Informazioni sulla migrazione dei servizi basati su peering a Private Service Connect
Molti produttori di servizi gestiti utilizzano il peering di rete VPC per offrire connettività ai consumer di servizi che si trovano in un'altra rete Virtual Private Cloud (VPC). Una soluzione alternativa è utilizzare Private Service Connect.
Questo documento fornisce una panoramica di come i producer di servizi possono eseguire la migrazione dei propri servizi basati su peering a Private Service Connect e conservare l'indirizzo IP utilizzato per accedere al servizio. Questo processo di migrazione richiede che tutte le risorse connesse a una determinata subnet debbano essere migrate contemporaneamente.
Ogni producer di servizi decide se e quando eseguire la migrazione a Private Service Connect. Per sapere se un producer di servizi sta eseguendo la migrazione dal peering di rete VPC a Private Service Connect, controlla la documentazione del servizio o contatta il producer di servizi.
Migrazione dei servizi basati su peering
In questo esempio di servizio basato su peering, il client vm1 invia traffico al bilanciatore del carico 10.10.10.10 del servizio nella rete VPC del producer. La rete consumer ha una route di subnet di peering per la subnet del producer perché le reti sono connesse tramite il peering di rete VPC.
Figura 1. In un servizio basato su peering, la rete VPC consumer e la rete VPC producer possono accedere l'una all'altra tramite il peering di rete VPC (fai clic per ingrandire).
Durante la migrazione vengono completate le seguenti attività:
- Il producer esegue il deployment del servizio in una nuova subnet
producer-subnet-2in una nuova rete VPC e lo pubblica tramite Private Service Connect. - Il produttore crea un intervallo interno per riservare l'intervallo CIDR della sua subnet,
10.10.10.0/24. - Il produttore elimina la subnet originale
producer-subnet-1e tutte le risorse al suo interno. - Nella rete VPC consumer viene creata una subnet di migrazione
consumer-subnet-2, configurata con lo stesso intervallo CIDR della subnet del producer. - Nella subnet di migrazione viene creato un endpoint Private Service Connect, configurato con lo stesso indirizzo IP precedentemente utilizzato dalla regola di forwarding del bilanciatore del carico del produttore.
Al termine della migrazione, il client vm1 può comunque raggiungere il servizio
in 10.10.10.10, ma questo indirizzo IP è ora associato all'endpoint Private Service Connect nella rete VPC del consumer.
Figura 2. Dopo la migrazione, i client nella rete VPC consumer inviano richieste all'endpoint Private Service Connect, che inoltra il traffico alla rete VPC del producer (fai clic per ingrandire).
Attività di migrazione
La migrazione include attività che vengono eseguite sia nelle reti VPC producer che consumer. Il produttore può coordinarsi con il consumatore per eseguire la migrazione oppure, nel caso di servizi gestiti da Google, il producer di servizi può automatizzare le attività del consumatore tramite un agente di servizio.
| Attività | Producer | Consumer |
|---|---|---|
| Eseguire il deployment di un servizio Private Service Connect | ||
| Esegui il deployment del servizio in una nuova subnet in una nuova rete VPC nel progetto del producer e pubblicalo utilizzando Private Service Connect | Eseguita dal produttore | |
| Arrestare il servizio basato su peering | ||
| Riserva l'intervallo CIDR della subnet del producer creando un intervallo interno nel progetto del producer | Eseguita dal produttore | Il consumatore fornisce il nome della subnet da utilizzare per la destinazione della migrazione |
| Elimina tutte le risorse nella subnet del produttore, quindi elimina la subnet | Eseguita dal produttore | Il consumatore non può più accedere al servizio |
| Crea un endpoint Private Service Connect nella rete del consumer | ||
| Crea una subnet di migrazione nella rete del consumer | Se il consumatore non ha scelto il nome della subnet, il produttore fornisce il nome della subnet al consumatore | Eseguito dal consumatore (o dal produttore tramite un agente di servizio) |
| Creare un endpoint Private Service Connect nella rete del consumer | Il producer fornisce l'URI del collegamento al servizio al consumer | Eseguito dal consumatore (o dal produttore tramite un agente di servizio) Il consumatore può accedere al servizio |
| Convalida l'accesso tramite l'endpoint Private Service Connect | Eseguita dal consumatore | |
| Finalizzare la migrazione | ||
| Eliminare l'intervallo interno | Eseguita dal produttore | |
| Aggiorna la subnet di migrazione del consumatore per convertirla in una subnet normale | Eseguito dal consumatore (o dal produttore tramite un agente di servizio) | |
| Se non è necessaria per altri servizi, elimina la connessione di peering nelle reti di producer e consumer | Eseguita dal produttore | Eseguito dal consumatore (o dal produttore tramite un agente di servizio) |
Considerazioni
Se sei un producer di servizi che vuole eseguire la migrazione del proprio servizio basato su peering a Private Service Connect, tieni presente quanto segue:
- L'implementazione di Private Service Connect del servizio deve offrire le stesse funzionalità del servizio basato su peering.
