Informazioni sull'accesso ai servizi pubblicati tramite gli endpoint
Questo documento fornisce una panoramica della connessione ai servizi in un altro Rete VPC mediante Private Service Connect endpoint. Puoi collegarti ai tuoi servizi o a quelli forniti da altri da altri producer di servizi, incluso Google.
I client si connettono all'endpoint utilizzando indirizzi IP interni. Private Service Connect esegue la Network Address Translation (NAT) per inoltrare la richiesta al servizio.
Per ulteriori informazioni sui servizi pubblicati, consulta Informazioni sui servizi pubblicati.
Funzionalità e compatibilità
Nelle tabelle seguenti, un segno di spunta indica che una funzionalità è supportata, mentre un simbolo di divieto indica che una funzionalità non è supportata.
Configurazione del consumatore
Questa tabella riassume le opzioni di configurazione e le funzionalità supportate degli endpoint che accedono ai servizi pubblicati.
Configurazione del consumatore (endpoint) | Bilanciatore del carico del producer | |||
---|---|---|---|---|
Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | Forwarding del protocollo interno (istanza di destinazione) | |
Accesso consumer globale |
Indipendente dall' impostazione di accesso globale sul bilanciatore del carico |
Solo se l'accesso globale è abilitato sul bilanciatore del carico prima della creazione del collegamento del servizio |
Solo se l' accesso globale è abilitato sul bilanciatore del carico prima della creazione del collegamento del servizio |
Indipendente da Impostazione di accesso globale sul bilanciatore del carico |
Traffico Cloud VPN | ||||
Configurazione DNS automatica | Solo IPv4 | Solo IPv4 | Solo IPv4 | Solo IPv4 |
Propagazione delle connessioni | Solo IPv4 | Solo IPv4 | Solo IPv4 | Solo IPv4 |
Endpoint IPv4 |
|
|
|
|
Endpoint IPv6 |
|
|
|
|
Configurazione del produttore
Questa tabella riassume le opzioni e le funzionalità di configurazione supportate dei servizi pubblicati a cui accedono gli endpoint.
Configurazione del producer (servizio pubblicato) | Bilanciatore del carico del producer | |||
---|---|---|---|---|
Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | Inoltro interno del protocollo (istanza di destinazione) | |
Backend producer supportati: |
|
|
|
Non applicabile |
Protocollo PROXY | Solo traffico TCP | Solo traffico TCP | ||
Modalità di affinità sessione | NESSUNO (5 tuple) CLIENT_IP_PORT_PROTO |
Non applicabile | Non applicabile | Non applicabile |
Versione IP |
|
|
|
|
I bilanciatori del carico diversi supportano configurazioni di porte diverse; alcuni bilanciatori supportano una singola porta, altri supportano una serie di porte e altri supportano tutte le porte. Per ulteriori informazioni, consulta la sezione Trasferire specifiche.
Limitazioni
Gli endpoint che accedono a un servizio pubblicato presentano le seguenti limitazioni:
Non puoi creare un endpoint nello stesso rete VPC come servizio pubblicato a cui accedono.
Gli endpoint non sono accessibili da reti VPC in peering.
Il mirroring dei pacchetti non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.
Non tutte le route statiche con gli hop successivi del bilanciatore del carico sono supportate con Private Service Connect. Per ulteriori informazioni, consulta Route statiche con hop successivi del bilanciatore del carico.
Connectivity Tests non può testare la connettività tra un endpoint IPv6 e un servizio pubblicato.
Accesso on-premise
Puoi accedere agli endpoint che utilizzi per accedere alle API di Google dagli host on-premise connessi supportati. Per maggiori informazioni, consulta Accedere agli endpoint da reti ibride.
Specifiche
- Gli endpoint Private Service Connect devono essere creati nella stessa regione del servizio pubblicato che è la destinazione dell'endpoint.
- L'endpoint deve essere creato in una rete VPC diversa rispetto alla rete VPC che contiene il servizio di destinazione.
- Se utilizzi una rete VPC condivisa, puoi creare l'endpoint nel progetto host o in un progetto di servizio.
- Per impostazione predefinita, l'endpoint è accessibile solo ai client che si trovano nel nella stessa regione e nella stessa rete VPC (o VPC condiviso) rete) come endpoint. Per informazioni su come rendere disponibili gli endpoint In altre regioni, consulta Accesso globale.
- L'indirizzo IP assegnato all'endpoint deve provenire da una subnet normale.
- Quando crei un endpoint per connetterti a un servizio, se per il servizio è configurato un nome di dominio DNS, nella rete VPC vengono create automaticamente voci DNS private per l'endpoint.
- Ogni endpoint ha il proprio indirizzo IP univoco e, facoltativamente, il proprio nome DNS univoco.
Stati della connessione
Gli endpoint, i backend e i collegamenti ai servizi di Private Service Connect hanno una connessione che descrive lo stato della connessione. Le risorse per consumatori e produttori dai due lati di una connessione hanno sempre lo stesso stato. Puoi visualizzare gli stati della connessione quando visualizza endpoint dettagli, descrivere un backend oppure visualizzare i dettagli di un servizio pubblicato.
