Créer un backend Private Service Connect

Vous pouvez vous connecter aux services compatibles à l'aide de backends Private Service Connect, en utilisant l'équilibreur de charge pour l'application des règles. Vous vous connectez au service via une règle de transfert qui est mappée à un backend contenant un groupe de points de terminaison du réseau (NEG, network endpoint group) Private Service Connect.

Pour en savoir plus sur les services et les configurations compatibles, consultez la page À propos des backends Private Service Connect.

Ce guide explique comment ajouter un NEG Private Service Connect à un équilibreur de charge pour accéder aux API Google ou à un service publié. Ce guide n'inclut pas la configuration complète de l'équilibreur de charge.

Pour obtenir des instructions sur la création d'un équilibreur de charge avec un backend Private Service Connect, consultez les pages suivantes :

Rôles

Le rôle d'administrateur de l'équilibreur de charge Compute (roles/compute.loadBalancerAdmin) contient l'autorisation requise pour effectuer les tâches décrites dans ce guide.

Avant de commencer

  1. Déterminez l'API ou le service auquel vous souhaitez vous connecter :

    • Pour les API Google :

    • Pour les services publiés :

      • Si vous souhaitez publier votre propre service, consultez la page Publier des services gérés.

      • Si vous vous connectez à un service publié Google Cloud ou tiers, demandez au producteur les informations suivantes :

        • L'URI du rattachement de service auquel vous souhaitez vous connecter.

        • Les conditions requises pour les noms DNS auxquels vous envoyez des requêtes. Vous devrez peut-être utiliser des noms DNS spécifiques dans votre configuration de mappage d'URL.

  2. Déterminez le type d'équilibreur de charge compatible avec le service auquel vous souhaitez vous connecter, et assurez-vous de bien connaître l'équilibreur de charge que vous mettez à jour. Ce guide explique comment ajouter un NEG Private Service Connect à un équilibreur de charge, mais vous pouvez effectuer des étapes de configuration supplémentaires.

    Pour en savoir plus, consultez la section Équilibreurs de charge et cibles compatibles.

Créer un NEG Private Service Connect

Lorsque vous créez un NEG, vous choisissez le type de cible auquel il se connecte :

  • Un service publié
  • Une API Google utilisant la localisation
  • Une API Google globale

Créer un NEG pour se connecter à un service publié

Lorsque vous créez un NEG Private Service Connect qui pointe vers un service publié, vous avez besoin de l'URI du rattachement de service pour le service. Le rattachement de service a le format suivant : projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME.

Pour en savoir plus sur les équilibreurs de charge compatibles avec cette configuration, consultez la section Cibles de services publiés.

Console

  1. Dans la console Google Cloud, accédez à la page Groupes de points de terminaison du réseau.

    Accéder à la page Groupes de points de terminaison du réseau

  2. Cliquez sur Créer un groupe de points de terminaison du réseau.

  3. Saisissez le nom du groupe de points de terminaison du réseau.

  4. Pour le type de groupe de points de terminaison du réseau, sélectionnez NEG Private Service Connect (régional).

  5. Configurez la cible comme suit :

    1. Pour Cible, sélectionnez Service publié
    2. Dans le champ Service cible, saisissez l'URI du rattachement de service.

    3. Sélectionnez le Réseau et le Sous-réseau dans lesquels créer le groupe de points de terminaison du réseau.

      Le sous-réseau doit se trouver dans la même région que celle du service publié.

  6. Cliquez sur Créer.

gcloud

Exécutez la commande gcloud compute network-endpoint-groups create :

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION \
    --network=NETWORK \
    --subnet=SUBNET

Remplacez les éléments suivants :

  • NEG_NAME : nom du groupe de points de terminaison du réseau.

  • TARGET_SERVICE : URI du rattachement de service.

  • REGION : région dans laquelle créer le groupe de points de terminaison du réseau. La région doit être la même que celle du service cible.

