Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sull'accesso ai servizi pubblicati tramite gli endpoint

Questo documento fornisce una panoramica della connessione ai servizi in un altro Rete VPC mediante Private Service Connect endpoint. Puoi collegarti ai tuoi servizi o a quelli forniti da altri da altri producer di servizi, incluso Google.

I client si connettono all'endpoint utilizzando indirizzi IP interni. Private Service Connect esegue la Network Address Translation (NAT) per inoltrare la richiesta al servizio.

Per ulteriori informazioni sui servizi pubblicati, consulta Informazioni sui servizi pubblicati.

Un endpoint Private Service Connect consente ai consumer di servizi di inviare traffico dal VPC del consumer dai servizi nella rete VPC del producer di servizi. Il consumatore, l'endpoint e il servizio devono trovarsi tutti nella stessa regione. (fai clic per ingrandire).

Funzionalità e compatibilità

Nelle tabelle seguenti, un segno di spunta indica che una funzionalità è supportata, mentre un simbolo di divieto indica che una funzionalità non è supportata.

Configurazione del consumatore

Questa tabella riassume le opzioni di configurazione e le funzionalità supportate degli endpoint che accedono ai servizi pubblicati.

Configurazione del consumatore (endpoint)	Bilanciatore del carico del producer
Configurazione del consumatore (endpoint)	Bilanciatore del carico di rete passthrough interno	Bilanciatore del carico delle applicazioni interno regionale	Bilanciatore del carico di rete proxy interno regionale	Forwarding del protocollo interno (istanza di destinazione)
Accesso consumer globale	Indipendente dall' impostazione di accesso globale sul bilanciatore del carico	Solo se l'accesso globale è abilitato sul bilanciatore del carico prima della creazione del collegamento del servizio	Solo se l' accesso globale è abilitato sul bilanciatore del carico prima della creazione del collegamento del servizio	Indipendente da Impostazione di accesso globale sul bilanciatore del carico
Traffico di interconnessione
Traffico Cloud VPN
Configurazione DNS automatica	Solo IPv4	Solo IPv4	Solo IPv4	Solo IPv4
Propagazione delle connessioni	Solo IPv4	Solo IPv4	Solo IPv4	Solo IPv4
Endpoint IPv4	Regole di forwarding del produttore IPv4	Regole di forwarding del produttore IPv4	Regole di forwarding del produttore IPv4	Regole di forwarding per producer IPv4
Endpoint IPv6	Regole di forwarding per producer IPv4 Regole di inoltro dei produttori IPv6	Regole di forwarding del produttore IPv4	Regole di forwarding del produttore IPv4	Regole di forwarding per producer IPv4 Regole di inoltro dei produttori IPv6

Configurazione del produttore

Questa tabella riassume le opzioni e le funzionalità di configurazione supportate dei servizi pubblicati a cui accedono gli endpoint.

Configurazione del producer (servizio pubblicato)	Bilanciatore del carico del producer
Configurazione del producer (servizio pubblicato)	Bilanciatore del carico di rete passthrough interno	Bilanciatore del carico delle applicazioni interno regionale	Bilanciatore del carico di rete proxy interno regionale	Inoltro interno del protocollo (istanza di destinazione)
Backend producer supportati: Gruppi di endpoint di rete (NEG) Gruppi di istanze	NEG a livello di zona GCE_VM_IP Gruppi di istanze Mappatura delle porte NEG	NEG di zona GCE_VM_IP_PORT NEG ibrido NEG serverless NEG Private Service Connect Gruppi di istanze	NEG di zona GCE_VM_IP_PORT NEG ibrido NEG serverless NEG Private Service Connect Gruppi di istanze	Non applicabile
Protocollo PROXY	Solo traffico TCP			Solo traffico TCP
Modalità di affinità sessione	NESSUNO (5 tuple) CLIENT_IP_PORT_PROTO	Non applicabile	Non applicabile	Non applicabile
Versione IP	Regole di forwarding del produttore IPv4 Regole di inoltro dei produttori IPv6	Regole di forwarding del produttore IPv4	Regole di forwarding del produttore IPv4	Regole di forwarding per producer IPv4 Regole di forwarding per producer IPv6

I bilanciatori del carico diversi supportano configurazioni di porte diverse; alcuni bilanciatori supportano una singola porta, altri supportano una serie di porte e altri supportano tutte le porte. Per ulteriori informazioni, consulta la sezione Trasferire specifiche.

