Informazioni sull'automazione della connettività dei servizi
L'automazione della connettività dei servizi consente ai consumer di servizi di automatizzare il deployment della connettività ai servizi gestiti.
Prendiamo ad esempio un amministratore di database che esegue il deployment di un'istanza di database e vuole consentire ai consumer di servizi di raggiungere il database tramite un endpoint Private Service Connect. L'amministratore del database potrebbe non disporre delle credenziali o delle competenze di Identity and Access Management (IAM) necessarie per eseguire il deployment delle risorse di rete.
Se un servizio gestito supporta l'automazione della connettività dei servizi, la configurazione dell'istanza di servizio e la configurazione di rete possono essere delegate agli amministratori appropriati:
Gli amministratori delle istanze di servizio possono controllare quali reti possono accedere ai loro servizi.
Gli amministratori di rete possono controllare i servizi a cui consentire le connessioni.
Quando queste configurazioni corrispondono, l'automazione della connettività del servizio crea un endpoint nelle reti appropriate, fornendo la connettività all'istanza di servizio gestita.
Panoramica dell'automazione della connettività dei servizi
La sezione seguente descrive una configurazione di base in una singola rete VPC che utilizza l'automazione della connettività dei servizi. Per informazioni su altre configurazioni, consulta VPC condivisa e Servizi Google con ambito dell'istanza di servizio personalizzato.
Il deployment di un'istanza di un servizio gestito che supporta l'automazione della connettività dei servizi prevede i seguenti passaggi:
Un amministratore di rete crea un criterio di connessione ai servizi per la propria rete VPC.
Il criterio di connessione al servizio fa riferimento a una classe di servizio, una risorsa univoca a livello globale che identifica un servizio di producer specifico. Un singolo criterio di connessione al servizio è limitato a una singola classe di servizio e a una singola rete VPC consumer, delegando la possibilità di configurare la connettività all'interno di questo ambito.
Un amministratore di istanze di servizio esegue il deployment di un'istanza di servizio gestita utilizzando l'API o l'interfaccia utente di amministrazione del servizio. La configurazione dell'istanza di servizio specifica le reti che possono accedere al servizio tramite l'automazione della connettività del servizio.
L'automazione della connettività dei servizi crea un endpoint nella rete VPC del consumer. Questo endpoint può essere utilizzato per inviare richieste all'istanza di servizio.
Configurazione del produttore
Le sezioni seguenti descrivono le risorse utilizzate dai produttori di servizi per configurare l'automazione della connettività dei servizi.
Classi di servizio
Una classe di servizio è una rappresentazione univoca a livello globale di un tipo di servizio gestito. Ogni produttore è proprietario esclusivo della propria classe di servizio. I consumer fanno riferimento alla classe di servizio nei propri criteri di connessione dei servizi, che autorizza il deployment e delega la connettività al producer.
I criteri di connessione al servizio possono essere creati solo per i servizi che dispongono di una classe di servizio.
I classi di servizio sono disponibili per i servizi pubblicati da Google. I classi di servizio sono disponibili anche in una anteprima limitata per i servizi di terze parti e i servizi gestiti interni self-hosted. Per maggiori informazioni, consulta Servizi supportati.
Mappe di connessione ai servizi
Una mappa delle connessioni di servizio è una risorsa gestita dal produttore che memorizza i dettagli per autorizzare e stabilire connessioni Private Service Connect tra le reti VPC consumer e le istanze di servizio gestite dal produttore. Questa mappa definisce le relazioni consentite tra le istanze di servizio del producer (rappresentate dai collegamenti di servizio) e i progetti e le reti VPC del consumer autorizzati a connettersi alle istanze di servizio.
Modello di autorizzazione
Le policy di connessione al servizio consentono ai consumer di delegare il deployment della connettività ai servizi gestiti. Il producer di servizi non dispone di accesso diretto o privilegi IAM per il progetto consumer. Il producer configura invece una mappa di connessione ai servizi nel proprio progetto.
Quando la mappa di connessione dei servizi viene creata o aggiornata, in genere in risposta a una richiesta di un amministratore del servizio consumer all'API o all'interfaccia utente amministrativa del servizio gestito, l'automazione della connettività dei servizi esegue una serie di controlli di autorizzazione. Se tutti i controlli vengono superati, gli endpoint Private Service Connect vengono creati come specificato nella richiesta.
Configurazione di rete (criterio di connessione al servizio):
- Autorizzazione di rete. La rete VPC consumer deve avere un criterio di connessione al servizio valido che autorizzi la rete VPC, la regione e la classe di servizio specificati dalla richiesta. Questo controllo contribuisce ad assicurare che un amministratore di rete consumer con autorizzazioni IAM sulla rete VPC deleghi esplicitamente la possibilità di creare endpoint Private Service Connect per il tipo di servizio specificato.
- Ambito istanza di servizio. Se l'istanza di servizio gestita è un servizio Google e il criterio di connessione del servizio specifica un ambito dell'istanza di servizio personalizzato (
custom-resource-hierarchy-levels), l'automazione della connettività del servizio controlla l'elenco dei nodi Resource Manager forniti (--allowed-google-producers-resource-hierarchy-level). Il progetto specificato dall'amministratore dell'istanza di servizio nell'API o nell'interfaccia utente del servizio gestito per il deployment e la gestione dell'istanza di servizio deve rientrare nell'ambito consentito definito da questo elenco. L'ambito può essere una combinazione di organizzazioni, cartelle e progetti. - Convalida del progetto endpoint. Il progetto in cui viene creata la regola di connessione deve essere associato alla rete VPC in cui deve essere creato l'endpoint. Il progetto deve contenere la rete VPC o essere un progetto di servizio collegato alla rete VPC condiviso.
