À propos des règles de connexion de services

Cette page présente les règles de connexion au service.

Les clients des services peuvent créer des règles de connexion de service qui automatisent le déploiement et la connectivité pour les instances de service gérés éligibles. Ce processus s'appelle l'automatisation de la connectivité des services Private Service Connect.

Par exemple, un administrateur de service client peut être un administrateur de base de données qui déploie une base de données, puis configure Private Service Connect pour y accéder. Cependant, l'administrateur de base de données ne dispose peut-être pas des identifiants IAM (Identity and Access Management) ou des connaissances nécessaires pour déployer les ressources réseau. Si une règle de connexion de service existe et que le service producteur est configuré pour l'automatisation du service, l'administrateur de base de données peut demander qu'une instance du service producteur soit déployée et connectée à son réseau via l'automatisation de la connectivité du service.

Les règles de connexion au service sont utiles pour les rôles suivants :

  • Les administrateurs de service client peuvent déployer des instances de services producteur gérés et configurer la connectivité à ces instances via l'API ou l'interface utilisateur qui administre le service producteur. Aucune étape supplémentaire n'est nécessaire pour configurer Private Service Connect.
  • Les administrateurs réseau peuvent créer un ensemble unique de règles qui contrôlent les services et les sous-réseaux utilisés pour la connectivité.
  • Les producteurs de services peuvent simplifier le processus de partage des rattachements de service et de guidage des clients via le déploiement de la connectivité. Les consommateurs avec des règles de connexion au service peuvent configurer un service producteur en utilisant l'API ou l'UI d'administration du producteur.

Déploiement d'une instance de service

Le déploiement d'une instance d'un service géré à l'aide de règles de connexion de service implique les étapes suivantes, illustrées dans la figure 1 :

  1. Un administrateur du réseau du consommateur crée une règle de connexion de service pour son réseau VPC. Ce réseau peut éventuellement être un réseau VPC partagé.

    La règle de connexion de service permet à Google de déployer automatiquement des points de terminaison Private Service Connect pour le compte de l'administrateur de service consommateur. La règle de connexion de service fait référence à une classe de service, c'est-à-dire une ressource unique qui identifie un service producteur spécifique. Une seule règle de connexion de service a pour champ d'application une seule classe de service et un seul réseau VPC client, déléguant ainsi la possibilité de configurer la connectivité dans ce champ d'application.

  2. Un administrateur de service consommateur déploie une instance de service géré et configure la connectivité à cette instance à l'aide de l'API ou de l'interface utilisateur d'administration du service.

    Si vous avez créé la règle de connexion de service dans un réseau VPC partagé, vous pouvez déployer l'instance de service géré dans un projet de service associé.

  3. Le producteur reçoit la configuration de connectivité du client et transmet ces informations à un mappage de connexions de service.

  4. Le compte de service de connectivité réseau crée un point de terminaison dans le réseau VPC du consommateur. Ce point de terminaison se connecte à un rattachement de service dans le réseau VPC du producteur.

Figure 1. Un administrateur réseau crée une règle de connexion de service. Un administrateur de service client peut alors déployer des instances de service gérés à l'aide de l'API ou de l'UI d'administration de ce service.

Services compatibles

Pour savoir si un service géré est compatible avec les règles de connexion au service, contactez le fournisseur de services. Si un service est compatible avec les règles de connexion au service, le fournisseur de services sera en mesure de vous fournir la classe de service associée.

Les classes de service, qui permettent aux producteurs d'automatiser leurs services pour le compte des clients, sont disponibles pour les producteurs en version preview limitée. Pour en savoir plus sur l'automatisation de la connectivité pour vos propres services gérés via des classes de service, contactez votre conseiller commercial Google Cloud.

Règles de connexion au service

Une règle de connexion au service est une ressource Google Cloud régionale. Elle permet à un administrateur réseau de spécifier les services de producteur pouvant être déployés et connectés via l'automatisation de la connectivité des services. Si une stratégie de connexion de service existe pour un service géré, un administrateur de service client peut déployer ce service.

Les règles de connexion aux services comportent les champs suivants :

  • Classe de service : spécifie le type de service géré concerné par la règle. Chaque producteur acceptant les règles de connexion au service possède une classe de service unique.
  • Réseau VPC : spécifie le réseau VPC auquel la règle s'applique.
  • Sous-réseaux : spécifie les sous-réseaux à partir desquels les adresses IP des points de terminaison Private Service Connect sont allouées.
  • Limite de connexions : spécifie le nombre maximal de connexions Private Service Connect qu'un producteur peut créer dans le réseau VPC et la région de la stratégie.

