Acerca da automatização da conetividade de serviços

A automatização da conetividade de serviços permite que os consumidores de serviços automatizem a implementação da conetividade a serviços geridos.

Considere um administrador de base de dados que implementa uma instância de base de dados e quer permitir que os consumidores de serviços alcancem essa base de dados através de um ponto final do Private Service Connect. O administrador da base de dados pode não ter as credenciais ou os conhecimentos necessários de gestão de identidade e de acesso (IAM) para implementar recursos de rede.

Se um serviço gerido suportar a automatização da conetividade de serviços, a configuração da instância de serviço e a configuração de rede podem ser delegadas nos administradores adequados:

  • Os administradores de instâncias de serviços podem controlar que redes podem aceder aos respetivos serviços.

  • Os administradores de rede podem controlar os serviços aos quais querem permitir ligações.

Quando estas configurações correspondem, a automatização da conetividade do serviço cria um ponto final nas redes adequadas, o que fornece conetividade à instância do serviço gerido.

Vista geral da automatização da conetividade de serviços

A secção seguinte descreve uma configuração básica numa única rede de VPC que usa a automatização da conetividade de serviços. Para obter informações sobre outras configurações, consulte o VPC partilhado e os serviços Google com âmbito de instância de serviço personalizado.

A implementação de uma instância de um serviço gerido que suporta a automatização da conetividade de serviços envolve os seguintes passos:

  1. Um administrador de rede cria uma política de ligação de serviço para a respetiva rede de VPC.

    A política de ligação de serviço faz referência a uma classe de serviço, um recurso globalmente exclusivo que identifica um serviço de produtor específico. Uma única política de ligação de serviço tem âmbito numa única classe de serviço e numa única rede VPC do consumidor, delegando a capacidade de configurar a conetividade nesse âmbito.

  2. Um administrador da instância de serviço implementa uma instância de serviço gerida através da API administrativa ou da IU do serviço. A configuração da instância do serviço especifica as redes que podem aceder ao serviço através da automatização da conetividade do serviço.

  3. A automatização da conetividade de serviços cria um ponto final na rede VPC do consumidor. Este ponto final pode ser usado para enviar pedidos para a instância do serviço.

A automatização da conetividade de serviços permite que os consumidores de serviços automatizem a implementação da conetividade a serviços geridos (clique para aumentar).

Configuração do produtor

As secções seguintes descrevem os recursos usados pelos produtores de serviços para configurar a automatização da conetividade dos serviços.

Classes de serviço

Uma classe de serviço é uma representação globalmente exclusiva de um tipo de serviço gerido. Cada produtor é proprietário exclusivo da sua classe de serviço. Os consumidores referenciam a classe de serviço nas respetivas políticas de ligação de serviços, o que autoriza a implementação e delega a conetividade ao produtor.

As políticas de ligação de serviços só podem ser criadas para serviços que tenham uma classe de serviço.

As classes de serviços estão disponíveis para serviços publicados pela Google. As classes de serviços também estão disponíveis numa pré-visualização limitada para serviços de terceiros e serviços geridos internos alojados por si próprios. Para mais informações, consulte o artigo Serviços suportados.

Mapas de ligação do serviço

Um mapa de ligação de serviço é um recurso gerido pelo produtor que armazena detalhes para autorizar e estabelecer ligações do Private Service Connect entre redes VPC do consumidor e instâncias de serviços geridos pelo produtor. Este mapa define as relações permitidas entre instâncias do serviço produtor (representadas por associações de serviços) e os projetos consumidores e as redes VPC autorizados a estabelecer ligação às instâncias do serviço.

Modelo de autorização

As políticas de ligação de serviço permitem que os consumidores deleguem a implementação da conetividade em serviços geridos. O produtor de serviços não tem acesso direto nem privilégios do IAM para o projeto do consumidor. Em alternativa, o produtor configura um mapa de ligação de serviço no seu próprio projeto.

