Informazioni sulle interfacce di Private Service Connect

Questa pagina fornisce una panoramica delle interfacce di Private Service Connect.

Un'interfaccia Private Service Connect è una risorsa che consente a una rete Virtual Private Cloud (VPC) di un producer di avviare connessioni a varie destinazioni in una rete VPC consumer. Le reti di produttori e consumatori possono trovarsi in organizzazioni e progetti diversi.

Quando crei un'interfaccia di Private Service Connect, crei un'istanza di macchina virtuale (VM) con almeno due interfacce di rete. La prima interfaccia si connette a una subnet in una rete VPC producer. La seconda interfaccia è un'interfaccia Private Service Connect che richiede una connessione a un collegamento di rete in una rete consumer. Se la connessione viene accettata, Google Cloud assegna all'interfaccia Private Service Connect un indirizzo IP interno dalla subnet consumer specificato dal collegamento di rete.

Questa connessione di interfaccia di Private Service Connect consente alle organizzazioni di producer e consumer di configurare le proprie reti VPC in modo che le due reti siano connesse e possano comunicare utilizzando indirizzi IP interni. Ad esempio, l'organizzazione producer può aggiornare la rete VPC del producer per aggiungere route per le subnet consumer.

Figura 1. vm-1 in una rete VPC producer ha due interfacce di rete. Un'interfaccia di rete standard si connette a una subnet nella rete del producer, mentre l'altra è un'interfaccia Private Service Connect connessa a un collegamento di rete in una rete consumer.

Una connessione tra un'interfaccia di Private Service Connect e un collegamento di rete è simile a quella tra un endpoint di Private Service Connect e un collegamento di servizio, ma presenta due differenze fondamentali:

  • Un'interfaccia Private Service Connect consente a una rete VPC del producer di avviare connessioni a una rete VPC consumer (in uscita da servizio gestito). Un endpoint funziona in direzione inversa, consentendo a una rete VPC consumer di avviare connessioni a una rete VPC producer (servizio in entrata di servizio gestito).
  • Una connessione dell'interfaccia di Private Service Connect è transitiva. Ciò significa che i carichi di lavoro in una rete di un produttore possono avviare connessioni ad altri carichi di lavoro connessi alla rete VPC consumer. Gli endpoint Private Service Connect possono avviare solo connessioni alla rete VPC del producer.

Figura 2. Gli endpoint Private Service Connect consentono ai consumer di servizi di avviare connessioni ai producer di servizi, mentre le interfacce di Private Service Connect consentono ai producer di servizi di avviare connessioni ai consumer di servizi.

Connessione a carichi di lavoro in altre reti

Poiché le connessioni di interfaccia di Private Service Connect sono transitive, se la configurazione della rete VPC consumer lo consente, le risorse nelle reti VPC del produttore possono comunicare con i carichi di lavoro connessi alla rete consumer. È incluso quanto segue:

Figura 3. Una rete VPC producer connessa a una rete VPC consumer tramite una connessione di interfaccia Private Service Connect può comunicare con i carichi di lavoro connessi al VPC consumer.

Esempi di casi d'uso

Un esempio di caso d'uso per le interfacce Private Service Connect è un servizio gestito che deve avviare connessioni a una rete VPC consumer per accedere ai dati consumer. Il servizio potrebbe anche aver bisogno di accedere a dati o servizi disponibili nella rete on-premise di un consumer, tramite una connessione VPN o Cloud Interconnect o da un servizio di terze parti. Una connessione a un'interfaccia Private Service Connect può soddisfare tutti questi requisiti.

Un altro caso d'uso è un servizio gestito che fornisce un gateway API. Poiché il servizio riceve chiamate per API diverse, utilizza le interfacce Private Service Connect per avviare connessioni alle reti VPC consumer. Il servizio gateway invia richieste API a destinazioni di backend che elaborano le richieste.

