À propos de l'automatisation de la connectivité des services
L'automatisation de la connectivité des services permet aux clients de services d'automatiser le déploiement de la connectivité aux services gérés.
Imaginons un administrateur de base de données qui déploie une instance de base de données et souhaite autoriser les clients de services à y accéder via un point de terminaison Private Service Connect. L'administrateur de base de données ne dispose peut-être pas des identifiants IAM (Identity and Access Management) ou des compétences nécessaires pour déployer les ressources réseau.
Si un service géré est compatible avec l'automatisation de la connectivité des services, la configuration de l'instance de service et la configuration réseau peuvent être déléguées aux administrateurs appropriés:
Les administrateurs des instances de service peuvent contrôler les réseaux autorisés à accéder à leurs services.
Les administrateurs réseau peuvent contrôler les services auxquels ils souhaitent autoriser les connexions.
Lorsque ces configurations correspondent, l'automatisation de la connectivité des services crée un point de terminaison dans les réseaux appropriés, ce qui permet de connecter l'instance de service gérée.
Présentation de l'automatisation de la connectivité des services
La section suivante décrit une configuration de base dans un seul réseau VPC qui utilise l'automatisation de la connectivité des services. Pour en savoir plus sur les autres configurations, consultez les pages VPC partagé et Services Google avec portée d'instance de service personnalisée.
Le déploiement d'une instance d'un service géré compatible avec l'automatisation de la connectivité de service implique les étapes suivantes:
Un administrateur réseau crée une règle de connexion de service pour son réseau VPC.
La règle de connexion au service fait référence à une classe de service, c'est-à-dire une ressource unique qui identifie un service producteur spécifique. Une seule règle de connexion de service a pour champ d'application une seule classe de service et un seul réseau VPC client, déléguant ainsi la possibilité de configurer la connectivité dans ce champ d'application.
Un administrateur d'instance de service déploie une instance de service géré à l'aide de l'API ou de l'UI d'administration du service. La configuration de l'instance de service spécifie les réseaux pouvant accéder au service via l'automatisation de la connectivité des services.
L'automatisation de la connectivité des services crée un point de terminaison dans le réseau VPC du client. Ce point de terminaison peut être utilisé pour envoyer des requêtes à l'instance de service.
Configuration du producteur
Les sections suivantes décrivent les ressources utilisées par les producteurs de services pour configurer l'automatisation de la connectivité des services.
Classes de service
Une classe de service est une représentation unique d'un type de service géré. Chaque producteur possède sa propre classe de service. Les clients font référence à la classe de service dans leurs règles de connexion au service, ce qui permet d'autoriser le déploiement et de déléguer la connectivité au producteur.
Les règles de connexion au service ne peuvent être créées que pour les services disposant d'une classe de service.
Les classes de service sont disponibles pour les services publiés de Google. Les classes de service sont également disponibles en version Preview limitée pour les services tiers et les services gérés internes auto-hébergés. Pour en savoir plus, consultez la section Services compatibles.
Cartes de connexion au service
Un mappage de connexions au service est une ressource gérée par le producteur qui stocke des informations permettant d'autoriser et d'établir des connexions Private Service Connect entre les réseaux VPC consommateurs et les instances de service gérées par le producteur. Ce mappage définit les relations autorisées entre les instances de service de producteur (représentées par des rattachements de service) et les projets de client et les réseaux VPC autorisés à se connecter aux instances de service.
Modèle d'autorisation
Les règles de connexion de service permettent aux clients de déléguer le déploiement de la connectivité aux services gérés. Le producteur de services ne dispose pas des autorisations IAM ni d'un accès direct au projet du client. À la place, le producteur configure un mappage de connexions au service dans son propre projet.
Lorsque le mappage de connexion de service est créé ou mis à jour, généralement en réponse à une requête d'un administrateur de service client à l'API ou à l'interface utilisateur d'administration du service géré, l'automatisation de la connectivité du service effectue une série de vérifications d'autorisation. Si toutes les vérifications sont réussies, les points de terminaison Private Service Connect sont créés comme indiqué dans la requête.
Configuration réseau (règle de connexion de service):
- Autorisation réseau Le réseau VPC client doit disposer d'une règle de connexion de service valide qui autorise le réseau VPC, la région et la classe de service spécifiés dans la requête. Cette vérification permet de s'assurer qu'un administrateur réseau client disposant d'autorisations IAM sur le réseau VPC délègue explicitement la possibilité de créer des points de terminaison Private Service Connect pour le type de service spécifié.
- Champ d'application de l'instance de service Si l'instance de service géré est un service Google et que la règle de connexion de service spécifie un champ d'application d'instance de service personnalisé (
custom-resource-hierarchy-levels
), l'automatisation de la connectivité du service vérifie la liste des nœuds Resource Manager fournis (--allowed-google-producers-resource-hierarchy-level
). Le projet que l'administrateur de l'instance de service a spécifié dans l'UI ou l'API du service géré pour déployer et gérer l'instance de service doit se trouver dans le champ d'application autorisé défini par cette liste. La portée peut être un mélange d'organisations, de dossiers et de projets. - Validation du projet de point de terminaison Le projet dans lequel la règle de connexion est créée doit être associé au réseau VPC dans lequel le point de terminaison doit être créé. Le projet doit contenir le réseau VPC ou être un projet de service associé au réseau VPC partagé.
