À propos des règles de connexion de services
Ce document explique comment les administrateurs réseau peuvent utiliser des règles de connexion de service pour fournir une connectivité aux instances de service gérés compatibles via l'automatisation de la connectivité des services. Avant de lire ce document, assurez-vous de connaître les concepts expliqués dans À propos de l'automatisation de la connectivité des services.
Spécifications
Les règles de connexion aux services ont les spécifications suivantes :
Vous ne pouvez créer qu'une seule règle de connexion de service pour chaque combinaison de réseau, de région et de classe de service. Par exemple, vous ne pouvez avoir qu'une seule règle de connexion de service pour
vpc1dansus-central1pourgoogle-cloud-sql. Cette validation signifie qu'une seule règle de connexion de service régit un point de terminaison Private Service Connect donné.Les administrateurs d'instances de service peuvent utiliser l'API ou l'UI d'administration du service pour déployer ce service et configurer la connectivité à l'aide de l'automatisation de la connectivité du service.
Les sous-réseaux inclus dans la configuration de la règle de connexion de service fournissent des adresses IP attribuées aux points de terminaison Private Service Connect. Ces adresses IP sont automatiquement allouées et renvoyées au pool de sous-réseaux à mesure que des instances de service géré sont créées et supprimées.
Les sous-réseaux doivent être des sous-réseaux standards et se trouver dans la même région que la règle de connexion de service. Les sous-réseaux standards sont différents des sous-réseaux Private Service Connect.
Nous vous recommandons d'éviter d'utiliser les sous-réseaux pour d'autres ressources. Si d'autres ressources consomment des adresses IP du sous-réseau, vous risquez de manquer d'adresses IP à attribuer aux points de terminaison.
Les services gérés qui utilisent des règles de connexion de service peuvent être compatibles avec la connexion aux instances de service à l'aide de points de terminaison IPv4, de points de terminaison IPv6 ou des deux. Si le service est compatible avec IPv4 et IPv6, les administrateurs d'instances de service peuvent choisir une version d'adresse IP lors du déploiement d'une instance de service.
Vous pouvez utiliser des règles de connexion de service avec un VPC partagé.
Par défaut, l'instance de service et les points de terminaison qui s'y connectent doivent appartenir au même projet (ou, dans le cas d'un VPC partagé, à des projets connectés).
Les services Google compatibles vous permettent de configurer un champ d'application d'instance de service personnalisé.
Le producteur de services peut appliquer des libellés aux points de terminaison créés via l'automatisation de la connectivité des services. Pour en savoir plus sur les libellés, consultez la section Organiser des ressources à l'aide d'étiquettes.
Si vous souhaitez utiliser l'automatisation du service Private Service Connect avec plusieurs réseaux VPC appartenant au même projet, créez une règle de connexion au service pour chaque réseau.
Vous pouvez éventuellement configurer une limite de connexion pour spécifier le nombre maximal de connexions Private Service Connect qu'un producteur de services donné peut créer dans le réseau VPC et la région de la stratégie.
Les points de terminaison créés via des règles de connexion de service peuvent être mis à la disposition d'autres réseaux VPC via la propagation des connexions.
Autorisation
Les règles de connexion de service permettent aux clients de déléguer le déploiement de la connectivité aux services gérés. Le producteur de services ne dispose pas des autorisations IAM ni d'un accès direct au projet du client. À la place, le producteur configure un mappage de connexions au service dans son propre projet.
Lorsque le mappage de connexion de service est créé ou mis à jour, généralement en réponse à une requête d'un administrateur de service client à l'API ou à l'UI d'administration du service géré, l'automatisation de la connectivité du service effectue une série de vérifications d'autorisation. Si toutes les vérifications sont réussies, les points de terminaison Private Service Connect sont créés comme indiqué dans la requête.
Pour en savoir plus sur l'autorisation, consultez la section Modèle d'autorisation.
Règles de connexion dans les réseaux VPC partagés
Les règles de connexion de service peuvent automatiser la connectivité aux instances de service situées dans des projets hôtes ou dans des projets de service associés.
Si vous utilisez un VPC partagé, vous devez créer la stratégie de connexion de service dans le projet hôte. Les points de terminaison sont créés dans le projet spécifié dans la configuration de l'instance de service.
Si vous créez une règle de connexion de service dans un réseau VPC partagé et que vous déployez une instance de service dans un projet de service, l'automatisation de la connectivité du service partage les sous-réseaux associés à la règle de connexion de service en mettant à jour le compte de service de connectivité réseau du projet de service.
