Informazioni sulla mappatura delle porte di Private Service Connect

Questa pagina fornisce una panoramica della mappatura delle porte di Private Service Connect.

La mappatura delle porte di Private Service Connect consente alle istanze di macchine virtuali (VM) consumer di comunicare privatamente con porte di servizio specifiche su VM producer specifiche tramite un singolo endpoint Private Service Connect.

Un consumer di servizi invia il traffico a varie porte di destinazione client dell'endpoint. Private Service Connect usa mappature definite dal producer per inoltrare il traffico alla porta di servizio e alla VM producer specificate. In alcuni contesti di rete, questo approccio è noto anche come port forwarding.

Mappatura delle porte e Private Service Connect standard

I servizi gestiti sono spesso progettati come cluster di VM, dove VM diverse rappresentano istanze separate dello stesso servizio. Ogni VM espone le stesse operazioni sulle stesse porte. Ad esempio, un servizio di database potrebbe utilizzare la porta 1000 per le operazioni di lettura del database e la porta 2000 per le operazioni di scrittura del database. Le VM consumer comunicano con istanze di servizio specifiche scegliendo come target le porte sulle VM associate all'istanza di servizio.

Una connessione normale (con bilanciamento del carico) tra un endpoint Private Service Connect e un collegamento di servizio non è l'ideale per questa situazione. Con una normale connessione Private Service Connect, le VM consumer inviano il traffico a una o più porte dell'indirizzo IP dell'endpoint. Tutto il traffico viene bilanciato e inviato a qualsiasi VM producer integro e configurata come backend per la porta che riceve il traffico.

Al contrario, la mappatura delle porte di Private Service Connect elimina il bilanciamento del carico. Questo approccio consente alle VM consumer di scegliere come target specifiche porte di servizio di specifiche VM producer in base alla porta di destinazione del client che riceve il traffico.

Figura 1. La mappatura delle porte di Private Service Connect inoltra il traffico dalle porte di destinazione del client di un endpoint alle porte di servizio delle VM producer in base alla mappatura configurata per un NEG con mappatura delle porte (fai clic per ingrandire).

La mappatura delle porte di Private Service Connect consente alle VM consumer di comunicare con VM producer specifiche attraverso il seguente processo:

  1. La VM consumer invia pacchetti all'indirizzo IP dell'endpoint utilizzando una porta di destinazione client designata. La porta di destinazione del client agisce da identificatore univoco per la VM e la porta di destinazione previste dal pacchetto.
  2. Private Service Connect utilizza la mappatura della porta di destinazione del client che riceve il traffico per determinare la destinazione del pacchetto.
  3. Private Service Connect inoltra il traffico alla VM e alla porta di servizio di destinazione.

Ad esempio, nella figura 1, i pacchetti vengono inoltrati come segue:

  • I pacchetti inviati alla porta di destinazione client 1001 dell'endpoint vengono inoltrati alla porta di servizio 1000 di vm-1.
  • I pacchetti inviati alla porta di destinazione client 1002 dell'endpoint vengono inoltrati alla porta di servizio 2000 di vm-1.
  • I pacchetti inviati alla porta di destinazione client 1003 dell'endpoint vengono inoltrati alla porta di servizio 1000 di vm-2.
  • I pacchetti inviati alla porta di destinazione client 1004 dell'endpoint vengono inoltrati alla porta di servizio 2000 di vm-2.

Deployment

Il deployment di una connessione per la mappatura delle porte di Private Service Connect differisce dal deployment di una normale connessione endpoint Private Service Connect per i servizi pubblicati per i seguenti modi:

  1. Il producer di servizi crea un servizio di mappatura delle porte. I servizi di mappatura delle porte utilizzano gruppi di endpoint di rete (NEG) con mappatura delle porte. Questa configurazione è simile a un bilanciatore del carico di rete passthrough interno, ma il traffico non è bilanciato.
  2. Il producer di servizi configura gli endpoint di rete del NEG con mappatura delle porte per specificare le mappature dalle porte di destinazione client di un endpoint Private Service Connect alle porte di servizio delle VM producer specifiche.
  3. Il producer di servizi crea un collegamento al servizio associato alla regola di forwarding del servizio di mappatura delle porte.
  4. Il producer di servizi condivide le porte di destinazione del client e le relative mappature con il consumer di servizi. Questa operazione non viene gestita automaticamente da Google Cloud.
  5. Il consumer di servizi configura i carichi di lavoro in modo che comunichino con i servizi gestiti utilizzando le mappature delle porte definite dal producer.

