Informazioni sulla mappatura delle porte di Private Service Connect
Questa pagina fornisce una panoramica della mappatura delle porte di Private Service Connect.
La mappatura delle porte Private Service Connect consente alle istanze di macchine virtuali (VM) consumer di comunicare in privato con porte di servizio specifiche su VM producer specifiche tramite un singolo endpoint Private Service Connect.
Un consumatore di servizi invia traffico a varie porte di destinazione del client dell'endpoint. Private Service Connect utilizza le mappature definite dal producer per inoltrare il traffico alla porta del servizio e alla VM del producer specificate. In alcuni contesti di rete, questo approccio è noto anche come inoltro di porte.
Mappatura delle porte rispetto a Private Service Connect normale
I servizi gestiti sono spesso progettati come cluster di VM, in cui diverse VM rappresentano istanze separate dello stesso servizio. Ogni VM
espone le stesse operazioni sulle stesse porte. Ad esempio, un servizio di database potrebbe utilizzare la porta 1000
per le operazioni di lettura del database e la porta 2000
per le operazioni di scrittura del database. Le VM consumer comunicano con istanze di servizio specifiche prendendo di mira le porte sulle VM associate all'istanza di servizio.
Una connessione normale (con bilanciamento del carico) tra un endpoint Private Service Connect e un collegamento al servizio non è ideale per questa situazione. Con una connessione Private Service Connect normale, le VM consumer inviano traffico a una o più porte dell'indirizzo IP dell'endpoint. Tutto il traffico viene bilanciato in base al carico e inviato a qualsiasi VM di produzione integra configurata come backend per la porta che riceve il traffico.
Al contrario, la mappatura delle porte di Private Service Connect elimina il bilanciamento del carico. Questo approccio consente alle VM consumer di scegliere come target porte di servizio specifiche di VM producer specifiche in base alla porta di destinazione del client che riceve il traffico.
La mappatura delle porte Private Service Connect consente alle VM consumer di comunicare con VM producer specifiche tramite la seguente procedura:
- La VM consumer invia pacchetti all'indirizzo IP dell'endpoint utilizzando una porta di destinazione del client designata. La porta di destinazione del client funge da identificatore univoco per la porta e la VM di destinazione previste per il pacchetto.
- Private Service Connect utilizza la mappatura della porta di destinazione del client che riceve il traffico per determinare la destinazione del pacchetto.
- Private Service Connect inoltra il traffico alla VM di destinazione e alla porta di servizio.
Ad esempio, nella figura 1, i pacchetti vengono inoltrati come segue:
- I pacchetti inviati alla porta di destinazione del client
1001
dell'endpoint vengono inoltrati alla porta di servizio1000
divm-1
. - I pacchetti inviati alla porta di destinazione del client
1002
dell'endpoint vengono inoltrati alla porta di servizio2000
divm-1
. - I pacchetti inviati alla porta di destinazione del client
1003
dell'endpoint vengono inoltrati alla porta di servizio1000
divm-2
. - I pacchetti inviati alla porta di destinazione del client
1004
dell'endpoint vengono inoltrati alla porta di servizio2000
divm-2
.
Deployment
Il deployment di una connessione di mappatura delle porte Private Service Connect differisce dal deployment di una normale connessione di endpoint Private Service Connect per i servizi pubblicati nei seguenti modi:
- Il producer di servizi crea un servizio di mappatura delle porte. I servizi di mappatura delle porte utilizzano gruppi di endpoint di rete (NEG) con mappatura delle porte. Questa configurazione è simile a un bilanciatore del carico di rete passthrough interno, ma il traffico non viene bilanciato.
- Il producer di servizi configura gli endpoint di rete del NEG di mappatura delle porte per specificare le mappature dalle porte di destinazione dei client di un endpoint Private Service Connect alle porte di servizio di VM di producer specifiche.
- Il producer di servizi crea un collegamento al servizio associato alla regola di forwarding del servizio di mappatura delle porte.
- Il producer di servizi condivide le porte di destinazione del client e le relative mappature con il consumer del servizio. Questa operazione non viene gestita automaticamente da Google Cloud.
- Il consumer del servizio configura i workload per comunicare con i servizi gestiti utilizzando le mappature delle porte definite dal producer.
