Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Informazioni sui servizi pubblicati

Questo documento offre una panoramica sull'utilizzo di Private Service Connect per rendere disponibile un servizio ai consumer di servizi.

Come producer di servizi, puoi utilizzare Private Service Connect per pubblicare servizi utilizzando indirizzi IP interni nella tua rete VPC. I servizi pubblicati sono accessibili ai consumer di servizi che utilizzano indirizzi IP interni nelle loro reti VPC.

Per rendere disponibile un servizio ai consumatori, devi creare una o più subnet dedicate. Quindi crei un allegato di servizio che fa riferimento a quelle subnet. L'allegato del servizio può avere preferenze di connessione diverse.

Tipi di consumer di servizi

Esistono due tipi di consumer che possono connettersi a un servizio Private Service Connect:

Gli endpoint si basano su una regola di forwarding:

Figura 1. Un endpoint Private Service Connect basato su una regola di forwarding consente ai consumer di servizi di inviare traffico dalla rete VPC del consumer ai servizi nella rete VPC del producer di servizi (fai clic per ingrandire).

Gli endpoint con controlli HTTP(S) consumer si basano su un bilanciatore del carico:

Figura 2. L'utilizzo di un bilanciatore del carico HTTP(S) esterno globale consente ai consumer di servizi con accesso a Internet di inviare il traffico ai servizi nella rete VPC del producer di servizi (fai clic per ingrandire).

Configurazione del servizio Private Service Connect

Quando crei un servizio Private Service Connect, configuri una subnet, un collegamento ai servizi e una preferenza di connessione. Facoltativamente, puoi configurare un dominio DNS per il servizio. Queste configurazioni sono descritte nelle sezioni seguenti.

Subnet NAT

I collegamenti di servizio di Private Service Connect sono configurati con una o più subnet NAT (note anche come subnet di Private Service Connect). I pacchetti dalla rete VPC di consumo vengono tradotti utilizzando la rete NAT di origine (SNAT) in modo che i relativi indirizzi IP di origine vengano convertiti in indirizzi IP di origine dalla subnet NAT della rete VPC del produttore.

I collegamenti di servizio possono avere più subnet NAT. Puoi aggiungere ulteriori subnet NAT al collegamento di servizio in qualsiasi momento senza interrompere il traffico.

Anche se a un collegamento di servizio possono essere configurate più subnet NAT, non è possibile utilizzare una subnet NAT in più di un collegamento di servizio.

Le subnet NAT di Private Service Connect non possono essere utilizzate per risorse come istanze VM o regole di forwarding. Le subnet vengono utilizzate solo per fornire gli indirizzi IP per lo SNAT delle connessioni consumer in entrata.

Ridimensionamento della subnet NAT

Quando pubblichi un servizio, crei una subnet NAT e scegli un intervallo di indirizzi IP. Le dimensioni della subnet determinano il numero di connessioni TCP e UDP consumer simultanee che possono utilizzare la connessione Private Service Connect. Gli indirizzi IP vengono utilizzati dalla subnet NAT in base all'utilizzo e al deployment della connessione Private Service Connect. Se tutti gli indirizzi IP nella subnet NAT vengono utilizzati, le eventuali connessioni TCP o UDP aggiuntive effettuate all'endpoint o al backend Private Service Connect del consumer non vanno a buon fine. Ecco perché è importante dimensionare correttamente la subnet NAT.

Quando scegli una dimensione di subnet, tieni presente quanto segue:

  • Esistono quattro indirizzi IP riservati in una subnet NAT, quindi il numero di indirizzi IP disponibili è 2(32 PREFIX_LENGTH - 4): 4. Ad esempio, se crei una subnet NAT con prefisso /24, Private Service Connect può utilizzare 252 degli indirizzi IP per SNAT. Una subnet /29 con 4 indirizzi IP disponibili è la dimensione minima della subnet supportata nelle reti VPC.

  • Se il collegamento al servizio è stato creato il giorno 1 marzo 2023 o in data successiva, si applica quanto segue:

    • Viene utilizzato un indirizzo IP dalla subnet NAT per ogni endpoint Private Service Connect (in base a una regola di forwarding o a un bilanciatore del carico) connesso al collegamento del servizio.

    • Il numero di connessioni TCP o UDP, client o reti VPC consumer non influisce sul consumo degli indirizzi IP dalla subnet NAT

    • Ad esempio, se ci sono due endpoint collegati a un singolo collegamento di servizio, vengono utilizzati due indirizzi IP dalla subnet NAT. Se il numero di endpoint non cambia, puoi utilizzare una subnet /29 con 4 indirizzi IP utilizzabili per questo collegamento al servizio.

  • Se il collegamento del servizio è stato creato prima del 1° marzo 2023, si applica quanto segue:

    • Il numero di indirizzi IP consumati dalla subnet NAT dipende dal numero di VM e tunnel Cloud VPN nella rete VPC consumer. Ogni indirizzo IP NAT supporta 64.512 porte di origine TCP e 64.512 porte di origine UDP. TCP e UDP supportano ciascuna 65.536 porte per indirizzo IP, ma le prime 1024 porte note (con privilegi) sono escluse. Gli indirizzi IP NAT sono suddivisi in intervalli di porte di origine allocate su tutti i client nella rete VPC consumer.

