À propos des règles de connexion aux services

Cette page présente les règles de connexion de service.

Les clients des services peuvent créer des règles de connexion de service qui automatisent le déploiement et la connectivité pour les instances de service gérés éligibles. Ce processus est appelé automatisation de la connectivité du service Private Service Connect.

Par exemple, un administrateur de service client peut être un administrateur de base de données qui déploie une base de données, puis configure Private Service Connect pour atteindre cette base de données. Cependant, l'administrateur de base de données ne dispose peut-être pas des identifiants IAM (Identity and Access Management) nécessaires ou de sa connaissance des déploiements de ressources réseau. Si une règle de connexion de service existe et que le service producteur est configuré pour l'automatisation du service, l'administrateur de base de données peut demander qu'une instance du service producteur soit déployée et connectée à son réseau via l'automatisation de la connectivité du service.

Les stratégies de connexion de service sont utiles pour les rôles suivants:

  • Les administrateurs de service client peuvent déployer des instances de services producteur gérés et configurer la connectivité à ces instances via l'API ou l'interface utilisateur qui administre le service producteur. Il n'y a pas d'étape supplémentaire pour configurer Private Service Connect.
  • Les administrateurs réseau peuvent créer un ensemble unique de règles contrôlant les services et les sous-réseaux utilisés pour la connectivité.
  • Les producteurs de services peuvent simplifier le processus de partage des rattachements de service et de guidage des clients via le déploiement de la connectivité. Les clients disposant de règles de connexion aux services peuvent configurer un service de producteur à l'aide de l'API ou de l'interface utilisateur d'administration du producteur.

Déploiement d'une instance de service

Le déploiement d'une instance d'un service géré à l'aide de règles de connexion de service implique les étapes suivantes, illustrées dans la figure 1 :

  1. Un administrateur du réseau du consommateur crée une règle de connexion de service pour son réseau VPC. Ce réseau peut éventuellement être un réseau VPC partagé.

    La règle de connexion de service permet à Google de déployer automatiquement des points de terminaison Private Service Connect pour le compte de l'administrateur de service consommateur. La règle de connexion de service fait référence à une classe de service, c'est-à-dire une ressource unique qui identifie un service producteur spécifique. Une seule règle de connexion de service a pour champ d'application une seule classe de service et un seul réseau VPC client, déléguant ainsi la possibilité de configurer la connectivité dans ce champ d'application.

  2. Un administrateur de service consommateur déploie une instance de service géré et configure la connectivité à cette instance à l'aide de l'API ou de l'interface utilisateur d'administration du service.

    Si vous avez créé la règle de connexion de service dans un réseau VPC partagé, vous pouvez déployer l'instance de service géré dans un projet de service associé.

  3. Le producteur reçoit la configuration de connectivité du client et transmet ces informations à un mappage de connexions de service.

  4. Le compte de service de connectivité réseau crée un point de terminaison dans le réseau VPC du consommateur. Ce point de terminaison se connecte à un rattachement de service dans le réseau VPC du producteur.

Figure 1. Un administrateur réseau crée une règle de connexion de service. Un administrateur de service client peut ensuite déployer des instances de service géré à l'aide de l'API ou de l'interface utilisateur d'administration de ce service.

Services compatibles

Pour savoir si un service géré est compatible avec les règles de connexion au service, contactez le fournisseur de services. Si un service est compatible avec les règles de connexion au service, le fournisseur de services sera en mesure de vous fournir la classe de service associée.

Les classes de service, qui permettent aux producteurs d'automatiser leurs services pour le compte des clients, sont disponibles pour les producteurs en version preview limitée. Pour en savoir plus sur l'automatisation de la connectivité pour vos propres services gérés via des classes de service, contactez votre conseiller commercial Google Cloud.

Règles de connexion au service

Une stratégie de connexion de service est une ressource Google Cloud régionale. Elle permet à un administrateur réseau de spécifier les services de producteur pouvant être déployés et connectés via l'automatisation de la connectivité des services. Si une stratégie de connexion de service existe pour un service géré, un administrateur de service client peut déployer ce service.

Les règles de connexion aux services comportent les champs suivants :

  • Classe de service: spécifie le type de service géré auquel la règle est destinée. Chaque producteur compatible avec les règles de connexion aux services possède sa propre classe de service unique.
  • Réseau VPC : spécifie le réseau VPC auquel la règle s'applique.
  • Sous-réseaux : spécifie les sous-réseaux à partir desquels les adresses IP des points de terminaison Private Service Connect sont allouées.
  • Limite de connexions : spécifie le nombre maximal de connexions Private Service Connect qu'un producteur peut créer dans le réseau VPC et la région de la stratégie.