  • NETWORK : réseau dans lequel créer le groupe de points de terminaison du réseau. S'il n'est pas spécifié, le réseau par défaut est utilisé.

  • SUBNET : sous-réseau dans lequel créer le groupe de points de terminaison du réseau. Le sous-réseau doit se trouver dans la même région que celle du service cible. Si vous spécifiez le réseau, un sous-réseau doit être spécifié. En cas d'omission du réseau et du sous-réseau, le réseau par défaut est utilisé, et le sous-réseau par défaut dans la région REGION spécifiée est utilisé.

Créer un NEG pour se connecter à une API Google utilisant la localisation

Vous pouvez créer un NEG pour vous connecter à une API Google utilisant la localisation.

Pour en savoir plus sur les équilibreurs de charge compatibles avec cette configuration, consultez la page Cibles des API Google utilisant la localisation.

Console

  1. Dans la console Google Cloud, accédez à la page Groupes de points de terminaison du réseau.

    Accéder à la page Groupes de points de terminaison du réseau

  2. Cliquez sur Créer un groupe de points de terminaison du réseau.

  3. Saisissez le nom du groupe de points de terminaison du réseau.

  4. Pour le type de groupe de points de terminaison du réseau, sélectionnez NEG Private Service Connect (régional).

  5. Configurez la cible comme suit :

    1. Pour Cible, sélectionnez API Google.
    2. Sélectionnez une région et le service cible.

  6. Cliquez sur Créer.

gcloud

Exécutez la commande gcloud compute network-endpoint-groups create :

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION

Remplacez les éléments suivants :

  • NEG_NAME : nom du groupe de points de terminaison du réseau.

  • TARGET_SERVICE : points de terminaison de service localisés auxquels vous souhaitez vous connecter.

  • REGION : région dans laquelle créer le groupe de points de terminaison du réseau. La région doit être la même que celle du service cible.

Créer un NEG pour se connecter à une API Google globale

Vous pouvez créer un NEG Private Service Connect pour vous connecter à une API Google globale. Les NEG sont régionaux, même lorsqu'ils se connectent à des API globales. Dans cette configuration, la région est ignorée.

Pour en savoir plus sur les équilibreurs de charge compatibles avec cette configuration, consultez la page Cibles d'API Google globales.

Console

  1. Dans la console Google Cloud, accédez à la page Groupes de points de terminaison du réseau.

    Accéder à la page Groupes de points de terminaison du réseau

  2. Cliquez sur Créer un groupe de points de terminaison du réseau.

  3. Saisissez le nom du groupe de points de terminaison du réseau.

  4. Pour le type de groupe de points de terminaison du réseau, sélectionnez NEG Private Service Connect (régional).

  5. Configurez la cible comme suit :

    1. Pour Cible, sélectionnez API Google globales.
    2. Sélectionnez une région et le service cible.

  6. Cliquez sur Créer.

gcloud

Exécutez la commande gcloud compute network-endpoint-groups create :

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION

Remplacez les éléments suivants :

  • NEG_NAME : nom du groupe de points de terminaison du réseau.

  • TARGET_SERVICE : API Google globale à laquelle vous souhaitez vous connecter.

  • REGION : région dans laquelle créer le groupe de points de terminaison du réseau.

Ajouter un NEG Private Service Connect à un équilibreur de charge

Vous pouvez configurer un équilibreur de charge compatible pour diriger le trafic vers un backend de NEG Private Service Connect.

Pour en savoir plus sur les configurations compatibles, consultez la section Spécifications.

Ajouter un backend à un équilibreur de charge d'application

Ajoutez un NEG à un équilibreur de charge d'application externe global, un équilibreur de charge d'application interne ou un équilibreur de charge d'application externe régional.