- Devi essere in grado di eliminare tutte le risorse nella subnet contenente l'istanza di servizio durante la migrazione. Se più istanze di servizio utilizzano la stessa subnet, la migrazione deve essere eseguita contemporaneamente per tutte le istanze.
L'endpoint Private Service Connect del consumer e il collegamento di servizio e regola di forwarding del producer devono trovarsi tutti nella stessa regione.
Per consentire l'accesso all'endpoint da qualsiasi regione, puoi attivare l'accesso globale sull'endpoint.
Se il servizio salva lo stato, devi avere un metodo per eseguirne la migrazione alle nuove istanze di servizio.
Non puoi eliminare la connessione di peering finché non è stata eseguita la migrazione di tutte le istanze di servizio nella rete VPC del producer.
Il servizio presenta un tempo di inattività durante la migrazione.
La migrazione a Private Service Connect ha un impatto sui prezzi sia per i producer sia per i consumer. Assicurati che i tuoi consumatori siano al corrente di questa modifica prima di eseguire la migrazione.
Private Service Connect traduce l'indirizzo IP di origine del client in un indirizzo IP in una subnet NAT. Se il servizio necessita di informazioni sull'indirizzo IP del client, devi utilizzare il protocollo PROXY per ottenere l'indirizzo IP del client e gestire i pacchetti in modo appropriato tra le VM di backend e la tua applicazione.
Intervalli interni per la migrazione
L'intervallo interno viene utilizzato per riservare l'intervallo CIDR utilizzato nella subnet del produttore in modo che, quando la subnet del produttore viene eliminata, l'intervallo CIDR non possa essere utilizzato per un altro scopo.
Quando crei un intervallo interno per la migrazione dei peer, imposta l'utilizzo su
FOR_MIGRATION e specifica le subnet di origine e di destinazione. La subnet di origine è la subnet del produttore e la subnet di destinazione è la nuova subnet di migrazione del peer che verrà creata in un secondo momento nella rete del consumatore.
La creazione dell'intervallo interno impedisce la creazione di una subnet che corrisponda sia al nome della subnet di destinazione sia all'intervallo CIDR. Tuttavia, nella rete del consumatore è possibile creare un'altra subnet con lo stesso nome se utilizza un intervallo CIDR diverso. In questo caso, la migrazione non può procedere finché la sottorete consumer con il nome corrispondente non viene eliminata o l'intervallo interno non viene eliminato.
Subnet di migrazione peer
La subnet creata nella rete del consumatore per la migrazione ha lo scopo impostato su PEER_MIGRATION. Le sottoreti di migrazione dei peer possono contenere solo indirizzi IP
e endpoint Private Service Connect.
Una volta completata e verificata la migrazione, la sottorete viene aggiornata per diventare una
sottorete normale impostando lo scopo su PRIVATE e altre risorse possono essere
create nella sottorete. Una subnet normale non può essere convertita nuovamente in una subnet per la migrazione di peer.
Per creare o utilizzare una subnet di migrazione dei peer, devi disporre dell'autorizzazione compute.subnetworks.usePeerMigration Identity and Access Management (IAM). L'autorizzazione non è inclusa in nessun ruolo predefinito; per utilizzarla, devi creare un ruolo personalizzato.
Solo le entità che dispongono dell'autorizzazione compute.subnetworks.usePeerMigration possono svolgere le seguenti operazioni:
- Crea ed elimina le risorse degli indirizzi IP nelle subnet di migrazione dei peer.
- Crea ed elimina gli endpoint Private Service Connect (regole di inoltro) nelle sottoreti di migrazione dei peer.
Le entità che dispongono del ruolo Amministratore della rete di calcolo (roles/compute.networkAdmin), ma non dell'autorizzazione compute.subnetworks.usePeerMigration, non possono eseguire le attività precedenti, ma possono:
- Crea una subnet con lo scopo impostato su
PEER_MIGRATION. - Aggiorna la subnet, ad esempio per espandere l'intervallo CIDR o attivare Accesso privato Google.
- Aggiorna lo scopo della subnet su
PRIVATE. - Elimina la subnet.
Prezzi
Per informazioni sui prezzi, consulta le seguenti risorse:
Produttori di servizi: prezzi per la pubblicazione di un servizio.
Consumer di servizi: prezzi per l'accesso a un servizio pubblicato tramite un endpoint.
Passaggi successivi
- Eseguire la migrazione di una subnet di servizio dal peering a Private Service Connect
- Pubblicare un servizio tramite Private Service Connect