Attivazione dell'accesso privato ai servizi

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Come producer di servizi, puoi consentire ai consumer di servizi di eseguire il provisioning di risorse con indirizzi IP privati (RFC 1918) o pubblici. Se i consumer di servizi vogliono utilizzare indirizzi IP privati, devono utilizzare l'accesso privato ai servizi. Tuttavia, i consumer di servizi possono utilizzare l'accesso privato ai servizi solo se il servizio gestito lo offre. Per offrire connettività privata, devi completare una procedura di onboarding una tantum.

Il processo di onboarding richiede l'utilizzo dell'API Service Networking e delle unità di tenancy. Per istruzioni dettagliate, contatta il tuo rappresentante Google.

Panoramica

Le seguenti sezioni descrivono i componenti e la topologia di rete generale richiesta per consentire l'accesso privato ai servizi gestiti.

Unità di tenancy

Quando un consumer di servizi abilita il tuo servizio gestito, questo crea un'unità di tenancy per formalizzare una relazione tra la tua organizzazione Google Cloud e il progetto del consumer di servizi. Le unità di tenancy isolano le risorse e i costi di fatturazione tra i diversi consumer di servizi.

Per ogni consumer di servizi, avrai due unità di tenancy. Uno per il servizio gestito e un altro per il servizio di gestione dell'accesso privato. Il servizio gestito è il servizio esterno che offri ai consumatori di servizi, mentre il servizio di gestione dell'accesso privato gestisce le connessioni private con le reti VPC dei servizi. Queste unità di tenancy devono appartenere alla stessa organizzazione Google Cloud in cui si trova il servizio gestito.

Networking di servizi

Service Networking automatizza la configurazione della connettività privata (utilizzando il peering di rete VPC) tra te e il consumer di servizi. Puoi abilitare e utilizzare la rete dei servizi nello stesso progetto in cui hai creato il servizio di gestione dell'accesso privato. Si tratta di un progetto diverso da quello che contiene il tuo servizio gestito.

Quando un consumer di servizi crea una connessione privata con il servizio gestito, Networking Service crea un progetto host VPC condiviso e una rete VPC condivisa per te. Il progetto host e la rete vengono creati in una cartella Google Cloud preimpostata nella tua organizzazione. Devi specificare questo nome di cartella nell'ambito del processo di onboarding. Il progetto e la rete sono contenuti in un'unità di tenancy, quindi sono isolati e possono essere utilizzati solo dal consumer del servizio.

Dopo che Networking Service ha creato la rete VPC condiviso, Networking di servizio crea automaticamente una connessione in peering VPC tra la rete VPC condivisa e la rete VPC specificata del servizio specificata dal consumatore.

I consumer di servizi devono anche fornire un intervallo di indirizzi IP allocato quando creano la connessione privata. Questa allocazione riserva gli indirizzi IP che possono essere utilizzati solo da te, un produttore di servizi. Ad esempio, quando un consumer di servizi esegue il provisioning di una risorsa, utilizzi Networking Service per creare subnet nella rete VPC condiviso. Per l'intervallo di indirizzi IP della subnet, Networking Service seleziona automaticamente un intervallo dall'intervallo allocato. Questo processo previene le conflitti tra la rete VPC condivisa e la rete VPC del servizio.

Progetti di servizio VPC condivisi

Quando il servizio esegue il provisioning di una risorsa del consumer di servizi per la prima volta, il servizio gestito lo esegue in un progetto di servizio VPC condiviso, che è collegato al progetto host del servizio di rete. Questa relazione VPC condivisa consente alle risorse nel progetto di servizio di utilizzare le subnet nella rete VPC condiviso.

Il servizio gestito crea il progetto di servizio in un'unità di tenancy e in una cartella predefinita, specificata durante il processo di onboarding. La cartella e l'unità di tenancy sono correlate al servizio gestito e sono diverse da quelle utilizzate da Service Networking.

Topologia di rete

L'esempio seguente mostra un singolo consumer di servizi che ha una connettività privata a un singolo producer di servizi. Il consumer di servizi ha eseguito il provisioning di due risorse in aree geografiche diverse. Poiché ogni risorsa si trova in un'area geografica diversa, si trova in subnet diverse.