Configuration de l'instance de service:
Autorisation IAM de l'administrateur de service L'administrateur du service consommateur doit disposer des autorisations IAM nécessaires pour créer ou mettre à jour l'instance de service du producteur. Ces autorisations varient en fonction du service déployé.
Autorisation de l'administrateur de l'instance de service Dans l'API d'administration du service, l'administrateur de l'instance de service qui l'a créée doit avoir configuré l'instance pour autoriser les connexions du réseau VPC qui demande la connexion.
Configuration du producteur :
- Autorisations IAM du producteur L'administrateur du service producteur qui crée ou met à jour le mappage de connexion de service doit disposer d'autorisations IAM sur la classe de service associée. Cette vérification permet d'éviter les représentations fausses d'une classe de service publique.
Si chaque condition est remplie, le compte de service de connectivité réseau crée les points de terminaison demandés dans les réseaux autorisés. Le compte de service de connectivité réseau est un agent de service.
VPC partagé
L'automatisation de la connectivité des services peut être utilisée pour créer automatiquement des points de terminaison Private Service Connect dans des réseaux VPC partagés. Étant donné que le point de terminaison est configuré avec une adresse IP du réseau VPC partagé, il est accessible depuis le projet hôte et tous les projets de service associés.
Pour créer la configuration illustrée dans le schéma suivant, les tâches suivantes sont effectuées:
L'administrateur réseau crée une règle de connexion de service pour le réseau
vpc1
dans le projet hôteproject1
et autorise la connectivité aux instances de service qui utilisent la classe de servicegoogle-cloud-sql
. Les adresses IP des points de terminaison sont attribuées à partir du sous-réseauendpoint-subnet
.L'administrateur de l'instance de service déploie deux instances de service gérées :
db-test
dans le projetservice-project-test
etdb-prod
dans le projetservice-project-prod
. L'administrateur configure l'instance de service pour permettre à l'automatisation de la connectivité des services de déployer des points de terminaison dans le réseauvpc1
dansproject1
qui se connectent aux instances de service.Étant donné que toutes les vérifications d'autorisation réussissent, l'automatisation de la connectivité des services crée deux points de terminaison connectés à
endpoint-subnet
, un pour chaque instance de service. Toutes les VM connectées au sous-réseauvm-subnet
peuvent accéder aux points de terminaison, car elles sont connectées au même réseau VPC partagé que les points de terminaison.
Services Google avec champ d'application de l'instance de service personnalisé
Par défaut, l'automatisation de la connectivité des services exige que l'instance de service et les points de terminaison qui s'y connectent doivent se trouver dans le même projet (ou dans des projets connectés dans le cas d'un VPC partagé). Pour les services Google compatibles, les instances de service et les points de terminaison de connexion peuvent se trouver dans différents projets ou organisations.
Pour créer la configuration illustrée dans le schéma suivant, les tâches suivantes sont effectuées:
Les administrateurs réseau de
vpc-1
,vpc-2
etvpc-3
créent des règles de connexion de service dans leurs réseaux VPC respectifs. Ils permettent la connectivité aux instances de service qui utilisent la classe de servicegoogle-cloud-sql
et sont déployées dans le projetproject-1
de l'organisationorg-1
.L'administrateur de l'instance de service déploie une instance de service géré
db-1
dansproject-1
à l'aide de l'API ou de l'UI d'administration du service. L'administrateur configure l'instance de service pour permettre à l'automatisation de la connectivité des services de déployer des points de terminaison dansvpc-1
etvpc-2
qui se connectent àdb-1
.Pour
vpc-1
etvpc-2
, toutes les vérifications d'autorisation réussissent, et l'automatisation de la connectivité des services crée un point de terminaison dans chaque réseau. Les VM de ces réseaux peuvent envoyer du trafic à l'instance de service via les points de terminaison.Toutefois, un point de terminaison n'est pas créé dans
vpc-3
, car ce réseau n'est pas configuré pour la connectivité automatique dans la configuration de l'instance de servicedb-1
.Si
vpc-3
doit accéder à l'instance de servicedb-1
, l'administrateur réseau peut contacter l'administrateur de base de données et lui demander d'ajoutervpc-3
à la configuration de connectivité pourdb-1
.
Services compatibles
Les services Google suivants sont compatibles avec l'automatisation de la connectivité des services.
Pour savoir si un service géré tiers est compatible avec les règles de connexion au service, contactez le fournisseur de services. Si un service est compatible avec les règles de connexion au service, le fournisseur de services peut vous fournir la classe de service associée.
Les ressources d'automatisation côté producteur sont disponibles en preview limité. Si vous souhaitez automatiser la connectivité client pour votre propre service géré, contactez votre conseiller commercial Google Cloud.