À propos de l'accès aux services publiés via des points de terminaison
Ce document offre un aperçu de la connexion aux services d'un autre réseau VPC à l'aide de points de terminaison Private Service Connect. Vous pouvez vous connecter à vos propres services ou à ceux fournis par d'autres producteurs de services, y compris par Google.
Les clients se connectent au point de terminaison à l'aide d'adresses IP internes. Private Service Connect effectue une traduction d'adresse réseau (NAT, network address translation) pour acheminer la requête vers le service.
Pour en savoir plus sur les services publiés, consultez la section À propos des services publiés.
Fonctionnalités et compatibilité
Ce tableau récapitule les options et les capacités compatibles avec les points de terminaison qui accèdent à des services publiés.
Dans les tableaux suivants, une coche indique qu'une fonctionnalité est disponible, et un symbole "no" indique qu'une fonctionnalité n'est pas compatible.
| Configuration du client (point de terminaison) | Équilibreur de charge de producteur | |||
|---|---|---|---|---|
| Équilibreur de charge réseau passthrough interne | Équilibreur de charge d'application interne régional | Équilibreur de charge réseau proxy interne régional | Transfert de protocole interne (instance cible) | |
| Accès mondial du client |
Indépendant du paramètre d'accès mondial sur l'équilibreur de charge |
Seulement si l' accès mondial est activé sur l'équilibreur de charge |
Seulement si l' accès mondial est activé sur l'équilibreur de charge |
Indépendant du paramètre d'accès mondial sur l'équilibreur de charge |
| Trafic Cloud VPN | ||||
| Configuration DNS automatique | ||||
| Pile d'adresses IP | IPv4 | IPv4 | IPv4 | IPv4 |
Ce tableau récapitule les options et les capacités de configuration des services publiés auxquels les points de terminaison ont accès.
| Configuration du producteur (service publié) | Équilibreur de charge de producteur | |||
|---|---|---|---|---|
| Équilibreur de charge réseau passthrough interne | Équilibreur de charge d'application interne régional | Équilibreur de charge réseau proxy interne régional | Transfert de protocole interne (instance cible) | |
| Backends de producteur compatibles |
|
|
|
Non applicable |
| Protocole PROXY | Trafic TCP uniquement | Trafic TCP uniquement | ||
| Modes d'affinité de session | NONE (quintuple) CLIENT_IP_PORT_PROTO |
Non applicable | Non applicable | Non applicable |
Différents équilibreurs de charge acceptent différentes configurations de port. Certains équilibreurs de charge acceptent un seul port, d'autres une plage de ports, d'autres tous les ports. Pour en savoir plus, consultez la section Spécifications de ports.
Limites
Les limites suivantes s'appliquent aux points de terminaison qui accèdent à un service publié :
Vous ne pouvez pas créer de point de terminaison dans le même réseau VPC que le service publié auquel vous accédez.
Les points de terminaison ne sont pas accessibles à partir des réseaux VPC appairés.
La mise en miroir de paquets ne peut pas mettre en miroir les paquets pour le trafic des services publiés par Private Service Connect.
- Les routes statiques avec des sauts suivants de l'équilibreur de charge ne sont pas toutes compatibles avec Private Service Connect. Pour en savoir plus, consultez la section Routes statiques avec sauts suivants de l'équilibreur de charge.
Accès sur site
Les points de terminaison que vous utilisez pour accéder aux API Google sont accessibles à partir d'hôtes sur site connectés compatibles. Pour en savoir plus, consultez la section Accéder aux points de terminaison à partir de réseaux hybrides.
Spécifications
- Les points de terminaison Private Service Connect doivent être créés dans la même région que le service publié qui est la cible du point de terminaison.
- Le point de terminaison doit être créé dans un réseau VPC différent du réseau VPC contenant le service cible.
- Par défaut, le point de terminaison n'est accessible que par les clients situés dans la même région et le même réseau VPC que le point de terminaison. Pour savoir comment rendre des points de terminaison disponibles dans d'autres régions, consultez la section Accès mondial.
- L'adresse IP que vous attribuez au point de terminaison doit provenir d'un sous-réseau standard.
- Lorsque vous créez un point de terminaison pour vous connecter à un service, des entrées DNS privées sont automatiquement créées dans votre réseau VPC pour le point de terminaison si un nom de domaine DNS est configuré pour le service.
