Informazioni sull'accesso ai servizi pubblicati tramite endpoint

Questo documento fornisce una panoramica della connessione ai servizi in un'altra rete VPC utilizzando gli endpoint Private Service Connect. Puoi connetterti ai tuoi servizi o a quelli forniti da altri producer di servizi, anche da Google.

I client si connettono all'endpoint utilizzando indirizzi IP interni. Private Service Connect esegue il Network Address Translation (NAT) per instradare la richiesta al servizio.

Per maggiori informazioni sui servizi pubblicati, consulta Informazioni sui servizi pubblicati.

Un endpoint Private Service Connect consente ai consumer di servizi di inviare traffico dalla rete VPC del consumer ai servizi nella rete VPC del producer di servizi. Il consumer, l'endpoint e il servizio devono trovarsi tutti nella stessa regione. (fai clic per ingrandire).

Funzionalità e compatibilità

Questa tabella riassume le opzioni e le funzionalità di configurazione supportate degli endpoint che accedono ai servizi pubblicati.

Nelle tabelle seguenti, un segno di spunta indica che una funzionalità è supportata, mentre un simbolo nessun simbolo indica che una funzionalità non è supportata.

Configurazione consumer (endpoint)	Bilanciatore del carico del producer
Configurazione consumer (endpoint)	Bilanciatore del carico di rete passthrough interno	Bilanciatore del carico delle applicazioni interno regionale	Bilanciatore del carico di rete proxy interno regionale	Inoltro del protocollo interno (istanza di destinazione)
Accesso globale dei consumatori	Indipendente dall' impostazione di accesso globale sul bilanciatore del carico	Solo se l'accesso globale è abilitato sul bilanciatore del carico	Solo se l'accesso globale è abilitato sul bilanciatore del carico	Indipendente dall' impostazione di accesso globale sul bilanciatore del carico
Interconnessione del traffico
Traffico Cloud VPN
Configurazione DNS automatica
Stack IP	IPv4	IPv4	IPv4	IPv4

Questa tabella riassume le opzioni e le funzionalità di configurazione supportate dei servizi pubblicati a cui accedono gli endpoint.

Configurazione del producer (servizio pubblicato)	Bilanciatore del carico del producer
Configurazione del producer (servizio pubblicato)	Bilanciatore del carico di rete passthrough interno	Bilanciatore del carico delle applicazioni interno regionale	Bilanciatore del carico di rete proxy interno regionale	Inoltro del protocollo interno (istanza di destinazione)
Backend di producer supportati	NEG GCE_VM_IP Gruppi di istanze	NEG GCE_VM_IP_PORT NEG ibridi NEG serverless NEG Private Service Connect Gruppi di istanze	NEG GCE_VM_IP_PORT NEG ibridi NEG serverless NEG Private Service Connect Gruppi di istanze	Non applicabile
Protocollo PROXY	Solo traffico TCP			Solo traffico TCP
Modalità di affinità sessione	NESSUNO (5 tuple) CLIENT_IP_PORT_PROTO	Non applicabile	Non applicabile	Non applicabile

I bilanciatori del carico supportano diverse configurazioni delle porte. Alcuni bilanciatori del carico supportano una singola porta, altri supportano un intervallo di porte e altri supportano tutte le porte. Per ulteriori informazioni, consulta le specifiche della porta.

Limitazioni

Gli endpoint che accedono a un servizio pubblicato presentano le seguenti limitazioni:

Non puoi creare un endpoint nella stessa rete VPC del servizio pubblicato a cui accedi.
Gli endpoint non sono accessibili dalle reti VPC in peering.
Il Mirroring pacchetto non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.
Non tutte le route statiche con hop successivi del bilanciatore del carico sono supportate con Private Service Connect. Per maggiori informazioni, consulta Route statiche con hop successivi del bilanciatore del carico.

Accesso on-premise

È possibile accedere agli endpoint che utilizzi per accedere alle API di Google da host on-premise connessi supportati. Per saperne di più, consulta Accedere agli endpoint da reti ibride.

Specifiche

Gli endpoint Private Service Connect devono essere creati nella stessa regione del servizio pubblicato che è la destinazione dell'endpoint.
L'endpoint deve essere creato in una rete VPC diversa rispetto alla rete VPC che contiene il servizio di destinazione.
Per impostazione predefinita, l'endpoint è accessibile solo ai client che si trovano nella stessa regione e nella stessa rete VPC dell'endpoint. Per informazioni su come rendere disponibili gli endpoint in altre regioni, consulta Accesso globale.
L'indirizzo IP assegnato all'endpoint deve provenire da una subnet normale.
Quando crei un endpoint per connetterti a un servizio, se il servizio ha un nome di dominio DNS configurato, le voci DNS private vengono create automaticamente nella tua rete VPC per l'endpoint.
Ogni endpoint ha un proprio indirizzo IP univoco e, facoltativamente, un nome DNS univoco.

