Informazioni sull'automazione della connettività del servizio

L'automazione della connettività dei servizi consente ai consumer di servizi di automatizzare il deployment della connettività ai servizi gestiti.

Prendi in considerazione un amministratore di database che esegue il deployment di un'istanza di database e vuole consentire ai consumer di servizi di raggiungere il database tramite un endpoint Private Service Connect. L'amministratore del database potrebbe non disporre delle credenziali o delle competenze IAM (Identity and Access Management) richieste per il deployment delle risorse di rete.

Se un servizio gestito supporta l'automazione della connettività del servizio, la configurazione dell'istanza del servizio e la configurazione di rete possono essere delegate agli amministratori appropriati:

  • Gli amministratori delle istanze di servizio possono controllare quali reti possono accedere ai loro servizi.

  • Gli amministratori di rete possono controllare a quali servizi vogliono consentire le connessioni.

Quando queste configurazioni corrispondono, l'automazione della connettività del servizio crea un endpoint nelle reti appropriate, fornendo la connettività all'istanza del servizio gestito.

Panoramica dell'automazione della connettività dei servizi

La sezione seguente descrive una configurazione di base in una singola rete VPC che utilizza l'automazione della connettività di servizio. Per informazioni su altre configurazioni, vedi VPC condiviso e Servizi Google con ambito dell'istanza di servizio personalizzato.

Il deployment di un'istanza di un servizio gestito che supporta l'automazione della connettività dei servizi comporta i seguenti passaggi:

  1. Un amministratore di rete crea un criterio di connessione al servizio per la propria rete VPC.

    Il criterio di connessione al servizio fa riferimento a una classe di servizio, una risorsa univoca a livello globale che identifica un servizio producer specifico. Un singolo criterio di connessione al servizio è limitato a una singola classe di servizio e a una singola rete VPC consumer, delegando la possibilità di configurare la connettività all'interno di questo ambito.

  2. Un amministratore dell'istanza di servizio esegue il deployment di un'istanza di servizio gestita utilizzando l'API o la UI amministrativa del servizio. La configurazione dell'istanza di servizio specifica quali reti possono accedere al servizio tramite l'automazione della connettività di servizio.

  3. L'automazione della connettività dei servizi crea un endpoint nella rete VPC consumer. Questo endpoint può essere utilizzato per inviare richieste all'istanza del servizio.

L'automazione della connettività dei servizi consente ai consumatori di servizi di automatizzare il deployment della connettività ai servizi gestiti (fai clic per ingrandire).

Configurazione del producer

Le sezioni seguenti descrivono le risorse utilizzate dai produttori di servizi per configurare l'automazione della connettività dei servizi.

Classi di servizio

Una classe di servizio è una rappresentazione univoca a livello globale di un tipo di servizio gestito. Ogni producer è proprietario esclusivo della propria classe di servizio. I consumer fanno riferimento alla classe di servizio nelle loro policy di connessione al servizio, che autorizzano il deployment e delegano la connettività al producer.

Le policy di connessione al servizio possono essere create solo per i servizi che hanno una classe di servizio.

Le classi di servizio sono disponibili per i servizi pubblicati da Google. Le classi di servizio sono disponibili anche in una anteprima limitata per servizi di terze parti e servizi gestiti interni self-hosted. Per maggiori informazioni, consulta Servizi supportati.

Mappe delle connessioni ai servizi

Una mappa delle connessioni di servizio è una risorsa gestita dal producer che archivia i dettagli per autorizzare e stabilire connessioni Private Service Connect tra reti VPC consumer e istanze di servizi gestiti dal producer. Questa mappa definisce le relazioni consentite tra le istanze di servizio del producer (rappresentate dai collegamenti di servizio) e i progetti consumer e le reti VPC autorizzati a connettersi alle istanze di servizio.

Modello di autorizzazione

Le policy di connessione al servizio consentono ai consumer di delegare l'implementazione della connettività ai servizi gestiti. Il producer di servizi non ha accesso diretto o privilegi IAM per il progetto consumer. Il producer configura invece una mappa di connessione ai servizi nel proprio progetto.