Ce compte de service se voit attribuer le rôle d'utilisateur de réseau de Compute (roles/compute.networkUser) sur les sous-réseaux partagés.
Pour voir un exemple de déploiement, consultez la section VPC partagé.
Règles de connexion avec champ d'application de l'instance de service personnalisée
Par défaut, l'automatisation de la connectivité des services crée des points de terminaison pour les instances de service et les règles de connexion de service associées qui se trouvent dans le même projet Google Cloud (ou dans des projets connectés dans le cas d'un VPC partagé). Pour les services Google compatibles, les instances de service et les points de terminaison de connexion peuvent également se trouver dans des projets ou des organisations différents.
Tous les services Google ne permettent pas de configurer une portée d'instance de service personnalisée. Pour déterminer si un service est compatible avec un champ d'application d'instance de service personnalisé, consultez la documentation du service spécifique.
Utilisez le paramètre Champ d'application de l'instance de service (--producer-instance-location) pour configurer la connectivité aux instances de service situées dans d'autres nœuds Resource Manager (projets, dossiers et organisations).
- Si elle est définie sur
no_producer_instance_location, les points de terminaison ne sont créés que dans le même projet. Il s'agit de la valeur par défaut. - Si elle est définie sur
custom_resource_hierarchy_levels, vous devez spécifier la liste des nœuds Resource Manager dans le champ--allowed-google-producers-resource-hierarchy-level.
Si vous mettez à jour le champ d'application de l'instance de service pour une règle de connexion de service, les points de terminaison existants ne sont pas affectés.
Pour obtenir un exemple de déploiement, consultez Services Google avec portée d'instance de service personnalisée.
Versions IP du point de terminaison
Les versions IP possibles des points de terminaison qui se connectent aux instances de service (IPv4, IPv6 ou les deux) sont déterminées par le producteur de service, et non par l'automatisation de la connectivité des services. Si le service est compatible avec IPv4 et IPv6, les administrateurs d'instances de service peuvent choisir une version d'adresse IP lors du déploiement d'une instance via l'API d'administration d'un service. Pour en savoir plus sur les versions d'IP compatibles d'un service, consultez la documentation du service.
Lorsqu'un administrateur d'instance de service choisit une version IP, l'automatisation de la connectivité du service recherche dans la règle de connexion du service les sous-réseaux compatibles à utiliser pour créer des adresses IP de point de terminaison:
- Les sous-réseaux IPv4 uniquement sont compatibles avec les points de terminaison IPv4.
- Les sous-réseaux à double pile acceptent les points de terminaison IPv4 et IPv6.
- Les sous-réseaux IPv6 uniquement (preview) sont compatibles avec les points de terminaison IPv6.
Si la règle de connexion de service ne dispose pas d'un sous-réseau compatible, la requête échoue et aucun point de terminaison n'est créé.
De plus, la version IP du point de terminaison doit être compatible avec la version IP de l'instance de service, qui est déterminée par la règle de transfert du rattachement de service associé. Private Service Connect est compatible avec les combinaisons de versions IP suivantes:
- Point de terminaison IPv4 vers rattachement de service IPv4
- Point de terminaison IPv6 vers rattachement de service IPv6
Point de terminaison IPv6 vers rattachement de service IPv4
Dans cette configuration, Private Service Connect traduit automatiquement les deux versions d'adresse IP.
Il n'est pas possible de connecter un point de terminaison IPv4 à un rattachement de service IPv6.
Si vous souhaitez autoriser les clients IPv4 et IPv6 à accéder à une instance de service géré, configurez la connectivité pour des points de terminaison IPv4 et IPv6 distincts qui se connectent au même service.
Limites
- Les règles de connexion de service ne permettent d'automatiser que la création de points de terminaison Private Service Connect. La création de backends Private Service Connect ou de rattachements de service n'est pas prise en charge.
- Vous ne pouvez pas supprimer directement les points de terminaison Private Service Connect qui sont créées grâce à l'automatisation de la connectivité des services. Pour déclencher la suppression de ces points de terminaison, mettez hors service la connectivité du service.
- Vous ne pouvez mettre à jour que les sous-réseaux et la limite de connexion d'une règle de connexion de service. Si vous souhaitez mettre à jour d'autres champs, supprimez la règle et créez-en une nouvelle.
- Les règles de connexion de service permettent de créer des points de terminaison avec des adresses IPv4. Il n'est pas possible de créer des points de terminaison disposant d'adresses IPv6.
Tarifs
La tarification de Private Service Connect est décrite sur la page des tarifs relatifs aux VPC.