Configurazione dell'istanza di servizio:
Autorizzazione IAM amministratore del servizio. L'amministratore del servizio consumer deve disporre delle autorizzazioni IAM necessarie per creare o aggiornare l'istanza del servizio di produzione. Queste autorizzazioni variano in base al servizio di cui viene eseguito il deployment.
Autorizzazione come amministratore dell'istanza di servizio. Nell'API amministrativa del servizio, l'amministratore dell'istanza di servizio che ha creato l'istanza deve aver configurato l'istanza in modo da consentire le connessioni dalla rete VPC che richiede la connessione.
Configurazione del produttore:
- Autorizzazioni IAM del produttore. L'amministratore del servizio di produzione che crea o aggiorna la mappa di connessione dei servizi deve disporre delle autorizzazioni IAM per la classe di servizio associata. Questo controllo contribuisce a impedire rappresentazioni ingannevoli di una classe di servizi pubblici.
Se tutte le condizioni sono soddisfatte, l'account Servizio di connettività di rete crea gli endpoint richiesti nelle reti autorizzate. L'account di servizio Network Connectivity è un agente di servizio.
VPC condiviso
L'automazione della connettività dei servizi può essere utilizzata per creare automaticamente gli endpoint Private Service Connect nelle reti VPC condiviso. Poiché l'endpoint è configurato con un indirizzo IP della rete VPC condiviso, è accessibile dal progetto host e da tutti i progetti di servizio collegati.
Per creare la configurazione mostrata nel seguente diagramma, vengono completate le seguenti attività:
L'amministratore di rete crea un criterio di connessione del servizio per la rete
vpc1nel progetto hostproject1e consente la connettività alle istanze di servizio che utilizzano la classe di serviziogoogle-cloud-sql. Gli indirizzi IP dell'endpoint vengono allocati dalla subnetendpoint-subnet.L'amministratore dell'istanza di servizio esegue il deployment di due istanze di servizio gestite:
db-testnel progettoservice-project-testedb-prodnel progettoservice-project-prod. L'amministratore configura l'istanza di servizio in modo che l'automazione della connettività dei servizi possa eseguire il deployment di endpoint nella retevpc1inproject1che si connettono alle istanze di servizio.Poiché tutti i controlli di autorizzazione passano, l'automazione della connettività del servizio crea due endpoint connessi a
endpoint-subnet, uno per ogni istanza di servizio. Tutte le VM collegate alla subnetvm-subnetpossono accedere agli endpoint perché sono connesse alla stessa rete VPC condiviso degli endpoint.
Servizi Google con ambito istanza di servizio personalizzato
Per impostazione predefinita, l'automazione della connettività dei servizi richiede che l'istanza di servizio e gli endpoint che si connettono all'istanza di servizio si trovino nello stesso progetto (o, nel caso di VPC condiviso, nei progetti collegati). Per i servizi Google supportati, le istanze di servizio e gli endpoint di collegamento possono trovarsi in progetti o organizzazioni diversi.
Per creare la configurazione mostrata nel seguente diagramma, vengono completate le seguenti attività:
Gli amministratori di rete di
vpc-1,vpc-2evpc-3creano i criteri di connessione ai servizi nelle rispettive reti VPC. Consentono la connettività alle istanze di servizio che utilizzano la classe di serviziogoogle-cloud-sqle sono dipiattate nel progettoproject-1nell'organizzazioneorg-1.L'amministratore dell'istanza di servizio esegue il deployment di un'istanza di servizio gestita
db-1inproject-1utilizzando l'API o l'interfaccia utente di amministrazione del servizio. L'amministratore configura l'istanza di servizio in modo che l'automazione della connettività del servizio possa eseguire il deployment di endpoint invpc-1evpc-2che si connettono adb-1.Per
vpc-1evpc-2, tutti i controlli di autorizzazione vanno a buon fine e l'automazione della connettività dei servizi crea un endpoint in ogni rete. Le VM in queste reti possono inviare traffico all'istanza di servizio tramite gli endpoint.Tuttavia, non viene creato un endpoint in
vpc-3perché la rete non è configurata per la connettività automatica nella configurazione dell'istanza di serviziodb-1.Se
vpc-3deve accedere all'istanza di serviziodb-1, l'amministratore di rete può contattare l'amministratore del database e chiedergli di aggiungerevpc-3alla configurazione di connettività perdb-1.
Servizi supportati
I seguenti servizi Google supportano l'automazione della connettività dei servizi.
| Servizio Google | Accesso fornito |
|---|---|
| Cloud SQL | Ti consente di automatizzare la creazione di connessioni alle istanze Cloud SQL. |
| Memorystore for Redis Cluster | Ti consente di automatizzare la creazione di connessioni alle istanze di Memorystore for Redis Cluster. |
| Memorystore per Valkey | Consente di automatizzare la creazione di connessioni alle istanze Memorystore for Valkey. |
| Vertex AI Vector Search | Ti consente di automatizzare la creazione di connessioni agli endpoint di Vector Search. |
Per determinare se un servizio gestito di terze parti supporta le norme di connessione al servizio, contatta il fornitore di servizi. Se un servizio supporta i criteri di connessione dei servizi, il fornitore di servizi può fornirti la classe di servizio associata.
Le risorse di automazione lato produttore sono disponibili in misura limitata in Anteprima. Se vuoi automatizzare la connettività dei consumatori per il tuo servizio gestito, contatta il tuo rappresentante di vendita Google Cloud.