À propos de l'accès aux services publiés via des points de terminaison
Ce document offre un aperçu de la connexion aux services d'un autre réseau VPC à l'aide de points de terminaison Private Service Connect. Vous pouvez vous connecter à vos propres services ou à ceux fournis par d'autres producteurs de services, y compris par Google.
Les clients se connectent au point de terminaison à l'aide d'adresses IP internes. Private Service Connect effectue une traduction d'adresse réseau (NAT, network address translation) pour acheminer la requête vers le service.
Pour en savoir plus sur les services publiés, consultez la page À propos des services publiés.
Figure 1 : Un point de terminaison Private Service Connect basé sur une règle de transfert permet aux clients de services d'envoyer du trafic depuis le réseau VPC du client vers des services du réseau VPC du producteur de services (cliquez pour agrandir).
Configuration DNS automatique
Lorsque vous créez un point de terminaison pour vous connecter à un service, si un nom de domaine DNS est configuré pour le service, Private Service Connect et l'Annuaire des services créent automatiquement des entrées DNS dans votre réseau VPC pour le point de terminaison.
Pour en savoir plus, consultez la section Configurer un DNS pour les services.
Journalisation
Vous pouvez activer les journaux de flux VPC sur des sous-réseaux contenant des VM qui accèdent aux services d'un autre réseau VPC à l'aide de points de terminaison Private Service Connect. Les journaux affichent les flux entre les VM et le point de terminaison Private Service Connect.
Vous pouvez afficher les modifications apportées à l'état de connexion des points de terminaison Private Service Connect à l'aide des journaux d'audit. Les modifications de l'état de connexion d'un point de terminaison sont capturées dans les métadonnées d'événement système pour le type de ressource Règle de transfert GCE. Vous pouvez définir un filtrage selon
pscConnectionStatuspour afficher ces entrées.Par exemple, lorsqu'un producteur de services autorise les connexions à partir de votre projet, l'état de connexion du point de terminaison passe de
PENDINGàACCEPTED, et cette modification est reflétée dans les journaux d'audit.- Pour savoir comment afficher les journaux d'audit, consultez la section Afficher les journaux.
- Pour définir des alertes basées sur les journaux d'audit, consultez la page Gérer les alertes basées sur les journaux.
VPC Service Controls
Les solutions VPC Service Controls et Private Service Connect sont compatibles entre elles. Si le réseau VPC sur lequel le point de terminaison Private Service Connect est déployé se trouve dans un périmètre VPC Service Controls, le point de terminaison Private Service Connect fait partie du même périmètre. Tous les services compatibles avec VPC Service Controls accessibles via le point de terminaison Private Service Connect sont soumis aux règles de ce périmètre VPC Service Controls.
Lorsque vous créez un point de terminaison Private Service Connect, des appels d'API de plan de contrôle sont effectués entre les projets client et producteur pour établir une connexion Private Service Connect. L'établissement d'une connexion Private Service Connect entre des projets client et producteur qui ne se trouvent pas dans le même périmètre VPC Service Controls ne nécessite pas d'autorisation explicite avec des règles de sortie. La communication avec les services compatibles avec VPC Service Controls via le point de terminaison Private Service Connect est protégée par le périmètre VPC Service Controls.
Tarifs
La tarification de Private Service Connect est décrite sur la page des tarifs relatifs aux VPC.
Quotas
Le nombre de points de terminaison Private Service Connect que vous pouvez créer pour accéder aux services publiés est contrôlé par le quota PSC Internal LB Forwarding Rules.
Pour en savoir plus, consultez la page consacrée aux quotas.
Contraintes liées aux règles d'administration
Un administrateur des règles d'administration peut utiliser la contrainte constraints/compute.disablePrivateServiceConnectCreationForConsumers pour définir l'ensemble de types de points de terminaison Private Service Connect pour lesquels les utilisateurs ne sont pas autorisés à créer des règles de transfert. La contrainte s'applique aux nouvelles configurations d'appairage et n'affecte pas les connexions existantes.
Accès sur site
Les points de terminaison Private Service Connect que vous utilisez pour accéder aux API Google sont accessibles à partir d'hôtes sur site connectés compatibles. Pour en savoir plus, consultez la page Points de terminaison d'accès à partir de réseaux hybrides.
Limites
Vous ne pouvez pas créer de point de terminaison Private Service Connect dans le même réseau VPC que le service publié auquel vous accédez.
Les points de terminaison Private Service Connect ne sont pas accessibles à partir des réseaux VPC appairés.
La mise en miroir de paquets ne peut pas mettre en miroir les paquets pour le trafic des services publiés par Private Service Connect.