Informazioni sulle policy di connessione al servizio
Questo documento spiega in che modo gli amministratori di rete possono utilizzare i criteri di connessione al servizio per fornire connettività alle istanze di servizi gestiti supportate tramite l'automazione della connettività dei servizi. Prima di leggere questo documento, assicurati di conoscere i concetti spiegati in Informazioni sull'automazione della connettività dei servizi.
Specifiche
Le policy di connessione al servizio hanno le seguenti specifiche:
Puoi creare un solo criterio di connessione al servizio per ogni combinazione di rete, regione e classe di servizio. Ad esempio, puoi avere un solo criterio di connessione al servizio per
vpc1inus-central1pergoogle-cloud-sql. Questa convalida indica che un determinato endpoint Private Service Connect è regolato da una sola policy di connessione al servizio.Gli amministratori delle istanze di servizio possono utilizzare l'API di amministrazione o l'UI del servizio per eseguire il deployment del servizio e configurare la connettività utilizzando l'automazione della connettività del servizio.
Le subnet incluse nella configurazione del criterio di connessione del servizio forniscono gli indirizzi IP assegnati agli endpoint Private Service Connect. Queste subnet devono essere subnet normali e devono trovarsi nella stessa regione del criterio di connessione del servizio. Le subnet normali sono diverse dalle subnet Private Service Connect.
Come best practice, ti consigliamo di evitare di utilizzare le sottoreti per altre risorse. Se altre risorse consumano indirizzi IP dalla sottorete, potresti esaurire gli indirizzi IP da assegnare agli endpoint.
Puoi utilizzare i criteri di connessione dei servizi con il VPC condiviso.
Per impostazione predefinita, l'istanza di servizio e gli endpoint che si connettono all'istanza di servizio devono trovarsi nello stesso progetto (o, nel caso di VPC condiviso, nei progetti collegati).
I servizi Google supportati ti consentono di configurare un ambito di istanza di servizio personalizzato.
Gli endpoint creati tramite l'automazione della connettività dei servizi potrebbero essere etichettati dal producer di servizi. Per saperne di più sulle etichette, vedi Organizzare le risorse utilizzando le etichette.
Se vuoi utilizzare l'automazione dei servizi Private Service Connect con più reti VPC nello stesso progetto, crea una policy di connessione dei servizi per ogni rete.
Se vuoi, puoi configurare un limite di connessioni per specificare il numero massimo di connessioni Private Service Connect che un determinato producer di servizi può creare nella rete e nella regione VPC del criterio.
Gli endpoint creati tramite le policy di connessione al servizio possono essere resi disponibili in altre reti VPC tramite la propagazione della connessione.
Autorizzazione
Le policy di connessione al servizio consentono ai consumer di delegare il deployment della connettività ai servizi gestiti. Il producer di servizi non dispone di accesso diretto o privilegi IAM per il progetto consumer. Il producer configura invece una mappa di connessione ai servizi nel proprio progetto.
Quando la mappa di connessione dei servizi viene creata o aggiornata, in genere in risposta a una richiesta di un amministratore del servizio consumer all'API o all'interfaccia utente amministrativa del servizio gestito, l'automazione della connettività dei servizi esegue una serie di controlli di autorizzazione. Se tutti i controlli vengono superati, gli endpoint Private Service Connect vengono creati come specificato nella richiesta.
Per informazioni sull'autorizzazione, consulta Modello di autorizzazione.
Criteri di connessione nelle reti VPC condivise
Le policy di connessione al servizio possono automatizzare la connettività alle istanze di servizio situate in progetti host o in progetti di servizio collegati.
Se utilizzi la Rete VPC condivisa, devi creare il criterio di connessione al servizio nel progetto host. Gli endpoint vengono creati nel progetto specificato nella configurazione dell'istanza di servizio.
Se crei una policy di connessione al servizio in una rete VPC condiviso e esegui il deployment di un'istanza di servizio in un progetto di servizio, l'automazione della connettività del servizio condivide le sottoreti associate alla policy di connessione al servizio aggiornando l'account di servizio di connettività di rete del progetto di servizio.
A questo account di servizio viene concesso il
ruolo Utente di rete Compute
(roles/compute.networkUser) sulle subnet condivise.
Per un esempio di implementazione, consulta Rete VPC condivisa.
Policy di connessione con ambito istanza di servizio personalizzato
Per impostazione predefinita, l'automazione della connettività dei servizi crea endpoint per le istanze di servizio e le policy di connessione dei servizi associate che si trovano nello stesso progetto Google Cloud (o, nel caso di VPC condiviso, nei progetti collegati). Per i servizi Google supportati, le istanze di servizio e gli endpoint di collegamento possono anche trovarsi in progetti o organizzazioni diversi.
Non tutti i servizi Google supportano la configurazione di un ambito istanza di servizio personalizzato. Per determinare se un servizio supporta un ambito istanza di servizio personalizzato, consulta la documentazione del servizio specifico.
Utilizza l'impostazione Ambito istanza di servizio (--producer-instance-location) per configurare la connettività alle istanze di servizio in altri nodi di Resource Manager (progetti, cartelle e organizzazioni).
- Se è impostato su
no_producer_instance_location, gli endpoint vengono creati solo nello stesso progetto. Questo è il valore predefinito. - Se è impostato su
custom_resource_hierarchy_levels, specifica l'elenco di nodi Resource Manager nel campo--allowed-google-producers-resource-hierarchy-level.
Se aggiorni l'ambito dell'istanza di servizio per un criterio di connessione al servizio, gli endpoint esistenti non sono interessati.
Per un esempio di implementazione, consulta Servizi Google con ambito dell'istanza di servizio personalizzata.
Limitazioni
- Le policy di connessione dei servizi supportano solo l'automazione della creazione gli endpoint Private Service Connect. La creazione di backend o aggrappi di servizi Private Service Connect non è supportata.
- Non puoi eliminare direttamente gli endpoint Private Service Connect creati tramite l'automazione della connettività dei servizi. Per attivare l'eliminazione di questi endpoint, ritira la connettività del servizio.
- Puoi aggiornare solo le sottoreti e il limite di connessioni per un criterio di connessione al servizio. Se vuoi aggiornare altri campi, elimina il criterio e creane uno nuovo.
- I criteri di connessione al servizio supportano la creazione di endpoint con indirizzi IPv4. La creazione di endpoint con indirizzi IPv6 non è supportata.
Prezzi
I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.