Stati della connessione

Gli endpoint, i backend e i collegamenti ai servizi di Private Service Connect hanno uno stato della connessione che descrive lo stato della relativa connessione. Le risorse consumer e producer che formano i due lati di una connessione hanno sempre lo stesso stato. Puoi visualizzare gli stati della connessione quando visualizza i dettagli dell'endpoint, descrivi un backend o visualizzi i dettagli per un servizio pubblicato.

La tabella seguente descrive i possibili stati.

Stato della connessione	Descrizione
Accettato	La connessione Private Service Connect è stata stabilita. Le due reti VPC sono dotate di connettività e la connessione funziona normalmente.
In attesa	La connessione Private Service Connect non è stabilita e il traffico di rete non può viaggiare tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi: Il collegamento al servizio richiede un'approvazione esplicita e il consumer non è nell'elenco di accettazione del consumer. Il numero di connessioni supera il limite di connessioni del collegamento al servizio. Le connessioni bloccate per questi motivi rimangono nello stato In attesa a tempo indeterminato fino alla risoluzione del problema sottostante.
Rifiutata	La connessione Private Service Connect non è stabilita. Il traffico di rete non può viaggiare tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi: Un criterio dell'organizzazione del producer ha rifiutato la connessione. Un elenco dei consumatori rifiutati ha rifiutato la connessione.
Richiede attenzione	Si è verificato un problema relativo alla connessione sul lato producer. Una parte del traffico potrebbe essere in grado di passare tra le due reti, ma alcune connessioni potrebbero non funzionare. Ad esempio, la subnet NAT del producer potrebbe essere esaurita e non essere in grado di allocare indirizzi IP per nuove connessioni.
Chiuso	Il collegamento al servizio è stato eliminato e la connessione Private Service Connect è chiusa. Il traffico di rete non può viaggiare tra le due reti. Una connessione chiusa è uno stato terminale. Per ripristinare la connessione, devi ricreare sia il collegamento al servizio sia l'endpoint o il backend.

Accesso globale

Gli endpoint Private Service Connect utilizzati per accedere ai servizi sono risorse di regione. Tuttavia, puoi rendere un endpoint disponibile in altre regioni configurando l'accesso globale.

L'accesso globale consente alle risorse in qualsiasi regione di inviare traffico agli endpoint Private Service Connect. Puoi utilizzare l'accesso globale per fornire alta disponibilità tra i servizi ospitati in più regioni o per consentire ai client di accedere a un servizio che non si trova nella stessa regione del client.

Il seguente diagramma illustra i client in diverse regioni che accedono allo stesso endpoint:

L'endpoint si trova in us-west1 e ha l'accesso globale configurato.
La VM in us-west1 può inviare traffico all'endpoint, che rimane all'interno della stessa regione.
La VM in us-east1 e la VM della rete on-premise possono connettere l'endpoint anche in us-west1, anche se si trovano in regioni diverse. Le linee tratteggiate rappresentano il percorso del traffico tra regioni.

Figura 2. Un endpoint Private Service Connect con accesso globale consente ai consumer di servizi di inviare il traffico dalla rete VPC del consumer ai servizi nella rete VPC del producer di servizi. Il client può trovarsi nella stessa regione o in un'altra regione dell'endpoint (fai clic per ingrandire).

Specifiche di accesso globale

Puoi attivare o disattivare l'accesso globale in qualsiasi momento per un endpoint.
- L'attivazione dell'accesso globale non causa interruzioni del traffico per le connessioni esistenti.
- La disattivazione dell'accesso globale termina tutte le connessioni da regioni diverse da quella in cui si trova l'endpoint.
Gli endpoint con accesso globale possono essere creati in un progetto host del VPC condiviso o in un progetto di servizio. La VM client, il tunnel Cloud VPN o il collegamento VLAN per Cloud Interconnect non deve trovarsi nello stesso progetto dell'endpoint.
Non tutti i servizi Private Service Connect supportano gli endpoint con accesso globale. Contatta il tuo producer di servizi per verificare se il servizio supporta l'accesso globale. Per maggiori informazioni, consulta la sezione Configurazioni supportate.
L'accesso globale non fornisce un singolo indirizzo IP globale o nome DNS per più endpoint di accesso globale.

