Crea un backend Private Service Connect

Puoi usare i backend Private Service Connect per connetterti ai servizi supportati utilizzando un bilanciatore del carico per l'applicazione dei criteri. Puoi connetterti al servizio tramite una regola di forwarding mappata a un backend che contiene un gruppo di endpoint di rete (NEG) Private Service Connect.

Per ulteriori informazioni sui servizi e sulle configurazioni supportati, consulta Informazioni sui backend di Private Service Connect.

Questa guida mostra come aggiungere un NEG Private Service Connect a un bilanciatore del carico per accedere alle API di Google o a un servizio pubblicato. Questa guida non include la configurazione completa del bilanciatore del carico.

Per istruzioni che includono la creazione di un bilanciatore del carico con un backend Private Service Connect, consulta quanto segue:

Ruoli

Il ruolo di amministratore del bilanciatore del carico di Compute (roles/compute.loadBalancerAdmin) contiene l'autorizzazione necessaria per eseguire le attività descritte in questa guida.

Prima di iniziare

  1. Stabilisci a quale API o servizio vuoi connetterti:

    • Per le API di Google:

    • Per i servizi pubblicati:

      • Se vuoi pubblicare il tuo servizio, consulta Pubblicare servizi gestiti.

      • Se ti stai connettendo a un servizio Google Cloud o pubblicato di terze parti, chiedi al producer le seguenti informazioni:

        • L'URI del collegamento al servizio a cui vuoi connetterti.

        • Eventuali requisiti relativi ai nomi DNS che utilizzi per inviare le richieste. Potrebbe essere necessario utilizzare nomi DNS specifici nella configurazione della mappa URL.

  2. Determina quale tipo di bilanciatore del carico supporta il servizio a cui vuoi connetterti e assicurati di acquisire familiarità con il bilanciatore del carico che stai aggiornando. Questa guida descrive come aggiungere un NEG Private Service Connect a un bilanciatore del carico, ma potresti voler eseguire ulteriori passaggi di configurazione.

    Per saperne di più, consulta Bilanciatori del carico e target supportati.

Crea un NEG Private Service Connect

Quando crei un NEG, scegli a quale tipo di target si connette:

  • Un servizio pubblicato
  • Un'API di Google per la posizione
  • Un'API di Google globale

Crea un NEG per connetterti a un servizio pubblicato

Quando crei un NEG Private Service Connect che punta a un servizio pubblicato, devi avere l'URI del collegamento al servizio per il servizio. Il collegamento al servizio ha il seguente formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Per informazioni sui bilanciatori del carico supportati per questa configurazione, consulta Target di servizio pubblicati.

Console

  1. Nella console Google Cloud, vai alla pagina Gruppi di endpoint di rete.

    Vai a Gruppi di endpoint di rete

  2. Fai clic su Crea gruppo di endpoint di rete.

  3. Inserisci un nome per il gruppo di endpoint di rete.

  4. Per Tipo di gruppo di endpoint di rete, seleziona NEG Private Service Connect (regionale).

  5. Configura la destinazione:

    1. In Destinazione, seleziona Servizio pubblicato.
    2. In Servizio di destinazione, inserisci l'URI del collegamento al servizio.

    3. Seleziona la Rete e la Subnet in cui creare il gruppo di endpoint di rete.

      La subnet deve trovarsi nella stessa regione del servizio pubblicato.

  6. Fai clic su Crea.

gcloud

Usa il comando gcloud compute network-endpoint-groups create:

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION \
    --network=NETWORK \
    --subnet=SUBNET

Sostituisci quanto segue:

  • NEG_NAME: un nome per il gruppo di endpoint di rete.

  • TARGET_SERVICE: l'URI del collegamento al servizio.

  • REGION: la regione in cui creare il gruppo di endpoint di rete. La regione deve trovarsi nella stessa regione del servizio di destinazione.

  • NETWORK: la rete in cui creare il gruppo di endpoint di rete. Se omessa, viene utilizzata la rete predefinita.

  • SUBNET: la subnet in cui creare il gruppo di endpoint di rete. La subnet deve trovarsi nella stessa regione del servizio di destinazione. È necessario specificare una subnet se fornisci la rete. Se vengono omesse sia la rete sia la subnet, viene utilizzata la rete predefinita e la subnet predefinita nell'elemento REGION specificato.

Crea un NEG per la connessione a un'API di Google località

Puoi creare un NEG per connetterti a un'API di Google località.

Per informazioni sui bilanciatori del carico supportati per questa configurazione, consulta Target API di Google per la posizione.