Quando o mapa de ligação de serviço é criado ou atualizado, normalmente em resposta a um pedido de um administrador de serviço consumidor à API administrativa ou à IU do serviço gerido, a automatização da conetividade de serviço realiza uma série de verificações de autorização. Se todas as verificações forem aprovadas, os pontos finais do Private Service Connect são criados conforme especificado no pedido.

  • Configuração de rede (política de ligação de serviço):

    • Autorização de rede. A rede VPC do consumidor tem de ter uma política de ligação de serviço válida que autorize a rede VPC, a região e a classe de serviço especificadas pelo pedido. Esta verificação ajuda a garantir que um administrador da rede do consumidor com autorizações de IAM na rede VPC delega explicitamente a capacidade de criar pontos finais do Private Service Connect para o tipo de serviço especificado.
    • Âmbito da instância de serviço. Se a instância do serviço gerido for um serviço Google e a política de ligação de serviço especificar um âmbito da instância do serviço personalizado (custom-resource-hierarchy-levels), a automatização da conetividade do serviço verifica a lista de nós do Resource Manager fornecidos (--allowed-google-producers-resource-hierarchy-level). O projeto que o administrador da instância do serviço especificou na IU ou na API do serviço gerido para implementar e gerir a instância do serviço tem de estar dentro do âmbito permitido definido por esta lista. O âmbito pode ser uma combinação de organizações, pastas e projetos.
    • Validação de projetos de pontos finais. O projeto onde a política de ligação é criada tem de estar associado à rede VPC onde o ponto final vai ser criado. O projeto tem de conter a rede VPC ou ser um projeto de serviço anexado à rede VPC partilhada.

  • Configuração da instância de serviço:

    • Autorização IAM do administrador do serviço. O administrador do serviço de consumo tem de ter as autorizações da IAM necessárias para criar ou atualizar a instância do serviço de produção. Estas autorizações variam consoante o serviço que está a ser implementado.

    • Autorização de administrador da instância de serviço. Na API administrativa do serviço, o administrador da instância de serviço que criou a instância de serviço tem de ter configurado a instância para permitir ligações a partir da rede VPC que pede a ligação.

  • Configuração do produtor:

    • Autorizações de IAM do produtor. O administrador do serviço de produção que cria ou atualiza o mapa de ligação de serviço tem de ter autorizações da IAM na classe de serviço associada. Esta verificação ajuda a evitar representações falsas de uma classe de serviço público.

Se cada condição for cumprida, a conta do serviço de conetividade de rede cria os pontos finais pedidos nas redes autorizadas. A conta de serviço do Network Connectivity é um agente de serviço.

Voltas a tentar automáticas para falhas de pontos finais

A automatização da conetividade de serviços gere totalmente a criação e a eliminação dos seus pontos finais do Private Service Connect.

Se a automatização da conetividade do serviço não conseguir criar nem eliminar um ponto final autorizado, por exemplo, devido a limitações de quota ou a sub-rede da política de ligação do serviço estar sem endereços IP, um processo automático tenta novamente a operação periodicamente até que o problema de bloqueio seja resolvido. No entanto, se a criação ou a eliminação do ponto final falhar devido a verificações de autorização, a operação não é repetida.

Pode ver os erros que bloqueiam a criação de pontos finais descrevendo a política de ligação ao serviço e verificando o campo pscConnections. Para informações sobre a resolução de problemas de falhas na criação ou eliminação de pontos finais, consulte a secção Resolução de problemas.

VPC partilhada

A automatização da conetividade de serviços pode ser usada para criar automaticamente pontos finais do Private Service Connect em redes de VPC partilhada. Uma vez que o ponto final está configurado com um endereço IP da rede de VPC partilhada, o ponto final é acessível a partir do projeto anfitrião e de todos os projetos de serviço anexados.

Para criar a configuração apresentada no diagrama seguinte, são concluídas as seguintes tarefas:

  1. O administrador de rede cria uma política de ligação de serviço para a rede vpc1 no projeto anfitrião project1 e permite a conetividade a instâncias de serviço que usam a classe de serviço google-cloud-sql. Os endereços IP dos pontos finais são atribuídos a partir da sub-rede endpoint-subnet.

