Come producer di servizi, puoi consentire ai consumer di servizi di eseguire il provisioning delle risorse con indirizzi IP privati (RFC 1918) o pubblici. Se i consumer di servizi vogliono utilizzare indirizzi IP privati, devono utilizzare l'accesso privato ai servizi. Tuttavia, i consumer di servizi possono utilizzare l'accesso privato ai servizi solo se il servizio gestito lo offre. Per offrire connettività privata, devi completare una procedura di onboarding una tantum.
Il processo di onboarding richiede l'uso dell'API Service Networking e delle unità di tenancy. Per istruzioni dettagliate, contatta il tuo rappresentante di Google.
Panoramica
Le seguenti sezioni descrivono i componenti e la topologia generale della rete necessari per abilitare l'accesso privato ai servizi per il tuo servizio gestito.
Unità di tenancy
Quando un consumer di servizi abilita il servizio gestito, il servizio crea un'unità di tenancy per formalizzare una relazione tra la tua organizzazione Google Cloud e il progetto del consumer di servizi. Le unità di tenancy isolano le risorse e i costi di fatturazione tra i diversi consumer di servizi.
Per ogni consumer di servizi, avrai due unità di tenancy. uno per il servizio gestito e un altro per il servizio di gestione dell'accesso privato. Il servizio gestito è il servizio esterno che offri ai consumer di servizi, mentre il servizio di gestione dell'accesso privato gestisce le connessioni private con le reti VPC dei consumer di servizi. Queste unità di tenancy devono trovarsi nella stessa organizzazione Google Cloud in cui si trova il servizio gestito.
Networking di servizi
Service Networking automatizza la configurazione della connettività privata (utilizzando il peering di rete VPC) tra te e il consumer di servizi. Puoi abilitare e utilizzare il networking di servizi nello stesso progetto in cui hai creato il servizio di gestione dell'accesso privato. Questo è un progetto diverso da quello che contiene il servizio gestito.
Quando un consumer di servizi crea una connessione privata con il servizio gestito, Service Networking crea per te un progetto host VPC condiviso e una rete VPC condivisa. Il progetto host e la rete vengono creati in una cartella Google Cloud prestabilita nella tua organizzazione. Devi specificare questo nome di cartella come parte del processo di onboarding. Il progetto e la rete sono contenuti in un'unità di tenancy, quindi sono isolati e possono essere utilizzati solo da quel consumer di servizi.
Dopo che Service Networking ha creato la rete VPC condiviso, Service Networking crea automaticamente una connessione di peering di networking VPC tra la rete VPC condiviso e la rete VPC specificata dal consumer del servizio.
I consumer di servizi devono anche fornire un intervallo di indirizzi IP allocato quando creano la connessione privata. Questa allocazione prenota gli indirizzi IP che possono essere utilizzati solo da te, ovvero un producer di servizi. Ad esempio, quando un consumer di servizi esegue il provisioning di una risorsa, puoi utilizzare Networking di servizi per creare subnet nella rete VPC condiviso. Per l'intervallo di indirizzi IP della subnet, Service Networking seleziona automaticamente un intervallo dall'intervallo allocato. Questo processo impedisce le collisioni tra la rete VPC condiviso e la rete VPC consumer dei servizi.
Progetti di servizio VPC condiviso
Quando il servizio esegue il provisioning della risorsa di un consumer di servizi per la prima volta, il servizio gestito ne esegue il provisioning in un progetto di servizio VPC condiviso, collegato al progetto host Networking di servizi. Questa relazione di VPC condiviso consente alle risorse nel progetto di servizio di utilizzare le subnet nella rete VPC condivisa.
Il servizio gestito crea il progetto di servizio in un'unità di tenancy e in una cartella prestabilita, specificata durante il processo di onboarding. La cartella e l'unità di tenancy sono correlate al servizio gestito e sono diverse da quelle utilizzate da Service Networking.
Topologia di rete
L'esempio seguente mostra un singolo consumer di servizi con connettività privata a un singolo producer di servizi. Il consumer di servizi ha eseguito il provisioning di due risorse in diverse aree geografiche. Poiché ogni risorsa si trova in un'area geografica diversa, si trova in subnet diverse.
Ci sono due progetti Endpoints: uno per il servizio gestito e un altro per il servizio di gestione dell'accesso privato. Devono trovarsi nella stessa organizzazione Google Cloud.
