Informazioni sui criteri di connessione al servizio
Questa pagina fornisce una panoramica dei criteri di connessione al servizio.
I consumatori dei servizi possono creare criteri di connessione al servizio che automatizzano il deployment e la connettività per le istanze di servizio gestite idonee. Questa procedura è chiamata automazione della connettività dei servizi Private Service Connect.
Ad esempio, un amministratore di servizi consumer potrebbe essere un amministratore di database che esegue il deployment di un database e poi configura Private Service Connect a raggiungere il database. Tuttavia, l'amministratore del database potrebbe non aver richieste di Identity and Access Management (IAM) o conoscenze su come eseguire il deployment di networking. Se esiste un criterio di connessione al servizio e il servizio producer è configurato per l'automazione dei servizi, l'amministratore del database può richiedere l'implementazione di un'istanza del servizio producer e la sua connessione alla rete tramite l'automazione della connettività dei servizi.
I criteri di connessione al servizio sono utili per i ruoli seguenti:
- Gli amministratori di servizi consumer possono eseguire il deployment di istanze di servizi di produzione gestiti e configurarne la connettività tramite l'API di amministrazione o l'interfaccia utente del servizio di produzione. Non è necessario configurare alcun passaggio aggiuntivo Private Service Connect.
- Gli amministratori di rete possono creare un unico insieme di criteri che controllano i servizi e le subnet utilizzati per la connettività.
- I producer di servizi possono semplificare la procedura di condivisione degli allegati dei servizi e guidare i consumatori nella procedura di implementazione della connettività. Consumatori con i criteri di connessione al servizio, puoi configurare un servizio producer utilizzando l'API o la UI amministrativa del producer.
Deployment delle istanze di servizio
Deployment di un'istanza di un servizio gestito utilizzando i criteri di connessione al servizio prevede le seguenti fasi, mostrate nella Figura 1:
Un amministratore di rete consumer crea un criterio di connessione ai servizi per la sua rete VPC. Questa rete può essere facoltativamente Rete VPC condivisa.
Il criterio di connessione al servizio consente a Google di eseguire il deployment automatico Endpoint Private Service Connect per conto del servizio consumer amministratore. Il criterio di connessione al servizio fa riferimento a un servizio una risorsa unica a livello globale che identifica uno specifico producer completamente gestito di Google Cloud. Un singolo criterio di connessione al servizio è limitato all'ambito di un singolo servizio e una singola rete VPC consumer, delegano di configurare la connettività in questo ambito.
Un amministratore di servizi consumer esegue il deployment di un'istanza di servizio gestita configura la connettività all'istanza utilizzando l'API o la UI amministrativa del servizio.
Se hai creato il criterio di connessione del servizio in una rete VPC condivisa, puoi eseguire il deployment dell'istanza di servizio gestita in un progetto di servizio collegato.
Il producer riceve la configurazione di connettività del consumer e passa queste informazioni a una mappa di connessione dei servizi.
L'account di servizio Network Connectivity crea un endpoint nella rete VPC consumer. Questo endpoint si connette a un collegamento di servizio nella rete VPC del producer.
Servizi supportati
Per scoprire se un servizio gestito supporta i criteri di connessione al servizio, contatta il fornitore di servizi. Se un servizio supporta i criteri di connessione dei servizi, il fornitore di servizi può fornirti la classe di servizio associata.
Classi di servizio, che consentono ai producer di automatizzare i servizi per conto sono disponibili per i produttori in anteprima limitata. Per informazioni sull'automazione della connettività per i tuoi servizi gestiti tramite classi di servizio, contatta il tuo rappresentante di vendita Google Cloud.
Criteri di connessione al servizio
Un criterio di connessione al servizio è una risorsa Google Cloud a livello di regione. Consente a un amministratore di rete di specificare quali servizi di producer possono essere implementati e collegati tramite l'automazione della connettività dei servizi. Se esiste un criterio di connessione al servizio per un servizio gestito, un amministratore del servizio consumer può implementare il servizio.
I criteri di connessione al servizio hanno i seguenti campi:
- Classe di servizio: specifica il tipo di servizio gestito a cui è associato il criterio. Ogni producer che supporta i criteri di connessione ai servizi ha una propria classe di servizio unica a livello mondiale.
- Rete VPC: specifica la rete VPC che a cui è limitato l'ambito del criterio.
- Subnet: specifica le subnet per le quali gli indirizzi IP Da cui sono allocati gli endpoint Private Service Connect.
- Limite di connessioni: specifica il numero massimo numero di connessioni Private Service Connect che un producer può da creare nella regione e nella rete VPC del criterio.
Specifiche
I criteri di connessione al servizio hanno le seguenti specifiche:
- Puoi creare un singolo criterio di connessione al servizio per una combinazione di rete, regione e classe di servizio. In questo modo si garantisce che un solo criterio regoli la creazione di qualsiasi endpoint Private Service Connect.