Console

  1. Nella console Google Cloud, vai alla pagina Gruppi di endpoint di rete.

    Vai a Gruppi di endpoint di rete

  2. Fai clic su Crea gruppo di endpoint di rete.

  3. Inserisci un nome per il gruppo di endpoint di rete.

  4. Per Tipo di gruppo di endpoint di rete, seleziona NEG Private Service Connect (regionale).

  5. Configura la destinazione:

    1. In Target, seleziona API di Google.
    2. Seleziona una regione e il servizio di destinazione.

  6. Fai clic su Crea.

gcloud

Usa il comando gcloud compute network-endpoint-groups create:

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION

Sostituisci quanto segue:

  • NEG_NAME: un nome per il gruppo di endpoint di rete.

  • TARGET_SERVICE: gli endpoint di servizio per la posizione a cui vuoi connetterti.

  • REGION: la regione in cui creare il gruppo di endpoint di rete. La regione deve trovarsi nella stessa regione del servizio di destinazione.

Crea un NEG per connetterti a un'API di Google globale

Puoi creare un NEG Private Service Connect per connetterti a un'API di Google globale. I NEG sono a livello di regione, anche quando si connettono alle API globali. In questa configurazione la regione viene ignorata.

Per informazioni sui bilanciatori del carico supportati per questa configurazione, consulta Destinazioni globali delle API di Google.

Console

  1. Nella console Google Cloud, vai alla pagina Gruppi di endpoint di rete.

    Vai a Gruppi di endpoint di rete

  2. Fai clic su Crea gruppo di endpoint di rete.

  3. Inserisci un nome per il gruppo di endpoint di rete.

  4. Per Tipo di gruppo di endpoint di rete, seleziona NEG Private Service Connect (regionale).

  5. Configura la destinazione:

    1. In Destinazione, seleziona API di Google globali.
    2. Seleziona una regione e il servizio di destinazione.

  6. Fai clic su Crea.

gcloud

Usa il comando gcloud compute network-endpoint-groups create:

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION

Sostituisci quanto segue:

  • NEG_NAME: un nome per il gruppo di endpoint di rete.

  • TARGET_SERVICE: l'API di Google globale a cui vuoi connetterti.

  • REGION: la regione in cui creare il gruppo di endpoint di rete.

Aggiungi un backend Private Service Connect a un bilanciatore del carico

Puoi configurare un bilanciatore del carico supportato per indirizzare il traffico a un backend di NEG Private Service Connect.

Per ulteriori informazioni sulle configurazioni supportate, consulta la sezione Specifiche.

aggiungi un backend a un bilanciatore del carico delle applicazioni

Aggiungi un NEG a un Application Load Balancer esterno globale, un Application Load Balancer interno o un Application Load Balancer esterno regionale.

Console

Modifica il bilanciatore del carico

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.

    Vai a Bilanciamento del carico

  2. Fai clic sul bilanciatore del carico che vuoi modificare.

  3. Fai clic su Modifica.

Aggiorna la configurazione del backend

  1. Fai clic su Configurazione backend.
  2. Espandi l'elenco dei servizi di backend e seleziona Crea un servizio di backend.
  3. Inserisci un nome per il servizio di backend.
  4. Imposta Tipo di backend su Gruppo di endpoint di rete Private Service Connect.
  5. Nella sezione Backend, fai clic sull'elenco Gruppo di endpoint di rete Private Service Connect e seleziona il NEG Private Service Connect che hai creato. Fai clic su Fine.

  6. Se stai configurando un bilanciatore del carico delle applicazioni esterno globale per connetterti a un servizio pubblicato in più regioni e hai creato più di un NEG Private Service Connect, fai clic su Aggiungi backend per selezionare un altro NEG.

    Ripeti questo passaggio fino a quando tutti i NEG per questo servizio gestito non vengono aggiunti al servizio di backend.

  7. Fai clic su Crea.

Aggiorna le regole di routing

  1. Fai clic su Regole di routing.
  2. Inserisci un Host e un Percorso per ogni servizio di backend che hai aggiunto.
  3. Per esaminare la configurazione, fai clic su Esamina e finalizza.
  4. Fai clic su Crea.

gcloud

Aggiorna la configurazione del backend

  1. Creare un servizio di backend per il servizio di destinazione.

    • Se aggiungi il servizio di backend a un bilanciatore del carico a livello di regione, utilizza il flag --region per specificare la stessa regione del bilanciatore del carico.

      gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=SCHEME \
    --protocol=HTTPS \
    --region=REGION

      Sostituisci quanto segue:

      • BACKEND_SERVICE_NAME: il nome del servizio di backend.
      • SCHEME: lo schema di bilanciamento del carico per il bilanciatore del carico che stai modificando:
        • Per un bilanciatore del carico delle applicazioni esterno regionale, utilizza EXTERNAL_MANAGED.
        • Per un bilanciatore del carico delle applicazioni interno, utilizza INTERNAL_MANAGED.
      • REGION: la regione del servizio di backend. Utilizza la stessa regione del NEG.