Quando la mappa di connessione del servizio viene creata o aggiornata, in genere in risposta a una richiesta di un amministratore del servizio consumer all'API o all'interfaccia utente amministrativa del servizio gestito, l'automazione della connettività del servizio esegue una serie di controlli di autorizzazione. Se tutti i controlli vengono superati, gli endpoint Private Service Connect vengono creati come specificato nella richiesta.

  • Configurazione di rete (policy di connessione al servizio):

    • Autorizzazione di rete. La rete VPC consumer deve avere un criterio di connessione al servizio valido che autorizzi la rete VPC, la regione e la classe di servizio specificate dalla richiesta. Questo controllo consente di garantire che un amministratore di rete consumer con autorizzazioni IAM sulla rete VPC deleghi esplicitamente la possibilità di creare endpoint Private Service Connect per il tipo di servizio specificato.
    • Ambito istanza di servizio. Se l'istanza del servizio gestito è un servizio Google e il criterio di connessione al servizio specifica un ambito dell'istanza del servizio personalizzato (custom-resource-hierarchy-levels), l'automazione della connettività del servizio controlla l'elenco dei nodi Resource Manager forniti (--allowed-google-producers-resource-hierarchy-level). Il progetto specificato dall'amministratore dell'istanza del servizio nell'API o nell'interfaccia utente del servizio gestito per il deployment e la gestione dell'istanza del servizio deve rientrare nell'ambito consentito definito da questo elenco. L'ambito può essere un mix di organizzazioni, cartelle e progetti.
    • Convalida del progetto endpoint. Il progetto in cui viene creata la policy di connessione deve essere associato alla rete VPC in cui deve essere creato l'endpoint. Il progetto deve contenere la rete VPC o essere un progetto di servizio collegato alla rete VPC condiviso.

  • Configurazione dell'istanza di servizio:

    • Autorizzazione IAM dell'amministratore del servizio. L'amministratore del servizio consumer deve disporre delle autorizzazioni IAM necessarie per creare o aggiornare l'istanza del servizio produttore. Queste autorizzazioni variano in base al servizio di cui viene eseguito il deployment.

    • Autorizzazione amministratore dell'istanza di servizio. Nell'API amministrativa del servizio, l'amministratore dell'istanza di servizio che ha creato l'istanza di servizio deve aver configurato l'istanza in modo da consentire le connessioni dalla rete VPC che richiede la connessione.

  • Configurazione del produttore:

    • Autorizzazioni IAM del produttore. L'amministratore del servizio producer che crea o aggiorna la mappa delle connessioni di servizio deve disporre delle autorizzazioni IAM per la classe di servizio associata. Questo controllo contribuisce a evitare false rappresentazioni di una classe di servizio pubblico.

Se ogni condizione viene soddisfatta, l'account Network Connectivity Service crea gli endpoint richiesti nelle reti autorizzate. L'account di servizio Network Connectivity è un service agent.

Nuovi tentativi automatici per gli errori degli endpoint

L'automazione della connettività dei servizi gestisce completamente la creazione e l'eliminazione degli endpoint Private Service Connect.

Se l'automazione della connettività del servizio non riesce a creare o eliminare un endpoint autorizzato, ad esempio a causa di limitazioni di quota o perché la subnet della policy di connessione al servizio non ha più indirizzi IP, una procedura automatica riprova periodicamente l'operazione finché il problema di blocco non viene risolto. Tuttavia, se la creazione o l'eliminazione dell'endpoint non riesce a causa di controlli di autorizzazione, l'operazione non viene ritentata.

Puoi visualizzare gli errori che bloccano la creazione dell'endpoint descrivendo la policy di connessione al servizio e controllando il campo pscConnections. Per informazioni sulla risoluzione dei problemi relativi alla creazione o all'eliminazione di endpoint, vedi Risoluzione dei problemi.

VPC condiviso

L'automazione della connettività dei servizi può essere utilizzata per creare automaticamente endpoint Private Service Connect nelle reti VPC condiviso. Poiché l'endpoint è configurato con un indirizzo IP della rete VPC condiviso, è accessibile dal progetto host e da tutti i progetti di servizio collegati.

Per creare la configurazione mostrata nel seguente diagramma, vengono completate le seguenti attività:

  1. L'amministratore di rete crea una policy di connessione al servizio per la rete vpc1 nel progetto host project1 e consente la connettività alle istanze di servizio che utilizzano la classe di servizio google-cloud-sql. Gli indirizzi IP dell'endpoint vengono allocati dalla subnet endpoint-subnet.

