Sobre a automação de conectividade do serviço

A automação de conectividade do serviço permite que os consumidores de serviço automatizem a implantação de conectividade aos serviços gerenciados.

Considere um administrador de banco de dados que implanta uma instância de banco de dados e quer permitir que os consumidores de serviços acessem esse banco de dados por um endpoint do Private Service Connect. O administrador do banco de dados pode não ter as credenciais ou a experiência necessária do Identity and Access Management (IAM) para implantar recursos de rede.

Se um serviço gerenciado for compatível com a automação de conectividade do serviço, a configuração da instância do serviço e da rede poderá ser delegada aos administradores adequados:

  • Os administradores de instâncias de serviço podem controlar quais redes podem acessar os serviços.

  • Os administradores de rede podem controlar quais serviços podem receber conexões.

Quando essas configurações correspondem, a automação de conectividade do serviço cria um endpoint nas redes adequadas, fornecendo conectividade à instância de serviço gerenciada.

Visão geral da automação de conectividade do serviço

A seção a seguir descreve uma configuração básica em uma única rede VPC que usa a automação da conectividade do serviço. Para mais informações sobre outras configurações, consulte VPC compartilhada e Serviços do Google com escopo de instância de serviço personalizado.

A implantação de uma instância de um serviço gerenciado que ofereça suporte à automação da conectividade de serviço envolve as seguintes etapas:

  1. Um administrador de rede cria uma política de conexão de serviço para a rede VPC.

    A política de conexão de serviço faz referência a uma classe de serviço, um recurso globalmente exclusivo que identifica um serviço de produtor específico. Uma única política de conexão de serviço tem escopo para uma única classe de serviço e uma única rede VPC do consumidor, decidindo a capacidade de configurar a conectividade dentro desse escopo.

  2. Um administrador de instância de serviço implanta uma instância de serviço gerenciado usando a API ou a interface administrativa do serviço. A configuração da instância de serviço especifica quais redes podem acessar o serviço pela automação da conectividade de serviço.

  3. A automação de conectividade do serviço cria um endpoint na rede VPC do consumidor. Esse endpoint pode ser usado para enviar solicitações à instância do serviço.

A automação da conectividade de serviços permite que os consumidores de serviços automatizem a implantação de conectividade a serviços gerenciados (clique para ampliar).

Configuração do produtor

As seções a seguir descrevem os recursos usados pelos produtores para configurar a automação da conectividade do serviço.

Classes de serviço

Uma classe de serviço é uma representação globalmente exclusiva de um tipo de serviço gerenciado. Cada produtor detém a própria classe de serviço. Os consumidores fazem referência à classe de serviço nas políticas de conexão de serviço, o que autoriza a implantação e delega a conectividade ao produtor.

As políticas de conexão de serviço só podem ser criadas para serviços que têm uma classe de serviço.

As classes de serviço estão disponíveis para serviços publicados do Google. As classes de serviço também estão disponíveis em uma prévia limitada para serviços de terceiros e serviços gerenciados internos auto-hospedados. Para mais informações, consulte Serviços compatíveis.

Mapas de conexões de serviço

Um mapa de conexões de serviço é um recurso gerenciado pelo produtor que armazena detalhes para autorizar e estabelecer conexões do Private Service Connect entre redes VPC do consumidor e instâncias de serviço gerenciadas pelo produtor. Esse mapa define as relações permitidas entre instâncias de serviço de produtores (representadas por anexos de serviço) e os projetos de consumidores e as redes VPC que estão autorizadas a se conectar às instâncias de serviço.

Modelo de autorização

As políticas de conexão de serviço permitem que os consumidores deleguem a implantação da conectividade aos serviços gerenciados. O produtor de serviços não tem acesso direto nem privilégios do IAM com relação ao projeto do consumidor. Em vez disso, o produtor configura um mapa de conexão de serviço no próprio projeto.

Quando o mapa de conexão de serviço é criado ou atualizado, geralmente em resposta a uma solicitação de um administrador de serviço do consumidor para a API administrativa ou a interface do serviço gerenciado, a automação de conectividade do serviço executa uma série de verificações de autorização. Se todas as verificações forem bem-sucedidas, os endpoints do Private Service Connect serão criados conforme especificado na solicitação.

  • Configuração de rede (política de conexão de serviço):

    • Autorização de rede. A rede VPC do consumidor precisa ter uma política de conexão de serviço válida que autorize a rede VPC, a região e a classe de serviço especificadas pela solicitação. Essa verificação ajuda a garantir que um administrador de rede de consumidor com permissões do IAM na rede VPC delegue explicitamente a capacidade de criar endpoints do Private Service Connect para o tipo de serviço especificado.
    • Escopo da instância de serviço. Se a instância de serviço gerenciado for um serviço do Google e a política de conexão de serviço especificar um escopo de instância de serviço personalizado (custom-resource-hierarchy-levels), a automação de conectividade do serviço vai verificar a lista de nós do Resource Manager que são fornecidos (--allowed-google-producers-resource-hierarchy-level). O projeto que o administrador da instância de serviço especificou na interface ou API do serviço gerenciado para implantar e gerenciar a instância de serviço precisa estar dentro do escopo permitido definido por essa lista. O escopo pode ser uma combinação de organizações, pastas e projetos.
    • Validação do projeto do endpoint. O projeto em que a política de conexão é criada precisa estar associado à rede VPC em que o endpoint será criado. O projeto precisa conter a rede VPC ou ser um projeto de serviço anexado à rede VPC compartilhada.
  • Configuração da instância do serviço:

    • Autorização de IAM do administrador do serviço. O administrador do serviço de consumidor precisa ter as permissões do IAM necessárias para criar ou atualizar a instância do serviço de produtor. Essas permissões variam de acordo com o serviço que está sendo implantado.