Le interfacce Private Service Connect e gli endpoint Private Service Connect sono complementari e possono essere utilizzati insieme nella stessa rete VPC.

Ad esempio, la figura 4 descrive la configurazione di rete di un servizio gestito che fornisce analisi. Il servizio di analisi può avviare connessioni alla rete VPC consumer utilizzando un'interfaccia Private Service Connect. Un endpoint Private Service Connect nella rete consumer consente al servizio di analisi di avviare connessioni a un servizio di database in un'altra rete VPC. Il traffico dal servizio di analisi al servizio di database passa attraverso la rete consumer, consentendo al consumer di monitorare e fornire sicurezza per il traffico tra i due servizi.

Figura 4. Le interfacce Private Service Connect e gli endpoint Private Service Connect sono complementari in questa configurazione di esempio. L'interfaccia consente al servizio di analisi di avviare connessioni alla rete VPC consumer. L'endpoint consente al servizio di analisi di avviare connessioni dalla rete VPC consumer al servizio di database.

Specifiche

  • Un'interfaccia di Private Service Connect è un tipo speciale di interfaccia di rete che si connette a un collegamento di rete. Le specifiche dell'interfaccia di rete si applicano anche alle interfacce di Private Service Connect.
  • Quando crei una VM per le interfacce di Private Service Connect, crei almeno due interfacce di rete. La prima interfaccia di rete è sempre l'interfaccia di rete predefinita, denominata nic0. Questa interfaccia si connette a una subnet di producer. La seconda interfaccia è un'interfaccia Private Service Connect che richiede una connessione a una subnet consumer. Puoi includere fino a sette interfacce Private Service Connect su una singola VM.
  • Quando un progetto consumer accetta una connessione da un'interfaccia di Private Service Connect, nell'interfaccia viene allocato un indirizzo IPv4 interno. Questo indirizzo viene recuperato dalla subnet specificata dal collegamento di rete. Se la subnet è a doppio stack, puoi anche assegnare all'interfaccia un indirizzo IPv6 interno.
  • Le interfacce Private Service Connect supportano gli intervalli IP alias. Gli intervalli IP alias devono provenire dall'intervallo di indirizzi IPv4 principale della subnet del collegamento di rete.
  • Google Cloud garantisce che gli indirizzi IP allocati a un'interfaccia Private Service Connect non si sovrappongano agli intervalli di indirizzi delle subnet collegate alle altre interfacce di rete della VM. Se non è disponibile un numero sufficiente di indirizzi, la creazione della VM non riesce.
  • Un'interfaccia Private Service Connect comunica come un'interfaccia di rete.
  • Una connessione tra un collegamento di rete e un'interfaccia Private Service Connect è bidirezionale e transitoria. I carichi di lavoro nella rete VPC del producer possono avviare connessioni ai carichi di lavoro connessi alla rete VPC consumer.

Limitazioni

  • Una connessione dell'interfaccia di Private Service Connect può essere terminata solo nei seguenti modi:

    • Un producer elimina la VM dell'interfaccia.
    • Un consumer elimina un progetto connesso a un'interfaccia Private Service Connect. Questa azione arresta la VM dell'interfaccia.
    • Un consumer disabilita l'API Compute Engine in un progetto connesso a un'interfaccia Private Service Connect. Questa azione arresta la VM dell'interfaccia.

  • Le interfacce Private Service Connect non supportano gli indirizzi IP esterni.

  • Un'interfaccia di Private Service Connect non può essere l'hop successivo di una regola di forwarding interno.

  • Non puoi associare direttamente le interfacce di Private Service Connect ai nodi o ai pod di Google Kubernetes Engine (GKE). Tuttavia, il traffico in uscita dal servizio è possibile con GKE tramite le interfacce Private Service Connect configurate su VM proxy.

Prezzi

I prezzi delle interfacce Private Service Connect sono descritti nella pagina dei prezzi di VPC.

Passaggi successivi