In qualità di producer di servizi, puoi consentire ai consumatori di servizi di eseguire il provisioning delle risorse con indirizzi IP privati (RFC 1918) o pubblici. Se i consumatori di servizi vogliono utilizzare indirizzi IP privati, devono utilizzare l'accesso ai servizi privati. Tuttavia, i consumatori di servizi possono utilizzare l'accesso privato ai servizi solo se il tuo servizio gestito lo offre. Per offrire la connettività privata, devi completare una sola volta la procedura di onboarding.
La procedura di onboarding richiede l'utilizzo dell'API Service Networking e delle unità di tenancy. Per istruzioni dettagliate passo passo, contatta il tuo rappresentante di Google.
Panoramica
Le sezioni seguenti descrivono i componenti e la topologia di rete generale necessari per attivare l'accesso ai servizi privati per il servizio gestito.
Unità di tenancy
Quando un consumer di servizi attiva il servizio gestito, il servizio crea un'unità di tenancy per formalizzare un rapporto tra la tua organizzazione Google Cloud e il progetto del consumer di servizi. Le unità di tenancy isolano le risorse e i costi di fatturazione tra diversi consumatori di servizi.
Per ogni consumatore di servizi, avrai due unità di tenancy. Uno per il servizio gestito e un altro per il servizio di gestione dell'accesso privato. Il servizio gestito è il servizio esterno che offri ai consumer di servizi e il servizio di gestione dell'accesso privato gestisce le connessioni private con le reti VPC dei consumer di servizi. Queste unità di tenancy devono trovarsi nella stessa organizzazione Google Cloud in cui si trova il servizio gestito.
Networking di servizi
Service Networking automatizza la configurazione della connettività privata (utilizzando il peering di reti VPC) tra te e il consumatore di servizi. Abilita e utilizza Service Networking nello stesso progetto in cui hai creato il servizio di gestione dell'accesso privato. Si tratta di un progetto diverso da quello che contiene il servizio gestito.
Quando un consumer di servizi crea una connessione privata con il tuo servizio gestito, Service Networking crea per te un progetto host VPC condiviso e una rete VPC condivisa. Il progetto host e la rete vengono creati in una cartella Google Cloud predesignata della tua organizzazione. Questo nome della cartella viene specificato nell'ambito della procedura di onboarding. Il progetto e la rete sono contenuti in un'unità di tenancy, quindi sono isolati e possono essere utilizzati solo dal consumer del servizio.
Dopo che Service Networking ha creato la rete VPC condiviso, Service Networking crea automaticamente una connessione in peering di rete VPC tra la rete VPC condiviso e la rete VPC specificata dal consumatore di servizi.
I consumer dei servizi devono anche fornire un intervallo di indirizzi IP allocato quando creano la connessione privata. Questa allocazione riserva indirizzi IP che possono essere utilizzati solo da te, in qualità di producer di servizi. Ad esempio, quando un consumatore di servizi provisiona una risorsa, utilizzi Service Networking per creare subnet nella rete VPC condiviso. Per l'intervallo di indirizzi IP della subnet, Service Networking seleziona automaticamente un intervallo dall'intervallo allocato. Questo processo impedisce collisioni tra la rete VPC condiviso e la rete VPC del consumer del servizio.
Progetti di servizi VPC condiviso
Quando il servizio esegue il provisioning della risorsa di un consumatore di servizi per la prima volta, il servizio gestito esegue il provisioning in un progetto di servizio VPC condiviso, collegato al progetto host Service Networking. Questa relazione VPC condiviso consente alle risorse del progetto di servizio di utilizzare le subnet nella rete VPC condivisa.
Il servizio gestito crea il progetto di servizio in un'unità di tenancy e in una cartella predesignata, specificata durante la procedura di onboarding. La cartella e l'unità di tenancy sono correlate al servizio gestito e sono diverse da quelle utilizzate da Service Networking.
Topologia di rete
L'esempio seguente mostra un singolo consumer di servizi con connettività privata a un singolo producer di servizi. Il consumatore del servizio ha eseguito il provisioning di due risorse in regioni diverse. Poiché ogni risorsa si trova in una regione diversa, si trovano in subnet diverse.
Esistono due progetti Endpoints: uno per il servizio gestito e un altro per il servizio di gestione dell'accesso privato. Devono trovarsi nella stessa organizzazione Google Cloud.
