Come producer di servizi, puoi consentire ai consumer dei servizi di eseguire il provisioning di risorse con indirizzi IP privati (RFC 1918) o pubblici. Se i consumer di servizi vogliono utilizzare indirizzi IP privati, devono utilizzare l'accesso privato ai servizi. Tuttavia, i consumer di servizi possono utilizzare l'accesso privato ai servizi solo se il servizio gestito lo offre. Per offrire connettività privata, devi completare una procedura di onboarding una tantum.
Il processo di onboarding richiede l'utilizzo dell'API Service Networking e delle unità di tenancy. Per istruzioni dettagliate, contatta il tuo rappresentante di Google.
Panoramica
Le sezioni seguenti descrivono i componenti e la topologia di rete generale necessari per abilitare l'accesso privato ai servizi gestiti.
Unità di tenancy
Quando un consumer di servizi abilita il tuo servizio gestito, crea un'unità di tenancy per ufficializzare una relazione tra la tua organizzazione Google Cloud e il progetto del consumer di servizi. Le unità di tenant isolano le risorse e i costi di fatturazione tra diversi consumer di servizi.
Per ogni consumer di servizi avrai due unità di tenancy. uno per il servizio gestito e un altro per quello di gestione degli accessi privati. Il servizio gestito è il servizio esterno che offri ai consumer di servizi, mentre il servizio di gestione degli accessi privati gestisce le connessioni private con le reti VPC dei consumer di servizi. Queste unità di tenancy devono trovarsi nella stessa organizzazione Google Cloud in cui si trova il servizio gestito.
Networking di servizi
Networking dei servizi automatizza la configurazione della connettività privata (utilizzando il peering di rete VPC) tra te e il consumer dei servizi. Abilitare e utilizzare Service Networking nello stesso progetto in cui è stato creato il servizio di gestione degli accessi privati. Si tratta di un progetto diverso da quello che contiene il tuo servizio gestito.
Quando un consumer di servizi crea una connessione privata con il servizio gestito, Service Networking crea un progetto host VPC condiviso e una rete VPC condivisa per te. Il progetto host e la rete vengono creati in una cartella Google Cloud predefinita nella tua organizzazione. Specifica il nome di questa cartella come parte del processo di onboarding. Il progetto e la rete sono contenuti in un'unità di tenancy, quindi sono isolati e possono essere utilizzati solo dal consumer di servizi.
Dopo aver creato la rete VPC condivisa, Networking di servizio crea automaticamente una connessione VPC di rete VPC tra la rete VPC condivisa e la rete VPC specificata dal consumer di servizi.
I consumer di servizi devono anche fornire un intervallo di indirizzi IP allocato quando creano la connessione privata. Questa allocazione riserva gli indirizzi IP che possono essere utilizzati solo da te, un produttore di servizi. Ad esempio, quando un consumer di servizi esegue il provisioning di una risorsa, puoi utilizzare Networking di servizio per creare subnet nella rete VPC condiviso. Per l'intervallo di indirizzi IP della subnet, Networking della rete seleziona automaticamente un intervallo dall'intervallo allocato. Questo processo evita conflitti tra la rete VPC condivisa e la rete VPC consumer del servizio.
Progetti di servizio VPC condivisi
Quando il servizio esegue il provisioning di una risorsa del consumer di servizi per la prima volta, viene eseguito il provisioning di un servizio gestito in un progetto di servizio VPC condiviso, che è collegato al progetto host del servizio di networking. Questa relazione VPC condiviso consente alle risorse nel progetto di servizio di utilizzare le subnet nella rete VPC condiviso.
Il servizio gestito crea il progetto di servizio in un'unità di tenancy e in una cartella predefinita, specificate durante il processo di onboarding. La cartella e l'unità di tenancy sono correlate al servizio gestito e sono diverse da quelle utilizzate dal servizio Networking.
Topologia di rete
L'esempio seguente mostra un singolo consumer di servizi con connettività privata a un singolo producer di servizi. Il consumer dei servizi ha eseguito il provisioning di due risorse in aree geografiche diverse. Poiché ogni risorsa si trova in una regione diversa, si trovano in subnet diverse.
Esistono due progetti Endpoints: uno per il servizio gestito e un altro per il servizio di gestione degli accessi privati. Devono trovarsi nella stessa organizzazione Google Cloud.