Specifiche

Il mapping delle porte di Private Service Connect ha le seguenti specifiche:

  • Una connessione con mappatura delle porte di Private Service Connect richiede un endpoint Private Service Connect in una rete VPC consumer che si connette a un collegamento a un servizio in una rete VPC del producer.
  • Il collegamento al servizio è associato a un servizio di mappatura delle porte. I servizi di mappatura delle porte sono configurati in modo simile ai bilanciatori del carico di rete passthrough interni, ma il traffico non è bilanciato. I servizi di mappatura delle porte sono composti da:
    • Una regola di forwarding che si connette a un servizio di backend. La regola di forwarding deve essere configurata per il traffico TCP o UDP. La regola di forwarding deve essere configurata in modo da inoltrare il traffico per tutte le porte di destinazione del client, ad esempio specificando --ports=ALL in Google Cloud CLI. Tuttavia, devi solo definire le mappature nel NEG di mappatura delle porte per le porte di destinazione del client che prevedi di utilizzare.
    • Un servizio di backend configurato in modo da utilizzare un gruppo di endpoint di rete (NEG) con mappatura delle porte. I producer di servizi utilizzano gli endpoint di rete del NEG di mappatura delle porte per definire mappature univoche dalle porte di destinazione client dell'endpoint Private Service Connect a una combinazione di porta di servizio e VM producer.
  • Anziché il traffico di bilanciamento del carico, il servizio di mappatura delle porte inoltra il traffico esclusivamente in base alle mappature configurate nel NEG di mappatura delle porte.
  • Il servizio producer deve condividere con il consumer le porte di destinazione del client valide e le rispettive mappature. Private Service Connect non condivide queste informazioni con il consumer.
  • Il consumer deve configurare i carichi di lavoro per comunicare con i servizi gestiti utilizzando le mappature delle porte definite dal producer.
  • La mappatura delle porte di Private Service Connect supporta gli endpoint Private Service Connect indipendentemente dal fatto che gli endpoint siano configurati per utilizzare l'accesso globale.
  • La mappatura delle porte di Private Service Connect supporta l'accesso ibrido. Il carico di lavoro on-premise di un consumer può raggiungere le VM producer accedendo all'endpoint Private Service Connect tramite le connessioni Cloud Interconnect o Cloud VPN.

Limitazioni

  • Il mapping delle porte di Private Service Connect non supporta il traffico IPv6.

  • I controlli di integrità non sono supportati sui servizi di backend a cui sono collegati NEG di mappatura delle porte. La convalida blocca la configurazione di un controllo di integritàà se il servizio di backend ha un NEG di mappatura delle porte.

Utilizza il bilanciamento del carico con la mappatura delle porte di Private Service Connect

La mappatura delle porte di Private Service Connect inoltra il traffico in base esclusivamente alla porta di destinazione del client che lo riceve. Se vuoi utilizzare il bilanciamento del carico con la mappatura delle porte di Private Service Connect, puoi:

  • Chiedi al consumer di implementare il bilanciamento del carico sul lato consumer. Il software eseguito su VM consumer può inviare traffico a porte di destinazione del client alternate.
  • Creare nella rete VPC del producer un secondo collegamento al servizio che si connetta a un bilanciatore del carico, anziché a un servizio di mappatura delle porte. Utilizza le stesse VM che si trovano nel NEG di mappatura delle porte come backend nel servizio di backend del bilanciatore del carico. Il consumer può inviare il traffico che deve essere bilanciato del carico a un endpoint associato al secondo collegamento al servizio.

Quote

Per informazioni su quote e limiti relativi alla mappatura delle porte di Private Service Connect, consulta Quote e limiti.

Prezzi

I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.

Passaggi successivi