Informazioni sui criteri di connessione al servizio

Questa pagina fornisce una panoramica dei criteri di connessione al servizio.

I consumatori dei servizi possono creare criteri di connessione al servizio che automatizzano il deployment e la connettività per le istanze di servizio gestite idonee. Questo processo è chiamato automazione della connettività del servizio Private Service Connect.

Ad esempio, un amministratore di servizi consumer potrebbe essere un amministratore di database che esegue il deployment di un database e poi configura Private Service Connect per raggiungere il database. Tuttavia, l'amministratore del database potrebbe non disporre delle credenziali IAM (Identity and Access Management) necessarie o non conoscere le modalità di deployment delle risorse di rete. Se esiste un criterio di connessione al servizio e il servizio producer è configurato per l'automazione dei servizi, l'amministratore del database può richiedere il deployment di un'istanza del servizio producer e la sua connessione alla rete tramite l'automazione della connettività dei servizi.

I criteri di connessione al servizio sono utili per i ruoli seguenti:

• Gli amministratori di servizi consumer possono eseguire il deployment di istanze di servizi producer gestiti e configurarne la connettività tramite l'API amministrativa o l'interfaccia utente del servizio producer. Non c'è nessun passaggio aggiuntivo per configurare Private Service Connect.
• Gli amministratori di rete possono creare un unico insieme di criteri per controllare quali servizi e subnet vengono utilizzati per la connettività.
• I producer di servizi possono semplificare il processo di condivisione dei collegamenti ai servizi e guidare i consumatori attraverso il deployment della connettività. I consumer con criteri di connessione al servizio possono configurare un servizio producer utilizzando l'API o la UI amministrativa del producer.

Deployment dell'istanza di servizio

Il deployment di un'istanza di un servizio gestito utilizzando i criteri di connessione al servizio prevede i seguenti passaggi, mostrati nella Figura 1:

1. Un amministratore di rete consumer crea un criterio di connessione al servizio per la propria rete VPC. Questa rete può facoltativamente essere una rete VPC condivisa.

   Il criterio di connessione al servizio consente a Google di eseguire automaticamente il deployment degli endpoint di Private Service Connect per conto dell'amministratore del servizio consumer. Il criterio di connessione al servizio fa riferimento a una classe di servizio, una risorsa unica a livello globale che identifica uno specifico servizio producer. Un singolo criterio di connessione al servizio ha come ambito una singola classe di servizio e un'unica rete VPC consumer, delega la capacità di configurare la connettività in quell'ambito.

2. Un amministratore del servizio consumer esegue il deployment di un'istanza di servizio gestito e configura la connettività all'istanza utilizzando l'API o la UI amministrativa del servizio.

   Se hai creato il criterio di connessione al servizio in una rete VPC condiviso, puoi eseguire il deployment dell'istanza di servizio gestito in un progetto di servizio collegato.

3. Il producer riceve la configurazione di connettività del consumer e passa queste informazioni a una mappa delle connessioni del servizio.

4. L'account di servizio Network Connectivity crea un endpoint nella rete VPC consumer. Questo endpoint si connette a un collegamento al servizio nella rete VPC del producer.

Servizi supportati

Per scoprire se un servizio gestito supporta i criteri di connessione al servizio, contatta il fornitore di servizi. Se un servizio supporta i criteri di connessione al servizio, il provider di servizi può fornirti la classe di servizio associata.

Le classi di servizio, che consentono ai producer di automatizzare i servizi per conto dei consumatori, sono disponibili per i producer in anteprima limitata. Per informazioni sull'automazione della connettività per i tuoi servizi gestiti tramite le classi di servizio, contatta il tuo rappresentante di vendita Google Cloud.

Criteri di connessione al servizio

Un criterio di connessione al servizio è una risorsa Google Cloud a livello di regione. Consente a un amministratore di rete di specificare per quali servizi producer è possibile eseguire il deployment e quali possono essere collegati tramite l'automazione della connettività dei servizi. Se esiste un criterio di connessione al servizio per un servizio gestito, un amministratore del servizio consumer può eseguirne il deployment.

I criteri di connessione al servizio hanno i seguenti campi:

• Classe di servizio: specifica il tipo di servizio gestito a cui è associato il criterio. Ogni producer che supporta i criteri di connessione ai servizi ha una propria classe di servizi unica a livello globale.
• Rete VPC: specifica la rete VPC per cui è limitato l'ambito del criterio.
• Subnet: specifica le subnet da cui sono allocati gli indirizzi IP per gli endpoint Private Service Connect.
• Limite di connessioni: specifica il numero massimo di connessioni a Private Service Connect che un producer può creare nella rete VPC e nella regione del criterio.

