Informazioni sulle interfacce di Private Service Connect
Questa pagina fornisce una panoramica delle interfacce di Private Service Connect.
Un'interfaccia Private Service Connect è una risorsa che consente la rete VPC (Virtual Private Cloud) producer avvia connessioni in una rete VPC consumer. Produttore e consumatore le reti possono trovarsi in organizzazioni e progetti diversi.
Quando crei un'interfaccia Private Service Connect, crei un'istanza VM (macchina virtuale) con almeno due interfacce di rete. La primeira interfaccia si connette a una subnet in una rete VPC producer. La seconda interfaccia è un Interfaccia di Private Service Connect che richiede una connessione a un collegamento di rete in una rete consumer. Se la connessione viene accettata, Google Cloud assegna all'interfaccia di Private Service Connect, un indirizzo IP interno una subnet consumer specificata dal collegamento di rete.
Questa connessione dell'interfaccia Private Service Connect consente alle organizzazioni di produttori e consumatori di configurare le proprie reti VPC in modo che le due reti siano connesse e possano comunicare utilizzando indirizzi IP interni. Ad esempio, l'organizzazione del produttore può aggiornare il producer dalla rete VPC a aggiungi route per le subnet consumer.
Una connessione tra un'interfaccia di Private Service Connect e una collegamento di rete è simile alla connessione tra Endpoint Private Service Connect e un collegamento al servizio, ma presenta due differenze fondamentali:
- Un'interfaccia Private Service Connect consente a un producer La rete VPC avvia le connessioni a un VPC consumer rete (traffico in uscita dal servizio gestito). Un endpoint funziona in direzione opposta, consentendo a una rete VPC consumer di avviare connessioni a una rete VPC producer (ingresso del servizio gestito).
- Una connessione all'interfaccia di Private Service Connect è transitiva. Ciò significa che i carichi di lavoro in una rete producer possono avviare connessioni ad altri carichi di lavoro connessi alla rete VPC consumer. Gli endpoint Private Service Connect possono avviare connessioni solo alla rete VPC del producer.
Connessione ai carichi di lavoro in altre reti
Poiché le connessioni all'interfaccia di Private Service Connect transitivo, se la configurazione della rete VPC consumer lo consente, Le risorse nelle reti VPC del producer possono comunicare con i carichi di lavoro collegate alla rete del consumatore. È incluso quanto segue:
- Carichi di lavoro nelle reti connesse alla rete VPC del consumatore tramite tunnel Cloud VPN, Cloud Interconnect o peering di rete VPC.
- Carichi di lavoro con indirizzi IP esterni raggiungibili dalla rete VPC del consumatore tramite Cloud NAT.
- API e servizi Google raggiungibili dal consumatore dalla rete VPC tramite Accesso privato Google oppure Controlli di servizio VPC. La configurazione aggiuntiva è necessaria per utilizzare i Controlli di servizio VPC con Private Service Connect interfacce.
- Servizi pubblicati e API di Google raggiungibili dalla rete VPC del consumatore tramite gli endpoint e i backend di Private Service Connect.
- Carichi di lavoro in Spoke VPC connessi al VPC consumer in ogni rete.
Esempi di casi d'uso
Un caso d'uso di esempio per le interfacce Private Service Connect è un servizio gestito che deve avviare connessioni a una rete VPC consumer per accedere ai dati dei consumatori. Il servizio potrebbe anche richiedere l'accesso ai dati o ai servizi disponibili nell'infrastruttura on-premise di un consumatore tramite una connessione VPN o Cloud Interconnect o da una servizio di terze parti. Una connessione di interfaccia Private Service Connect può soddisfare tutti questi requisiti.
Un altro caso d'uso è un servizio gestito che fornisce un gateway API. Come riceve chiamate da API diverse, usa Interfacce Private Service Connect a cui avviare le connessioni reti VPC consumer. Il servizio gateway invia richieste API ai target di backend che le elaborano.
le interfacce Private Service Connect Gli endpoint Private Service Connect sono complementari e possono essere utilizzate insieme nella stessa rete VPC.
