Pattern di implementazione di Private Service Connect
Questa pagina illustra alcuni modi comuni per eseguire il deployment e accedere Private Service Connect.
Servizi single-tenant
I servizi single-tenant sono servizi dedicati a un singolo consumatore o tenant. L'istanza di servizio è in genere ospitata in un ambiente rete VPC dedicata a quel tenant per isolarlo da altri alle reti VPC tenant nell'organizzazione del producer. Ogni servizio utilizza un elenco di consumer accettati per controllare quali progetti possono connettersi al servizio. Utilizzando l'elenco di accettazione, puoi limitare l'accesso a un singolo tenant. Anche se solo un singolo tenant può connettersi al servizio, il tenant potrebbe creare più endpoint o backend se si connettono da più reti VPC.
Figura 1. In un servizio gestito a singolo tenant, il producer esegue il deployment un servizio in una rete VPC separata dedicata consumatore (fai clic per ingrandire).
Servizi multi-tenant
I servizi multi-tenant sono servizi a cui possono accedere più consumatori o tenant. Il producer configura l'elenco di accettazione dei consumer del servizio in modo che i consumer di più progetti o di tutti i progetti possano connettersi al servizio. Il consumatore la lista di accettazione consente inoltre al producer di controllare Connessioni di Private Service Connect che ogni progetto può creare. Questi limiti aiutano il produttore a evitare l'esaurimento delle risorse o delle quote. Se producer deve identificare quale tenant è la sorgente del traffico, abilita PROXY protocollo sul servizio.
Figura 2. In un servizio gestito multi-tenant, un servizio in uno La rete VPC è accessibile a più consumer (fai clic per ingrandire).
Accesso multipunto
L'accesso multi-punto si verifica quando più Private Service Connect e endpoint o backend si connettono allo stesso collegamento al servizio. Private Service Connect multipunto è utile per i servizi multi-tenant perché consente a più consumer indipendenti di connettersi allo stesso servizio. È utile anche per i servizi single-tenant, come la creazione la connettività ai servizi su più reti VPC all'interno di un singolo consumer.
Non tutti i produttori di servizi scelgono di supportare l'accesso multipunto nel loro servizio gestito. Contatta il producer di servizi per verificare se i relativi collegamenti di servizio supportano l'accesso multi-punto.
Accesso multiregione
I servizi gestiti multiregione sono servizi di cui viene eseguito il deployment o a cui si accede in più regioni. I clienti potrebbero accedere a servizi in una regione diversa perché il servizio non esiste nella loro regione locale o per garantire un'alta disponibilità e il failover multi-regione. Poiché Google Cloud supporta le Reti VPC, Private Service Connect globale accesso consente ai client di raggiungere gli endpoint Private Service Connect da qualsiasi regione. Il traffico client può provenire da istanze di macchine virtuali (VM) Compute Engine, Tunnel Cloud VPN e collegamenti VLAN per Cloud Interconnect.
Figura 3. Endpoint Private Service Connect con l’accesso globale è accessibile da qualsiasi regione (fai clic per ingrandire).
Accesso on-premise e ibrido
Puoi connettere reti on-premise o altri provider cloud alla tua rete VPC utilizzando i collegamenti VLAN per i tunnel Cloud Interconnect e Cloud VPN. Poiché gli endpoint per le API e gli endpoint di Google per i servizi pubblicati sono entrambi accessibili a livello globale, i client nelle reti connesse possono inviare richieste in qualsiasi regione. Tuttavia, puoi eseguire il deployment di endpoint in più regioni per controllare in modo più granulare il routing dalle reti ibride. Puoi indirizzare il trafficoibrido da una regione specifica a un endpoint locale che ottimizza il percorso più breve per il percorso del traffico.
Figura 4. Endpoint Private Service Connect è possibile accedere ai backend dalle reti connesse (fai clic per ingrandire).
Connettività bidirezionale
Sebbene i client consumer in genere avviino connessioni ai servizi gestiti, a volte i servizi gestiti devono avviare connessioni i servizi di machine learning.
Connettività privata inversa
La connettività privata inversa si verifica quando un consumer consente alle VM e ai cluster GKE in una rete VPC del producer di avviare il traffico verso una rete VPC del consumer implementando Private Service Connect in modo inverso. In questo caso, il consumatore esegue il deployment di un bilanciatore del carico interno e di un collegamento al servizio, che pubblica la propria come servizio ai producer. I producer e i consumer possono utilizzare insieme Private Service Connect in entrambe le direzioni per creare connettività bidirezionale tra loro.
Figura 5. La connettività privata inversa consente ai consumatori e ai produttori di creare connettività bidirezionale tra loro (fai clic per ingrandire).
Interfacce Private Service Connect
Le interfacce Private Service Connect creano connessioni transitive tra VPC consumer e producer reti. Le risorse nelle reti VPC consumer e producer possono avviare connessioni tramite l'interfaccia Private Service Connect. Inoltre, poiché Connessione transitiva, risorse nella rete VPC del producer può comunicare con altri carichi di lavoro connessi al consumatore rete VPC. Ad esempio, una VM nel VPC del producer può raggiungere i carichi di lavoro nelle reti connesse rete VPC consumer tramite Cloud Interconnect o il peering di rete VPC.
Servizi ibridi
I servizi ibridi che non si trovano in Google Cloud possono trovarsi in altri cloud, in un ambiente on-premise o in una qualsiasi combinazione di queste località. Private Service Connect ti consente di rendere accessibile un servizio ibrido in un'altra rete VPC.
È possibile accedere ai servizi ibridi tramite NEG ibridi compatibili con i bilanciatori del carico supportati.
Spesso questa configurazione viene utilizzata come forma di connettività privata inversa, con i produttori di servizi che effettuano connessioni ai servizi consumer ospitati in reti on-premise. Private Service Connect consente al producer di raggiungere le reti ibride dei consumer senza stabilire la connettività direttamente con queste reti.
Figura 6. La connettività privata inversa consente ai consumatori e ai produttori di creare connettività bidirezionale tra loro (fai clic per ingrandire).
Per un esempio di configurazione, consulta Pubblicare un servizio ibrido utilizzando Private Service Connect.
VPC condiviso
Le risorse Private Service Connect possono essere implementate in reti VPC autonome o in reti VPC condivise. Gli endpoint, i backend e i collegamenti di servizio di Private Service Connect possono essere disassemblati in progetti host o progetti di servizio.
Ad esempio, un amministratore di servizi consumer può eseguire il deployment di endpoint e backend Private Service Connect nei progetti di servizio utilizzando gli indirizzi IP delle subnet nel progetto host. Con questo gli endpoint e i backend sono raggiungibili da altri servizi di progetti nella stessa rete VPC condiviso.
Tutti i client all'interno di una rete VPC condiviso dispongono di connettività Endpoint Private Service Connect indipendentemente dal progetto di cui è stato eseguito il deployment. Tuttavia, la scelta del progetto influisce sulla visibilità, sull'accesso IAM, e a quale progetto viene addebitata la fatturazione oraria delle risorse.
Figura 7. Puoi rendere disponibili le risorse Private Service Connect in tutti i progetti di servizio associati a una rete VPC condivisa (fai clic per ingrandire).
Passaggi successivi
- Scopri di più su Private Service Connect.
- Visualizza le informazioni sulla compatibilità di Private Service Connect.