Informazioni sui criteri di connessione al servizio

Questa pagina fornisce una panoramica dei criteri di connessione al servizio.

I consumer dei servizi possono creare criteri di connessione ai servizi che automatizzano il deployment e la connettività per le istanze di servizio gestite idonee. Questo processo è chiamato automazione della connettività del servizio Private Service Connect.

Ad esempio, un amministratore del servizio consumer potrebbe essere un amministratore di database che esegue il deployment di un database e quindi configura Private Service Connect per raggiungerlo. Tuttavia, l'amministratore del database potrebbe non disporre delle credenziali di Identity and Access Management (IAM) o delle conoscenze necessarie per eseguire il deployment delle risorse di rete. Se esiste un criterio di connessione al servizio e il servizio producer è configurato per l'automazione dei servizi, l'amministratore del database può richiedere il deployment di un'istanza del servizio producer e la connessione alla propria rete tramite l'automazione della connettività dei servizi.

I criteri di connessione al servizio sono utili per i ruoli seguenti:

  • Gli amministratori di servizi consumer possono eseguire il deployment di istanze di servizi producer gestiti e configurarne la connettività tramite l'API amministrativa o la UI del servizio producer. Non è necessario un passaggio aggiuntivo per configurare Private Service Connect.
  • Gli amministratori di rete possono creare un singolo insieme di criteri per controllare quali servizi e subnet vengono utilizzati per la connettività.
  • I producer di servizi possono semplificare il processo di condivisione dei collegamenti ai servizi e guidare i consumatori attraverso il deployment della connettività. I consumer con criteri di connessione al servizio possono configurare un servizio producer utilizzando la UI o l'API amministrativa del producer.

Deployment delle istanze di servizio

Il deployment di un'istanza di un servizio gestito mediante i criteri di connessione al servizio prevede i seguenti passaggi, mostrati nella Figura 1:

  1. Un amministratore di rete consumer crea un criterio di connessione al servizio per la propria rete VPC. Questa rete può facoltativamente essere una rete VPC condivisa.

    Il criterio di connessione al servizio consente a Google di eseguire automaticamente il deployment degli endpoint Private Service Connect per conto dell'amministratore del servizio consumer. Il criterio di connessione al servizio fa riferimento a una classe di servizio, una risorsa univoca a livello globale che identifica un servizio producer specifico. Un singolo criterio di connessione al servizio ha come ambito una singola classe di servizio e una singola rete VPC consumer, delegando la possibilità di configurare la connettività in quell'ambito.

  2. Un amministratore del servizio consumer esegue il deployment di un'istanza di servizio gestito e configura la connettività a quell'istanza utilizzando l'API o la UI di amministrazione del servizio.

    Se hai creato il criterio di connessione al servizio in una rete VPC condiviso, puoi eseguire il deployment dell'istanza del servizio gestito in un progetto di servizio collegato.

  3. Il producer riceve la configurazione di connettività del consumer e passa queste informazioni a una mappa di connessione al servizio.

  4. L'account di servizio Network Connectivity crea un endpoint nella rete VPC consumer. Questo endpoint si connette a un collegamento al servizio nella rete VPC del producer.

Figura 1. Un amministratore di rete crea un criterio di connessione al servizio. Un amministratore del servizio consumer può quindi eseguire il deployment delle istanze di servizio gestite utilizzando l'API o la UI di amministrazione del servizio.

Servizi supportati

Per sapere se un servizio gestito supporta i criteri di connessione al servizio, contatta il fornitore di servizi. Se un servizio supporta i criteri di connessione al servizio, il provider di servizi può fornirti la classe di servizio associata.

Le classi di servizio, che consentono ai producer di automatizzare i loro servizi per conto dei consumatori, sono disponibili per i producer in anteprima limitata. Per informazioni sull'automazione della connettività per i tuoi servizi gestiti tramite le classi di servizio, contatta il tuo rappresentante di vendita Google Cloud.

Criteri di connessione al servizio

Un criterio di connessione al servizio è una risorsa Google Cloud a livello di regione. Consente a un amministratore di rete di specificare quali servizi del producer possono essere distribuiti e connessi tramite l'automazione della connettività dei servizi. Se esiste un criterio di connessione al servizio per un servizio gestito, un amministratore del servizio consumer può eseguire il deployment di quel servizio.

I criteri di connessione al servizio hanno i seguenti campi:

  • Classe di servizio: specifica il tipo di servizio gestito a cui si riferisce il criterio. Ogni producer che supporta i criteri di connessione al servizio dispone di una classe di servizio univoca a livello globale.
  • Rete VPC: specifica la rete VPC a cui è limitato l'ambito del criterio.
  • Subnet: specifica le subnet da cui vengono allocati gli indirizzi IP per gli endpoint Private Service Connect.
  • Limite di connessioni: specifica il numero massimo di connessioni Private Service Connect che un producer può creare nella rete VPC e nella regione del criterio.

