Acerca das políticas de ligação de serviços

Este documento explica como os administradores de rede podem usar políticas de ligação de serviços para fornecer conetividade a instâncias de serviços geridos suportadas através da automatização da conetividade de serviços. Antes de ler este documento, certifique-se de que conhece os conceitos explicados no artigo Acerca da automatização da conetividade dos serviços.

Especificações

As políticas de ligação de serviços têm as seguintes especificações:

• Só pode criar uma política de ligação de serviço para cada combinação de rede, região e classe de serviço. Por exemplo, só pode ter uma política de ligação de serviços para vpc1 em us-central1 para google-cloud-sql. Esta validação significa que apenas uma política de ligação de serviço rege um determinado ponto final do Private Service Connect.

• Os administradores de instâncias de serviço podem usar a API administrativa ou a IU do serviço para implementar esse serviço e configurar a conetividade através da automatização da conetividade do serviço.

• Se a criação ou a eliminação de um ponto final através da automatização da conetividade do serviço for bloqueada, um processo automático tenta novamente a operação periodicamente até o problema de bloqueio ser resolvido.

• As sub-redes incluídas na configuração da política de ligação de serviço fornecem endereços IP atribuídos a pontos finais do Private Service Connect. Estes endereços IP são automaticamente atribuídos e devolvidos ao conjunto da sub-rede à medida que as instâncias de serviços geridos são criadas e eliminadas.

  As sub-redes têm de ser sub-redes normais e têm de estar na mesma região que a política de ligação de serviço. As sub-redes normais são diferentes das sub-redes do Private Service Connect.

  Como prática recomendada, sugerimos que evite usar as sub-redes para outros recursos. Se outros recursos consumirem endereços IP da sub-rede, pode ficar sem endereços IP para atribuir a pontos finais.

• Os serviços geridos que usam políticas de ligação de serviços podem suportar a ligação a instâncias de serviços através de pontos finais IPv4, pontos finais IPv6 ou ambos. Se o serviço suportar IPv4 e IPv6, os administradores da instância de serviço podem escolher uma versão IP quando implementam uma instância de serviço.

• Pode usar políticas de ligação de serviços com a VPC partilhada.

• Por predefinição, a instância de serviço e os pontos finais que se ligam à instância de serviço têm de estar no mesmo projeto (ou, no caso da VPC partilhada, em projetos ligados).

  Os serviços Google suportados permitem-lhe configurar um âmbito de instância de serviço personalizado.

• Os pontos finais criados através da automatização da conetividade de serviços podem ter etiquetas aplicadas pelo produtor do serviço. Para mais informações acerca das etiquetas, consulte o artigo Organize os recursos através de etiquetas.

• Se quiser usar a automatização de serviços do Private Service Connect com várias redes VPC que estejam no mesmo projeto, crie uma política de ligação de serviço para cada rede.

• Opcionalmente, pode configurar um limite de ligações para especificar o número máximo de ligações do Private Service Connect que um determinado produtor de serviços pode criar na rede e na região da VPC da política.

• Os pontos finais criados através de políticas de ligação de serviços podem ser disponibilizados noutras redes VPC através da propagação de ligações.

Autorização

As políticas de ligação de serviço permitem que os consumidores deleguem a implementação da conetividade em serviços geridos. O produtor de serviços não tem acesso direto nem privilégios do IAM para o projeto do consumidor. Em alternativa, o produtor configura um mapa de ligação de serviço no seu próprio projeto.

Quando o mapa de ligação de serviço é criado ou atualizado, normalmente em resposta a um pedido de um administrador de serviço consumidor à API administrativa ou à IU do serviço gerido, a automatização da conetividade de serviço realiza uma série de verificações de autorização. Se todas as verificações forem aprovadas, os pontos finais do Private Service Connect são criados conforme especificado no pedido.

Para informações sobre a autorização, consulte o Modelo de autorização.

Políticas de ligação em redes VPC partilhadas

As políticas de ligação de serviços podem automatizar a conetividade a instâncias de serviços que se encontram em projetos anfitriões ou em projetos de serviços anexados.

Se estiver a usar a VPC partilhada, tem de criar a política de ligação de serviço no projeto anfitrião. Os pontos finais são criados no projeto especificado na configuração da instância do serviço.

