Informazioni sulle policy di connessione al servizio

Questo documento spiega come gli amministratori di rete possono utilizzare i criteri di connessione al servizio per fornire connettività alle istanze di servizi gestiti supportate tramite l'automazione della connettività dei servizi. Prima di leggere questo documento, assicurati di conoscere i concetti spiegati in Informazioni sull'automazione della connettività dei servizi.

Specifiche

Le policy di connessione al servizio hanno le seguenti specifiche:

• Puoi creare un solo criterio di connessione al servizio per ogni combinazione di rete, regione e classe di servizio. Ad esempio, puoi avere un solo criterio di connessione al servizio per vpc1 in us-central1 per google-cloud-sql. Questa convalida indica che un determinato endpoint Private Service Connect è regolato da una sola policy di connessione al servizio.

• Gli amministratori delle istanze di servizio possono utilizzare l'API di amministrazione o l'UI del servizio per eseguire il deployment del servizio e configurare la connettività utilizzando l'automazione della connettività del servizio.

• Le subnet incluse nella configurazione del criterio di connessione del servizio forniscono gli indirizzi IP assegnati agli endpoint Private Service Connect. Questi indirizzi IP vengono allocati automaticamente e restituiti al pool della subnet man mano che le istanze di servizio gestite vengono create ed eliminate.

  Le subnet devono essere subnet comuni e devono trovarsi nella stessa regione della policy di connessione al servizio. Le subnet normali sono diverse dalle subnet Private Service Connect.

  Come best practice, ti consigliamo di evitare di utilizzare le sottoreti per altre risorse. Se altre risorse consumano indirizzi IP dalla sottorete, potresti esaurire gli indirizzi IP da assegnare agli endpoint.

• I servizi gestiti che utilizzano i criteri di connessione al servizio potrebbero supportare la connessione alle istanze di servizio utilizzando endpoint IPv4, endpoint IPv6 o entrambi. Se il servizio supporta sia IPv4 che IPv6, gli amministratori delle istanze di servizio possono scegliere una versione IP durante il deployment di un'istanza di servizio.

• Puoi utilizzare i criteri di connessione dei servizi con il VPC condiviso.

• Per impostazione predefinita, l'istanza di servizio e gli endpoint che si connettono all'istanza di servizio devono trovarsi nello stesso progetto (o, nel caso di VPC condiviso, nei progetti collegati).

  I servizi Google supportati ti consentono di configurare un ambito di istanza di servizio personalizzato.

• Gli endpoint creati tramite l'automazione della connettività dei servizi potrebbero essere etichettati dal producer di servizi. Per saperne di più sulle etichette, vedi Organizzare le risorse utilizzando le etichette.

• Se vuoi utilizzare l'automazione dei servizi Private Service Connect con più reti VPC nello stesso progetto, crea una policy di connessione dei servizi per ogni rete.

• Se vuoi, puoi configurare un limite di connessioni per specificare il numero massimo di connessioni Private Service Connect che un determinato produttore di servizi può creare nella rete e nella regione VPC del criterio.

• Gli endpoint creati tramite le policy di connessione al servizio possono essere resi disponibili in altre reti VPC tramite la propagazione della connessione.

Autorizzazione

Le policy di connessione al servizio consentono ai consumer di delegare il deployment della connettività ai servizi gestiti. Il producer di servizi non dispone di accesso diretto o privilegi IAM per il progetto consumer. Il producer configura invece una mappa di connessione ai servizi nel proprio progetto.

Quando la mappa di connessione dei servizi viene creata o aggiornata, in genere in risposta a una richiesta di un amministratore del servizio consumer all'API o all'interfaccia utente amministrativa del servizio gestito, l'automazione della connettività dei servizi esegue una serie di controlli di autorizzazione. Se tutti i controlli vengono superati, gli endpoint Private Service Connect vengono creati come specificato nella richiesta.

Per informazioni sull'autorizzazione, consulta Modello di autorizzazione.

Criteri di connessione nelle reti VPC condivise

Le policy di connessione al servizio possono automatizzare la connettività alle istanze di servizio situate in progetti host o in progetti di servizio collegati.

Se utilizzi un VPC condiviso, devi creare il criterio di connessione al servizio nel progetto host. Gli endpoint vengono creati nel progetto specificato nella configurazione dell'istanza di servizio.