  2. O administrador da instância de serviço implementa duas instâncias de serviço geridas: db-test no projeto service-project-test e db-prod no projeto service-project-prod. O administrador configura a instância do serviço para permitir que a automatização da conetividade do serviço implemente pontos finais na rede vpc1 em project1 que se ligam às instâncias do serviço.

  3. Uma vez que todas as verificações de autorização são aprovadas, a automatização da conetividade dos serviços cria dois pontos finais ligados a endpoint-subnet, um para cada instância do serviço. Todas as VMs que estão ligadas à sub-rede vm-subnet podem aceder aos pontos finais porque estão ligadas à mesma rede da VPC partilhada que os pontos finais.

Pode usar uma política de ligação de serviço numa rede VPC partilhada para criar conetividade com instâncias de serviço implementadas em projetos de serviço (clique para aumentar).

Serviços Google com âmbito da instância do serviço personalizado

Por predefinição, a automatização da conetividade de serviços requer que a instância de serviço e os pontos finais que estabelecem ligação à instância de serviço estejam no mesmo projeto (ou, no caso da VPC partilhada, em projetos ligados). Para os serviços Google suportados, as instâncias de serviço e os pontos finais de ligação podem estar em projetos ou organizações diferentes.

Para criar a configuração apresentada no diagrama seguinte, são concluídas as seguintes tarefas:

  1. Os administradores de rede da vpc-1, vpc-2 e vpc-3 criam políticas de ligação de serviços nas respetivas redes VPC. Permitem a conetividade a instâncias de serviço que usam a classe de serviço google-cloud-sql e são implementadas no projeto project-1 na organização org-1.

  2. O administrador da instância de serviço implementa uma instância de serviço gerida db-1 em project-1 através da API administrativa ou da IU do serviço. O administrador configura a instância do serviço para permitir que a automatização da conetividade do serviço implemente pontos finais no vpc-1 e no vpc-2 que se ligam ao db-1.

  3. Para vpc-1 e vpc-2, as verificações de autorização são todas aprovadas e a automatização da conetividade do serviço cria um ponto final em cada rede. As VMs nessas redes podem enviar tráfego para a instância do serviço através dos pontos finais.

    No entanto, não é criado um ponto final em vpc-3 porque essa rede não está configurada para conectividade automática na configuração da instância do serviço db-1.

    Se vpc-3 precisar de aceder à instância do serviço db-1, o administrador de rede pode contactar o administrador da base de dados e pedir-lhe que adicione vpc-3 à configuração de conetividade para db-1.

Pode automatizar a conetividade aos serviços Google suportados a partir de diferentes projetos, pastas ou organizações (clique para aumentar).

Serviços suportados

Os seguintes serviços Google suportam a automatização da conetividade de serviços.

Serviço Google Acesso fornecido
AlloyDB para PostgreSQL Permite automatizar a criação de ligações a instâncias do AlloyDB para PostgreSQL.
Cloud SQL Permite automatizar a criação de ligações a instâncias do Cloud SQL.
Memorystore for Redis Cluster Permite automatizar a criação de ligações a instâncias do Memorystore for Redis Cluster.
Memorystore for Valkey Permite automatizar a criação de ligações a instâncias do Memorystore for Valkey.
Vertex AI Vector Search Permite automatizar a criação de ligações a pontos finais de pesquisa vetorial.

Para determinar se um serviço gerido de terceiros suporta políticas de ligação de serviços, contacte o fornecedor de serviços. Se um serviço suportar políticas de associação de serviços, o fornecedor de serviços pode fornecer-lhe a classe de serviço associada.

Os recursos de automatização do lado do produtor estão disponíveis numa pré-visualização limitada. Se quiser automatizar a conetividade do consumidor para o seu próprio serviço gerido, contacte o seu Google Cloud representante de vendas.