- Chaque point de terminaison possède sa propre adresse IP et, éventuellement, son propre nom DNS.
États de connexion
Les points de terminaison, les backends et les rattachements de service Private Service Connect disposent d'un état de connexion qui décrit l'état de leur connexion. Les ressources client et producteur qui constituent les deux côtés d'une connexion ont toujours le même état. Vous pouvez afficher les états de connexion lorsque vous affichez les détails du point de terminaison, décrivez un backend ou affichez les détails d'un service publié.
Le tableau suivant décrit les états possibles.
| État de la connexion | Description |
|---|---|
| Acceptée | La connexion Private Service Connect est établie. Les deux réseaux VPC disposent d'une connectivité et la connexion fonctionne normalement. |
| En attente | La connexion Private Service Connect n'est pas établie et le trafic ne peut pas transiter entre les deux réseaux. Cette connexion peut présenter cet état pour les raisons suivantes :
Les connexions bloquées pour ces raisons restent en attente indéfiniment jusqu'à ce que le problème sous-jacent soit résolu. |
| Refusé | La connexion Private Service Connect n'est pas établie. Le trafic réseau ne peut pas transiter entre les deux réseaux. Cette connexion peut présenter cet état pour les raisons suivantes :
|
| Attention requise | Un problème est survenu au niveau du producteur de la connexion. Certaines connexions peuvent ne pas fonctionner, même si du trafic transite entre les deux réseaux. Par exemple, le sous-réseau NAT du producteur peut être épuisé et ne pas pouvoir allouer d'adresses IP pour de nouvelles connexions. |
| Fermée | Le rattachement de service a été supprimé et la connexion Private Service Connect est fermée. Le trafic réseau ne peut pas transiter entre les deux réseaux. Une connexion fermée est un état final. Pour rétablir la connexion, vous devez recréer à la fois le rattachement de service et le point de terminaison ou le backend. |
Accès mondial
Les points de terminaison Private Service Connect utilisés pour accéder aux services sont des ressources régionales. Toutefois, vous pouvez configurer l'accès mondial pour rendre un point de terminaison disponible dans d'autres régions.
L'accès mondial permet aux ressources de n'importe quelle région d'envoyer du trafic aux points de terminaison Private Service Connect. Vous pouvez utiliser l'accès mondial pour fournir une haute disponibilité à des services hébergés dans plusieurs régions ou pour permettre à des clients d'accéder à un service qui ne se trouve pas dans leur région.
Le schéma suivant illustre des clients de différentes régions accédant au même point de terminaison :
Le point de terminaison pour lequel l'accès mondial est configuré se trouve dans
us-west1.La VM située dans
us-west1peut envoyer du trafic au point de terminaison. Le trafic reste dans la même région.La VM dans
us-east1et la VM du réseau sur site peuvent également connecter le point de terminaison dansus-west1, même si elles se trouvent dans des régions différentes. Les lignes en pointillés représentent le chemin du trafic interrégional.
Figure 2. Un point de terminaison Private Service Connect avec accès mondial permet aux clients de services d'envoyer du trafic depuis leur réseau VPC vers des services du réseau VPC du producteur de services. Le client peut se trouver dans la même région ou dans une région différente du point de terminaison (cliquez pour agrandir).
Spécifications de l'accès mondial
- Vous pouvez activer ou désactiver l'accès mondial à tout moment pour un point de terminaison.
- L'activation de l'accès mondial n'entraîne pas de perturbation du trafic pour les connexions existantes.
- La désactivation de l'accès mondial met fin à toutes les connexions depuis des régions autres que celle où se trouve le point de terminaison.
Les points de terminaison avec accès mondial peuvent être créés dans un projet hôte de VPC partagé ou dans un projet de service. La VM cliente, le tunnel Cloud VPN ou le rattachement de VLAN pour Cloud Interconnect n'a pas besoin de se trouver dans le même projet que le point de terminaison.
Les services Private Service Connect ne sont pas tous compatibles avec les points de terminaison avec accès mondial. Contactez votre producteur de services pour vérifier si son service est compatible avec l'accès mondial. Pour en savoir plus, consultez la section Configurations compatibles.
L'accès mondial ne fournit pas une adresse IP globale ou un nom DNS unique pour plusieurs points de terminaison avec accès mondial.