Limitazioni

Gli endpoint che accedono a un servizio pubblicato presentano le seguenti limitazioni:

Non puoi creare un endpoint nello stesso rete VPC come servizio pubblicato a cui accedono.
Gli endpoint non sono accessibili da reti VPC in peering.
Il mirroring dei pacchetti non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.
Non tutte le route statiche con gli hop successivi del bilanciatore del carico sono supportate con Private Service Connect. Per ulteriori informazioni, consulta Route statiche con hop successivi del bilanciatore del carico.
Connectivity Tests non può testare la connettività tra un endpoint IPv6 e un servizio pubblicato.

Accesso on-premise

Puoi accedere agli endpoint che utilizzi per accedere alle API di Google dagli host on-premise connessi supportati. Per maggiori informazioni, consulta Accedere agli endpoint da reti ibride.

Specifiche

Gli endpoint Private Service Connect devono essere creati nella stessa regione del servizio pubblicato che è la destinazione dell'endpoint.
L'endpoint deve essere creato in una rete VPC diversa rispetto alla rete VPC che contiene il servizio di destinazione.
Se utilizzi una rete VPC condivisa, puoi creare l'endpoint nel progetto host o in un progetto di servizio.
Per impostazione predefinita, l'endpoint è accessibile solo ai client che si trovano nel nella stessa regione e nella stessa rete VPC (o VPC condiviso) rete) come endpoint. Per informazioni su come rendere disponibili gli endpoint In altre regioni, consulta Accesso globale.
L'indirizzo IP assegnato all'endpoint deve provenire da una subnet normale.
Quando crei un endpoint per connetterti a un servizio, se per il servizio è configurato un nome di dominio DNS, nella rete VPC vengono create automaticamente voci DNS private per l'endpoint.
Ogni endpoint ha il proprio indirizzo IP univoco e, facoltativamente, il proprio nome DNS univoco.

Stati della connessione

Gli endpoint, i backend e i collegamenti ai servizi di Private Service Connect hanno una connessione che descrive lo stato della connessione. Le risorse per consumatori e produttori dai due lati di una connessione hanno sempre lo stesso stato. Puoi visualizzare gli stati della connessione quando visualizza endpoint dettagli, descrivere un backend oppure visualizzare i dettagli di un servizio pubblicato.

La seguente tabella descrive i possibili stati.

Stato della connessione	Descrizione
Accettata	La connessione Private Service Connect è stata stabilita. I due Le reti VPC dispongono di connettività che funziona normalmente.
In attesa	La connessione Private Service Connect non è stabilita e il traffico di rete non può passare da una rete all'altra. Una connessione potrebbe avere questo stato per i seguenti motivi: L'allegato del servizio richiede l'approvazione esplicita e il consumatore non è nell'elenco di consumatori che accettano. Il numero di connessioni supera il limite di connessioni del collegamento al servizio. Il numero di connessioni propagate. associati a un endpoint superano le dimensioni massime limite di connessioni propagate. I collegamenti bloccati per questi motivi rimangono nello stato in attesa a tempo indeterminato fino a quando il problema di fondo non viene risolto.
Rifiutata	La connessione Private Service Connect non è stata stabilita. Il traffico di rete non può passare da una rete all'altra. Una connessione potrebbe avere questo stato per i seguenti motivi: Un produttore criteri dell'organizzazione ha rifiutato la connessione. R elenco di utenti rifiutati ha rifiutato la connessione.
Richiede attenzione o Non specificato	Si è verificato un problema sul lato producer della connessione. Parte del traffico potrebbe essere in grado di transitare tra le due reti, ma alcune connessioni potrebbero non essere funzionali. Ad esempio, la sottorete NAT del produttore potrebbe essere esaurita e non essere in grado di allocare indirizzi IP per nuove connessioni.
Chiuso	Il collegamento al servizio è stato eliminato e La connessione Private Service Connect è chiusa. Traffico di rete non possono spostarsi tra le due reti. Una connessione chiusa è uno stato terminale. Per ripristinare la connessione, devi ricreare il collegamento al servizio e l'endpoint o il backend.