Console

Modifier l'équilibreur de charge

  1. Dans Google Cloud Console, accédez à la page Équilibrage de charge.

    Accéder à la page "Équilibrage de charge"

  2. Cliquez sur l'équilibreur de charge que vous souhaitez modifier.

  3. Cliquez sur Modifier.

Mettre à jour la configuration du backend

  1. Cliquez sur Configuration du backend.
  2. Développez la liste des services de backend, puis sélectionnez Créer un service de backend.
  3. Dans le champ Name (Nom), saisissez le nom du service de backend.
  4. Définissez le type de backend sur Groupe de points de terminaison du réseau Private Service Connect.
  5. Dans la section Backends, cliquez sur la liste Groupe de points de terminaison du réseau Private Service Connect, puis sélectionnez le NEG Private Service Connect que vous avez créé. Cliquez sur OK.

  6. Si vous configurez un équilibreur de charge d'application externe global pour vous connecter à un service publié dans plusieurs régions et que vous avez créé plusieurs NEG Private Service Connect, cliquez sur Ajouter un backend pour sélectionner un autre NEG.

    Répétez cette étape jusqu'à ce que tous les NEG de ce service géré soient ajoutés au service de backend.

  7. Cliquez sur Créer.

Mettre à jour les règles de routage

  1. Cliquez sur Règles de routage.
  2. Saisissez un Hôte et un Chemin d'accès pour chaque service de backend que vous avez ajouté.
  3. Pour vérifier la configuration, cliquez sur Vérification et finalisation.
  4. Cliquez sur Créer.

gcloud

Mettre à jour la configuration du backend

  1. Créez un service de backend pour le service cible.

    • Si vous ajoutez le service de backend à un équilibreur de charge régional, utilisez l'option --region pour spécifier la même région que l'équilibreur de charge.

      gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=SCHEME \
    --protocol=HTTPS \
    --region=REGION

      Remplacez les éléments suivants :

      • BACKEND_SERVICE_NAME : nom du service de backend.
      • SCHEME : schéma d'équilibrage de charge de l'équilibreur de charge que vous modifiez :
        • Pour un équilibreur de charge d'application externe régional, utilisez EXTERNAL_MANAGED.
        • Pour un équilibreur de charge d'application interne, utilisez INTERNAL_MANAGED.
      • REGION : région du service de backend. Utilisez la même région que le NEG.

    • Si vous ajoutez le service de backend à un équilibreur de charge d'application externe global, utilisez l'option --global.

      gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --protocol=HTTPS \
    --global

      Remplacez BACKEND_SERVICE_NAME par le nom du service de backend.

  2. Ajoutez le NEG Private Service Connect qui pointe vers le service cible.

    • Si vous ajoutez un service de backend à un équilibreur de charge régional, utilisez l'option --region pour spécifier la même région que l'équilibreur de charge.

      gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --region=REGION

      Remplacez les éléments suivants :

      • BACKEND_SERVICE_NAME : nom du service de backend.
      • NEG_NAME : nom du groupe de points de terminaison du réseau.
      • NEG_REGION : région du groupe de points de terminaison du réseau.
      • REGION : région du service de backend.

    • Si vous ajoutez un service de backend à un équilibreur de charge d'application externe global, utilisez l'option --global.

      Si vous avez créé plusieurs NEG dans différentes régions pour le même service, répétez cette étape pour ajouter tous les NEG au service de backend.

      gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --global

      Remplacez les éléments suivants :

      • BACKEND_SERVICE_NAME : nom du service de backend.
      • NEG_NAME : nom du groupe de points de terminaison du réseau.
      • NEG_REGION : région du groupe de points de terminaison du réseau.

Mettre à jour les règles de routage

  1. Pour chaque service de backend que vous avez créé, ajoutez un outil de mise en correspondance des chemins d'accès au mappage d'URL de l'équilibreur de charge.