Spécifications

Les règles de connexion aux services ont les spécifications suivantes :

  • Vous pouvez créer une seule règle de connexion de service pour une combinaison de réseau, de région et de classe de service. Cela garantit qu'une seule règle régit la création des points de terminaison Private Service Connect.
  • Si une règle de connexion au service existe pour une classe de service donnée, les administrateurs du service consommateur peuvent utiliser l'API ou l'interface utilisateur d'administration du service pour déployer ce service et configurer la connectivité à l'aide de l'automatisation de la connectivité du service.
  • Les sous-réseaux inclus dans la configuration de la règle de connexion de service fournissent des adresses IP attribuées aux points de terminaison Private Service Connect. Ces sous-réseaux doivent être des sous-réseaux standards et se trouver dans la même région que la règle de connexion de service. Les sous-réseaux standards sont différents des sous-réseaux Private Service Connect.
  • Nous vous recommandons d'utiliser des sous-réseaux dédiés avec des règles de connexion au service. Cela permet de garantir que les adresses IP des sous-réseaux ne sont pas réutilisées pour différentes ressources.
  • Les règles de connexion de service ne peuvent être créées que dans le même projet que le réseau VPC auquel la règle s'applique.
  • Si vous souhaitez utiliser l'automatisation du service Private Service Connect avec plusieurs réseaux VPC appartenant au même projet, créez une règle de connexion au service pour chaque réseau.
  • Vous pouvez utiliser des règles de connexion de service avec un VPC partagé.

Configuration du producteur

Les sections suivantes décrivent les ressources utilisées par les producteurs de services pour configurer l'automatisation de la connectivité du service.

Mappage de connexion des services

Un mappage de connexion de service est une ressource côté producteur qui permet à un producteur de spécifier un mappage entre les rattachements de service et les points de terminaison Private Service Connect. Ce mappage contient une liste de combinaisons de réseaux et de projets VPC pouvant être mappées sur une liste de rattachements de service.

Les producteurs utilisent les mappages de connexion de service pour définir les projets client et les réseaux Private Service Connect à utiliser lorsque des points de terminaison sont créés via l'automatisation du service.

Lorsqu'un administrateur de service client envoie une requête de déploiement d'une instance de service via l'automatisation de la connectivité du service, l'administrateur spécifie un réseau VPC. Le service géré utilise ces informations pour mettre à jour le mappage de connexion de service correspondant et spécifier le rattachement de service auquel connecter le client.

Classe de service

Une classe de service est une représentation unique d'un type de service géré. Chaque producteur est exclusivement propriétaire de sa classe de service. Les clients font référence à la classe de service dans leurs règles de connexion de service, ce qui autorise le déploiement et la délégation de la connectivité au producteur.

Des classes de service peuvent exister pour les services publiés par Google, les services tiers et les services gérés internes qui sont auto-hébergés. Les règles de connexion de service ne peuvent être créées que pour des services disposant d'une classe de service.

Modèle d'autorisation

Les règles de connexion de service permettent aux clients de déléguer le déploiement de la connectivité aux producteurs. Le producteur ne dispose pas d'un accès direct ni d'autorisations IAM pour le projet client. Au lieu de cela, le producteur configure un mappage de connexion de service dans son propre projet. Cela permet au producteur de spécifier les projets clients et les réseaux VPC dans lesquels déployer les points de terminaison.

Lorsqu'un mappage de connexion de service est créé ou mis à jour par un producteur, Google Cloud effectue les vérifications d'autorisation suivantes:

  • L'utilisateur du producteur qui crée ou met à jour le mappage de connexion possède la propriété IAM de la classe de service associée. Cette vérification permet d'éviter les représentations fausses d'une classe de service publique.
  • Le réseau du client dispose d'une stratégie de connexion de service valide qui autorise le réseau VPC, la région et la classe de service spécifiés par le mappage de connexion de service. Cette vérification garantit qu'un administrateur disposant des autorisations IAM sur le réseau VPC délègue explicitement la possibilité de créer des points de terminaison Private Service Connect pour le type de service spécifié.
  • Le projet spécifié par le client pour la connectivité dans l'interface utilisateur ou l'API du service géré est associé à l'instance de service géré. Cette vérification permet d'éviter le spoofing ou l'utilisation frauduleuse d'un service géré dans le but de créer la connectivité pour des projets non autorisés.

Si chaque condition est remplie, le compte de service de connectivité réseau crée les points de terminaison demandés dans le réseau du consommateur. Le compte de service de connectivité réseau est un compte de service géré par Google.

Limites

  • Les règles de connexion de service ne sont compatibles qu'avec l'automatisation des points de terminaison Private Service Connect dans un réseau VPC consommateur. Les backends Private Service Connect ou les rattachements de service ne sont pas compatibles.
  • Vous ne pouvez pas supprimer directement les points de terminaison Private Service Connect créés via l'automatisation de la connectivité du service. Pour déclencher la suppression de ces points de terminaison, mettez hors service la connectivité du service.
  • Vous ne pouvez mettre à jour que les sous-réseaux et la limite de connexion d'une règle de connexion de service. Si vous souhaitez mettre à jour d'autres champs, supprimez la règle et créez-en une nouvelle.
  • Les règles de connexion de service permettent de créer des points de terminaison avec des adresses IPv4. Il n'est pas possible de créer des points de terminaison disposant d'adresses IPv6.

Tarification

La tarification de Private Service Connect est décrite sur la page des tarifs relatifs aux VPC.

Étapes suivantes