Informazioni sui criteri di connessione al servizio

Questa pagina fornisce una panoramica dei criteri di connessione al servizio.

I consumatori dei servizi possono creare criteri di connessione al servizio che automatizzano il deployment e la connettività per le istanze di servizio gestite idonee. Questo processo è chiamata Automazione della connettività del servizio Private Service Connect.

Ad esempio, un amministratore del servizio consumer potrebbe essere un amministratore di database che esegue il deployment di un database e poi configura Private Service Connect a raggiungere il database. Tuttavia, l'amministratore del database potrebbe non aver richieste di Identity and Access Management (IAM) o conoscenze su come eseguire il deployment di networking. Se esiste un criterio di connessione al servizio e il producer è configurato per l'automazione dei servizi, il database un amministratore può richiedere il deployment di un'istanza del servizio producer e connessi alla rete tramite l'automazione della connettività dei servizi.

I criteri di connessione al servizio sono utili per i ruoli seguenti:

• Gli amministratori del servizio consumer possono eseguire il deployment delle istanze del producer gestito e configurare la connettività mediante l'API amministrativa UI del servizio producer. Non è necessario configurare alcun passaggio aggiuntivo Private Service Connect.
• Gli amministratori di rete possono creare un unico insieme di criteri per controllare e i servizi e le subnet utilizzati per la connettività.
• I producer di servizi possono semplificare il processo di condivisione dei collegamenti dei servizi e guidare i consumatori nell'implementazione della connettività. Consumatori con i criteri di connessione al servizio, puoi configurare un servizio producer utilizzando l'API o la UI amministrativa del producer.

Deployment dell'istanza di servizio

Deployment di un'istanza di un servizio gestito utilizzando i criteri di connessione al servizio prevede le seguenti fasi, mostrate nella Figura 1:

1. Un amministratore di rete consumer crea un criterio di connessione al servizio per la propria rete VPC. Questa rete può essere facoltativamente Rete VPC condivisa.

   Il criterio di connessione al servizio consente a Google di eseguire il deployment automatico Endpoint Private Service Connect per conto del servizio consumer amministratore. Il criterio di connessione al servizio fa riferimento a un servizio una risorsa unica a livello globale che identifica uno specifico producer completamente gestito di Google Cloud. Un singolo criterio di connessione al servizio è limitato all'ambito di un singolo servizio e una singola rete VPC consumer, delegano di configurare la connettività in questo ambito.

2. Un amministratore di servizi consumer esegue il deployment di un'istanza di servizio gestita configura la connettività all'istanza utilizzando l'API o la UI amministrativa del servizio.

   Se hai creato il criterio di connessione al servizio in una rete VPC condiviso, puoi eseguire il deployment dell'istanza di servizio gestito in un progetto di servizio collegato.

3. Il producer riceve la configurazione di connettività del consumer e passa queste informazioni a una mappa delle connessioni a un servizio.

4. L'account di servizio Network Connectivity crea un endpoint nella rete VPC consumer. Questo endpoint si connette a un collegamento di servizio nella rete VPC del producer.

Servizi supportati

Per scoprire se un servizio gestito supporta i criteri di connessione al servizio, contatta il fornitore di servizi. Se un servizio supporta i criteri di connessione, il fornitore di servizi può fornirti la classe di servizio associata.

Classi di servizio, che consentono ai producer di automatizzare i servizi per conto sono disponibili per i produttori in anteprima limitata. Per informazioni su automatizzare la connettività per i tuoi servizi gestiti attraverso classi di servizi, contatta il tuo rappresentante di vendita Google Cloud.

Criteri di connessione al servizio

Un criterio di connessione al servizio è una risorsa Google Cloud a livello di regione. Consente a un l'amministratore di rete specifica di quali servizi producer è possibile eseguire il deployment connesse tramite l'automazione della connettività dei servizi. Se una connessione al servizio esiste un criterio per un servizio gestito, un amministratore del servizio consumer può il deployment di quel servizio.

I criteri di connessione al servizio hanno i seguenti campi:

• Classe di servizio: specifica il tipo di servizio gestito a cui è associato il criterio. Ogni producer che supporta i criteri di connessione al servizio ha il proprio a livello globale una classe di servizio unica.
• Rete VPC: specifica la rete VPC che a cui è limitato l'ambito del criterio.
• Subnet: specifica le subnet per le quali gli indirizzi IP Da cui sono allocati gli endpoint Private Service Connect.
• Limite di connessioni: specifica il numero massimo numero di connessioni Private Service Connect che un producer può da creare nella regione e nella rete VPC del criterio.