All'interno dell'organizzazione Google Cloud sono presenti due cartelle, una per ciascuno dei servizi Endpoints. La cartella del servizio di gestione dell'accesso privato contiene un progetto host VPC condiviso per la connessione privata. La cartella del servizio gestito contiene un progetto di servizio per le risorse consumer di servizio.
- In ogni cartella, i progetti relativi ai consumatori di servizi sono contenuti in unità di tenancy. Entrambe le unità di locazione sono associate a
consumer-project-a.
- In ogni cartella, i progetti relativi ai consumatori di servizi sono contenuti in unità di tenancy. Entrambe le unità di locazione sono associate a
I consumatori di servizi devono avviare la connessione privata (che è anche una connessione di peering di rete VPC). Deve fornire un intervallo di indirizzi IP allocati per la connessione privata da cui provengono gli indirizzi IP della subnet. Per ulteriori informazioni sulla procedura per i consumatori di servizi, consulta Configurare Accesso privato ai servizi.
- Se offri più servizi, i relativi consumatori hanno bisogno di una sola connessione privata. Tutto il traffico verso e da questo consumer di servizi passa per il progetto host VPC condiviso.
In un singolo progetto consumer di servizi, più reti VPC possono connettersi in modo privato ai tuoi servizi. È necessario un progetto host VPC condiviso per ogni rete VPC collegata. Tuttavia, tutti questi progetti possono essere contenuti nella stessa unità di tenancy
consumer-project-a.Nel progetto host, devi configurare regole firewall e route per abilitare la connettività alle nuove risorse. Poiché altri servizi possono utilizzare la stessa rete VPC condivisa, queste regole possono consentire o negare la connettività tra i diversi servizi.
Procedura di onboarding
Il seguente elenco è una panoramica generale della procedura di onboarding. Devi completare questa procedura per ogni servizio gestito che offrirà connettività privata. Per saperne di più, contatta il tuo rappresentante di Google.
Crea un servizio di gestione del peering.
Si tratta di un servizio gestito creato da un producer di servizi tramite l'API Service Management e Endpoints. Per ulteriori informazioni, contatta il tuo rappresentante di Google.
Fornisci al tuo rappresentante di Google le seguenti informazioni di configurazione:
- L'intervallo di indirizzi IP minimo che i consumatori di servizi devono allocare quando si connettono a te, specificato come lunghezza del prefisso IPv4. Se offri più servizi, potresti volere che gli utenti assegnano un intervallo di indirizzi IP più ampio, ad esempio
/16. - L'ID della cartella in cui il servizio di gestione dell'accesso privato crea progetti di host VPC condivisi. Utilizza Resource Manager per trovare l'ID della cartella.
- L'account di fatturazione associato all'organizzazione in cui il tuo servizio di gestione dell'accesso privato crea progetti host VPC condiviso.
- Le entità (in genere ID account di servizio) che gestiscono le regole del firewall di rete del progetto host.
- L'intervallo di indirizzi IP minimo che i consumatori di servizi devono allocare quando si connettono a te, specificato come lunghezza del prefisso IPv4. Se offri più servizi, potresti volere che gli utenti assegnano un intervallo di indirizzi IP più ampio, ad esempio
Attiva l'API Compute Engine.
Per ogni progetto host VPC condiviso, attiva l'API
compute.googleapis.com, utilizzando le API di utilizzo dei servizi o nella configurazione del progetto.Dopo aver eseguito il provisioning delle risorse, configura le regole firewall per la rete VPC condiviso nel progetto host. Per accedere alla rete VPC, devi utilizzare l'identità che hai fornito durante la procedura di onboarding. Se offri altri servizi, questi potrebbero utilizzare la stessa rete VPC. Non creare regole che potrebbero consentire o negare inavvertitamente il traffico verso altri servizi.
Informare i consumatori di servizi.
Comunica ai consumatori di servizi che devono stabilire una connessione privata. Per maggiori informazioni, consulta Configurare l'accesso privato ai servizi. I consumatori di servizi devono fornire le seguenti informazioni:
- Il nome del progetto e della rete in cui vuole stabilire la connettività privata.
- La regione Cloud in cui deve essere eseguito il provisioning della risorsa.
Passaggi successivi
- Per abilitare le API Service Networking, consulta Introduzione all'API Service Networking.
- Per informazioni sui limiti delle connessioni private di Service Networking, consulta Quote e limiti.