Specifiche

I criteri di connessione al servizio hanno le seguenti specifiche:

• Puoi creare un unico criterio di connessione al servizio per una combinazione di rete, regione e classe di servizio. In questo modo la creazione di qualsiasi endpoint Private Service Connect è regolata da un solo criterio.
• Se per una determinata classe di servizio esiste un criterio di connessione al servizio, gli amministratori di servizi consumer possono utilizzare l'API o l'interfaccia utente di amministrazione del servizio per eseguire il deployment del servizio e configurare la connettività mediante l'automazione della connettività del servizio.
• Le subnet incluse nella configurazione del criterio di connessione al servizio forniscono indirizzi IP assegnati agli endpoint Private Service Connect. Queste subnet devono essere subnet normali e devono trovarsi nella stessa regione del criterio di connessione al servizio. Le subnet normali sono diverse dalle subnet Private Service Connect.
• Come best practice, Google consiglia di utilizzare subnet dedicate con criteri di connessione ai servizi. Ciò garantisce che gli indirizzi IP delle subnet non vengano riutilizzati per risorse diverse.
• I criteri di connessione al servizio possono essere creati solo nello stesso progetto della rete VPC a cui si applica il criterio.
• Se vuoi utilizzare l'automazione dei servizi Private Service Connect con più reti VPC che si trovano nello stesso progetto, crea un criterio di connessione al servizio per ogni rete.
• Puoi utilizzare i criteri di connessione al servizio con il VPC condiviso.

Configurazione del producer

Le seguenti sezioni descrivono le risorse utilizzate dai producer di servizi per configurare l'automazione della connettività dei servizi.

Mappa delle connessioni al servizio

Una mappa delle connessioni ai servizi è una risorsa lato producer che consente a un producer di specificare una mappatura tra i collegamenti ai servizi e gli endpoint Private Service Connect. Questa mappa contiene un elenco di combinazioni di reti VPC e progetti che possono essere mappate a un elenco di collegamenti ai servizi.

I produttori utilizzano le mappe delle connessioni ai servizi per definire i progetti consumer e le reti Private Service Connect da utilizzare quando vengono creati gli endpoint tramite l'automazione dei servizi.

Quando un amministratore dei servizi consumer richiede il deployment di un'istanza di servizio tramite l'automazione della connettività dei servizi, specifica una rete VPC. Il servizio gestito utilizza queste informazioni per aggiornare la mappa delle connessioni al servizio corrispondente e specificare il collegamento al servizio a cui connettere il consumer.

Classe di servizio

Una classe di servizio è una rappresentazione globalmente univoca di un tipo di servizio gestito. Ogni producer possiede esclusivamente la classe di servizio. I consumer fanno riferimento alla classe di servizio nei propri criteri di connessione al servizio, autorizzando il deployment e delega la connettività al producer.

Le classi di servizio possono esistere per servizi pubblicati da Google, servizi di terze parti e servizi gestiti interni che sono self-hosted. I criteri di connessione al servizio possono essere creati solo per i servizi che hanno una classe di servizio.

Modello di autorizzazione

I criteri di connessione al servizio consentono ai consumatori di delegare il deployment della connettività ai producer. Il producer non ha accesso diretto o privilegi IAM per il progetto consumer. Il producer configura invece una mappa delle connessioni ai servizi nel proprio progetto. Ciò consente al producer di specificare i progetti consumer e le reti VPC in cui eseguire il deployment degli endpoint.

Quando una mappa delle connessioni a un servizio viene creata o aggiornata da un producer, Google Cloud esegue i seguenti controlli di autorizzazione:

• L'utente producer che crea o aggiorna la mappa delle connessioni è proprietario IAM della classe di servizio associata. Questo controllo consente di evitare false rappresentazioni di una classe di servizio pubblico.
• La rete consumer ha un criterio di connessione al servizio valido che autorizza la rete, la regione e la classe di servizio VPC specificate dalla mappa delle connessioni al servizio. Questo controllo garantisce che un amministratore con autorizzazioni IAM alla rete VPC delega esplicitamente la possibilità di creare endpoint Private Service Connect per il tipo di servizio specificato.
• Il progetto specificato dal consumer per la connettività nell'interfaccia utente o nell'API del servizio gestito è associato all'istanza del servizio gestito. Questo controllo consente di prevenire lo spoofing o l'inganno di un servizio gestito per creare connettività per progetti non autorizzati.

Se ogni condizione è soddisfatta, l'account di servizio di connettività di rete crea gli endpoint richiesti nella rete del consumatore. L'account di servizio per la connettività di rete è un agente di servizio.

Limitazioni

• I criteri di connessione al servizio supportano solo l'automazione degli endpoint Private Service Connect all'interno di una rete VPC consumer. I backend o i collegamenti ai servizi di Private Service Connect non sono supportati.
• Non puoi eliminare direttamente gli endpoint Private Service Connect creati tramite l'automazione della connettività dei servizi. Per attivare l'eliminazione di questi endpoint, dismetti la connettività del servizio.
• Puoi aggiornare solo le subnet e il limite di connessioni per un criterio di connessione al servizio. Se vuoi aggiornare altri campi, elimina il criterio e creane uno nuovo.
• I criteri di connessione al servizio supportano la creazione di endpoint con indirizzi IPv4. La creazione di endpoint con indirizzi IPv6 non è supportata.

Prezzi

I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.

Passaggi successivi

• Configurare i criteri di connessione al servizio