Sobre as políticas de conexão de serviço

Nesta página, você encontra uma visão geral das políticas de conexão de serviço.

Os consumidores de serviço podem criar políticas de conexão de serviço que automatizam a implantação e a conectividade para instâncias de serviços gerenciados qualificados. Esse processo é chamado de automação de conectividade do serviço do Private Service Connect.

Por exemplo, um administrador de serviços ao consumidor pode ser um administrador de banco de dados que implanta um banco de dados e configura o Private Service Connect para alcançá-lo. No entanto, o administrador do banco de dados pode não ter as credenciais necessárias do Identity and Access Management (IAM) ou saber como implantar recursos de rede. Se houver uma política de conexão de serviço e o serviço do produtor estiver configurado para a automação do serviço, o administrador do banco de dados poderá solicitar que uma instância do serviço do produtor seja implantada e conectada à rede por meio da automação da conectividade do serviço do Google Analytics.

As políticas de conexão de serviço são úteis para os seguintes papéis:

  • Os administradores de serviço do consumidor podem implantar instâncias de serviços de produtor gerenciados e configurar a conectividade com eles por meio da API ou da interface administrativa do serviço de produtor. Não há mais etapas para configurar o Private Service Connect.
  • Os administradores de rede podem criar um único conjunto de políticas que controlam quais serviços e sub-redes são usados para conectividade.
  • Os produtores de serviço podem simplificar o processo de compartilhamento de anexos de serviço e orientar os consumidores por meio da implantação da conectividade. Consumidores com políticas de conexão de serviços podem configurar um serviço de produtor usando a API ou interface administrativa do produtor.

Implantação da instância de serviço

A implantação de uma instância de um serviço gerenciado usando políticas de conexão de serviço envolve as seguintes etapas, mostradas na figura 1:

  1. Um administrador da rede do consumidor cria uma política de conexão de serviço para a rede VPC dele. Opcionalmente, essa rede pode ser uma rede VPC compartilhada.

    A política de conexão de serviço permite que o Google implante automaticamente endpoints do Private Service Connect em nome de amin do serviço do consumidor. A política de conexão de serviço referencia uma classe de serviço, um recurso globalmente exclusivo que identifica um serviço de produtor específico. Uma única política de conexão de serviço tem escopo para uma única classe de serviço e uma única rede VPC do consumidor, que delega a capacidade de configurar a conectividade dentro desse escopo.

  2. Um administrador do serviço do consumidor implanta uma instância de serviço gerenciado e configura a conectividade para essa instância usando a interface ou API administrativa do serviço.

    Se você criou a política de conexão de serviço em uma rede VPC compartilhada, implante a instância de serviço gerenciado em um projeto de serviço anexado.

  3. O produtor recebe a configuração de conectividade do consumidor e passa essas informações para um mapa de conexão de serviço.

  4. A conta de serviço da Conectividade de rede cria um endpoint na rede VPC do consumidor. Esse endpoint se conecta a um anexo de serviço na rede VPC do produtor.

Um administrador de rede cria uma política de conexão de serviço. Um administrador de serviço do consumidor pode implantar instâncias de serviço gerenciadas usando a API ou a interface administrativa do serviço (clique para ampliar).

Serviços compatíveis

Para saber se um serviço gerenciado é compatível com as políticas de conexão, entre em contato com o provedor. Se um serviço for compatível com políticas de conexão de serviço, ele pode fornecer a classe de serviço associada.

As classes de serviço, que permitem aos produtores automatizarem os serviços em nome do consumidor, estão disponíveis para os produtores na visualização limitada. Para informações sobre como automatizar a conectividade para seus próprios serviços gerenciados por meio de classes de serviço, entre em contato com seu representante de vendas do Google Cloud.

Políticas de conexão de serviço

Uma política de conexão de serviço é um recurso regional do Google Cloud. Ele permite que um administrador de rede especifique quais serviços de produtor podem ser implantados e conectados por meio da automação de conectividade de serviço. Se houver uma política de conexão de serviço para um serviço gerenciado, um administrador de serviço do consumidor poderá implantar esse serviço.

As políticas de conexão de serviço têm os seguintes campos:

  • Classe de serviço: especifica o tipo de serviço gerenciado para o qual a política é destinada. Cada produtor que dá suporte a políticas de conexão de serviço tem a própria classe de serviço globalmente exclusiva.
  • Rede VPC: especifica a rede VPC que tem o escopo da política.
  • Sub-redes: especifica as sub-redes das quais os endereços IP dos endpoints do Private Service Connect são alocados.
  • Limite de conexão: especifica o número máximo de conexões do Private Service Connect que um produtor pode criar na rede VPC e na região da política.