- Se esiste un criterio di connessione al servizio per una determinata classe di servizio, gli amministratori del servizio possono utilizzare l'API o l'interfaccia utente di amministrazione del servizio per eseguire il deployment del servizio e configurare la connettività utilizzando l'automazione della connettività del servizio.
- Le subnet incluse nella configurazione del criterio di connessione al servizio fornisce gli indirizzi IP assegnati a Private Service Connect endpoint. Queste subnet devono essere subnet regolari e devono trovarsi nella stessa regione del criterio di connessione del servizio. Le subnet normali sono diverse dalle subnet Private Service Connect.
- Come best practice, Google consiglia di utilizzare subnet dedicate e i criteri di connessione. Questo aiuta a garantire che le subnet Gli indirizzi IP non sono riutilizzati per diverse risorse.
- I criteri di connessione al servizio possono essere creati solo nello stesso progetto della Rete VPC a cui si applica il criterio.
- Se vuoi utilizzare l'automazione dei servizi Private Service Connect con più reti VPC nello stesso progetto, crea un criterio di connessione ai servizi per ogni rete.
- Puoi utilizza criteri di connessione al servizio con il VPC condiviso.
Configurazione del producer
Le seguenti sezioni descrivono le risorse utilizzate dai producer di servizi per configurare l'automazione della connettività dei servizi.
Mappa delle connessioni ai servizi
Una mappa delle connessioni di servizio è una risorsa lato producer che consente a un producer di specificare una mappatura tra i collegamenti di servizio e gli endpoint Private Service Connect. Questa mappa contiene un elenco di combinazioni di reti VPC e progetti che possono essere mappate a un elenco di collegamenti di servizi.
I producer utilizzano le mappe di connessione al servizio per definire quali progetti consumer e reti Private Service Connect da usare quando gli endpoint vengono creati tramite l'automazione dei servizi.
Quando un amministratore del servizio consumer invia una richiesta per un'istanza di servizio mediante l'automazione della connettività dei servizi, l'amministratore specifica una rete VPC. Il servizio gestito utilizza queste informazioni per aggiornare la mappa delle connessioni ai servizi corrispondente e specificare a quale collegamento al servizio connettere il consumatore.
Classe di servizio
Una classe di servizio è una rappresentazione globalmente univoca di un tipo di servizio gestito. Ogni producer possiede esclusivamente la classe di servizio. I consumer fanno riferimento alla classe di servizio nei propri criteri di connessione al servizio, autorizzando il deployment e delegando la connettività al producer.
Esistono classi di servizi per i servizi pubblicati da Google, i servizi di terze parti e i servizi gestiti interni self-hosted. Criteri di connessione al servizio può essere creato solo per i servizi che hanno una classe di servizio.
Modello di autorizzazione
I criteri di connessione al servizio consentono ai consumatori di delegare il deployment e la connettività con i producer. Il producer non ha accesso diretto o Privilegi IAM per il progetto consumer. Il producer configura invece una mappa delle connessioni dei servizi nel proprio progetto. In questo modo, il producer può specificare i progetti consumer e le reti VPC in cui eseguire il deployment degli endpoint.
Quando una mappa di connessione dei servizi viene creata o aggiornata da un produttore, Google Cloud esegue i seguenti controlli di autorizzazione:
- L'utente produttore che crea o aggiorna la mappa delle connessioni ha la proprietà IAM della classe di servizio associata. Questo controllo aiuta a evitare false rappresentazioni di una classe di servizio pubblico.
- La rete consumer dispone di un criterio di connessione al servizio valido che autorizza la rete VPC, la regione e la classe di servizio specificati dalla mappa di connessione al servizio. Questo controllo garantisce che un amministratore con autorizzazioni IAM alla rete VPC delega esplicitamente la possibilità di creare Private Service Connect per il tipo di servizio specificato.
- Il progetto specificato dal consumer per la connettività nell'ambiente gestito sia associata all'istanza di servizio gestito. Questo controllo aiuta a impedire lo spoofing o a ingannare un servizio gestito affinché crei connettività per progetti non autorizzati.
Se tutte le condizioni sono soddisfatte, l'account di servizio di connettività di rete crea gli endpoint richiesti nella rete del consumatore. L'account di servizio Network Connectivity è un agente di servizio.
Limitazioni
- I criteri di connessione dei servizi supportano solo l'automazione degli endpoint Private Service Connect all'interno di una rete VPC consumer. I backend o i collegamenti dei servizi di Private Service Connect non sono supportati.
- Non puoi eliminare direttamente gli endpoint Private Service Connect che sono creati mediante l'automazione della connettività dei servizi. Per attivare l'eliminazione di questi endpoint, connettività dei servizi di dismissione.
- Puoi aggiornare solo le subnet e il limite di connessioni per una connessione al servizio . Se vuoi aggiornare altri campi, elimina il criterio e creane uno nuovo.
- I criteri di connessione al servizio supportano la creazione di endpoint con indirizzi IPv4. La creazione di endpoint con indirizzi IPv6 non è supportata.
Prezzi
I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.