    • Si le mappage d'URL est régional, spécifiez la région à l'aide de l'option --region.

      gcloud compute url-maps add-path-matcher URL_MAP_NAME \
    --path-matcher-name=PATH_MATCHER \
    --default-service=BACKEND_SERVICE_NAME \
    --region=REGION

      Remplacez les éléments suivants :

      • URL_MAP_NAME : nom du mappage d'URL.
      • PATH_MATCHER : nom de l'outil de mise en correspondance des chemins d'accès.
      • BACKEND_SERVICE_NAME : nom du service de backend.
      • REGION : région du mappage d'URL.

    • Si le mappage d'URL est global, spécifiez l'option --global.

      gcloud compute url-maps add-path-matcher URL_MAP_NAME \
    --path-matcher-name=PATH_MATCHER \
    --default-service=BACKEND_SERVICE_NAME \
    --global

      Remplacez les éléments suivants :

      • URL_MAP_NAME : nom du mappage d'URL.
      • PATH_MATCHER : nom de l'outil de mise en correspondance des chemins d'accès.
      • BACKEND_SERVICE_NAME : nom du service de backend.

  2. Pour chaque nom d'hôte, ajoutez une règle d'hôte.

    Chaque règle d'hôte ne peut référencer qu'un seul outil de mise en correspondance des chemins d'accès, mais deux règles d'hôte ou plus peuvent faire référence à un même outil de mise en correspondance des chemins d'accès.

    • Si le mappage d'URL est régional, spécifiez la région à l'aide de l'option --region.

      gcloud compute url-maps add-host-rule URL_MAP_NAME \
    --hosts=HOST \
    --path-matcher-name=PATH_MATCHER \
    --region=REGION

      Remplacez les éléments suivants :

      • URL_MAP_NAME : nom du mappage d'URL.
      • HOST : nom de l'hôte auquel envoyer les requêtes pour ce service.
      • PATH_MATCHER : nom de l'outil de mise en correspondance des chemins d'accès.
      • REGION : région du mappage d'URL.

    • Si le mappage d'URL est global, spécifiez l'option --global.

      gcloud compute url-maps add-host-rule URL_MAP_NAME \
    --hosts=HOST \
    --path-matcher-name=PATH_MATCHER \
    --global

      Remplacez les éléments suivants :

      • URL_MAP_NAME : nom du mappage d'URL.
      • HOST : nom de l'hôte auquel envoyer les requêtes pour ce service.
      • PATH_MATCHER : nom de l'outil de mise en correspondance des chemins d'accès.

Ajouter un backend à un équilibreur de charge réseau proxy interne régional

Vous pouvez ajouter un backend de NEG Private Service Connect à un équilibreur de charge réseau proxy interne régional si le NEG pointe vers un service publié. Les équilibreurs de charge réseau proxy internes régionaux n'acceptent qu'un seul service de backend.

Pour configurer l'équilibreur de charge réseau proxy interne régional, suivez les instructions de configuration d'un équilibreur de charge réseau proxy interne régional avec des backends zonaux, mais n'appliquez pas les étapes de création des NEG zonaux ou configurez des vérifications d'état. Au lieu de configurer un NEG zonal, utilisez les instructions suivantes pour ajouter le NEG Private Service Connect que vous avez créé à un backend Private Service Connect.

Console

  1. Dans l'équilibreur de charge réseau proxy interne régional que vous créez, cliquez sur Configuration du backend.
  2. Pour le type de backend, sélectionnez Groupe de points de terminaison du réseau Private Service Connect.
  3. Pour Nouveau backend, sélectionnez le NEG que vous avez créé.
  4. Conservez les valeurs par défaut restantes, puis cliquez sur OK.
  5. Dans la console Google Cloud, vérifiez qu'une coche apparaît à côté de Configuration du backend. Si ce n'est pas le cas, vérifiez que vous avez bien suivi la procédure ci-dessous dans son intégralité.

gcloud

  1. Créez un service de backend pour le service cible.

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --protocol=TCP \
    --region=REGION

    Remplacez les éléments suivants :

    • BACKEND_SERVICE_NAME : nom du service de backend.
    • REGION : région du service de backend. Utilisez la même région que le NEG.