Ad esempio, la figura 4 descrive la configurazione di rete di un servizio gestito che fornisce analisi. Il servizio di analisi può avviare connessioni alla rete VPC consumer utilizzando un'interfaccia Private Service Connect. Un endpoint Private Service Connect nella rete del consumer consente al servizio di analisi di avviare connessioni a un servizio di database in un'altra rete VPC. Il traffico dal servizio di analisi al servizio di database passa attraverso la rete del consumatore, che consente al consumatore di monitorare e fornire sicurezza per il traffico tra i due servizi.
Specifiche
- Un'interfaccia Private Service Connect è un tipo speciale di interfaccia di rete che si connette a un collegamento di rete. Le specifiche dell'interfaccia di rete si applicano anche alle interfacce Private Service Connect.
- Quando crei una VM per le interfacce Private Service Connect, crei almeno due interfacce di rete. La prima interfaccia di rete
sempre l'interfaccia di rete predefinita, denominata
nic0
. Questa interfaccia si connette a una subnet del produttore. La seconda interfaccia è un'interfaccia Private Service Connect che richiede una connessione a una subnet consumer. Puoi includere fino a sette interfacce Private Service Connect in una singola VM. - Quando un progetto consumer accetta una connessione da un'interfaccia Private Service Connect, Google Cloud configura l'interfaccia con gli indirizzi IP della sottorete del collegamento di rete:
- Viene assegnato un indirizzo IPv4 interno dall'IP principale della subnet di indirizzi IP esterni.
- Se la subnet del collegamento di rete è a doppio stack e L'interfaccia di Private Service Connect è a doppio stack, l'indirizzo IPv6 interno viene assegnato dall'intervallo IPv6 della subnet.
- Le interfacce Private Service Connect supportano gli intervalli IP con alias. Gli intervalli IP alias devono provenire dall'intervallo di indirizzi IPv4 principale della subnet dell'attacco alla rete.
- Google Cloud assicura che gli indirizzi IP allocati a un'interfaccia Private Service Connect non si sovrappongano agli intervalli di indirizzi delle subnet connesse alle altre interfacce di rete della VM. Se non sono disponibili indirizzi sufficienti, la creazione della VM non riesce.
- Un'interfaccia Private Service Connect comunica nello stesso come interfaccia di rete.
- Una connessione tra un collegamento di rete e un'interfaccia Private Service Connect è bidirezionale e transitiva. I carichi di lavoro nella rete VPC del producer avviare connessioni a carichi di lavoro connessi al consumer rete VPC.
Limitazioni
Una connessione all'interfaccia di Private Service Connect può essere può essere risolto nei seguenti modi:
- Un producer elimina la VM dell'interfaccia.
- Un consumer elimina un progetto collegato a un Interfaccia di Private Service Connect. Questa azione interrompe dell'interfaccia utente.
- Un consumer disattiva l'API Compute Engine in un progetto collegato a un'interfaccia Private Service Connect. Questa azione e l'arresto della VM dell'interfaccia.
Le interfacce Private Service Connect non supportano gli indirizzi IP esterni.
Un'interfaccia Private Service Connect non può essere l'hop successivo di una regola di inoltro interna.
Non puoi associare direttamente le interfacce di Private Service Connect con nodi o pod di Google Kubernetes Engine (GKE). Tuttavia, l'egress del servizio è possibile con GKE tramite le interfacce Private Service Connect configurate sulle VM proxy.
Prezzi
I prezzi delle interfacce Private Service Connect sono descritti in pagina dei prezzi di VPC.
Passaggi successivi
- Scopri come creare e gestire le interfacce Private Service Connect.
- Completa la Codelab sui servizi gestiti per l'interfaccia Private Service Connect.