Traduzione della versione IP

Per le connessioni tra gli endpoint Private Service Connect per i servizi pubblicati e i collegamenti ai servizi, la versione IP dell'indirizzo IP della regola di forwarding consumer determina la versione IP dell'endpoint e il traffico che lo invia. La versione IP di l'endpoint può essere IPv4 o IPv6, ma non entrambi. I consumer possono utilizzare un indirizzo IPv4 se la subnet dell'indirizzo email è stack singolo. I consumatori possono utilizzare Un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack. I consumatori possono collegare endpoint IPv4 e IPv6 allo stesso allegato del servizio, il che può essere utile per la migrazione dei servizi a IPv6.

Per le connessioni tra gli endpoint di Private Service Connect per i servizi pubblicati e i collegamenti di servizio, la versione IP della regola di inoltro del producer determina la versione IP del collegamento di servizio e il traffico in uscita dal collegamento di servizio. La versione IP del collegamento del servizio può essere IPv4 o IPv6, ma non entrambe. I produttori possono utilizzare un indirizzo IPv4 se la subnet dell'indirizzo è a stack singolo. I produttori possono utilizza un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack.

La versione IP dell'indirizzo IP della regola di forwarding del producer deve essere compatibile con lo stack tipo di valore NAT del collegamento al servizio subnet. Se la regola di inoltro del produttore è IPv4, la subnet NAT può essere a stack singolo o a doppio stack. Se la regola di forwarding del producer è IPv6, la subnet NAT deve essere a doppio stack.

Private Service Connect non supporta la connessione di un endpoint IPv4 con un collegamento a un servizio IPv6. In questo caso, la creazione dell'endpoint non va a buon fine con il seguente messaggio di errore:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

Per le configurazioni supportate sono possibili le seguenti combinazioni:

Endpoint IPv4 all'attacco del servizio IPv4
Collegamento endpoint IPv6 al servizio IPv6
Collegamento dell'endpoint IPv6 al servizio IPv4

In questa configurazione, Private Service Connect esegue automaticamente la traduzione tra le due versioni IP.

Propagazione connessione

Con le connessioni propagate, i servizi accessibili in un spoke VPC consumer tramite Endpoint Private Service Connect è accessibile privatamente da altri spoke VPC consumer che sono connesso allo stesso hub di Network Connectivity Center.

Per ulteriori informazioni, consulta Informazioni sulle connessioni propagate.

Accesso globale

Endpoint Private Service Connect utilizzati per accedere sono risorse di regione. Tuttavia, puoi rendere disponibile un endpoint altre regioni configurando le reti l'accesso alle app.

L'accesso globale consente alle risorse di qualsiasi regione di inviare traffico agli endpoint Private Service Connect. Puoi utilizzare l'accesso globale per fornire alta disponibilità ai servizi ospitati in più regioni o per consentire ai client di accedere a un servizio che non si trova nella stessa regione del client.

Il seguente diagramma illustra i client che si trovano in diverse regioni che accedono ai stesso endpoint:

L'endpoint si trova in us-west1 e per cui è configurato l'accesso globale.
La VM in us-west1 può inviare traffico all'endpoint, che rimane all'interno della stessa regione.
Anche la VM in us-east1 e la VM dalla rete on-premise possono connetti l'endpoint in us-west1, anche se si trova in regioni. Le linee tratteggiate rappresentano il percorso del traffico interregionale.

Un endpoint Private Service Connect con accesso globale consente ai consumer di servizi di inviare traffico dalla rete VPC del consumer ai servizi nella rete VPC del producer di servizi. Il client può trovarsi nella stessa regione o in una regione diversa rispetto all'endpoint (fai clic per ingrandire).

Specifiche per l'accesso globale

Puoi attivare o disattivare l'accesso globale in qualsiasi momento per un endpoint.
- L'attivazione dell'accesso globale non causa interruzioni del traffico per gli account esistenti e connessioni a Internet.
- La disattivazione dell'accesso globale termina tutte le connessioni da regioni diverse rispetto alla regione in cui si trova l'endpoint.
Non tutti i servizi Private Service Connect supportano gli endpoint con accesso globale. Rivolgiti al tuo producer di servizi per verificare se che supporta l'accesso globale. Per ulteriori informazioni, consulta le sezioni Supportate configurazioni.
L'accesso globale non fornisce un unico indirizzo IP globale o nome DNS per più endpoint di accesso globale.

