Informazioni sulle interfacce di Private Service Connect
Questa pagina fornisce una panoramica delle interfacce di Private Service Connect.
Un'interfaccia Private Service Connect è una risorsa che consente a una rete Virtual Private Cloud (VPC) di un producer di avviare connessioni a varie destinazioni in una rete VPC consumer. Le reti di produttori e consumatori possono trovarsi in organizzazioni e progetti diversi.
Quando crei un'interfaccia di Private Service Connect, crei un'istanza di macchina virtuale (VM) con almeno due interfacce di rete. La prima interfaccia si connette a una subnet in una rete VPC producer. La seconda interfaccia è un'interfaccia Private Service Connect che richiede una connessione a un collegamento di rete in una rete consumer. Se la connessione viene accettata, Google Cloud assegna all'interfaccia Private Service Connect un indirizzo IP interno dalla subnet consumer specificato dal collegamento di rete.
Questa connessione di interfaccia di Private Service Connect consente alle organizzazioni di producer e consumer di configurare le proprie reti VPC in modo che le due reti siano connesse e possano comunicare utilizzando indirizzi IP interni. Ad esempio, l'organizzazione producer può aggiornare la rete VPC del producer per aggiungere route per le subnet consumer.
Una connessione tra un'interfaccia di Private Service Connect e un collegamento di rete è simile a quella tra un endpoint di Private Service Connect e un collegamento di servizio, ma presenta due differenze fondamentali:
- Un'interfaccia Private Service Connect consente a una rete VPC del producer di avviare connessioni a una rete VPC consumer (in uscita da servizio gestito). Un endpoint funziona in direzione inversa, consentendo a una rete VPC consumer di avviare connessioni a una rete VPC producer (servizio in entrata di servizio gestito).
- Una connessione dell'interfaccia di Private Service Connect è transitiva. Ciò significa che i carichi di lavoro in una rete di un produttore possono avviare connessioni ad altri carichi di lavoro connessi alla rete VPC consumer. Gli endpoint Private Service Connect possono avviare solo connessioni alla rete VPC del producer.
Connessione a carichi di lavoro in altre reti
Poiché le connessioni di interfaccia di Private Service Connect sono transitive, se la configurazione della rete VPC consumer lo consente, le risorse nelle reti VPC del produttore possono comunicare con i carichi di lavoro connessi alla rete consumer. È incluso quanto segue:
- Carichi di lavoro nelle reti connesse alla rete VPC consumer tramite tunnel Cloud VPN, Cloud Interconnect o peering di rete VPC.
- Carichi di lavoro con indirizzi IP esterni raggiungibili dalla rete VPC consumer tramite Cloud NAT.
- API e servizi Google raggiungibili dalla rete VPC consumer tramite l'accesso privato Google o i Controlli di servizio VPC. Per utilizzare i Controlli di servizio VPC con le interfacce Private Service Connect, è necessaria una configurazione aggiuntiva.
- Servizi pubblicati e API di Google raggiungibili dalla rete VPC consumer tramite endpoint e backend Private Service Connect.
- Carichi di lavoro in spoke VPC connessi alla rete VPC consumer.
Esempi di casi d'uso
Un esempio di caso d'uso per le interfacce Private Service Connect è un servizio gestito che deve avviare connessioni a una rete VPC consumer per accedere ai dati consumer. Il servizio potrebbe anche aver bisogno di accedere a dati o servizi disponibili nella rete on-premise di un consumer, tramite una connessione VPN o Cloud Interconnect o da un servizio di terze parti. Una connessione a un'interfaccia Private Service Connect può soddisfare tutti questi requisiti.
Un altro caso d'uso è un servizio gestito che fornisce un gateway API. Poiché il servizio riceve chiamate per API diverse, utilizza le interfacce Private Service Connect per avviare connessioni alle reti VPC consumer. Il servizio gateway invia richieste API a destinazioni di backend che elaborano le richieste.
Le interfacce Private Service Connect e gli endpoint Private Service Connect sono complementari e possono essere utilizzati insieme nella stessa rete VPC.
Ad esempio, la figura 4 descrive la configurazione di rete di un servizio gestito che fornisce analisi. Il servizio di analisi può avviare connessioni alla rete VPC consumer utilizzando un'interfaccia Private Service Connect. Un endpoint Private Service Connect nella rete consumer consente al servizio di analisi di avviare connessioni a un servizio di database in un'altra rete VPC. Il traffico dal servizio di analisi al servizio di database passa attraverso la rete consumer, consentendo al consumer di monitorare e fornire sicurezza per il traffico tra i due servizi.
Specifiche
- Un'interfaccia di Private Service Connect è un tipo speciale di interfaccia di rete che si connette a un collegamento di rete. Le specifiche dell'interfaccia di rete si applicano anche alle interfacce di Private Service Connect.
- Quando crei una VM per le interfacce di Private Service Connect, crei almeno due interfacce di rete. La prima interfaccia di rete
è sempre l'interfaccia di rete predefinita, denominata
nic0
. Questa interfaccia si connette a una subnet di producer. La seconda interfaccia è un'interfaccia Private Service Connect che richiede una connessione a una subnet consumer. Puoi includere fino a sette interfacce Private Service Connect su una singola VM. - Quando un progetto consumer accetta una connessione da un'interfaccia di Private Service Connect, nell'interfaccia viene allocato un indirizzo IPv4 interno. Questo indirizzo viene recuperato dalla subnet specificata dal collegamento di rete. Se la subnet è a doppio stack, puoi anche assegnare all'interfaccia un indirizzo IPv6 interno.
- Le interfacce Private Service Connect supportano gli intervalli IP alias. Gli intervalli IP alias devono provenire dall'intervallo di indirizzi IPv4 principale della subnet del collegamento di rete.
- Google Cloud garantisce che gli indirizzi IP allocati a un'interfaccia Private Service Connect non si sovrappongano agli intervalli di indirizzi delle subnet collegate alle altre interfacce di rete della VM. Se non è disponibile un numero sufficiente di indirizzi, la creazione della VM non riesce.
- Un'interfaccia Private Service Connect comunica come un'interfaccia di rete.
- Una connessione tra un collegamento di rete e un'interfaccia Private Service Connect è bidirezionale e transitoria. I carichi di lavoro nella rete VPC del producer possono avviare connessioni ai carichi di lavoro connessi alla rete VPC consumer.
Limitazioni
Una connessione dell'interfaccia di Private Service Connect può essere terminata solo nei seguenti modi:
- Un producer elimina la VM dell'interfaccia.
- Un consumer elimina un progetto connesso a un'interfaccia Private Service Connect. Questa azione arresta la VM dell'interfaccia.
- Un consumer disabilita l'API Compute Engine in un progetto connesso a un'interfaccia Private Service Connect. Questa azione arresta la VM dell'interfaccia.
Le interfacce Private Service Connect non supportano gli indirizzi IP esterni.
Un'interfaccia di Private Service Connect non può essere l'hop successivo di una regola di forwarding interno.
Non puoi associare direttamente le interfacce di Private Service Connect ai nodi o ai pod di Google Kubernetes Engine (GKE). Tuttavia, il traffico in uscita dal servizio è possibile con GKE tramite le interfacce Private Service Connect configurate su VM proxy.
Prezzi
I prezzi delle interfacce Private Service Connect sono descritti nella pagina dei prezzi di VPC.
Passaggi successivi
- Scopri come creare e gestire le interfacce di Private Service Connect.
- Completa il codelab relativo ai servizi gestiti dell'interfaccia Private Service Connect.