All'interno dell'organizzazione Google Cloud sono presenti due cartelle, una per ciascuno dei servizi Endpoints. La cartella del servizio di gestione dell'accesso privato contiene un progetto host VPC condiviso per la connessione privata. La cartella del servizio gestito contiene un progetto di servizio per le risorse del consumer di servizi.
- In ogni cartella, i progetti relativi al consumer di servizi sono contenuti in unità di tenancy. Entrambe le unità di tenancy sono associate a
consumer-project-a
.
- In ogni cartella, i progetti relativi al consumer di servizi sono contenuti in unità di tenancy. Entrambe le unità di tenancy sono associate a
I consumer di servizi devono avviare la connessione privata (che è anche una connessione di peering di rete VPC). Devono fornire un intervallo di indirizzi IP allocati per la connessione privata da cui provengono gli indirizzi IP della subnet. Per ulteriori informazioni sui passaggi del consumer di servizi, consulta Configurazione dell'accesso privato ai servizi.
- Se offri più servizi, i consumer di servizi hanno bisogno di una sola connessione privata. Tutto il traffico da e verso il consumer di servizi passa attraverso il progetto host del VPC condiviso.
In un singolo progetto consumer di servizi, più reti VPC possono connettersi privatamente ai servizi. Ciò richiede un progetto host VPC condiviso per ogni rete VPC connessa. Tuttavia, tutti questi progetti possono essere contenuti nella stessa unità di tenancy
consumer-project-a
.Nel progetto host, devi configurare le regole e le route del firewall per consentire la connettività a nuove risorse. Poiché altri servizi possono utilizzare la stessa rete VPC condivisa, queste regole possono consentire o negare la connettività tra i diversi servizi.
Procedura di onboarding
Di seguito è riportato un elenco generale del processo di onboarding. Devi completare questa procedura per ogni servizio gestito che offrirà connettività privata. Per saperne di più, contatta il tuo rappresentante di Google.
Creare un servizio di gestione del peering.
Si tratta di un servizio gestito che un producer di servizi crea tramite l'API Service Management ed Endpoints. Per ulteriori informazioni, contatta il tuo rappresentante di Google.
Fornisci le seguenti informazioni di configurazione al tuo rappresentante Google:
- L'intervallo di indirizzi IP minimo che i consumer di servizi devono allocare quando si connettono a te, specificato come lunghezza del prefisso IPv4. Se offri più servizi, è consigliabile che gli utenti allocano un intervallo di indirizzi IP più ampio, ad esempio
/16
. - L'ID cartella in cui il servizio di gestione dell'accesso privato crea progetti host VPC condivisi. Utilizza Resource Manager per trovare l'ID cartella.
- L'account di fatturazione associato all'organizzazione in cui il servizio di gestione degli accessi privati crea progetti host del VPC condiviso.
- Le entità (in genere si tratta di ID account di servizio) che gestiscono le regole firewall di rete del progetto host.
- L'intervallo di indirizzi IP minimo che i consumer di servizi devono allocare quando si connettono a te, specificato come lunghezza del prefisso IPv4. Se offri più servizi, è consigliabile che gli utenti allocano un intervallo di indirizzi IP più ampio, ad esempio
Attivare l'API Compute Engine.
Per ogni progetto host del VPC condiviso, attiva l'API
compute.googleapis.com
. Questa operazione può essere eseguita utilizzando le API Service Usage o nella configurazione del progetto.Una volta eseguito il provisioning delle risorse, configura le regole firewall per la rete VPC condiviso nel progetto host. Per accedere alla rete VPC, devi utilizzare l'identità che hai fornito durante il processo di onboarding. Se offri altri servizi, questi potrebbero utilizzare la stessa rete VPC. Non creare regole che potrebbero inavvertitamente consentire o negare il traffico verso altri servizi.
Informare i consumatori del servizio.
Informare i consumatori del servizio che devono stabilire una connessione privata. Per ulteriori informazioni, consulta Configurazione dell'accesso privato ai servizi. I consumer di servizi devono fornire le seguenti informazioni:
- Il nome del progetto e della rete in cui vuole stabilire la connettività privata.
- La regione Cloud in cui deve essere eseguito il provisioning della risorsa.
Passaggi successivi
- Per abilitare le API Service Networking, consulta la guida introduttiva all'API Service Networking.
- Per informazioni sui limiti per le connessioni private di Service Networking, consulta Quote e limiti.