Informazioni sull'accesso ai servizi pubblicati tramite endpoint
Questo documento fornisce una panoramica della connessione ai servizi in un altro Rete VPC mediante Private Service Connect endpoint. Puoi collegarti ai tuoi servizi o a quelli forniti da altri da altri producer di servizi, incluso Google.
I client si connettono all'endpoint utilizzando indirizzi IP interni. Private Service Connect esegue Network Address Translation (NAT) per instradare la richiesta al servizio.
Per ulteriori informazioni sui servizi pubblicati, vedi Informazioni sui servizi pubblicati.
Funzionalità e compatibilità
Nelle tabelle seguenti, un segno di spunta indica che una funzionalità è supportata e un simbolo "no" indica che una funzionalità non è supportata.
Configurazione consumer
Questa tabella riassume le opzioni di configurazione e le funzionalità supportate che accedono ai servizi pubblicati.
| Configurazione consumer (endpoint) | Bilanciatore del carico del producer | |||
|---|---|---|---|---|
| Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | Inoltro interno del protocollo (istanza di destinazione) | |
| Accesso consumer globale |
Indipendente da Impostazione di accesso globale sul bilanciatore del carico |
Solo se l'accesso globale sia abilitato sul bilanciatore del carico prima della creazione del collegamento al servizio |
Solo se l'accesso globale sia abilitato sul bilanciatore del carico prima della creazione del collegamento al servizio |
Indipendente da Impostazione di accesso globale sul bilanciatore del carico |
| Traffico Cloud VPN | ||||
| Configurazione DNS automatica | Solo IPv4 | Solo IPv4 | Solo IPv4 | Solo IPv4 |
| Propagazione delle connessioni | Solo IPv4 | Solo IPv4 | Solo IPv4 | Solo IPv4 |
| Endpoint IPv4 |
|
|
|
|
| Endpoint IPv6 (anteprima) |
|
|
|
|
Configurazione del producer
Questa tabella riassume le opzioni e le funzionalità di configurazione supportate di servizi pubblicati a cui accedono gli endpoint.
| Configurazione del producer (servizio pubblicato) | Bilanciatore del carico del producer | |||
|---|---|---|---|---|
| Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | Inoltro interno del protocollo (istanza di destinazione) | |
| Backend producer supportati |
|
|
|
Non applicabile |
| Protocollo PROXY | Solo traffico TCP | Solo traffico TCP | ||
| Modalità di affinità sessione | NESSUNO (5 tuple) CLIENT_IP_PORT_PROTO |
Non applicabile | Non applicabile | Non applicabile |
| Versione IP |
|
|
|
|
Bilanciatori del carico diversi supportano diverse configurazioni di porte. carico i bilanciatori supportano una singola porta, alcuni supportano un intervallo di porte e altri ancora tutte le porte. Per ulteriori informazioni, consulta la sezione Trasferire specifiche.
Limitazioni
Gli endpoint che accedono a un servizio pubblicato hanno le seguenti limitazioni:
Non puoi creare un endpoint nello stesso rete VPC come servizio pubblicato a cui accedono.
Gli endpoint non sono accessibili da reti VPC in peering.
Mirroring pacchetto non è in grado di eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.
Non tutte le route statiche con gli hop successivi del bilanciatore del carico sono supportate con Private Service Connect. Per ulteriori informazioni, consulta Route statiche con carico hop successivi del bilanciatore del carico.
Connectivity Tests non è in grado di verificare la connettività tra un endpoint IPv6 e un server completamente gestito di Google Cloud.
Accesso on-premise
Endpoint che utilizzi per accedere È possibile accedere alle API di Google da host on-premise connessi supportati. Per ulteriori informazioni, vedi Accesso agli endpoint da reti ibride.
Specifiche
- Gli endpoint Private Service Connect devono essere creati nello stesso regione come servizio pubblicato che è la destinazione dell'endpoint.
- L'endpoint deve essere creato in una rete VPC diversa rispetto alla rete VPC che contiene il servizio di destinazione.
- Per impostazione predefinita, l'endpoint è accessibile solo ai client che si trovano nel nella stessa regione e nella stessa rete VPC dell'endpoint. Per informazioni su come rendere disponibili gli endpoint in altre regioni, vedi Accesso globale.
- L'indirizzo IP assegnato all'endpoint deve provenire da un una subnet normale.
- Quando crei un endpoint per connetterti a un servizio, se quest'ultimo ha un Nome di dominio DNS configurato. Le voci DNS private vengono create automaticamente nella tua rete VPC per l'endpoint.
- Ogni endpoint ha il proprio indirizzo IP univoco e, facoltativamente, un proprio Nome DNS.
Stati della connessione
Gli endpoint, i backend e i collegamenti ai servizi di Private Service Connect hanno una connessione che descrive lo stato della connessione. Le risorse per consumatori e produttori dai due lati di una connessione hanno sempre lo stesso stato. Puoi visualizzare gli stati della connessione quando visualizza endpoint dettagli, descrivere un backend oppure visualizzare i dettagli di un servizio pubblicato.
