À propos des backends Private Service Connect

Vous pouvez accéder aux API Google et aux services publiés en créant un point de terminaison Private Service Connect (basé sur une règle de transfert) ou un backend Private Service Connect (basé sur un équilibreur de charge). Ce guide porte sur les backends Private Service Connect.

Les backends Private Service Connect utilisent un équilibreur de charge configuré avec des backends de groupes de points de terminaison du réseau (NEG) Private Service Connect. Cette configuration était auparavant appelée point de terminaison Private Service Connect avec contrôles de service HTTP(S) client.

L'accès aux API et aux services via un équilibreur de charge géré par le client offre plusieurs avantages. Les équilibreurs de charge peuvent agir en tant que point d'application centralisé de la stratégie, où des règles de sécurité ou de routage sont appliquées. Ils fournissent des métriques centralisées et une journalisation qu'un service publié pourrait ne pas fournir, et permettent aux consommateurs de contrôler leur propre routage et basculement.

La figure 1 illustre un équilibreur de charge avec un NEG Private Service Connect connecté à un service publié. Le trafic client est dirigé vers un équilibreur de charge qui traite le trafic, puis l'achemine vers un backend Private Service Connect mappé à un service publié s'exécutant dans un autre réseau VPC.

**Figure 1 :** L'utilisation d'un équilibreur de charge d'application externe global permet aux clients de services dotés d'un accès Internet d'envoyer du trafic aux services du réseau VPC du producteur de services (cliquez pour agrandir).

Présentation du déploiement

Pour accéder aux API et aux services via des backends Private Service Connect, procédez comme suit :

Identifiez l'API ou le service auquel vous souhaitez vous connecter.

Pour les API Google : sélectionnez un point de terminaison de service localisé.

Pour les services publiés : demandez l'URI du rattachement de service au producteur de services.
Déployez un équilibreur de charge pour envoyer le trafic vers votre service publié. Choisissez un équilibreur de charge adapté à vos besoins, que vous ayez des clients Internet, des clients internes ou que vous ayez besoin d'une isolation régionale. Vous pouvez également réutiliser un équilibreur de charge existant.
Déployez les NEG Private Service Connect et ajoutez-les au service de backend de l'équilibreur de charge. Créez des NEG Private Service Connect faisant référence à votre service publié. Ajoutez ensuite les NEG au service de backend de l'équilibreur de charge afin que celui-ci puisse leur envoyer du trafic.

Équilibreurs de charge et cibles compatibles

Vous pouvez utiliser un backend pour accéder à un service publié ou à une API Google compatible.

Consultez la documentation sur l'équilibrage de charge pour en savoir plus sur l'équilibreur de charge auquel vous souhaitez ajouter un backend Private Service Connect.

Pour plus d'informations sur les équilibreurs de charge d'application externes globaux et les équilibreurs de charge d'application externes régionaux, consultez la page Présentation de l'équilibreur de charge d'application externe.
Consultez la page Présentation de l'équilibreur de charge d'application interne pour en savoir plus sur les équilibreurs de charge d'application internes et interrégionaux.
Pour plus d'informations sur les équilibreurs de charge réseau proxy internes régionaux, reportez-vous à la section Présentation de l'équilibreur de charge réseau proxy interne régional.
Pour plus d'informations sur les équilibreurs de charge réseau proxy externes régionaux, reportez-vous à la section Présentation de l'équilibreur de charge réseau proxy externe régional.
Pour plus d'informations sur les équilibreurs de charge réseau proxy externes globaux, consultez la page Présentation de l'équilibreur de charge réseau proxy externe.

Cibles de services publiés

Un backend Private Service Connect pour les services publiés nécessite deux équilibreurs de charge : un équilibreur de charge du client et un équilibreur de charge du producteur. Ce tableau décrit la compatibilité entre les différents types d'équilibreurs de charge client et producteur, y compris les protocoles de service de backend compatibles avec les équilibreurs de charge client. Chaque ligne représente un type d'équilibreur de charge client, et chaque colonne représente un type d'équilibreur de charge producteur.

Dans les tableaux suivants, une coche indique qu'une fonctionnalité est disponible, et un symbole "no" indique qu'une fonctionnalité n'est pas compatible.

Équilibreur de charge client et protocoles de service de backend compatibles	Équilibreur de charge de producteur
	Équilibreur de charge réseau passthrough interne	Équilibreur de charge d'application interne régional	Équilibreur de charge réseau proxy interne régional
Équilibreur de charge d'application externe global (compatible avec plusieurs régions) Protocoles : HTTPS, HTTP2 Remarque : L'équilibreur de charge d'application classique n'est pas compatible.
Équilibreur de charge d'application externe régional Protocoles : HTTP, HTTPS, HTTP2
Équilibreur de charge d'application interne régional Protocoles : HTTP, HTTPS, HTTP2
Équilibreur de charge d'application interne interrégional (preview) Protocoles : HTTPS, HTTP2
Équilibreur de charge réseau proxy interne régional Protocol (Protocole) : TCP
Équilibreur de charge réseau interne interrégional Protocol (Protocole) : TCP
Équilibreur de charge réseau proxy externe régional Protocol (Protocole) : TCP
Équilibreur de charge réseau proxy externe global (preview) Protocole : TCP/SSL Remarque : L'équilibreur de charge réseau classique n'est pas compatible.

Ce tableau décrit la configuration des équilibreurs de charge de producteur compatibles avec les backends Private Service Connect.