Specifiche

I criteri di connessione al servizio hanno le seguenti specifiche:

  • Puoi creare un singolo criterio di connessione al servizio per una combinazione di rete, regione e classe di servizio. Ciò garantisce che la creazione di qualsiasi endpoint Private Service Connect sia regolata da un solo criterio.
  • Se esiste un criterio di connessione al servizio per una determinata classe di servizio, gli amministratori del servizio consumer possono utilizzare l'API o la UI di amministrazione del servizio per eseguire il deployment del servizio e configurare la connettività utilizzando l'automazione della connettività del servizio.
  • Le subnet incluse nella configurazione dei criteri di connessione al servizio forniscono indirizzi IP assegnati agli endpoint Private Service Connect. Queste subnet devono essere subnet normali e devono trovarsi nella stessa regione del criterio di connessione al servizio. Le subnet normali sono diverse da quelle di Private Service Connect.
  • Come best practice, Google consiglia di utilizzare subnet dedicate con criteri di connessione ai servizi. Questo contribuisce a garantire che gli indirizzi IP delle subnet non vengano riutilizzati per risorse diverse.
  • I criteri di connessione al servizio possono essere creati solo nello stesso progetto della rete VPC a cui si applica il criterio.
  • Se vuoi utilizzare l'automazione del servizio Private Service Connect con più reti VPC che si trovano nello stesso progetto, crea un criterio di connessione al servizio per ogni rete.
  • Puoi utilizzare i criteri di connessione al servizio con il VPC condiviso.

Configurazione producer

Le seguenti sezioni descrivono le risorse utilizzate dai producer di servizi per configurare l'automazione della connettività dei servizi.

Mappa di connessione al servizio

Una mappa delle connessioni ai servizi è una risorsa lato producer che consente a un producer di specificare una mappatura tra i collegamenti ai servizi e gli endpoint Private Service Connect. Questa mappa contiene un elenco di combinazioni di rete VPC e progetto che possono essere mappate a un elenco di collegamenti ai servizi.

I producer utilizzano le mappe di connessioni ai servizi per definire quali progetti consumer e reti Private Service Connect utilizzare quando gli endpoint vengono creati tramite l'automazione dei servizi.

Quando un amministratore del servizio consumer richiede il deployment di un'istanza di servizio tramite l'automazione della connettività del servizio, specifica una rete VPC. Il servizio gestito utilizza queste informazioni per aggiornare la mappa di connessioni al servizio corrispondente e specificare il collegamento al servizio a cui connettere il consumer.

Classe di servizio

Una classe di servizio è una rappresentazione univoca a livello globale di un tipo di servizio gestito. Ogni producer è proprietario della classe di servizio in modo esclusivo. I consumatori fanno riferimento alla classe di servizio nei criteri di connessione al servizio, autorizzando il deployment e delegando la connettività al producer.

Possono esistere classi di servizio per i servizi pubblicati da Google, i servizi di terze parti e i servizi gestiti interni in hosting autonomo. I criteri di connessione al servizio possono essere creati solo per i servizi che hanno una classe di servizio.

Modello di autorizzazione

I criteri di connessione al servizio consentono ai consumer di delegare il deployment della connettività ai producer. Il producer non dispone dell'accesso diretto o dei privilegi IAM per il progetto consumer. Al contrario, il producer configura una mappa di connessioni al servizio nel proprio progetto. Ciò consente al producer di specificare i progetti consumer e le reti VPC in cui eseguire il deployment.

Quando un producer crea o aggiorna una mappa delle connessioni ai servizi, Google Cloud effettua i seguenti controlli di autorizzazione:

  • L'utente producer che crea o aggiorna la mappa delle connessioni dispone della proprietà IAM della classe di servizio associata. Questo controllo aiuta a evitare rappresentazioni false di una classe di servizio pubblico.
  • La rete consumer ha un criterio di connessione al servizio valido che autorizza la rete VPC, la regione e la classe di servizio specificate dalla mappa delle connessioni al servizio. Questo controllo garantisce che un amministratore con autorizzazioni IAM alla rete VPC deleghi esplicitamente la possibilità di creare endpoint Private Service Connect per il tipo di servizio specificato.
  • Il progetto specificato dal consumer per la connettività nell'interfaccia utente o nell'API del servizio gestito è associato all'istanza del servizio gestito. Questo controllo aiuta a prevenire lo spoofing o l'inganno a un servizio gestito per creare connettività per progetti non autorizzati.

Se ogni condizione è soddisfatta, l'account di servizio di connettività di rete crea gli endpoint richiesti nella rete consumer. L'account di servizio Network Connectivity è un account di servizio gestito da Google.

Limitazioni

  • I criteri di connessione al servizio supportano solo l'automazione degli endpoint Private Service Connect all'interno di una rete VPC consumer. I backend o i collegamenti ai servizi di Private Service Connect non sono supportati.
  • Non puoi eliminare direttamente gli endpoint Private Service Connect creati tramite l'automazione della connettività dei servizi. Per attivare l'eliminazione di questi endpoint, dismetti la connettività del servizio.
  • Puoi aggiornare le subnet e il limite di connessioni solo per un criterio di connessione al servizio. Se vuoi aggiornare altri campi, elimina il criterio e creane uno nuovo.

Prezzi

I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.

Passaggi successivi