Nella tabella seguente sono descritti i possibili stati.
| Stato della connessione | Descrizione |
|---|---|
| Accettati | La connessione Private Service Connect è stata stabilita. I due Le reti VPC dispongono di connettività che funziona normalmente. |
| In attesa | La connessione Private Service Connect non è stata stabilita e il traffico di rete non possono spostarsi tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi:
Le connessioni bloccate per questi motivi rimangono in stato di attesa per sempre finché il problema di fondo non viene risolto. |
| Rifiutata | La connessione Private Service Connect non è stata stabilita. Traffico di rete non possono spostarsi tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi:
|
| Richiede attenzione | Si è verificato un problema di connessione lato producer. Una parte del traffico potrebbe il flusso di dati tra le due reti, ma alcune connessioni potrebbero non funzionare. Ad esempio: la subnet NAT del producer potrebbe essere esaurito e non essere in grado di allocare indirizzi IP per le nuove connessioni. |
| Chiuso | Il collegamento al servizio è stato eliminato e La connessione Private Service Connect è chiusa. Traffico di rete non possono spostarsi tra le due reti. Una connessione chiusa è uno stato terminale. Per ripristinare la connessione, devi ricreare il collegamento al servizio e l'endpoint o il backend. |
Traduzione della versione IP
Per le connessioni tra gli endpoint Private Service Connect per i servizi pubblicati e i collegamenti ai servizi, la versione IP dell'indirizzo IP della regola di forwarding consumer determina la versione IP dell'endpoint e il traffico che lo invia. La versione IP di l'endpoint può essere IPv4 o IPv6, ma non entrambi. I consumer possono utilizzare un indirizzo IPv4 se la subnet del tuo indirizzo è stack singolo. I consumatori possono utilizzare Un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack. I consumer possono connettere sia IPv4 Collega gli endpoint IPv6 allo stesso collegamento al servizio, il che può essere utile per la migrazione dei servizi IPv6.
Per le connessioni tra gli endpoint Private Service Connect per i servizi pubblicati e i collegamenti ai servizi, la versione IP della regola di forwarding del producer determina la versione IP del collegamento al servizio e del traffico che ne esce. La versione IP di il collegamento al servizio può essere IPv4 o IPv6, ma non entrambi. I producer possono utilizzare un indirizzo IPv4 la subnet dell'indirizzo è a stack singolo. I produttori possono utilizza un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack.
La versione IP dell'indirizzo IP della regola di forwarding del producer deve essere compatibile con lo stack tipo di valore NAT del collegamento al servizio subnet. Se la regola di forwarding del producer è IPv4, la subnet NAT può essere a stack singolo a doppio stack. Se la regola di forwarding del producer è IPv6, la subnet NAT deve essere a doppio stack.
Private Service Connect non supporta la connessione di un endpoint IPv4 con un collegamento a un servizio IPv6. In questo caso, la creazione dell'endpoint ha esito negativo con i seguenti errori messaggio di errore:
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
Sono possibili le seguenti combinazioni supportato configurazioni:
- Collegamento da endpoint IPv4 al servizio IPv4
- Endpoint IPv6 al collegamento al servizio IPv6 (anteprima)
-
Collegamento da endpoint IPv6 al servizio IPv4 (anteprima)
In questa configurazione, Private Service Connect traduce automaticamente tra le due versioni IP.
Propagazione connessione
Con le connessioni propagate, i servizi accessibili in un spoke VPC consumer tramite Endpoint Private Service Connect è accessibile privatamente da altri spoke VPC consumer che connesso allo stesso hub di Network Connectivity Center.
Per saperne di più, consulta Informazioni sulle connessioni propagate.
Accesso globale
Endpoint Private Service Connect utilizzati per accedere sono risorse di regione. Tuttavia, puoi rendere disponibile un endpoint altre regioni configurando le reti l'accesso alle app.
L'accesso globale consente alle risorse di qualsiasi regione di inviare traffico Endpoint Private Service Connect. Puoi utilizzare l'accesso globale offrono disponibilità elevata in servizi ospitati in più regioni, o per consentire ai client di accedere a un servizio che non si trova nella stessa regione di alto profilo.
Il seguente diagramma illustra i client che si trovano in diverse regioni che accedono ai stesso endpoint:
L'endpoint si trova in
us-west1e per cui è configurato l'accesso globale.La VM in
us-west1può inviare traffico all'endpoint, che rimane all'interno della stessa regione.Anche la VM in
us-east1e la VM dalla rete on-premise possono connetti l'endpoint inus-west1, anche se si trova in regioni. Le linee tratteggiate rappresentano il percorso del traffico tra regioni.
Figura 2. Un endpoint Private Service Connect con accesso globale consente ai consumer di servizi di inviare traffico dal VPC del consumer dai servizi nella rete VPC del producer di servizi. Il client può trovarsi nella stessa regione o in una regione diversa dell'endpoint (fai clic per ingrandire).
Specifiche per l'accesso globale
- Puoi attivare o disattivare l'accesso globale in qualsiasi momento per un endpoint.
- L'attivazione dell'accesso globale non causa interruzioni del traffico per gli account esistenti e altre connessioni.