    • Se aggiungi il servizio di backend a un bilanciatore del carico delle applicazioni esterno globale, utilizza il flag --global.

      gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --protocol=HTTPS \
    --global

      Sostituisci BACKEND_SERVICE_NAME con il nome del servizio di backend.

  2. Aggiungi il NEG Private Service Connect che punta al servizio di destinazione.

    • Se aggiungi un servizio di backend a un bilanciatore del carico a livello di regione, utilizza il flag --region per specificare la stessa regione del bilanciatore del carico.

      gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --region=REGION

      Sostituisci quanto segue:

      • BACKEND_SERVICE_NAME: il nome del servizio di backend.
      • NEG_NAME: il nome del gruppo di endpoint di rete.
      • NEG_REGION: la regione del gruppo di endpoint di rete.
      • REGION: la regione del servizio di backend.

    • Se aggiungi un servizio di backend a un bilanciatore del carico delle applicazioni esterno globale, utilizza il flag --global.

      Se hai creato più NEG in diverse regioni per lo stesso servizio, ripeti questo passaggio per aggiungere tutti i NEG al servizio di backend.

      gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --global

      Sostituisci quanto segue:

      • BACKEND_SERVICE_NAME: il nome del servizio di backend.
      • NEG_NAME: il nome del gruppo di endpoint di rete.
      • NEG_REGION: la regione del gruppo di endpoint di rete.

Aggiorna le regole di routing

  1. Per ogni servizio di backend che hai creato, aggiungi un matcher percorso alla mappa URL del bilanciatore del carico.

    • Se la mappa URL è a livello di regione, specifica la regione utilizzando il flag --region.

      gcloud compute url-maps add-path-matcher URL_MAP_NAME \
    --path-matcher-name=PATH_MATCHER \
    --default-service=BACKEND_SERVICE_NAME \
    --region=REGION

      Sostituisci quanto segue:

      • URL_MAP_NAME: il nome della mappa URL.
      • PATH_MATCHER: un nome per il matcher percorso.
      • BACKEND_SERVICE_NAME: il nome del servizio di backend.
      • REGION: l'area della mappa URL.

    • Se la mappa URL è globale, specifica il flag --global.

      gcloud compute url-maps add-path-matcher URL_MAP_NAME \
    --path-matcher-name=PATH_MATCHER \
    --default-service=BACKEND_SERVICE_NAME \
    --global

      Sostituisci quanto segue:

      • URL_MAP_NAME: il nome della mappa URL.
      • PATH_MATCHER: un nome per il matcher percorso.
      • BACKEND_SERVICE_NAME: il nome del servizio di backend.

  2. Per ogni nome host, aggiungi una regola dell'host.

    Ogni regola host può fare riferimento a un solo matcher percorso, ma due o più regole host possono fare riferimento allo stesso matcher percorso.

    • Se la mappa URL è a livello di regione, specifica la regione utilizzando il flag --region.

      gcloud compute url-maps add-host-rule URL_MAP_NAME \
    --hosts=HOST \
    --path-matcher-name=PATH_MATCHER \
    --region=REGION

      Sostituisci quanto segue:

      • URL_MAP_NAME: il nome della mappa URL.
      • HOST: il nome host a cui inviare le richieste per questo servizio.
      • PATH_MATCHER: il nome del matcher percorso.
      • REGION: l'area della mappa URL.

    • Se la mappa URL è globale, specifica il flag --global.

      gcloud compute url-maps add-host-rule URL_MAP_NAME \
    --hosts=HOST \
    --path-matcher-name=PATH_MATCHER \
    --global

      Sostituisci quanto segue:

      • URL_MAP_NAME: il nome della mappa URL.
      • HOST: il nome host a cui inviare le richieste per questo servizio.
      • PATH_MATCHER: il nome del matcher percorso.

Aggiungi un backend a un bilanciatore del carico di rete proxy interno regionale

Puoi aggiungere un backend NEG Private Service Connect a un bilanciatore del carico di rete proxy interno regionale se il NEG punta a un servizio pubblicato. I bilanciatori del carico di rete proxy interni regionali supportano un solo servizio di backend.

Per configurare il bilanciatore del carico di rete proxy interno regionale, segui le istruzioni per configurare un bilanciatore del carico di rete proxy interno a livello di regione con backend a livello di zona, ma non completare i passaggi "Crea i NEG a livello di zona" o non configurare i controlli di integrità. Anziché configurare un NEG a livello di zona, utilizza le istruzioni seguenti per aggiungere il NEG Private Service Connect che hai creato al backend di Private Service Connect.