Specifiche
La mappatura delle porte di Private Service Connect ha le seguenti specifiche:
- Una connessione di mappatura delle porte Private Service Connect richiede un endpoint Private Service Connect in una rete VPC consumer che si connette a un collegamento di servizio in una rete VPC producer.
- Il collegamento al servizio è associato a un servizio di mappatura delle porte. I servizi di mappatura delle porte sono configurati in modo simile ai bilanciatori del carico di rete passthrough interni, ma il traffico non è bilanciato. I servizi di mappatura delle porte sono costituiti da quanto segue:
- Una regola di inoltro che si connette a un servizio di backend. La regola di forwarding deve essere configurata per il traffico
TCP
oUDP
. La regola di forwarding deve essere configurata per inoltrare il traffico per tutte le porte di destinazione del client, ad esempio specificando--ports=ALL
in Google Cloud CLI. Tuttavia, devi solo definire le mappature nel NEG di mappatura delle porte per le porte di destinazione del client che prevedi di utilizzare. - Un servizio di backend configurato per utilizzare un gruppo di endpoint di rete con mappatura delle porte (NEG). I produttori di servizi utilizzano gli endpoint di rete del NEG di mappatura delle porte per definire mappature univoche dalle porte di destinazione dei client dell'endpoint Private Service Connect a una combinazione di porta di servizio e VM del produttore.
- Una regola di inoltro che si connette a un servizio di backend. La regola di forwarding deve essere configurata per il traffico
- Invece di bilanciare il traffico, il servizio di mappatura delle porte lo inoltra unicamente in base alle mappature configurate nel NEG di mappatura delle porte.
- Il servizio di produzione deve condividere con il consumatore le porte di destinazione del client valide e le rispettive mappature. Private Service Connect non condivide queste informazioni con il consumatore.
- Il consumer deve configurare i propri carichi di lavoro per comunicare con i servizi gestiti utilizzando le mappature delle porte definite dal producer.
- I consumatori possono attivare l'accesso globale per gli endpoint che si connettono ai servizi di mappatura delle porte se l'accesso globale è attivato nella regola di forwarding del servizio.
- La mappatura delle porte di Private Service Connect supporta l'accesso ibrido. Il carico di lavoro on-premise di un consumer può raggiungere le VM del producer accedendo all'endpoint Private Service Connect tramite collegamenti VLAN per Cloud Interconnect o Cloud VPN.
- La mappatura delle porte di Private Service Connect supporta le connessioni propagate (anteprima) per gli endpoint che si connettono ai servizi di mappatura delle porte.
- I servizi di mappatura delle porte possono essere pubblicati utilizzando indirizzi IPv4 o IPv6 (anteprima). Per ulteriori informazioni, vedi Traduzione della versione IP.
Limitazioni
- I controlli di integrità non sono supportati nei servizi di backend a cui sono associati NEG di mappatura delle porte. La convalida impedisce la configurazione di un controllo di integrità se il servizio di backend ha un NEG di mappatura delle porte.
- La mappatura delle porte di Private Service Connect non supporta la connessione di più collegamenti di servizi o regole di inoltro allo stesso servizio di backend di mappatura delle porte.
- I servizi di mappatura delle porte non sono accessibili ai backend Private Service Connect.
Utilizzare il bilanciamento del carico con la mappatura delle porte Private Service Connect
La mappatura delle porte di Private Service Connect inoltra il traffico in base unicamente alla porta di destinazione del client che lo riceve. Se vuoi utilizzare il bilanciamento del carico con la mappatura delle porte Private Service Connect, puoi procedere nel seguente modo:
- Chiedi al consumatore di implementare il bilanciamento del carico lato consumatore. Il software eseguito su VM per consumatori può inviare traffico a porte di destinazione client alternate.
- Crea un secondo collegamento di servizio nella rete VPC del producer che si connette a un bilanciatore del carico anziché a un servizio di mappatura delle porte. Utilizza le stesse VM presenti nel NEG di mappatura delle porte come backend nel servizio di backend del bilanciatore del carico. Il consumatore può inviare il traffico che deve essere bilanciato in base al carico a un endpoint associato al secondo allegato del servizio.
Quote
Per informazioni su quote e limiti relativi alla mappatura delle porte di Private Service Connect, consulta Quote e limiti.
Prezzi
I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.
Passaggi successivi
- Informazioni sull'accesso ai servizi pubblicati tramite endpoint
- Creare servizi di mappatura delle porte