Specifiche

I criteri di connessione al servizio hanno le seguenti specifiche:

• Puoi creare un singolo criterio di connessione al servizio per una combinazione di rete, regione e classe di servizio. In questo modo si garantisce che un solo criterio la creazione di qualsiasi endpoint Private Service Connect.
• Se esiste un criterio di connessione al servizio per una determinata classe di servizio, gli amministratori del servizio possono utilizzare l'API o l'interfaccia utente di amministrazione del servizio per eseguire il deployment del servizio e configurare la connettività utilizzando l'automazione della connettività del servizio.
• Le subnet incluse nella configurazione del criterio di connessione al servizio fornisce gli indirizzi IP assegnati a Private Service Connect endpoint. Queste subnet devono essere subnet normali, e devono trovarsi nella stessa regione del criterio di connessione al servizio. Le subnet normali sono diverse dalle subnet Private Service Connect.
• Come best practice, Google consiglia di utilizzare subnet dedicate e i criteri di connessione. Questo aiuta a garantire che le subnet Gli indirizzi IP non sono riutilizzati per diverse risorse.
• I criteri di connessione al servizio possono essere creati solo nello stesso progetto della Rete VPC a cui si applica il criterio.
• Se vuoi utilizzare Private Service Connect dell'automazione dei servizi con più reti VPC nello stesso progetto, crea un criterio di connessione al servizio per ogni rete.
• Puoi utilizza criteri di connessione al servizio con il VPC condiviso.

Configurazione del producer

Le seguenti sezioni descrivono le risorse utilizzate dai producer di servizi per configurare l'automazione della connettività dei servizi.

Mappa delle connessioni al servizio

Una mappa delle connessioni ai servizi è una risorsa lato producer che consente a un producer specificare una mappatura tra i collegamenti ai servizi Endpoint Private Service Connect. Questa mappa contiene un di combinazioni di rete VPC e progetto che possono essere mappate a un elenco di collegamenti ai servizi.

I producer utilizzano le mappe di connessione al servizio per definire quali progetti consumer e reti Private Service Connect da usare quando gli endpoint vengono creati tramite l'automazione dei servizi.

Quando un amministratore del servizio consumer richiede un'istanza di servizio per mediante l'automazione della connettività dei servizi, l'amministratore specifica una rete VPC. Il servizio gestito utilizza questo informazioni per aggiornare la mappa di connessione al servizio corrispondente e specificare quale collegamento a un servizio a cui collegare il consumer.

Classe di servizio

Una classe di servizio è una rappresentazione globalmente univoca di un tipo di servizio gestito. Ogni producer possiede esclusivamente la classe di servizio. I consumatori fanno riferimento di servizio nei propri criteri di connessione, autorizzando il deployment delega la connettività al producer.

Le classi di servizio possono esistere per servizi pubblicati da Google, servizi di terze parti e servizi gestiti interni che sono ospitati autonomamente. Criteri di connessione al servizio può essere creato solo per i servizi che hanno una classe di servizio.

Modello di autorizzazione

I criteri di connessione al servizio consentono ai consumatori di delegare il deployment e la connettività con i producer. Il producer non ha accesso diretto o Privilegi IAM per il progetto consumer. Al contrario, il produttore configura automaticamente una mappa delle connessioni al servizio progetto. Ciò consente al producer di specificare i progetti consumer Reti VPC in cui eseguire il deployment degli endpoint.

Quando una mappa delle connessioni ai servizi viene creata o aggiornata da un producer, Google Cloud esegue i seguenti controlli di autorizzazione:

• L'utente producer che crea o aggiorna la mappa delle connessioni Proprietà IAM della classe di servizio associata. Questo controllo aiuta a evitare false rappresentazioni di una classe di servizio pubblico.
• La rete consumer ha un criterio di connessione al servizio valido che autorizza la Rete VPC, regione e classe di servizio specificate dalla mappa delle connessioni al servizio. Questo controllo garantisce che un amministratore con autorizzazioni IAM alla rete VPC delega esplicitamente la possibilità di creare Private Service Connect endpoint per il tipo di servizio specificato.
• Il progetto specificato dal consumer per la connettività nell'ambiente gestito sia associata all'istanza di servizio gestito. Questo check aiuta a prevenire lo spoofing o l'inganno di un servizio gestito per creare e connettività per progetti non autorizzati.

Se ogni condizione è soddisfatta, L'account di servizio di connettività di rete crea la richiesta degli endpoint nella rete del consumatore. La rete L'account di servizio di connettività è un servizio un agente.

Limitazioni

• I criteri di connessione al servizio supportano solo l'automazione Endpoint Private Service Connect all'interno di un consumer rete VPC. i backend Private Service Connect i collegamenti ai servizi non sono supportati.
• Non puoi eliminare direttamente gli endpoint Private Service Connect che sono creati mediante l'automazione della connettività dei servizi. Per attivare l'eliminazione di questi endpoint, connettività dei servizi di dismissione.
• Puoi aggiornare solo le subnet e il limite di connessioni per una connessione al servizio . Se vuoi aggiornare altri campi, elimina il criterio e creane uno nuovo.
• I criteri di connessione al servizio supportano la creazione di endpoint con indirizzi IPv4. La creazione di endpoint con indirizzi IPv6 non è supportata.

Prezzi

I prezzi di Private Service Connect sono descritti nella Pagina dei prezzi di VPC.

Passaggi successivi

• Configurare i criteri di connessione al servizio