Console

  1. Nel bilanciatore del carico di rete proxy interno regionale che stai creando, fai clic su Configurazione backend.
  2. In Tipo di backend, seleziona Gruppo di endpoint di rete Private Service Connect.
  3. In Nuovo backend, seleziona il NEG che hai creato.
  4. Mantieni i valori predefiniti rimanenti e fai clic su Fine.
  5. Nella console Google Cloud, verifica che sia presente un segno di spunta accanto a Configurazione backend. In caso contrario, assicurati di aver completato tutti i passaggi.

gcloud

  1. Creare un servizio di backend per il servizio di destinazione.

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --protocol=TCP \
    --region=REGION

    Sostituisci quanto segue:

    • BACKEND_SERVICE_NAME: il nome del servizio di backend.
    • REGION: la regione del servizio di backend. Utilizza la stessa regione del NEG.

  2. Aggiungi il NEG Private Service Connect che punta al servizio di destinazione.

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --region=REGION

    Sostituisci quanto segue:

    • BACKEND_SERVICE_NAME: il nome del servizio di backend.
    • NEG_NAME: il nome del gruppo di endpoint di rete.
    • NEG_REGION: la regione del gruppo di endpoint di rete.
    • REGION: la regione del servizio di backend.

Aggiungi un backend a un bilanciatore del carico di rete proxy esterno regionale

Puoi aggiungere un backend NEG Private Service Connect a un bilanciatore del carico di rete proxy esterno regionale se il NEG punta a un servizio pubblicato. Questo bilanciatore del carico supporta un solo servizio di backend.

Per configurare il bilanciatore del carico, segui le istruzioni per configurare un bilanciatore del carico di rete proxy esterno a livello di regione con backend a livello di zona, ma non completare i passaggi "Crea i NEG di zona" o non configurare i controlli di integrità. Anziché configurare un NEG a livello di zona, utilizza le istruzioni seguenti per aggiungere il NEG Private Service Connect che hai creato al backend di Private Service Connect.

Console

  1. Nel bilanciatore del carico di rete proxy esterno regionale che stai creando, fai clic su Configurazione backend.
  2. In Tipo di backend, seleziona Gruppo di endpoint di rete Private Service Connect.
  3. In Nuovo backend, seleziona il NEG che hai creato.
  4. Mantieni i valori predefiniti rimanenti e fai clic su Fine.
  5. Nella console Google Cloud, verifica che sia presente un segno di spunta accanto a Configurazione backend. In caso contrario, assicurati di aver completato tutti i passaggi.

gcloud

  1. Creare un servizio di backend per il servizio di destinazione.

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --protocol=TCP \
    --region=REGION

    Sostituisci quanto segue:

    • BACKEND_SERVICE_NAME: il nome del servizio di backend.
    • REGION: la regione del servizio di backend. Utilizza la stessa regione del NEG.

  2. Aggiungi il NEG Private Service Connect che punta al servizio di destinazione.

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --region=REGION

    Sostituisci quanto segue:

    • BACKEND_SERVICE_NAME: il nome del servizio di backend.
    • NEG_NAME: il nome del gruppo di endpoint di rete.
    • NEG_REGION: la regione del gruppo di endpoint di rete.
    • REGION: la regione del servizio di backend.

Elenca backend

Puoi elencare tutti i backend Private Service Connect configurati.

Console

  1. Nella console Google Cloud, vai alla pagina Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Endpoint collegati.

    I backend Private Service Connect vengono visualizzati nella sezione Endpoint del bilanciatore del carico.

Descrivi un backend

Puoi descrivere un backend Private Service Connect per visualizzarne i dettagli, incluso lo stato della connessione.

Console

  1. Elenca i backend disponibili.
  2. Fai clic sul backend che vuoi descrivere.

Risoluzione dei problemi

Errore durante l'accesso alla regola di forwarding del bilanciatore del carico

Se viene visualizzato un errore 404 quando provi ad accedere alla regola di forwarding del bilanciatore del carico, l'errore potrebbe avere una delle seguenti cause:

  • La mappa degli URL non si è ancora propagata.

    Se hai appena creato il bilanciatore del carico, prova ad attendere qualche minuto.

  • L'URL che stai utilizzando nella tua richiesta non corrisponde a un URL definito nella mappa URL.

    Verifica che l'URL che stai cercando corrisponda alla configurazione della mappa URL nel bilanciatore del carico.

  • Il backend del producer di servizi non supporta l'URL a cui stai tentando di accedere

    Chiedi al producer di servizi di verificare quale URL utilizzare per accedere al suo servizio.