l'aide de l'appairage de réseaux VPC) entre vous et le client de services. Vous activez et utilisez Service Networking dans le même projet que celui dans lequel vous avez créé le service de gestion des accès privés. Il s'agit d'un projet différent de celui contenant votre service géré.

Lorsqu'un client de services crée une connexion privée avec votre service géré, Service Networking crée un projet hôte de VPC partagé et un réseau VPC partagé pour vous. Le projet et le réseau hôte sont créés dans un dossier Google Cloud prédéfini dans votre organisation. Vous spécifiez ce nom de dossier lors du processus d'intégration. Le projet et le réseau sont contenus dans une unité de location. Ils sont donc isolés et ne peuvent être utilisés que par ce client de services.

Une fois que Service Networking a créé le réseau VPC partagé, il crée automatiquement une connexion d'appairage de réseaux VPC entre le réseau VPC partagé et le réseau VPC spécifié par le client de services.

Les clients de services doivent également fournir une plage d'adresses IP allouée lorsqu'ils créent la connexion privée. Cette allocation réserve des adresses IP qui ne peuvent être utilisées que par vous, un producteur de services. Par exemple, lorsqu'un client de services provisionne une ressource, vous utilisez Service Networking pour créer des sous-réseaux dans le réseau VPC partagé. Pour la plage d'adresses IP du sous-réseau, Service Networking sélectionne automatiquement une plage dans la plage allouée. Ce processus évite les conflits entre le réseau VPC partagé et le réseau VPC du client de services.

Projets de service VPC partagé

Lorsque votre service provisionne les ressources d'un client de services pour la première fois, votre service géré les provisionne dans un projet de service VPC partagé associé au projet hôte de Service Networking. Cette relation de VPC partagé permet aux ressources du projet de service d’utiliser des sous-réseaux dans le réseau VPC partagé.

Votre service géré crée le projet de service dans une unité de location et un dossier prédéfini, spécifiés lors du processus d'intégration. Le dossier et l'unité de location sont liés à votre service géré et sont différents de ceux utilisés par Service Networking.

Topologie du réseau

L'exemple suivant présente un client de service unique disposant d'une connectivité privée vers un seul producteur de services. Le client de services a provisionné deux ressources dans différentes régions. Comme les ressources sont dans des régions différentes, elles se trouvent dans des sous-réseaux différents.

Présentation de Service Networking pour les producteurs de services (cliquez pour agrandir)
  • Il existe deux projets Endpoints : un pour le service géré et un autre pour le service de gestion des accès privés. Ceux-ci doivent appartenir à la même organisation Google Cloud.

  • Au sein de l'organisation Google Cloud, il existe deux dossiers, un pour chacun des services Endpoints. Le dossier du service de gestion des accès privés contient un projet hôte de VPC partagé pour la connexion privée. Le dossier du service géré contient un projet de service pour les ressources des clients de services.

    • Dans chaque dossier, les projets liés aux clients de services sont contenus dans des unités de location. Les deux unités de location sont associées à consumer-project-a.
  • Les clients de services doivent établir la connexion privée (qui est également une connexion d'appairage de réseaux VPC). Ils doivent fournir une plage d'adresses IP allouée pour la connexion privée d'où proviennent les adresses IP de sous-réseau. Pour plus d'informations sur les étapes relatives aux clients de services, consultez la page Configurer l'accès aux services privés.

    • Si vous proposez plusieurs services, les clients de services n'ont besoin que d'une seule connexion privée. Tout le trafic en provenance et à destination du client de services passe par le projet hôte de VPC partagé.
  • Dans un projet de client de services unique, plusieurs réseaux VPC peuvent se connecter en privé à vos services. Cela requiert un projet hôte de VPC partagé pour chaque réseau VPC connecté. Cependant, tous ces projets peuvent être contenus dans la même unité de location consumer-project-a.

  • Dans le projet hôte, vous devez configurer les routes et les règles de pare-feu pour permettre la connectivité à de nouvelles ressources. Étant donné que d'autres services peuvent utiliser le même réseau VPC partagé, ces règles peuvent autoriser ou refuser la connectivité entre vos différents services.

Processus d'intégration

La liste suivante constitue un aperçu général du processus d’intégration. Vous devez effectuer ce processus pour chaque service géré qui proposera une connectivité privée. Pour plus d'informations, contactez votre représentant Google.

  1. Créez un service de gestion d'appairage.

    Il s'agit d'un service géré créé par un producteur de services via l'API Service Management et l'API Endpoints. Pour en savoir plus, contactez votre représentant Google.

  2. Fournissez les informations de configuration suivantes à votre représentant Google :

    • La plage d'adresses IP minimale que les clients de services doivent attribuer lorsqu'ils se connectent à vos services, spécifiée sous la forme d'une longueur de préfixe IPv4. Si vous proposez plusieurs services, vous voudrez peut-être que les utilisateurs allouent une plage d'adresses IP plus étendue, telle que /16.
    • L'ID du dossier dans lequel votre service de gestion des accès privés crée des projets hôtes de VPC partagé. Utilisez Resource Manager pour trouver l'ID du dossier.
    • Le compte de facturation associé à l'organisation dans laquelle votre service de gestion des accès privés crée des projets hôtes de VPC partagé.
    • Les comptes principaux (généralement des ID de compte de service) qui gèrent les règles de pare-feu de réseau du projet hôte.
  3. Activez l'API Compute Engine.

    Pour chaque projet hôte de VPC partagé, activez l'API compute.googleapis.com. Pour ce faire, utilisez les API Service Usage ou accédez à la configuration du projet.

    Une fois les ressources provisionnées, configurez les règles de pare-feu pour le réseau VPC partagé dans le projet hôte. Vous devez utiliser l'identité que vous avez fournie lors du processus d'intégration pour accéder au réseau VPC. Si vous proposez d'autres services, ceux-ci peuvent utiliser le même réseau VPC. Ne créez pas de règles pouvant autoriser ou refuser par inadvertance du trafic vers d'autres services.

  4. Informez les clients de services.

    Informez les clients de services qu'ils doivent établir une connexion privée. Pour plus d'informations, consultez la page Configurer l'accès aux services privés. Les clients de services doivent fournir les informations suivantes :

    • Le nom du projet et du réseau sur lesquels ils souhaitent établir une connectivité privée.
    • La région cloud où la ressource doit être provisionnée.

Étapes suivantes