    • A ogni VM nella rete VPC consumer viene allocato almeno 256 porte di origine NAT. È possibile allocare più porte di origine alla VM consumer se tale VM ha aperto più di 256 connessioni TCP o UDP a un determinato endpoint o backend Private Service Connect. A una VM viene allocato un massimo di 8192 porte di origine da un indirizzo IP NAT se la VM apre molte connessioni.

    • A ogni tunnel Cloud VPN nella rete VPC consumer vengono assegnate 65.536 porte di origine. Il numero di porte di origine allocate non cambia con l'utilizzo.

    • Ad esempio, una subnet NAT di /24 con 252 indirizzi IP utilizzabili ha una capacità di 252 * 64.512 = 16.257.024 porte NAT di origine utilizzabili. Questa dimensione della subnet supporta una rete VPC consumer con quattro tunnel Cloud VPN (262.144 porte NAT di origine) e fino a 62.480 VM (15.994.880 porte NAT di origine), se ogni VM apre meno di 256 connessioni TCP o UDP all'endpoint Private Service Connect (in base a una regola di forwarding o a un bilanciatore del carico).

Se necessario, puoi aggiungere subnet NAT al collegamento del servizio in qualsiasi momento, senza interrompere il traffico.

Altre considerazioni relative alle subnet NAT includono quanto segue:

  • Il timeout per inattività della mappatura UDP è di 30 secondi e non può essere configurato.

  • Il timeout per inattività del collegamento stabilito TCP è di 20 minuti e non può essere configurato.

  • Il timeout per inattività del collegamento transitorio TCP è di 30 secondi e non può essere configurato.

  • Esiste un ritardo di due minuti prima che ogni 5 tuple (indirizzo IP di origine della subnet NAT e porta di origine più protocollo di destinazione, indirizzo IP e porta di destinazione) possa essere riutilizzato.

  • SNAT per Private Service Connect non supporta i frammenti IP.

Allegati di servizio

I producer di servizi espongono il proprio servizio tramite un collegamento al servizio.

  • Per esporre un servizio, un producer di servizi crea un collegamento a un servizio che fa riferimento alla regola di forwarding del bilanciatore del carico.

  • Per accedere a un servizio, un consumer di servizi crea un endpoint che fa riferimento al collegamento del servizio.

L'URI dell'allegato del servizio ha questo formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Ogni bilanciatore del carico può fare riferimento a un solo collegamento di servizio. Non puoi configurare più collegamenti di servizio che utilizzano lo stesso bilanciatore del carico.

Preferenze di connessione

Quando crei un servizio, puoi scegliere come renderlo disponibile. Le opzioni disponibili sono due:

  • Accetta automaticamente le connessioni per tutti i progetti: ogni consumer di servizi può configurare un endpoint e connettersi automaticamente al servizio.

  • Accetta le connessioni per i progetti selezionati: i consumer di servizi configurano un endpoint per la connessione al servizio e il producer di servizi accetta o rifiuta le richieste di connessione.

Configurazione DNS

Per informazioni sulla configurazione DNS per i servizi pubblicati e sugli endpoint che si connettono ai servizi pubblicati, consulta la pagina relativa alla configurazione DNS per i servizi.

Logging

Puoi abilitare i log di flusso VPC sulle subnet che contengono le VM di backend. I log mostrano i flussi tra le VM di backend e gli indirizzi IP nella subnet di Private Service Connect.

Controlli di servizio VPC

Controlli di servizio VPC e Private Service Connect sono compatibili tra loro. Se la rete VPC in cui viene eseguito il deployment dell'endpoint Private Service Connect si trova in un perimetro Controlli di servizio VPC, l'endpoint Private Service Connect fa parte dello stesso perimetro. Tutti i servizi VPC di Controlli di servizio a cui si accede tramite l'endpoint Private Service Connect sono soggetti ai criteri del perimetro di Controlli di servizio VPC.

Quando crei un endpoint Private Service Connect, vengono effettuate chiamate API del piano di controllo tra i progetti consumer e produttore per stabilire una connessione Private Service Connect. Stabilendo una connessione Private Service Connect tra progetti consumer e producer che non si trovano nello stesso perimetro dei Controlli di servizio VPC non è necessaria un'autorizzazione esplicita con i criteri in uscita. La comunicazione con i servizi di Controlli di servizio VPC tramite l'endpoint Private Service Connect è protetta dal perimetro dei Controlli di servizio VPC.

Prezzi

I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.

Quote

Il numero di endpoint di Private Service Connect che puoi creare per accedere ai servizi pubblicati è controllato dalla quota PSC Internal LB Forwarding Rules. Per maggiori informazioni, consulta le quote.

Accesso on-premise

I servizi Private Service Connect vengono resi disponibili utilizzando gli endpoint Private Service Connect. È possibile accedere a questi endpoint dagli host on-premise connessi supportati. Per saperne di più, consulta Accedere all'endpoint dagli host on-premise.

Limitazioni

  • Mirroring pacchetto non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.

  • Gli endpoint Private Service Connect con controlli di servizio HTTP(S) consumer non vengono visualizzati nell'elenco di client connessi.

  • Se crei la subnet di Private Service Connect in un progetto host del VPC condiviso e vuoi creare il collegamento di servizio in un progetto di servizio, devi utilizzare l'interfaccia a Google Cloud CLI o l'API per creare il collegamento di servizio.

  • Per creare un collegamento di servizio che punta a una regola di forwarding utilizzata per l'inoltro del protocollo interno, devi utilizzare l'interfaccia a Google Cloud CLI o l'API.

  • Consulta i problemi noti per problemi e soluzioni.