La seguente tabella descrive i possibili stati.
Stato della connessione | Descrizione |
---|---|
Accettata | La connessione Private Service Connect è stata stabilita. I due Le reti VPC dispongono di connettività che funziona normalmente. |
In attesa | La connessione Private Service Connect non è stabilita e il traffico di rete non può passare da una rete all'altra. Una connessione potrebbe avere questo stato per i seguenti motivi:
I collegamenti bloccati per questi motivi rimangono nello stato in attesa a tempo indeterminato fino a quando il problema di fondo non viene risolto. |
Rifiutata | La connessione Private Service Connect non è stata stabilita. Il traffico di rete non può passare da una rete all'altra. Una connessione potrebbe avere questo stato per i seguenti motivi:
|
Richiede attenzione o Non specificato | Si è verificato un problema sul lato producer della connessione. Parte del traffico potrebbe essere in grado di transitare tra le due reti, ma alcune connessioni potrebbero non essere funzionali. Ad esempio, la sottorete NAT del produttore potrebbe essere esaurita e non essere in grado di allocare indirizzi IP per nuove connessioni. |
Chiuso | Il collegamento al servizio è stato eliminato e La connessione Private Service Connect è chiusa. Traffico di rete non possono spostarsi tra le due reti. Una connessione chiusa è uno stato terminale. Per ripristinare la connessione, devi ricreare il collegamento al servizio e l'endpoint o il backend. |
Traduzione della versione IP
Per le connessioni tra gli endpoint Private Service Connect per i servizi pubblicati e i collegamenti ai servizi, la versione IP dell'indirizzo IP della regola di forwarding consumer determina la versione IP dell'endpoint e il traffico che lo invia. La versione IP di l'endpoint può essere IPv4 o IPv6, ma non entrambi. I consumer possono utilizzare un indirizzo IPv4 se la subnet dell'indirizzo email è stack singolo. I consumatori possono utilizzare Un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack. I consumatori possono collegare endpoint IPv4 e IPv6 allo stesso allegato del servizio, il che può essere utile per la migrazione dei servizi a IPv6.
Per le connessioni tra gli endpoint di Private Service Connect per i servizi pubblicati e i collegamenti di servizio, la versione IP della regola di inoltro del producer determina la versione IP del collegamento di servizio e il traffico in uscita dal collegamento di servizio. La versione IP del collegamento del servizio può essere IPv4 o IPv6, ma non entrambe. I produttori possono utilizzare un indirizzo IPv4 se la subnet dell'indirizzo è a stack singolo. I produttori possono utilizza un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack.
La versione IP dell'indirizzo IP della regola di forwarding del producer deve essere compatibile con lo stack tipo di valore NAT del collegamento al servizio subnet. Se la regola di inoltro del produttore è IPv4, la subnet NAT può essere a stack singolo o a doppio stack. Se la regola di forwarding del producer è IPv6, la subnet NAT deve essere a doppio stack.
Private Service Connect non supporta la connessione di un endpoint IPv4 con un collegamento a un servizio IPv6. In questo caso, la creazione dell'endpoint non va a buon fine con il seguente messaggio di errore:
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
Per le configurazioni supportate sono possibili le seguenti combinazioni:
- Endpoint IPv4 all'attacco del servizio IPv4
- Collegamento endpoint IPv6 al servizio IPv6
-
Collegamento dell'endpoint IPv6 al servizio IPv4
In questa configurazione, Private Service Connect esegue automaticamente la traduzione tra le due versioni IP.
Propagazione connessione
Con le connessioni propagate, i servizi accessibili in un spoke VPC consumer tramite Endpoint Private Service Connect è accessibile privatamente da altri spoke VPC consumer che sono connesso allo stesso hub di Network Connectivity Center.
Per ulteriori informazioni, consulta Informazioni sulle connessioni propagate.
Accesso globale
Endpoint Private Service Connect utilizzati per accedere sono risorse di regione. Tuttavia, puoi rendere disponibile un endpoint altre regioni configurando le reti l'accesso alle app.
L'accesso globale consente alle risorse di qualsiasi regione di inviare traffico agli endpoint Private Service Connect. Puoi utilizzare l'accesso globale per fornire alta disponibilità ai servizi ospitati in più regioni o per consentire ai client di accedere a un servizio che non si trova nella stessa regione del client.
Il seguente diagramma illustra i client che si trovano in diverse regioni che accedono ai stesso endpoint:
L'endpoint si trova in
us-west1
e per cui è configurato l'accesso globale.La VM in
us-west1
può inviare traffico all'endpoint, che rimane all'interno della stessa regione.Anche la VM in
us-east1
e la VM dalla rete on-premise possono connetti l'endpoint inus-west1
, anche se si trova in regioni. Le linee tratteggiate rappresentano il percorso del traffico interregionale.
