À propos des interfaces Private Service Connect

Cette page présente les interfaces Private Service Connect.

Une interface Private Service Connect est une ressource qui permet à un réseau cloud privé virtuel (VPC) de producteur d'initier des connexions avec différentes destinations dans un réseau VPC consommateur. Les réseaux de producteurs et les réseaux consommateurs peuvent appartenir à différents projets et organisations.

Lorsque vous créez une interface Private Service Connect, vous créez une instance de machine virtuelle (VM) dotée d'au moins deux interfaces réseau. La première interface se connecte à un sous-réseau dans un réseau VPC producteur. La deuxième interface est une interface Private Service Connect qui demande une connexion à un rattachement de réseau dans un réseau consommateur. Si la connexion est acceptée, Google Cloud attribue à l'interface Private Service Connect une adresse IP interne du sous-réseau consommateur spécifié par le rattachement de réseau.

Cette connexion d'interface Private Service Connect permet aux organisations du producteur et du client de configurer leurs réseaux VPC afin que les deux réseaux soient connectés et puissent communiquer à l'aide d'adresses IP internes. Par exemple, l'organisation producteur peut mettre à jour le réseau VPC producteur afin d'ajouter des routes pour les sous-réseaux consommateur.

Une connexion entre une interface Private Service Connect et un rattachement de réseau est semblable à une connexion entre un point de terminaison Private Service Connect et un rattachement de service, avec toutefois deux différences majeures :

• Une interface Private Service Connect permet à un réseau VPC producteur d'établir des connexions avec un réseau VPC consommateur (sortie de service géré). Un point de terminaison fonctionne dans le sens inverse, ce qui permet à un réseau VPC consommateur d'établir des connexions avec un réseau VPC producteur (entrée de service géré).
• Une connexion d'interface Private Service Connect est transitive. Cela signifie que les charges de travail d'un réseau producteur peuvent établir des connexions avec d'autres charges de travail connectées au réseau VPC consommateur. Les points de terminaison Private Service Connect peuvent uniquement établir des connexions au réseau VPC producteur.

Se connecter à des charges de travail sur d'autres réseaux

Comme les connexions d'interface Private Service Connect sont transitives, si la configuration du réseau VPC consommateur le permet, les ressources des réseaux VPC producteur peuvent communiquer avec les charges de travail connectées au réseau consommateur. Éléments inclus :

• Charges de travail sur les réseaux connectés au réseau VPC consommateur via des tunnels Cloud VPN, Cloud Interconnect ou l'appairage de réseaux VPC.
• Charges de travail dont les adresses IP externes sont accessibles à partir du réseau VPC consommateur via Cloud NAT.
• API et services Google accessibles depuis le réseau VPC consommateur via l'accès privé à Google ou VPC Service Controls. Une configuration supplémentaire est requise pour utiliser VPC Service Controls avec des interfaces Private Service Connect.
• Services publiés et API Google accessibles depuis le réseau VPC consommateur via des points de terminaison et des backends Private Service Connect.
• Charges de travail dans les spokes VPC connectés au réseau VPC consommateur.

Exemples de cas d'utilisation

Un exemple de cas d'utilisation des interfaces Private Service Connect est un service géré qui doit établir des connexions avec un réseau VPC consommateur pour accéder aux données consommateur. Le service peut également avoir besoin d'accéder à des données ou à des services disponibles sur le réseau sur site d'un consommateur, via une connexion VPN ou Cloud Interconnect, ou à partir d'un service tiers. Une connexion d'interface Private Service Connect peut répondre à toutes ces exigences.

Autre cas d'utilisation : un service géré qui fournit une passerelle API. Lorsque le service reçoit des appels pour différentes API, il utilise des interfaces Private Service Connect pour établir des connexions avec des réseaux VPC consommateur. Le service de passerelle envoie des requêtes API aux cibles en backend qui traitent les requêtes.

Les interfaces et les points de terminaison Private Service Connect sont complémentaires et peuvent être utilisés ensemble dans le même réseau VPC.

Par exemple, la figure 4 décrit la configuration réseau d'un service géré qui fournit des analyses. Le service d'analyse peut établir des connexions avec le réseau VPC consommateur à l'aide d'une interface Private Service Connect. Un point de terminaison Private Service Connect dans le réseau consommateur permet au service d'analyse d'établir des connexions avec un service de base de données dans un autre réseau VPC. Le trafic du service d'analyse vers le service de base de données passe par le réseau consommateur, ce qui permet au client de surveiller et de sécuriser le trafic entre les deux services.

Spécifications

• Une interface Private Service Connect est un type spécial d'interface réseau qui se connecte à un rattachement de réseau. Les spécifications relatives à l'interface réseau s'appliquent également aux interfaces Private Service Connect.
• Lorsque vous créez une VM pour les interfaces Private Service Connect, vous créez au moins deux interfaces réseau. La première interface réseau est toujours l'interface réseau par défaut, nommée nic0. Cette interface se connecte à un sous-réseau producteur. La deuxième interface est une interface Private Service Connect qui demande une connexion à un sous-réseau consommateur. Vous pouvez inclure jusqu'à sept interfaces Private Service Connect sur une même VM.
• Lorsqu'un projet consommateur accepte une connexion depuis une interface Private Service Connect, une adresse IPv4 interne lui est attribuée. Cette adresse provient du sous-réseau spécifié par le rattachement de réseau. Si le sous-réseau est une pile double, vous pouvez également attribuer à l'interface une adresse IPv6 interne.
• Les interfaces Private Service Connect sont compatibles avec les plages d'adresses IP d'alias. Les plages d'adresses IP d'alias doivent provenir de la plage d'adresses IPv4 principales du sous-réseau du rattachement de réseau.
• Google Cloud garantit que les adresses IP attribuées à une interface Private Service Connect ne chevauchent pas les plages d'adresses des sous-réseaux connectés aux autres interfaces réseau de la VM. Si le nombre d'adresses disponibles n'est pas suffisant, la création de la VM échoue.
• Une interface Private Service Connect communique de la même manière qu'une interface réseau.
• Une connexion entre un rattachement de réseau et une interface Private Service Connect est bidirectionnelle et transitive. Les charges de travail du réseau VPC producteur peuvent établir des connexions avec des charges de travail connectées au réseau VPC consommateur.

Limites

• Une connexion d'interface Private Service Connect ne peut être interrompue que comme suit :

  • Un producteur supprime la VM de l'interface.
  • Un client supprime un projet associé à une interface Private Service Connect. Cette action arrête la VM de l'interface.
  • Un client désactive l'API = Compute Engine dans un projet associé à une interface Private Service Connect. Cette action arrête la VM de l'interface.

• Les interfaces Private Service Connect ne sont pas compatibles avec les adresses IP externes.

• Une interface Private Service Connect ne peut pas être le saut suivant d'une règle de transfert interne.

• Vous ne pouvez pas associer directement des interfaces Private Service Connect à des nœuds ou des pods Google Kubernetes Engine (GKE). Toutefois, la sortie de service est possible avec GKE via des interfaces Private Service Connect configurées sur des VM proxy.

Tarifs

La tarification des interfaces Private Service Connect est décrite sur la page des tarifs des VPC.

Étapes suivantes

• Découvrez comment Créer et gérer des interfaces Private Service Connect.
• Suivez l'Atelier de programmation sur les services gérés de l'interface Private Service Connect.