Especificações

As políticas de conexão de serviço têm as seguintes especificações:

  • É possível criar uma única política de conexão de serviço por combinação de rede, região e classe de serviço. Isso garante que apenas uma política regule a criação de qualquer endpoint do Private Service Connect.
  • Se houver uma política de conexão de serviço para uma determinada classe de serviço, os administradores de serviços de consumidores poderão usar a interface ou a API administrativa do serviço a fim de implantar o serviço e configurar a conectividade usando a automação de conectividade do serviço.
  • As sub-redes incluídas na configuração da política de conexão de serviço fornecem endereços IP atribuídos a endpoints do Private Service Connect. Essas sub-redes precisam ser sub-redes normais e precisam estar na mesma região que a política de conexão do serviço. As sub-redes regulares são diferentes das sub-redes do Private Service Connect.
  • Como prática recomendada, o Google sugere o uso de sub-redes dedicadas com políticas de conexão de serviço. Isso ajuda a garantir que os endereços IP das sub-redes não sejam reutilizados para recursos diferentes.
  • As políticas de conexão de serviço só podem ser criadas no mesmo projeto da rede VPC em que a política se aplica.
  • Se você quiser usar a automação do serviço do Private Service Connect com várias redes VPC que estão no mesmo projeto, crie uma política de conexão de serviço para cada rede.
  • É possível usar políticas de conexão de serviço com a VPC compartilhada.

Configuração do produtor

As seções a seguir descrevem os recursos usados pelos produtores para configurar a automação da conectividade do serviço.

Mapa de conexão de serviço

Um mapa de conexão de serviço é um recurso do lado do produtor que permite a um produtor especificar um mapeamento entre anexos de serviço e endpoints do Private Service Connect. Esse mapa contém uma lista de combinações de rede VPC e projeto que podem ser mapeadas para uma lista de anexos de serviço.

Os produtores usam mapas de conexão de serviço para definir quais projetos de consumidores e redes do Private Service Connect serão usados quando os endpoints forem criados por meio da automação de serviços.

Quando um administrador de serviço do consumidor faz uma solicitação para que uma instância de serviço seja implantada por meio da automação da conectividade do serviço, o administrador especifica uma rede VPC. O serviço gerenciado usa essas informações para atualizar o mapa de conexão de serviço correspondente e especificar a que anexo de serviço conectar o consumidor.

Classe de serviço

Uma classe de serviço é uma representação global exclusiva de um tipo de serviço gerenciado. Cada produtor detém a própria classe de serviço. Os consumidores fazem referência à classe de serviço nas políticas de conexão de serviço, autorizando a implantação e delegando a conectividade ao produtor.

As classes de serviço podem existir para serviços publicados do Google, serviços de terceiros e serviços gerenciados internos auto-hospedados. As políticas de conexão de serviço só podem ser criadas para serviços que têm uma classe de serviço.

Modelo de autorização

As políticas de conexão de serviço permitem que os consumidores deleguem a implantação da conectividade aos produtores. O produtor não tem acesso direto ou privilégios de IAM para o projeto de consumidor. Em vez disso, o produtor configura um mapa de conexão de serviço no próprio projeto. Isso permite que o produtor especifique os projetos de consumidor e as redes VPC em que os endpoints serão implantados.

Quando um mapa de conexão de serviço é criado ou atualizado por um produtor, o Google Cloud faz as seguintes verificações de autorização:

  • O usuário produtor que cria ou atualiza o mapa de conexão tem a propriedade do IAM da classe de serviço associada. Essa verificação ajuda a evitar representações falsas de uma classe de serviço público.
  • A rede do consumidor tem uma política de conexão de serviço válida que autoriza a rede VPC, a região e a classe de serviço especificadas pelo mapa de conexão de serviço. Essa verificação garante que um administrador com permissões do IAM para a rede VPC delegue explicitamente a capacidade de criar endpoints do Private Service Connect para o tipo de serviço especificado.
  • O projeto especificado pelo consumidor para conectividade na interface ou API do serviço gerenciado está associado à instância do serviço gerenciado. Essa verificação ajuda a evitar o spoofing ou a simulação de um serviço gerenciado para criar conectividade para projetos não autorizados.

Se cada condição for cumprida, a conta de serviço da Conectividade de rede criará os endpoints solicitados na rede do consumidor. A conta de serviço de conectividade de rede é um agente de serviço.

Limitações

  • As políticas de conexão do serviço só são compatíveis com a automação de endpoints do Private Service Connect dentro de uma rede VPC do consumidor. Os back-ends ou anexos de serviço do Private Service Connect não são compatíveis.
  • Não é possível excluir diretamente os endpoints do Private Service Connect criados pela automação da conectividade do serviço. Para acionar a exclusão desses endpoints, desative a conectividade do serviço.
  • Só é possível atualizar as sub-redes e o limite de conexão de uma política de conexão de serviço. Se você quiser atualizar outros campos, exclua a política e crie uma nova.
  • As políticas de conexão de serviço permitem criar endpoints com endereços IPv4. Não é possível criar endpoints com endereços IPv6.

Preços

Os preços do Private Service Connect são descritos na página de preços da VPC.

A seguir