All'interno dell'organizzazione Google Cloud sono presenti due cartelle, una per ogni servizio Endpoints. La cartella del servizio di gestione degli accessi privati contiene un progetto host del VPC condiviso per la connessione privata. La cartella del servizio gestito contiene un progetto di servizio per le risorse consumer dei servizi.
- In ogni cartella, i progetti relativi al consumer di servizi sono contenuti in unità di tenancy. Entrambe le unità di tenancy sono associate a
consumer-project-a.
- In ogni cartella, i progetti relativi al consumer di servizi sono contenuti in unità di tenancy. Entrambe le unità di tenancy sono associate a
I consumer di servizi devono avviare la connessione privata (che è anche una connessione di peering di rete VPC). Devono fornire un intervallo di indirizzi IP allocato per la connessione privata da cui provengono gli indirizzi IP delle subnet. Per ulteriori informazioni sui passaggi per i consumer di servizi, vedi Configurare l'accesso privato ai servizi.
- Se offri più servizi, hai bisogno di una sola connessione privata per i consumer dei servizi. Tutto il traffico da e verso il consumer dei servizi passa attraverso il progetto host del VPC condiviso.
In un singolo progetto consumer di servizi, più reti VPC possono connettersi privatamente ai tuoi servizi. Ciò richiede un progetto host del VPC condiviso per ogni rete VPC connessa. Tuttavia, tutti questi progetti possono essere contenuti nella stessa unità di tenancy di
consumer-project-a.Nel progetto host devi configurare le regole firewall e le route per abilitare la connettività alle nuove risorse. Poiché altri servizi possono utilizzare la stessa rete VPC condivisa, queste regole possono consentire o negare la connettività tra i diversi servizi.
Procedura di onboarding
Di seguito è riportata una panoramica generale della procedura di onboarding. Devi completare questa procedura per ogni servizio gestito che offrirà connettività privata. Per ulteriori informazioni, contatta il tuo rappresentante di Google.
Creare un servizio di gestione di peering.
Si tratta di un servizio gestito creato da un producer di servizi tramite l'API Service Management ed Endpoints. Per ulteriori informazioni, contatta il tuo rappresentante di Google.
Fornisci le seguenti informazioni di configurazione al tuo rappresentante Google:
- L'intervallo di indirizzi IP minimo che i consumer di servizi devono allocare quando si connettono a te, specificato come lunghezza del prefisso IPv4. Se offri più servizi, può essere opportuno allocare gli utenti a un intervallo di indirizzi IP più ampio, ad esempio
/16. - L'ID cartella in cui il tuo servizio di gestione dell'accesso privato crea progetti VPC condivisi. Utilizza Resource Manager per trovare l'ID cartella.
- L'account di fatturazione associato all'organizzazione in cui il servizio di gestione degli accessi privati crea progetti host VPC condivisi.
- Le entità (in genere si tratta di ID account di servizio) che gestiscono le regole firewall di rete del progetto host.
- L'intervallo di indirizzi IP minimo che i consumer di servizi devono allocare quando si connettono a te, specificato come lunghezza del prefisso IPv4. Se offri più servizi, può essere opportuno allocare gli utenti a un intervallo di indirizzi IP più ampio, ad esempio
Attiva l'API Compute Engine.
Per ogni progetto host del VPC condiviso, attiva l'API
compute.googleapis.com, cosa che puoi fare utilizzando le API Service Usage o nella configurazione del progetto.Dopo aver eseguito il provisioning delle risorse, configura le regole firewall per la rete VPC condivisa nel progetto host. Per accedere alla rete VPC, devi utilizzare l'identità fornita durante il processo di onboarding. Se offri altri servizi, questi servizi potrebbero utilizzare la stessa rete VPC. Non creare regole che potrebbero consentire o negare involontariamente il traffico ad altri servizi.
Informare i consumatori di servizi.
Comunica ai consumatori del servizio che devono stabilire una connessione privata. Per ulteriori informazioni, consulta la sezione Configurare l'accesso privato ai servizi. I consumer di servizi devono fornire le seguenti informazioni:
- Il nome del progetto e della rete in cui vuole stabilire la connettività privata.
- La regione Cloud in cui deve essere eseguito il provisioning della risorsa.
Passaggi successivi
- Per abilitare le API Service Networking, consulta la guida introduttiva all'API Service Networking.
- Per informazioni sui limiti di connessioni private di Service Networking, consulta Quote e limiti.