    • Autorização de administrador da instância do serviço. Na API administrativa do serviço, o administrador da instância de serviço que a criou precisa ter configurado a instância para permitir conexões da rede VPC que solicita a conexão.

  • Configuração do produtor:

    • Permissões do IAM para produtores. O administrador do serviço de produtor que cria ou atualiza o mapa de conexão de serviço precisa ter permissões do IAM na classe de serviço associada. Essa verificação ajuda a evitar representações falsas de uma classe de serviço público.

Se cada condição for atendida, a conta de serviço de conectividade de rede criará os endpoints solicitados nas redes autorizadas. A conta de serviço de conectividade de rede é um agente de serviço.

VPC compartilhada

A automação de conectividade do serviço pode ser usada para criar automaticamente endpoints do Private Service Connect em redes VPC compartilhadas. Como o endpoint está configurado com um endereço IP da rede VPC compartilhada, ele pode ser acessado pelo projeto host e todos os projetos de serviço anexados.

Para criar a configuração mostrada no diagrama a seguir, as seguintes tarefas são concluídas:

  1. O administrador de rede cria uma política de conexão de serviço para a rede vpc1 no projeto host project1 e permite a conectividade a instâncias de serviço que usam a classe de serviço google-cloud-sql. Os endereços IP do endpoint são alocados da sub-rede endpoint-subnet.

  2. O administrador da instância de serviço implanta duas instâncias de serviço gerenciadas: db-test no projeto service-project-test e db-prod no projeto service-project-prod. O administrador configura a instância do serviço para permitir que a automação da conectividade do serviço implante endpoints na rede vpc1 em project1 que se conectam às instâncias do serviço.

  3. Como todas as verificações de autorização são aprovadas, a automação de conectividade do serviço cria dois endpoints conectados a endpoint-subnet, um para cada instância de serviço. Todas as VMs que estão conectadas à sub-rede vm-subnet podem acessar os endpoints porque estão conectadas à mesma rede VPC compartilhada que os endpoints.

É possível usar uma política de conexão de serviço em uma rede VPC compartilhada para criar conectividade a instâncias de serviço implantadas em projetos de serviço (clique para ampliar).

Serviços do Google com escopo de instância de serviço personalizado

Por padrão, a automação de conectividade de serviço exige que a instância de serviço e os endpoints que se conectam a ela estejam no mesmo projeto (ou, no caso da VPC compartilhada, em projetos conectados). Para serviços do Google com suporte, as instâncias de serviço e os endpoints de conexão podem estar em projetos ou organizações diferentes.

Para criar a configuração mostrada no diagrama a seguir, as seguintes tarefas são concluídas:

  1. Os administradores de rede de vpc-1, vpc-2 e vpc-3 criam políticas de conexão de serviço nas respectivas redes VPC. Eles permitem a conectividade a instâncias de serviço que usam a classe de serviço google-cloud-sql e são implantadas no projeto project-1 na organização org-1.

  2. O administrador da instância de serviço implanta uma instância de serviço gerenciada db-1 em project-1 usando a API ou a interface administrativa do serviço. O administrador configura a instância de serviço para permitir que a automação de conectividade do serviço implante endpoints em vpc-1 e vpc-2 que se conectam a db-1.

  3. Para vpc-1 e vpc-2, todas as verificações de autorização são aprovadas e a automação de conectividade de serviço cria um endpoint em cada rede. As VMs nessas redes podem enviar tráfego para a instância de serviço pelos endpoints.

    No entanto, um endpoint não é criado em vpc-3 porque essa rede não está configurada para conectividade automática na configuração da instância de serviço db-1.

    Se o vpc-3 precisar acessar a instância do serviço db-1, o administrador da rede poderá entrar em contato com o administrador do banco de dados e pedir para que ele adicione vpc-3 à configuração de conectividade do db-1.

É possível automatizar a conectividade com os serviços do Google com suporte em diferentes projetos, pastas ou organizações (clique para ampliar).

Serviços compatíveis

Os seguintes serviços do Google são compatíveis com a automação de conectividade do serviço.

Serviço do Google Acesso fornecido
Cloud SQL Permite automatizar a criação de conexões com instâncias do Cloud SQL.
Cluster do Memorystore para Redis Permite automatizar a criação de conexões com instâncias do Memorystore para Redis Cluster.
Memorystore para Valkey Permite automatizar a criação de conexões com instâncias do Memorystore para Valkey.
Vector Search da Vertex AI Permite automatizar a criação de conexões com endpoints de pesquisa de vetor.

Para saber se um serviço gerenciado de terceiros é compatível com as políticas de conexão, entre em contato com o provedor. Se um serviço for compatível com políticas de conexão de serviço, o provedor de serviços poderá fornecer a classe de serviço associada.

Os recursos de automação do produtor estão disponíveis na visualização limitada. Se você quiser automatizar a conectividade do consumidor para seu próprio serviço gerenciado, entre em contato com seu Google Cloud representante de vendas.