Configuration	Équilibreur de charge de producteur
Configuration	Équilibreur de charge réseau passthrough interne	Équilibreur de charge d'application interne régional	Équilibreur de charge réseau proxy interne régional
Backends de producteur compatibles	NEG GCE_VM_IP Groupes d'instances	NEG GCE_VM_IP_PORT NEG hybrides NEG sans serveur NEG Private Service Connect Groupes d'instances	NEG GCE_VM_IP_PORT NEG hybrides NEG sans serveur NEG Private Service Connect Groupes d'instances
Protocoles de règles de transfert	TCP	HTTP HTTPS HTTP/2	TCP
Ports de règle de transfert	La règle de transfert doit faire référence à un seul port.	La règle de transfert doit faire référence à un seul port.	La règle de transfert doit faire référence à un seul port.
Protocole PROXY

Pour obtenir un exemple de configuration de backend utilisant un équilibreur de charge HTTP(S) externe global, consultez la page Accéder aux services publiés via des backends.

Cibles des API Google utilisant la localisation

Ce tableau décrit les équilibreurs de charge qui peuvent accéder aux API Google régionales à l'aide d'un backend Private Service Connect.

Pour obtenir un exemple de configuration utilisant un équilibreur de charge d'application interne, consultez la section Accéder aux API Google via des backends.

Configuration	Détails
Configuration du client (backend Private Service Connect)
Équilibreurs de charge clients compatibles	Équilibreur de charge d'application interne Protocole : HTTPS Équilibreur de charge d'application externe régional Protocole : HTTPS
Producteur
Services compatibles	API Google compatibles utilisant la localisation

Cibles d'API Google globales

Ce tableau décrit les équilibreurs de charge qui peuvent utiliser un backend Private Service Connect pour accéder à une API Google globale.

Configuration	Détails
Configuration du client (backend Private Service Connect)
Équilibreurs de charge clients compatibles	Équilibreur de charge d'application externe global Remarque : L'équilibreur de charge d'application classique n'est pas compatible.
Producteur
Services compatibles	Bigtable : `bigtable.googleapis.com` et `bigtableadmin.googleapis.com` Cloud Logging : `logging.googleapis.com` Spanner : `spanner.googleapis.com` Cloud Storage : `storage.googleapis.com` Pub/Sub : `pubsub.googleapis.com`

États de connexion

Les points de terminaison, les backends et les rattachements de service Private Service Connect disposent d'un état de connexion qui décrit l'état de leur connexion. Les ressources client et producteur qui constituent les deux côtés d'une connexion ont toujours le même état. Vous pouvez afficher les états de connexion lorsque vous affichez les détails du point de terminaison, décrivez un backend ou affichez les détails d'un service publié.

Le tableau suivant décrit les états possibles.

État de la connexion	Description
Acceptée	La connexion Private Service Connect est établie. Les deux réseaux VPC disposent d'une connectivité et la connexion fonctionne normalement.
En attente	La connexion Private Service Connect n'est pas établie et le trafic ne peut pas transiter entre les deux réseaux. Cette connexion peut présenter cet état pour les raisons suivantes : Le rattachement de service nécessite une approbation explicite et le client ne figure pas dans la liste d'acceptation de clients. Le nombre de connexions dépasse la limite de connexion du rattachement de service. Les connexions bloquées pour ces raisons restent en attente indéfiniment jusqu'à ce que le problème sous-jacent soit résolu.
Refusé	La connexion Private Service Connect n'est pas établie. Le trafic réseau ne peut pas transiter entre les deux réseaux. Cette connexion peut présenter cet état pour les raisons suivantes : Une règle d'administration de producteur a refusé la connexion. Une liste de refus de clients a refusé la connexion.
Attention requise	Un problème est survenu au niveau du producteur de la connexion. Certaines connexions peuvent ne pas fonctionner, même si du trafic transite entre les deux réseaux. Par exemple, le sous-réseau NAT du producteur peut être épuisé et ne pas pouvoir allouer d'adresses IP pour de nouvelles connexions.
Fermée	Le rattachement de service a été supprimé et la connexion Private Service Connect est fermée. Le trafic réseau ne peut pas transiter entre les deux réseaux. Une connexion fermée est un état final. Pour rétablir la connexion, vous devez recréer à la fois le rattachement de service et le point de terminaison ou le backend.

Spécifications

Tous les backends Private Service Connect présentent les spécifications suivantes :

Seuls les équilibreurs de charge compatibles peuvent utiliser des NEG Private Service Connect en tant que backends.
Les NEG Private Service Connect ne peuvent pas être associés à d'autres types de NEG dans le même service de backend. Cependant, les applications auto-hébergées et les services gérés peuvent être des backends du même équilibreur de charge tant qu'ils font partie de services de backend distincts.
Les services de backend dotés de NEG Private Service Connect ne sont pas compatibles avec les vérifications d'état. Les ressources de vérification d'état ne sont pas configurées avec les services de backend utilisés pour Private Service Connect.
Si un NEG Private Service Connect fait référence à un rattachement de service, celui-ci doit se trouver dans un réseau VPC différent du NEG et de l'équilibreur de charge.

Les backends Private Service Connect utilisés dans des services de backend globaux présentent des spécifications supplémentaires :

Plusieurs NEG Private Service Connect peuvent se trouver dans le même service de backend tant qu'ils proviennent de différentes régions. Vous ne pouvez pas ajouter plusieurs NEG Private Service Connect de la même région au même service de backend.
Les NEG Private Service Connect sont automatiquement configurés avec la détection des anomalies. La détection des anomalies permet à l'équilibreur de charge de détecter les défaillances dans les réponses du service publié et de basculer vers les régions opérationnelles restantes. La règle de détection des anomalies par défaut peut être ignorée en appliquant votre propre configuration de détection des anomalies au service de backend.

Tarifs

Pour en savoir plus sur les tarifs, consultez les sections suivantes de la page des tarifs de VPC :