  2. L'amministratore dell'istanza di servizio esegue il deployment di due istanze di servizio gestito:db-test nel progetto service-project-test e db-prod nel progetto service-project-prod. L'amministratore configura l'istanza di servizio per consentire all'automazione della connettività dei servizi di eseguire il deployment degli endpoint nella rete vpc1 in project1 che si connettono alle istanze di servizio.

  3. Poiché tutti i controlli di autorizzazione vengono superati, l'automazione della connettività del servizio crea due endpoint connessi a endpoint-subnet, uno per ogni istanza di servizio. Tutte le VM connesse alla subnet vm-subnet possono accedere agli endpoint perché sono connesse alla stessa rete VPC condiviso degli endpoint.

Puoi utilizzare un criterio di connessione del servizio in una rete VPC condiviso per creare la connettività alle istanze di servizio di cui è stato eseguito il deployment nei progetti di servizio (fai clic per ingrandire).

Servizi Google con ambito istanza di servizio personalizzato

Per impostazione predefinita, l'automazione della connettività di servizio richiede che l'istanza di servizio e gli endpoint che si connettono all'istanza di servizio si trovino nello stesso progetto (o, nel caso del VPC condiviso, in progetti connessi). Per i servizi Google supportati, le istanze di servizio e gli endpoint di connessione possono trovarsi in progetti o organizzazioni diversi.

Per creare la configurazione mostrata nel seguente diagramma, vengono completate le seguenti attività:

  1. Gli amministratori di rete per vpc-1, vpc-2 e vpc-3 creano policy di connessione di servizio nelle rispettive reti VPC. Consentono la connettività alle istanze di servizio che utilizzano la classe di servizio google-cloud-sql e vengono implementate nel progetto project-1 nell'organizzazione org-1.

  2. L'amministratore dell'istanza di servizio esegue il deployment di un'istanza di servizio gestita db-1 in project-1 utilizzando l'API o la UI amministrativa del servizio. L'amministratore configura l'istanza di servizio per consentire all'automazione della connettività di servizio di eseguire il deployment degli endpoint in vpc-1 e vpc-2 che si connettono a db-1.

  3. Per vpc-1 e vpc-2, tutti i controlli di autorizzazione vengono superati e l'automazione della connettività del servizio crea un endpoint in ogni rete. Le VM in queste reti possono inviare traffico all'istanza del servizio tramite gli endpoint.

    Tuttavia, non viene creato un endpoint in vpc-3 perché la rete non è configurata per la connettività automatica nella configurazione dell'istanza di servizio db-1.

    Se vpc-3 deve accedere all'istanza del servizio db-1, l'amministratore di rete può contattare l'amministratore del database e chiedergli di aggiungere vpc-3 alla configurazione di connettività per db-1.

Puoi automatizzare la connettività ai servizi Google supportati da diversi progetti, cartelle o organizzazioni (fai clic per ingrandire).

Servizi supportati

I seguenti servizi Google supportano l'automazione della connettività dei servizi.

Servizio Google Accesso fornito
AlloyDB per PostgreSQL Consente di automatizzare la creazione di connessioni alle istanze AlloyDB per PostgreSQL.
Cloud SQL Consente di automatizzare la creazione di connessioni alle istanze Cloud SQL.
Memorystore for Redis Cluster Consente di automatizzare la creazione di connessioni alle istanze Memorystore for Redis Cluster.
Memorystore for Valkey Consente di automatizzare la creazione di connessioni alle istanze Memorystore for Valkey.
Vertex AI Vector Search Consente di automatizzare la creazione di connessioni agli endpoint Vector Search.

Per determinare se un servizio gestito di terze parti supporta le policy di connessione al servizio, contatta il fornitore del servizio. Se un servizio supporta i criteri di connessione del servizio, il service provider può fornirti la classe di servizio associata.

Le risorse di automazione lato produttore sono disponibili in anteprima limitata. Se vuoi automatizzare la connettività dei consumatori per il tuo servizio gestito, contatta il tuo Google Cloud rappresentante di vendita.