Specifiche per l'accesso globale
Puoi attivare o disattivare l'accesso globale in qualsiasi momento per un endpoint.
- L'attivazione dell'accesso globale non causa interruzioni del traffico per gli account esistenti e connessioni a Internet.
- La disattivazione dell'accesso globale termina tutte le connessioni da regioni diverse rispetto alla regione in cui si trova l'endpoint.
Non tutti i servizi Private Service Connect supportano gli endpoint con accesso globale. Rivolgiti al tuo producer di servizi per verificare se che supporta l'accesso globale. Per ulteriori informazioni, consulta le sezioni Supportate configurazioni.
L'accesso globale non fornisce un unico indirizzo IP globale o nome DNS per più endpoint di accesso globale.
VPC condiviso
Gli amministratori dei progetti di servizio possono creare endpoint nel servizio VPC condiviso a progetti che usano indirizzi IP Reti VPC condivise. La è la stessa di un endpoint normale, ma quest'ultimo utilizza un indirizzo IP riservato da una subnet condivisa del VPC condiviso.
La risorsa indirizzo IP può essere prenotata nel progetto di servizio o nel progetto host. La sorgente dell'indirizzo IP deve essere una subnet, condivisa con il progetto di servizio.
Per ulteriori informazioni, consulta Creare un endpoint con un indirizzo IP da una rete VPC condivisa.
Controlli di servizio VPC
I Controlli di servizio VPC e Private Service Connect sono compatibili tra loro. Se la rete VPC in cui Il deployment dell'endpoint di Private Service Connect si trova in una il perimetro dei Controlli di servizio VPC, che fa parte dello stesso perimetro. Tutti i servizi supportati da Controlli di servizio VPC a cui si accede tramite l'endpoint sono soggetti ai criteri del perimetro Controlli di servizio VPC.
Quando crei un endpoint, il piano di controllo Le chiamate API vengono effettuate tra i progetti consumer e producer per stabilire Connessione Private Service Connect. L'impostazione di una connessione Private Service Connect tra progetti consumer e producer che non si trovano nello stesso perimetro dei Controlli di servizio VPC non richiede un'autorizzazione esplicita con i criteri di uscita. Comunicazione a servizi supportati dai Controlli di servizio VPC tramite è protetto dal Perimetro Controlli di servizio VPC.
Route statiche con hop successivi del bilanciatore del carico
Le route statiche possono essere configurate per utilizzare la regola di inoltro di un
bilanciatore del carico di rete passthrough interno come successivo
hop
(--next-hop-ilb
). Non tutte le route di questo tipo sono supportate con
Private Service Connect.
Le route statiche che utilizzano --next-hop-ilb
per specificare il nome di una regola di inoltro del bilanciatore del carico di rete passthrough interno possono essere utilizzate per inviare e ricevere traffico a un endpoint Private Service Connect quando la route e l'endpoint si trovano nella stessa rete e nella stessa regione VPC.
Le seguenti configurazioni di routing non sono supportate con Private Service Connect:
- Route statiche che utilizzano
--next-hop-ilb
per specificare l'indirizzo IP di un regola di forwarding del bilanciatore del carico di rete passthrough interno. - Percorsi statici che utilizzano
--next-hop-ilb
per specificare il nome o l'indirizzo IP di una regola di inoltro dell'endpoint Private Service Connect.
Logging
Puoi abilitare i log di flusso VPC su subnet contenenti VM che accedono in un'altra rete VPC endpoint. I log mostrano i flussi tra le VM e l'endpoint.
Puoi visualizzare le modifiche in connection per gli endpoint che usano l'audit i log. Modifiche relative alla connessione Lo stato dell'endpoint viene acquisito nei metadati degli eventi di sistema per la risorsa Digita Regola di forwarding di GCE. Per visualizzare queste voci, puoi filtrare in base a
pscConnectionStatus
.Ad esempio, quando un producer di servizi consente le connessioni dal tuo progetto, lo stato di connessione dell'endpoint cambia da
PENDING
aACCEPTED
questa modifica viene riportata negli audit log.- Per visualizzare i log di controllo, vedi Visualizzare i log.
- Per impostare avvisi basati sui log di controllo, consulta Gestire gli avvisi basati su log.
Prezzi
I prezzi di Private Service Connect sono descritti in Pagina dei prezzi di VPC.
Quote
Il numero di
endpoint che puoi creare per accedere ai servizi pubblicati
è controllato dalla quota PSC Internal LB Forwarding Rules
.
Per ulteriori informazioni, consulta la sezione sulle quote.
Vincoli dei criteri dell'organizzazione
Un amministratore dei criteri dell'organizzazione può utilizzare
Vincolo constraints/compute.disablePrivateServiceConnectCreationForConsumers
per definire l'insieme dei tipi di endpoint
per i quali gli utenti non possono
creare regole di forwarding.
Per informazioni sulla creazione di un criterio dell'organizzazione che utilizza questo vincolo, consulta Impedire ai consumer di eseguire il deployment degli endpoint in base al tipo di connessione.