Se crei una policy di connessione al servizio in una rete VPC condivisa e esegui il deployment di un'istanza di servizio in un progetto di servizio, l'automazione della connettività del servizio condivide le sottoreti associate alla policy di connessione al servizio aggiornando l'account di servizio di connettività di rete del progetto di servizio. A questo account di servizio viene concesso il ruolo Utente di rete Compute (roles/compute.networkUser) sulle subnet condivise.

Per un esempio di implementazione, consulta Rete VPC condivisa.

Policy di connessione con ambito istanza di servizio personalizzato

Per impostazione predefinita, l'automazione della connettività dei servizi crea endpoint per le istanze di servizio e le policy di connessione dei servizi associate che si trovano nello stesso progetto Google Cloud (o, nel caso di VPC condiviso, nei progetti collegati). Per i servizi Google supportati, le istanze di servizio e gli endpoint di collegamento possono anche trovarsi in progetti o organizzazioni diversi.

Non tutti i servizi Google supportano la configurazione di un ambito istanza di servizio personalizzato. Per determinare se un servizio supporta un ambito istanza di servizio personalizzato, consulta la documentazione del servizio specifico.

Utilizza l'impostazione Ambito istanza di servizio (--producer-instance-location) per configurare la connettività alle istanze di servizio in altri nodi di Resource Manager (progetti, cartelle e organizzazioni).

• Se è impostato su no_producer_instance_location, gli endpoint vengono creati solo nello stesso progetto. Questo è il valore predefinito.
• Se è impostato su custom_resource_hierarchy_levels, specifica l'elenco di nodi Resource Manager nel campo --allowed-google-producers-resource-hierarchy-level.

Se aggiorni l'ambito dell'istanza di servizio per un criterio di connessione al servizio, gli endpoint esistenti non sono interessati.

Per un esempio di implementazione, consulta Servizi Google con ambito dell'istanza di servizio personalizzata.

Versioni IP endpoint

Le possibili versioni IP degli endpoint che si connettono alle istanze di servizio (IPv4, IPv6 o entrambi) sono determinate dal produttore del servizio, non dall'automazione della connettività del servizio. Se il servizio supporta sia IPv4 che IPv6, gli amministratori delle istanze di servizio possono scegliere una versione IP durante il deployment di un'istanza tramite l'API di amministrazione di un servizio. Per informazioni sulle versioni IP supportate di un servizio, consulta la documentazione del servizio.

Quando un amministratore di istanze di servizio sceglie una versione IP, l'automazione della connettività del servizio controlla la policy di connessione del servizio per individuare le subnet compatibili da utilizzare per la creazione degli indirizzi IP degli endpoint:

• Le subnet solo IPv4 supportano gli endpoint IPv4.
• Le subnet a doppio stack supportano endpoint IPv4 e IPv6.
• Le subnet solo IPv6 (anteprima) supportano gli endpoint IPv6.

Se il criterio di connessione al servizio non ha una subnet compatibile, la richiesta non va a buon fine e non viene creato alcun endpoint.

Inoltre, la versione IP dell'endpoint deve essere compatibile con la versione IP dell'istanza di servizio, che viene determinata dalla regola di inoltro dell'attacco al servizio associato. Private Service Connect supporta le seguenti combinazioni di versioni IP:

• Endpoint IPv4 all'attacco del servizio IPv4
• Endpoint IPv6 all'attacco del servizio IPv6

• Collegamento dell'endpoint IPv6 al servizio IPv4

  In questa configurazione, Private Service Connect esegue automaticamente la traduzione tra le due versioni IP.

La connessione di un endpoint IPv4 a un collegamento a un servizio IPv6 non è supportata.

Se vuoi consentire ai client IPv4 e IPv6 di accedere a un'istanza di servizio gestita, configura la connettività per endpoint IPv4 e IPv6 separati che si connettono allo stesso servizio.

Limitazioni

• Le policy di connessione dei servizi supportano solo l'automazione della creazione gli endpoint Private Service Connect. La creazione di backend o aggrappi di servizi Private Service Connect non è supportata.
• Non puoi eliminare direttamente gli endpoint Private Service Connect creati tramite l'automazione della connettività dei servizi. Per attivare l'eliminazione di questi endpoint, ritira la connettività del servizio.
• Puoi aggiornare solo le sottoreti e il limite di connessioni per un criterio di connessione al servizio. Se vuoi aggiornare altri campi, elimina il criterio e creane uno nuovo.
• I criteri di connessione al servizio supportano la creazione di endpoint con indirizzi IPv4. La creazione di endpoint con indirizzi IPv6 non è supportata.

Prezzi

I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.

Passaggi successivi

• Configurare i criteri di connessione al servizio