VPC condiviso

Gli amministratori dei progetti di servizio possono creare endpoint nei progetti di servizio VPC condiviso che utilizzano indirizzi IP da reti VPC condivise. La configurazione è la stessa di un endpoint normale, ma l'endpoint utilizza un indirizzo IP riservato da una subnet condivisa del VPC condiviso.

La risorsa dell'indirizzo IP può essere prenotata nel progetto di servizio o nel progetto host. L'origine dell'indirizzo IP deve essere una subnet condivisa con il progetto di servizio.

Per maggiori informazioni, consulta Creare un endpoint con un indirizzo IP da una VPC condiviso condivisa.

Controlli di servizio VPC

I Controlli di servizio VPC e Private Service Connect sono compatibili tra loro. Se la rete VPC in cui viene eseguito il deployment dell'endpoint Private Service Connect si trova in un perimetro dei Controlli di servizio VPC, l'endpoint farà parte dello stesso perimetro. Tutti i servizi supportati dai Controlli di servizio VPC a cui si accede tramite l'endpoint sono soggetti ai criteri del perimetro dei Controlli di servizio VPC.

Quando crei un endpoint, vengono effettuate chiamate API del piano di controllo tra i progetti consumer e producer per stabilire una connessione Private Service Connect. La creazione di una connessione Private Service Connect tra progetti consumer e producer che non si trovano nello stesso perimetro dei Controlli di servizio VPC non richiede un'autorizzazione esplicita con i criteri in uscita. La comunicazione con i servizi supportati da Controlli di servizio VPC tramite l'endpoint è protetta dal perimetro dei Controlli di servizio VPC.

Route statiche con hop successivi del bilanciatore del carico

Le route statiche possono essere configurate in modo da utilizzare la regola di forwarding di un bilanciatore del carico di rete passthrough interno come hop successivo (--next-hop-ilb). Non tutte le route di questo tipo sono supportate con Private Service Connect.

Le route statiche che utilizzano --next-hop-ilb per specificare il nome di una regola di forwarding del bilanciatore del carico di rete passthrough interno possono essere utilizzate per inviare e ricevere traffico a un endpoint Private Service Connect quando la route e l'endpoint si trovano nella stessa rete VPC e nella stessa regione.

Le seguenti configurazioni di routing non sono supportate con Private Service Connect:

Route statiche che utilizzano --next-hop-ilb per specificare l'indirizzo IP di una regola di forwarding del bilanciatore del carico di rete passthrough interno.
Route statiche che utilizzano --next-hop-ilb per specificare il nome o l'indirizzo IP di una regola di forwarding dell'endpoint di Private Service Connect.

Logging

Puoi abilitare i log di flusso VPC su subnet contenenti VM che accedono ai servizi in un'altra rete VPC tramite endpoint. I log mostrano i flussi tra le VM e l'endpoint.
Puoi visualizzare le modifiche in stato della connessione per gli endpoint utilizzando gli audit log. Le modifiche allo stato della connessione per l'endpoint vengono acquisite nei metadati degli eventi di sistema per il tipo di risorsa regola di forwarding GCE. Puoi filtrare per pscConnectionStatus per visualizzare queste voci.

Ad esempio, quando un producer di servizi consente le connessioni dal tuo progetto, lo stato della connessione dell'endpoint cambia da PENDING a ACCEPTED e questa modifica si riflette negli audit log.
- Per visualizzare i log di controllo, vedi Visualizzare i log.
- Per impostare avvisi in base agli audit log, consulta Gestione degli avvisi basati su log.

Prezzi

I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.

Quote

Il numero di endpoint che puoi creare per accedere ai servizi pubblicati è controllato dalla quota PSC Internal LB Forwarding Rules. Per ulteriori informazioni, vedi quotas.

Vincoli dei criteri dell'organizzazione

Un amministratore dei criteri dell'organizzazione può utilizzare il vincolo constraints/compute.disablePrivateServiceConnectCreationForConsumers per definire l'insieme di tipi di endpoint per i quali gli utenti non possono creare regole di forwarding.

Per informazioni sulla creazione di un criterio dell'organizzazione che utilizza questo vincolo, vedi Impedire ai consumatori di eseguire il deployment degli endpoint per tipo di connessione.

Passaggi successivi

Accedere ai servizi pubblicati tramite gli endpoint