Se criar uma política de ligação de serviço numa rede de VPC partilhada e implementar uma instância de serviço num projeto de serviço, a automatização da conetividade do serviço partilha as sub-redes associadas à política de ligação de serviço atualizando a conta de serviço de conetividade de rede do projeto de serviço. Esta conta de serviço tem a função de utilizador da rede de computação (roles/compute.networkUser) nas sub-redes partilhadas.

Para ver um exemplo de implementação, consulte o artigo VPC partilhada.

Políticas de ligação com âmbito da instância de serviço personalizado

Por predefinição, a automatização da conetividade de serviços cria pontos finais para instâncias de serviços e políticas de ligação de serviços associadas que estão no mesmo projeto (ou, no caso da VPC partilhada, em projetos ligados).Google Cloud Para os serviços Google suportados, as instâncias de serviço e os pontos finais de ligação também podem estar em projetos ou organizações diferentes.

Nem todos os serviços Google suportam a configuração de um âmbito de instância de serviço personalizado. Para determinar se um serviço suporta um âmbito de instância de serviço personalizado, consulte a documentação do serviço específico.

Use a definição Âmbito da instância de serviço (--producer-instance-location) para configurar a conetividade com instâncias de serviço que se encontram noutros nós do Resource Manager (projetos, pastas e organizações).

• Se estiver definido como no_producer_instance_location, os pontos finais são criados apenas no mesmo projeto. Este é o valor predefinido.
• Se estiver definido como custom_resource_hierarchy_levels, especifica a lista de nós do Resource Manager no campo --allowed-google-producers-resource-hierarchy-level.

Se atualizar o âmbito da instância do serviço para uma política de ligação do serviço, os pontos finais existentes não são afetados.

Para um exemplo de implementação, consulte o artigo Serviços Google com âmbito da instância de serviço personalizado.

Versões de IP do ponto final

As possíveis versões de IP dos pontos finais que se ligam a instâncias de serviço (IPv4, IPv6 ou ambos) são determinadas pelo produtor do serviço e não pela automatização da conetividade do serviço. Se o serviço suportar IPv4 e IPv6, os administradores de instâncias de serviço podem escolher uma versão de IP quando implementam uma instância através da API administrativa de um serviço. Para obter informações sobre as versões de IP suportadas por um serviço, consulte a documentação do serviço.

Quando um administrador da instância de serviço escolhe uma versão de IP, a automatização da conetividade do serviço verifica a política de ligação do serviço quanto a sub-redes compatíveis a usar para criar endereços IP de pontos finais:

• As sub-redes apenas IPv4 suportam pontos finais IPv4.
• As sub-redes de pilha dupla suportam pontos finais IPv4 e IPv6.
• As sub-redes apenas IPv6 suportam pontos finais IPv6.

Se a política de ligação de serviço não tiver uma sub-rede compatível, o pedido falha e não é criado nenhum ponto final.

Além disso, a versão IP do ponto final tem de ser compatível com a versão IP da instância do serviço, que é determinada pela regra de encaminhamento do anexo de serviço associado. O Private Service Connect suporta as seguintes combinações de versões de IP:

• Ponto final IPv4 para anexo de serviço IPv4
• Ponto final IPv6 para anexo de serviço IPv6

• Ponto final IPv6 para anexo de serviço IPv4

  Nesta configuração, o Private Service Connect traduz automaticamente entre as duas versões de IP.

A ligação de um ponto final IPv4 a uma associação de serviço IPv6 não é suportada.

Se quiser permitir que os clientes IPv4 e IPv6 acedam a uma instância de serviço gerida, configure a conetividade para pontos finais IPv4 e IPv6 separados que estabeleçam ligação ao mesmo serviço.

Limitações

• As políticas de ligação de serviços só suportam a automatização da criação de pontos finais do Private Service Connect. A criação de back-ends ou associações de serviços do Private Service Connect não é suportada.
• Não pode eliminar diretamente pontos finais do Private Service Connect criados através da automatização da conetividade de serviços. Para acionar a eliminação destes pontos finais, desative a conetividade do serviço.
• Só pode atualizar as sub-redes e o limite de ligações para uma política de ligação de serviço. Se quiser atualizar outros campos, elimine a política e crie uma nova.

Preços

Os preços do Private Service Connect estão descritos na página de preços da VPC.

O que se segue?

• Configure políticas de ligação de serviços