服务连接政策简介
本页面简要介绍服务连接政策。
服务使用方可以创建服务连接政策,以自动部署和连接符合条件的代管式服务实例。此过程称为 Private Service Connect 服务连接自动化。
例如,使用方服务管理员可能是一个数据库管理员,他部署数据库,然后配置 Private Service Connect 以访问该数据库。但是,该数据库管理员可能没有所需的 Identity and Access Management (IAM) 凭据,或者不了解如何部署网络资源。如果存在服务连接政策,并且提供方服务配置了服务自动化,数据库管理员可以请求通过服务连接自动化来部署提供方服务实例并连接到其网络。
服务连接政策对于以下角色很有用:
- 使用方服务管理员可以通过提供方服务的管理 API 或界面来部署代管式提供方服务的实例并配置与这些实例的连接。无需额外配置 Private Service Connect。
- 网络管理员可以创建一组政策来控制哪些服务和子网用于连接。
- 服务提供方可以简化共享服务连接和引导使用方完成连接部署的过程。具有服务连接政策的使用方可以使用提供方的管理 API 或界面来配置提供方服务。
服务实例部署
使用服务连接政策部署代管式服务的实例涉及以下步骤,如图 1 所示:
使用方网络管理员为其 VPC 网络创建服务连接政策。此网络可以视需要是共享 VPC 网络。
服务连接政策可让 Google 代表使用方服务管理员自动部署 Private Service Connect 端点。服务连接政策引用一个服务类,该服务类是标识特定提供方服务的全局唯一资源。单个服务连接政策的范围限定为单个服务类和单个使用方 VPC 网络,并在该范围内委托配置连接的权限。
使用方服务管理员使用服务的管理 API 或界面来部署托管式服务实例并配置与该实例的连接。
如果您在共享 VPC 网络中创建了服务连接政策,则可以在关联的服务项目中部署托管式服务实例。
提供方收到使用方的连接配置,并将此信息传递给服务连接映射。
Network Connectivity 服务账号在使用方 VPC 网络中创建端点。此端点连接到提供方 VPC 网络中的服务连接。
支持的服务
如需了解托管式服务是否支持服务连接政策,请与服务提供方联系。如果某个服务支持服务连接政策,该服务提供商可以为您提供关联的服务类。
服务类使提供方能够代表使用方自动化处理服务,它们在有限预览版中可供提供方使用。如需了解如何通过服务类自动连接您自己的托管式服务,请与您的 Google Cloud 销售代表联系。
服务连接政策
服务连接政策是区域级 Google Cloud 资源。它可让网络管理员指定哪些提供方服务可以通过服务连接自动化来部署和连接。如果代管式服务存在服务连接政策,则使用方服务管理员可以部署该服务。
服务连接政策具有以下字段:
- 服务类:指定政策适用的代管式服务类型。支持服务连接政策的每个提供方都有自己的全局唯一服务类。
- VPC 网络:指定政策范围所限定的 VPC 网络。
- 子网:指定从中分配 Private Service Connect 端点的 IP 地址的子网。
- 连接限制:指定提供方可以在政策的 VPC 网络和区域中创建的 Private Service Connect 连接数上限。
规格
服务连接政策具有以下规范:
- 您可以根据网络、区域和服务类的组合创建单个服务连接政策。这可确保只有一个政策控制着任何 Private Service Connect 端点的创建。
- 如果给定服务类存在服务连接政策,则使用方服务管理员可以使用该服务的管理 API 或界面来部署该服务,并使用服务连接自动化功能配置连接。
- 服务连接政策配置中包含的子网提供分配给 Private Service Connect 端点的 IP 地址。这些子网必须是常规子网,并且必须与服务连接政策位于同一区域。常规子网与 Private Service Connect 子网不同。
- 作为最佳实践,Google 建议使用具有服务连接政策的专用子网。这有助于确保子网的 IP 地址不会重复用于不同的资源。
- 服务连接政策只能在应用该政策的 VPC 网络所在的项目中创建。
- 如果您想要将 Private Service Connect 服务自动化与同一项目中的多个 VPC 网络搭配使用,请为每个网络创建一个服务连接政策。
- 您可以将服务连接政策与共享 VPC 搭配使用。
提供方配置
以下部分介绍了服务提供方用于配置服务连接自动化的资源。
服务连接映射
服务连接映射是提供方端资源,可让提供方指定服务连接与 Private Service Connect 端点之间的映射。此映射包含可映射到服务连接列表的 VPC 网络和项目组合的列表。
提供方使用服务连接映射来定义通过服务自动化创建端点时要使用的使用方项目和 Private Service Connect 网络。
当使用方服务管理员请求通过服务连接自动化部署服务实例时,管理员需要指定 VPC 网络。代管式服务使用此信息来更新相应的服务连接映射,并指定使用方连接的服务连接。
服务类
服务类是代管式服务类型的全局唯一表示形式。每个提供方独占式地拥有其服务类。使用方在其服务连接政策中引用服务类,以授权部署并将连接委托给提供方。
Google 发布的服务、第三方服务和自行托管的内部代管式服务可以有服务类。您只能为具有服务类的服务创建服务连接政策。
授权模型
通过服务连接政策,使用方可以将连接部署委托给提供方。提供方没有使用方项目的直接访问权限或 IAM 权限。提供方在自己的项目中配置服务连接映射。这样提供方便可以指定要部署端点的使用方项目和 VPC 网络。
提供方创建或更新服务连接映射后,Google Cloud 会进行以下授权检查:
- 创建或更新连接映射的提供方用户拥有关联服务类的 IAM 所有权。此检查有助于防止错误地代表公共服务类。
- 使用方网络具有有效的服务连接政策,以授权服务连接映射指定的 VPC 网络、区域和服务类。此检查可确保对 VPC 网络具有 IAM 权限的管理员明确委托为指定服务类型创建 Private Service Connect 端点的能力。
- 使用方在代管式服务的界面或 API 中为连接指定的项目与代管式服务实例相关联。此检查有助于防止仿冒或诱骗代管式服务为未经授权的项目创建连接。
如果满足每个条件,则 Network Connectivity 服务账号会在使用方网络中创建请求的端点。Network Connectivity 服务账号是一个服务代理。
限制
- 服务连接政策仅支持在使用方 VPC 网络中自动部署和连接 Private Service Connect 端点。不支持 Private Service Connect 后端或服务连接。
- 您无法直接删除通过服务连接自动化创建的 Private Service Connect 端点。如需触发删除这些端点,可停用服务连接。
- 您只能更新服务连接政策的子网和连接限制。如果您想更新其他字段,请删除该政策并创建一个新的服务连接政策。
- 服务连接政策支持使用 IPv4 地址创建端点;不支持创建具有 IPv6 地址的端点。
价格
如需了解 Private Service Connect 的价格,请参阅 VPC 价格页面。