VPC partagé
Les administrateurs de projet de service peuvent créer des points de terminaison dans des projets de service VPC partagé utilisant des adresses IP de réseaux VPC partagés. La configuration est la même que pour un point de terminaison standard, mais le point de terminaison utilise une adresse IP réservée à partir d'un sous-réseau partagé du VPC partagé.
La ressource d'adresse IP peut être réservée dans le projet de service ou le projet hôte. La source de l'adresse IP doit être un sous-réseau partagé avec le projet de service.
Pour en savoir plus, consultez la page Créer un point de terminaison avec une adresse IP provenant d'un réseau VPC partagé.
VPC Service Controls
Les solutions VPC Service Controls et Private Service Connect sont compatibles entre elles. Si le réseau VPC sur lequel le point de terminaison Private Service Connect est déployé se trouve dans un périmètre VPC Service Controls, le point de terminaison fait partie du même périmètre. Tous les services compatibles avec VPC Service Controls accessibles via le point de terminaison sont soumis aux règles de ce périmètre VPC Service Controls.
Lorsque vous créez un point de terminaison, des appels d'API de plan de contrôle sont effectués entre les projets client et producteur pour établir une connexion Private Service Connect. L'établissement d'une connexion Private Service Connect entre des projets client et producteur qui ne se trouvent pas dans le même périmètre VPC Service Controls ne nécessite pas d'autorisation explicite avec des règles de sortie. La communication avec les services compatibles avec VPC Service Controls via le point de terminaison est protégée par le périmètre VPC Service Controls.
Routages statiques avec sauts suivants de l'équilibreur de charge
Les routages statiques peuvent être configurés pour utiliser la règle de transfert d'un équilibreur de charge réseau interne à stratégie directe utilisé comme saut suivant (--next-hop-ilb). Les routages de ce type ne sont pas tous compatibles avec Private Service Connect.
Les routages statiques qui utilisent --next-hop-ilb pour spécifier le nom d'une règle de transfert d'équilibreur de charge réseau interne à stratégie directe peuvent être utilisés pour envoyer et recevoir du trafic vers un point de terminaison Private Service Connect lorsque le routage et le point de terminaison se trouvent dans le même réseau VPC et la même région.
Les configurations de routage suivantes ne sont pas compatibles avec Private Service Connect :
- Les routages statiques qui utilisent
--next-hop-ilbpour spécifier l'adresse IP d'une règle de transfert d'équilibreur de charge réseau interne à stratégie directe. - Les routages statiques qui utilisent
--next-hop-ilbpour spécifier le nom ou l'adresse IP d'une règle de transfert de point de terminaison Private Service Connect.
Journalisation
Vous pouvez activer les journaux de flux VPC sur des sous-réseaux contenant des VM qui accèdent aux services d'un autre réseau VPC à l'aide de points de terminaison. Les journaux affichent les flux entre les VM et le point de terminaison.
Vous pouvez afficher les modifications apportées à l'état de connexion des points de terminaison à l'aide des journaux d'audit. Les modifications de l'état de connexion d'un point de terminaison sont capturées dans les métadonnées d'événement système pour le type de ressource Règle de transfert GCE. Vous pouvez définir un filtrage selon
pscConnectionStatuspour afficher ces entrées.Par exemple, lorsqu'un producteur de services autorise les connexions à partir de votre projet, l'état de connexion du point de terminaison passe de
PENDINGàACCEPTED, et cette modification est reflétée dans les journaux d'audit.- Pour savoir comment afficher les journaux d'audit, consultez la section Afficher les journaux.
- Pour définir des alertes basées sur les journaux d'audit, consultez la page Gérer les alertes basées sur les journaux.
Tarifs
La tarification de Private Service Connect est décrite sur la page des tarifs relatifs aux VPC.
Quotas
Le nombre de points de terminaison que vous pouvez créer pour accéder aux services publiés est contrôlé par le quota PSC Internal LB Forwarding Rules.
Pour en savoir plus, consultez la page consacrée aux quotas.
Contraintes liées aux règles d'administration
Un administrateur des règles d'administration peut utiliser la contrainte constraints/compute.disablePrivateServiceConnectCreationForConsumers pour définir l'ensemble des types de points de terminaison pour lesquels les utilisateurs ne sont pas autorisés à créer des règles de transfert.
Pour en savoir plus sur la création d'une règle d'administration utilisant cette contrainte, consultez Empêcher les clients de déployer des points de terminaison par type de connexion.