VPC condiviso

Gli amministratori dei progetti di servizio possono creare endpoint nel servizio VPC condiviso a progetti che usano indirizzi IP Reti VPC condivise. La è la stessa di un endpoint normale, ma quest'ultimo utilizza un indirizzo IP riservato da una subnet condivisa del VPC condiviso.

La risorsa indirizzo IP può essere prenotata nel progetto di servizio o nel progetto host. La sorgente dell'indirizzo IP deve essere una subnet, condivisa con il progetto di servizio.

Per ulteriori informazioni, consulta Creare un endpoint con un indirizzo IP da una rete VPC condivisa.

Controlli di servizio VPC

I Controlli di servizio VPC e Private Service Connect sono compatibili tra loro. Se la rete VPC in cui Il deployment dell'endpoint di Private Service Connect si trova in una il perimetro dei Controlli di servizio VPC, che fa parte dello stesso perimetro. Tutti i servizi supportati da Controlli di servizio VPC a cui si accede tramite l'endpoint sono soggetti ai criteri del perimetro Controlli di servizio VPC.

Quando crei un endpoint, il piano di controllo Le chiamate API vengono effettuate tra i progetti consumer e producer per stabilire Connessione Private Service Connect. L'impostazione di una connessione Private Service Connect tra progetti consumer e producer che non si trovano nello stesso perimetro dei Controlli di servizio VPC non richiede un'autorizzazione esplicita con i criteri di uscita. Comunicazione a servizi supportati dai Controlli di servizio VPC tramite è protetto dal Perimetro Controlli di servizio VPC.

Route statiche con hop successivi del bilanciatore del carico

Le route statiche possono essere configurate per utilizzare la regola di inoltro di un bilanciatore del carico di rete passthrough interno come successivo hop (--next-hop-ilb). Non tutte le route di questo tipo sono supportate con Private Service Connect.

Le route statiche che utilizzano --next-hop-ilb per specificare il nome di una regola di inoltro del bilanciatore del carico di rete passthrough interno possono essere utilizzate per inviare e ricevere traffico a un endpoint Private Service Connect quando la route e l'endpoint si trovano nella stessa rete e nella stessa regione VPC.

Le seguenti configurazioni di routing non sono supportate con Private Service Connect:

Route statiche che utilizzano --next-hop-ilb per specificare l'indirizzo IP di un regola di forwarding del bilanciatore del carico di rete passthrough interno.
Percorsi statici che utilizzano --next-hop-ilb per specificare il nome o l'indirizzo IP di una regola di inoltro dell'endpoint Private Service Connect.

Logging

Puoi abilitare i log di flusso VPC su subnet contenenti VM che accedono in un'altra rete VPC endpoint. I log mostrano i flussi tra le VM e l'endpoint.
Puoi visualizzare le modifiche in connection per gli endpoint che usano l'audit i log. Modifiche relative alla connessione Lo stato dell'endpoint viene acquisito nei metadati degli eventi di sistema per la risorsa Digita Regola di forwarding di GCE. Per visualizzare queste voci, puoi filtrare in base apscConnectionStatus.

Ad esempio, quando un producer di servizi consente le connessioni dal tuo progetto, lo stato di connessione dell'endpoint cambia da PENDING a ACCEPTED questa modifica viene riportata negli audit log.
- Per visualizzare i log di controllo, vedi Visualizzare i log.
- Per impostare avvisi basati sui log di controllo, consulta Gestire gli avvisi basati su log.

Prezzi

I prezzi di Private Service Connect sono descritti in Pagina dei prezzi di VPC.

Quote

Il numero di endpoint che puoi creare per accedere ai servizi pubblicati è controllato dalla quota PSC Internal LB Forwarding Rules. Per ulteriori informazioni, consulta la sezione sulle quote.

Vincoli dei criteri dell'organizzazione

Un amministratore dei criteri dell'organizzazione può utilizzare Vincolo constraints/compute.disablePrivateServiceConnectCreationForConsumers per definire l'insieme dei tipi di endpoint per i quali gli utenti non possono creare regole di forwarding.

Per informazioni sulla creazione di un criterio dell'organizzazione che utilizza questo vincolo, consulta Impedire ai consumer di eseguire il deployment degli endpoint in base al tipo di connessione.

Passaggi successivi

Accedere ai servizi pubblicati utilizzando gli endpoint