- La disattivazione dell'accesso globale termina tutte le connessioni da regioni diverse rispetto alla regione in cui si trova l'endpoint.
Gli endpoint con accesso globale possono essere creati in un host del VPC condiviso progetto o progetto di servizio. La VM client, il tunnel Cloud VPN Il collegamento VLAN per Cloud Interconnect non deve essere necessariamente stesso progetto dell'endpoint.
Non tutti i servizi Private Service Connect supportano gli endpoint con accesso globale. Rivolgiti al tuo producer di servizi per verificare se il suo servizio supporta l'accesso globale. Per ulteriori informazioni, vedi Configurazioni supportate.
L'accesso globale non fornisce un unico indirizzo IP globale o nome DNS per più endpoint di accesso globale.
VPC condiviso
Gli amministratori dei progetti di servizio possono creare endpoint nel servizio VPC condiviso a progetti che usano indirizzi IP Reti VPC condivise. La è la stessa di un endpoint normale, ma quest'ultimo utilizza un indirizzo IP riservato da una subnet condivisa del VPC condiviso.
La risorsa dell'indirizzo IP può essere prenotata nel progetto di servizio o nell'host progetto. L'origine dell'indirizzo IP deve essere una subnet condivisa con il progetto di servizio.
Per ulteriori informazioni, vedi Crea un endpoint con un indirizzo IP da una VPC condiviso condivisa.
Controlli di servizio VPC
I Controlli di servizio VPC e Private Service Connect compatibili tra loro. Se la rete VPC in cui Il deployment dell'endpoint di Private Service Connect si trova in una il perimetro dei Controlli di servizio VPC, che fa parte dello stesso perimetro. Qualsiasi Servizi supportati da Controlli di servizio VPC a cui si accede tramite l'endpoint sono soggetti ai criteri di quel perimetro dei Controlli di servizio VPC.
Quando crei un endpoint, il piano di controllo Le chiamate API vengono effettuate tra i progetti consumer e producer per stabilire un Connessione Private Service Connect. Istituzione di un Connessione Private Service Connect tra consumer e producer I progetti che non si trovano nello stesso perimetro dei Controlli di servizio VPC non richiedono un'autorizzazione esplicita con i criteri di traffico in uscita. Comunicazione a servizi supportati dai Controlli di servizio VPC tramite è protetto dal Perimetro Controlli di servizio VPC.
Route statiche con hop successivi del bilanciatore del carico
Le route statiche possono essere configurate per utilizzare la regola di inoltro di un
bilanciatore del carico di rete passthrough interno come successivo
hop
(--next-hop-ilb). Non tutte le route di questo tipo sono supportate con
Private Service Connect.
Route statiche che utilizzano --next-hop-ilb per specificare il nome di un
una regola di forwarding del bilanciatore del carico di rete passthrough interno può essere utilizzata per inviare e ricevere traffico
Endpoint Private Service Connect quando la route e l'endpoint
si trovano nella stessa rete VPC e nella stessa regione.
Le seguenti configurazioni di routing non sono supportate con Private Service Connect:
- Route statiche che utilizzano
--next-hop-ilbper specificare l'indirizzo IP di un regola di forwarding del bilanciatore del carico di rete passthrough interno. - Route statiche che utilizzano
--next-hop-ilbper specificare il nome oppure Indirizzo IP di un forwarding dell'endpoint di Private Service Connect personalizzata.
Logging
Puoi abilitare i log di flusso VPC su subnet contenenti VM che accedono in un'altra rete VPC endpoint. I log mostrano i flussi tra le VM e l'endpoint.
Puoi visualizzare le modifiche in connessione per gli endpoint che usano l'audit i log. Modifiche relative alla connessione Lo stato dell'endpoint viene acquisito nei metadati degli eventi di sistema per la risorsa Digita Regola di forwarding di GCE. Puoi filtrare per
pscConnectionStatusper visualizzare queste voci.Ad esempio, quando un producer di servizi consente le connessioni dal tuo progetto, lo stato di connessione dell'endpoint cambia da
PENDINGaACCEPTEDquesta modifica viene riportata negli audit log.- Per visualizzare i log di controllo, vedi Visualizzare i log.
- Per impostare avvisi in base ai log di controllo, consulta Gestione delle impostazioni avvisi.
Prezzi
I prezzi di Private Service Connect sono descritti in Pagina dei prezzi di VPC.
Quote
Il numero di
endpoint che è possibile creare per accedere ai servizi pubblicati
è controllato dalla quota PSC Internal LB Forwarding Rules.
Per ulteriori informazioni, consulta la sezione sulle quote.
Vincoli dei criteri dell'organizzazione
Un amministratore dei criteri dell'organizzazione può utilizzare
Vincolo constraints/compute.disablePrivateServiceConnectCreationForConsumers
per definire l'insieme dei tipi di endpoint
che gli utenti non possono creare
regole di forwarding.
Per informazioni sulla creazione di un criterio dell'organizzazione che utilizza questo vincolo, consulta Impedire ai consumer di eseguire il deployment degli endpoint in base al tipo di connessione.