  2. Ajoutez le NEG Private Service Connect qui pointe vers le service cible.

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --region=REGION

    Remplacez les éléments suivants :

    • BACKEND_SERVICE_NAME : nom du service de backend.
    • NEG_NAME : nom du groupe de points de terminaison du réseau.
    • NEG_REGION : région du groupe de points de terminaison du réseau.
    • REGION : région du service de backend.

Ajouter un backend à un équilibreur de charge réseau proxy externe régional

Vous pouvez ajouter un backend de NEG Private Service Connect à un équilibreur de charge réseau proxy externe régional si le NEG pointe vers un service publié. Cet équilibreur de charge n'accepte qu'un seul service de backend.

Pour configurer l'équilibreur de charge, suivez les instructions pour configurer un équilibreur de charge réseau proxy externe régional avec des backends zonaux, mais n'appliquez pas les étapes de création des NEG zonaux ou configurez des vérifications d'état. Au lieu de configurer un NEG zonal, utilisez les instructions suivantes pour ajouter le NEG Private Service Connect que vous avez créé à un backend Private Service Connect.

Console

  1. Dans l'équilibreur de charge réseau proxy externe régional que vous créez, cliquez sur Configuration du backend.
  2. Pour le type de backend, sélectionnez Groupe de points de terminaison du réseau Private Service Connect.
  3. Pour Nouveau backend, sélectionnez le NEG que vous avez créé.
  4. Conservez les valeurs par défaut restantes, puis cliquez sur OK.
  5. Dans la console Google Cloud, vérifiez qu'une coche apparaît à côté de Configuration du backend. Si ce n'est pas le cas, vérifiez que vous avez bien suivi la procédure ci-dessous dans son intégralité.

gcloud

  1. Créez un service de backend pour le service cible.

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --protocol=TCP \
    --region=REGION

    Remplacez les éléments suivants :

    • BACKEND_SERVICE_NAME : nom du service de backend.
    • REGION : région du service de backend. Utilisez la même région que le NEG.

  2. Ajoutez le NEG Private Service Connect qui pointe vers le service cible.

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --region=REGION

    Remplacez les éléments suivants :

    • BACKEND_SERVICE_NAME : nom du service de backend.
    • NEG_NAME : nom du groupe de points de terminaison du réseau.
    • NEG_REGION : région du groupe de points de terminaison du réseau.
    • REGION : région du service de backend.

Lister les backends

Vous pouvez répertorier tous les backends Private Service Connect configurés.

Console

  1. Dans Google Cloud Console, accédez à la page Private Service Connect.

    Accéder à Private Service Connect

  2. Cliquez sur l'onglet Points de terminaison connectés.

    Les backends Private Service Connect sont affichés dans la section Points de terminaison d'équilibreur de charge.

Décrire un backend

Vous pouvez décrire un backend Private Service Connect pour afficher ses détails, y compris son état de connexion.

Console

  1. Répertoriez les backends disponibles.
  2. Cliquez sur le backend que vous souhaitez décrire.

Dépannage

Erreur lors de l'accès à la règle de transfert de l'équilibreur de charge

Si une erreur 404 s'affiche lorsque vous essayez d'accéder à la règle de transfert de votre équilibreur de charge, l'erreur peut avoir l'une des causes suivantes :

  • Le mappage d'URL n'a pas encore été propagé.

    Si vous venez de créer l'équilibreur de charge, patientez quelques minutes.

  • L'URL que vous utilisez dans votre requête ne correspond pas à une URL définie dans le mappage d'URL.

    Vérifiez que l'URL que vous essayez correspond à la configuration du mappage d'URL dans votre équilibreur de charge.

  • Le backend du producteur de services n'est pas compatible avec l'URL à laquelle vous essayez d'accéder.

    Demandez au producteur de services de vérifier l'URL à utiliser pour accéder à son service.