Spécifications

Les règles de connexion aux services ont les spécifications suivantes :

  • Vous pouvez créer une seule règle de connexion de service pour une combinaison de réseau, de région et de classe de service. Cela garantit qu'une seule règle régit la création des points de terminaison Private Service Connect.
  • Si une règle de connexion au service existe pour une classe de service donnée, les administrateurs du service consommateur peuvent utiliser l'API ou l'interface utilisateur d'administration du service pour déployer ce service et configurer la connectivité à l'aide de l'automatisation de la connectivité du service.
  • Les sous-réseaux inclus dans la configuration de la règle de connexion de service fournissent des adresses IP attribuées aux points de terminaison Private Service Connect. Ces sous-réseaux doivent être des sous-réseaux standards et se trouver dans la même région que la règle de connexion de service. Les sous-réseaux standards sont différents des sous-réseaux Private Service Connect.
  • Nous vous recommandons d'utiliser des sous-réseaux dédiés avec des règles de connexion au service. Cela permet de garantir que les adresses IP des sous-réseaux ne sont pas réutilisées pour différentes ressources.
  • Les règles de connexion de service ne peuvent être créées que dans le même projet que le réseau VPC auquel la règle s'applique.
  • Si vous souhaitez utiliser l'automatisation du service Private Service Connect avec plusieurs réseaux VPC appartenant au même projet, créez une règle de connexion au service pour chaque réseau.
  • Vous pouvez utiliser des règles de connexion de service avec un VPC partagé.

Configuration du producteur

Les sections suivantes décrivent les ressources utilisées par les producteurs de services pour configurer l'automatisation de la connectivité des services.

Mappage de connexions au service

Un mappage de connexions au service est une ressource producteur qui permet de spécifier une correspondance entre les rattachements de service et les points de terminaison Private Service Connect. Ce mappage contient une liste des combinaisons de réseaux VPC et de projets qui peuvent être associées à une liste de rattachements de service.

Les producteurs utilisent les mappages de connexion de service pour définir les projets consommateurs et les réseaux Private Service Connect à utiliser lorsque les points de terminaison sont créés via l'automatisation des services.

Lorsqu'un administrateur de service client demande le déploiement d'une instance de service via l'automatisation de la connectivité des services, il spécifie un réseau VPC. Le service géré utilise cette information pour mettre à jour le mappage de connexion de service correspondant et spécifier un rattachement de service auquel connecter le client.

Classe de service

Une classe de service est une représentation unique d'un type de service géré. Chaque producteur possède sa propre classe de service. Les clients font référence à la classe de service dans leurs règles de connexion au service, ce qui permet d'autoriser le déploiement et de déléguer la connectivité au producteur.

Les classes de service peuvent exister pour les services publiés de Google, les services tiers et les services gérés internes auto-hébergés. Ces règles de connexion sont réservées aux services disposant d'une classe de service.

Modèle d'autorisation

Les règles de connexion de service permettent aux clients de déléguer le déploiement de la connectivité aux producteurs. Le producteur n'a pas les autorisations IAM ni l'accès direct au projet du client. À la place, il configure un mappage de connexions au service dans son propre projet. Cela permet au producteur de spécifier les projets et les réseaux VPC du client dans lesquels déployer des points de terminaison.

Lorsqu'un mappage de connexion de service est créé ou mis à jour par un producteur, Google Cloud effectue les vérifications d'autorisation suivantes :

  • L'utilisateur producteur qui crée ou met à jour le mappage de connexion qui possède l'autorisation IAM de la classe de service associée. Cette vérification permet d'éviter les représentations fausses d'une classe de service publique.
  • Le réseau client dispose d'une règle de connexion de service valide qui autorise le réseau VPC, la région et la classe de service spécifiés par le mappage de connexion de service. Cette vérification permet de s’assurer qu’un administrateur disposant d'autorisations IAM sur le réseau VPC délègue explicitement la possibilité de créer des points de terminaison Private Service Connect pour le type de service spécifié.
  • Le projet que le consommateur a spécifié pour la connectivité dans l'API ou l'UI du service géré est associé à l'instance de service géré. Cette vérification permet d'éviter le spoofing ou l'utilisation frauduleuse d'un service géré dans le but de créer la connectivité pour des projets non autorisés.

Si chaque condition est remplie, le compte de service de connectivité réseau crée les points de terminaison demandés dans le réseau du consommateur. Le compte de service de connectivité réseau est un agent de service.

Limites

  • Les règles de connexion de service ne sont compatibles qu'avec l'automatisation des points de terminaison Private Service Connect dans un réseau VPC consommateur. Les backends Private Service Connect ou les rattachements de service ne sont pas acceptés.
  • Vous ne pouvez pas supprimer directement les points de terminaison Private Service Connect qui sont créées grâce à l'automatisation de la connectivité des services. Pour déclencher la suppression de ces points de terminaison, mettez hors service la connectivité du service.
  • Vous ne pouvez mettre à jour que les sous-réseaux et la limite de connexion d'une règle de connexion de service. Si vous souhaitez mettre à jour d'autres champs, supprimez la règle et créez-en une nouvelle.
  • Les règles de connexion de service permettent de créer des points de terminaison avec des adresses IPv4. Il n'est pas possible de créer des points de terminaison disposant d'adresses IPv6.

Tarification

La tarification de Private Service Connect est décrite sur la page des tarifs relatifs aux VPC.

Étapes suivantes