Panoramica di Networking dei servizi per i producer di servizi (fai clic per ingrandire)
  • Esistono due progetti di endpoint: uno per il servizio gestito e un altro per il servizio di gestione dell'accesso privato. Devono appartenere alla stessa organizzazione Google Cloud.

  • All'interno dell'organizzazione Google Cloud, sono disponibili due cartelle, una per ciascuno dei servizi Endpoints. La cartella del servizio di gestione dell'accesso privato contiene un progetto host del VPC condiviso per la connessione privata. La cartella del servizio gestito contiene un progetto di servizio per le risorse consumer di servizi.

    • In ogni cartella, i progetti relativi ai servizi consumer sono contenuti in unità di tenancy. Entrambe le unità di tenancy sono associate a consumer-project-a.
  • I consumer di servizi devono avviare la connessione privata (che è anche una connessione in peering VPC di rete). Devono fornire un intervallo di indirizzi IP allocato per la connessione privata da cui provengono gli indirizzi IP di subnet. Per ulteriori informazioni sui passaggi per l'utente di servizio, vedi Configurazione dell'accesso privato ai servizi.

    • Se offri più servizi, i consumer di servizi hanno bisogno di una sola connessione privata. Tutto il traffico da e verso il consumer di servizi passa attraverso il progetto host del VPC condiviso.
  • In un singolo progetto consumer di servizi, più reti VPC possono connettersi in privato ai servizi. Ciò richiede un progetto host VPC condiviso per ciascuna rete VPC connessa. Tuttavia, tutti questi progetti possono essere contenuti nella stessa unità di tenancy di consumer-project-a.

  • Nel progetto host, devi configurare le regole firewall e le route per abilitare la connettività alle nuove risorse. Poiché altri servizi possono utilizzare la stessa rete VPC condivisa, queste regole possono consentire o negare la connettività tra i diversi servizi.

Operazioni preliminari

Il seguente elenco fornisce una panoramica generale della procedura di onboarding. Devi completare questa procedura per ogni servizio gestito che offrirà connettività privata. Per scoprire di più, contatta il tuo rappresentante di Google.

  1. Creare un servizio di gestione di peering.

    Si tratta di un servizio gestito che un producer di servizi crea tramite l'API Service Management ed Endpoints. Per ulteriori informazioni, contatta il tuo rappresentante di Google.

  2. Fornisci le seguenti informazioni di configurazione al rappresentante Google:

    • L'intervallo di indirizzi IP minimo che i consumatori di servizio devono allocare quando si connettono a te, specificato come lunghezza del prefisso IPv4. Se offri più servizi, potresti volere allocare un intervallo di indirizzi IP più ampio, ad esempio /16.
    • L'ID cartella in cui il servizio di gestione dell'accesso privato crea i progetti ospitati da VPC. Utilizza Resource Manager per trovare l'ID cartella.
    • L'account di fatturazione associato all'organizzazione in cui il servizio di gestione dell'accesso privato crea progetti host del VPC condiviso.
    • Le entità (in genere gli ID account di servizio) che gestiscono le regole firewall di rete del progetto host.
  3. Attiva l'API API Compute Engine.

    Per ogni progetto host del VPC condiviso, attiva l'API compute.googleapis.com, puoi farlo utilizzando le API Service Usage o nella configurazione del progetto.

    Una volta eseguito il provisioning delle risorse, configura le regole firewall per la rete VPC condivisa nel progetto host. Per accedere alla rete VPC devi utilizzare l'identità che hai fornito durante il processo di onboarding. Se offri altri servizi, questi potrebbero utilizzare la stessa rete VPC. Non creare regole che potrebbero inavvertitamente consentire o negare il traffico verso altri servizi.

  4. Informa i consumatori dei servizi.

    Comunica ai consumatori del servizio che devono stabilire una connessione privata. Per ulteriori informazioni, consulta la sezione Configurare l'accesso ai servizi privati. I consumer di servizi devono fornire le seguenti informazioni:

    • Il nome del progetto e della rete in cui vuole stabilire la connettività privata.
    • L'area geografica Cloud in cui deve essere eseguito il provisioning della risorsa.

Passaggi successivi