Modèles de déploiement Private Service Connect
Cette page décrit plusieurs méthodes courantes pour déployer Private Service Connect et y accéder.
Services à locataire unique
Les services à locataire unique sont des services dédiés à un seul client ou locataire. L'instance de service est généralement hébergée dans un réseau VPC distinct dédié à ce locataire, afin de l'isoler des autres réseaux VPC locataires de l'organisation du producteur. Chaque service utilise une liste d'acceptation des clients pour contrôler les projets pouvant s'y connecter. À l'aide de la liste d'acceptation, vous pouvez limiter l'accès à un seul locataire. Bien qu'un seul locataire puisse se connecter au service, il peut créer plusieurs points de terminaison ou backends s'il se connecte à partir de plusieurs réseaux VPC.
Figure 1 : Dans un service géré à locataire unique, le producteur déploie un service dans un réseau VPC distinct dédié à ce client.
Services mutualisés
Les services mutualisés sont des services auxquels plusieurs clients ou locataires peuvent accéder. Le producteur configure la liste d'acceptation du service de manière à ce que les clients de plusieurs projets ou de n'importe quel projet puissent se connecter au service. La liste d'acceptation des clients permet également au producteur de contrôler le nombre de connexions Private Service Connect que chaque projet peut créer. Ces limites aident le producteur à éviter l'épuisement des ressources ou des quotas. Si le producteur doit identifier le locataire qui est la source du trafic, il peut activer le protocole de proxy sur le service.
Figure 2. Dans un service géré mutualisé, un service d'un réseau VPC est accessible par plusieurs clients.
Accès multipoint
L'accès multipoint se produit lorsque plusieurs points de terminaison ou backends Private Service Connect se connectent au même rattachement de service. La solution Private Service Connect multipoint est utile pour les services mutualisés, car elle permet à plusieurs clients indépendants de se connecter au même service. Elle est également utile pour les services à locataire unique dans certains cas, par exemple lors de la création d'une connectivité de service sur plusieurs réseaux VPC au sein d'un même client.
Les producteurs de services ne choisissent pas tous d'autoriser l'accès multipoint dans leur service géré. Contactez le producteur de services pour vérifier si ses rattachements de service sont compatibles avec l'accès multipoint.
Accès multirégional
Les services gérés multirégionaux sont des services déployés ou accessibles dans plusieurs régions. Les clients peuvent accéder à un service dans une région différente, car il n'existe pas dans leur région locale, ou dans le cas d'une haute disponibilité ou d'un basculement multirégional. Comme Google Cloud est compatible avec les réseaux VPC mondiaux, l'accès mondial à Private Service Connect permet aux clients d'atteindre des points de terminaison Private Service Connect à partir de n'importe quelle région. Le trafic client peut provenir d'instances de machines virtuelles (VM) Compute Engine, de tunnels Cloud VPN et de rattachements de VLAN pour Cloud Interconnect.
Figure 3. Les points de terminaison Private Service Connect avec accès mondial sont accessibles depuis n'importe quelle région.
Accès sur site et hybride
Vous pouvez connecter des réseaux sur site ou d'autres fournisseurs de services cloud à votre réseau VPC à l'aide de rattachements de VLAN pour Cloud Interconnect et de tunnels Cloud VPN. Comme les points de terminaison des API Google et les points de terminaison des services publiés sont accessibles aux utilisateurs du monde entier, les clients des réseaux connectés peuvent envoyer des requêtes aux points de terminaison dans n'importe quelle région. Toutefois, vous pouvez déployer des points de terminaison dans plusieurs régions afin de contrôler plus précisément le routage à partir de réseaux hybrides. Vous pouvez acheminer le trafic hybride d'une région spécifique vers un point de terminaison local qui optimise la route la plus courte pour le chemin du trafic.
Figure 4. Les points de terminaison et les backends Private Service Connect sont accessibles à partir de réseaux connectés.
Connectivité bidirectionnelle
Bien que les clients grand public initient généralement des connexions à des services gérés, ceux-ci doivent parfois initier des connexions à des services détenus par le client.
Connectivité privée inverse
La connectivité privée inverse se produit lorsqu'un consommateur permet aux VM et aux clusters GKE d'un réseau VPC producteur d'initier du trafic vers un réseau VPC consommateur en déployant Private Service Connect dans l'ordre inverse. Dans ce cas, le client déploie un équilibreur de charge interne et un rattachement de service, qui publie son service sur les producteurs. Les producteurs et les utilisateurs peuvent utiliser Private Service Connect dans une direction directe et inverse pour créer une connectivité bidirectionnelle entre eux.
Figure 5. La connectivité privée inverse permet aux consommateurs et aux producteurs de créer une connectivité bidirectionnelle entre eux.
Interfaces Private Service Connect
Les interfaces Private Service Connect créent des connexions transitives bidirectionnelles entre les réseaux VPC consommateur et producteur. Les ressources des réseaux VPC consommateur et producteur peuvent initier des connexions via l'interface Private Service Connect. En outre, comme la connexion est transitive, les ressources du réseau VPC producteur peuvent communiquer avec d'autres charges de travail connectées au réseau VPC consommateur. Par exemple, une VM du réseau VPC producteur peut atteindre les charges de travail des réseaux connectés au réseau VPC consommateur via Cloud Interconnect ou l'appairage de réseaux VPC.
Services hybrides
Les services hybrides qui ne sont pas situés dans Google Cloud peuvent se trouver dans d'autres clouds, dans un environnement sur site ou une combinaison de ces emplacements. Private Service Connect vous permet de rendre un service hybride accessible dans un autre réseau VPC.
Les services hybrides sont accessibles via des NEG hybrides compatibles avec les équilibreurs de charge acceptés.
Cette configuration est souvent utilisée comme forme de connectivité privée inverse, avec des producteurs de services établissant des connexions à des services grand public hébergés dans des réseaux sur site. Private Service Connect permet au producteur d'atteindre les réseaux hybrides grand public sans établir de connectivité directe avec ces réseaux.
Figure 6. La connectivité privée inverse permet aux consommateurs et aux producteurs de créer une connectivité bidirectionnelle entre eux.
Pour obtenir un exemple de configuration, consultez Publier un service hybride à l'aide de Private Service Connect.
VPC partagé
Les ressources Private Service Connect peuvent être déployées dans des réseaux VPC autonomes ou des réseaux VPC partagés. Les points de terminaison, les backends et les rattachements de service Private Service Connect peuvent être déployés dans des projets hôtes ou des projets de service.
Par exemple, un administrateur de service consommateur peut déployer des points de terminaison et des backends Private Service Connect dans des projets de service en utilisant les adresses IP des sous-réseaux du projet hôte. Avec cette configuration, les points de terminaison et les backends sont accessibles à partir d'autres projets de service du même réseau VPC partagé.
Tous les clients d'un réseau VPC partagé disposent d'une connectivité à un point de terminaison Private Service Connect, quel que soit le projet dans lequel il est déployé. Cependant, le choix du projet affecte la visibilité, l'accès IAM et le projet sur lequel la facturation horaire des ressources est facturée.
Figure 7. Vous pouvez rendre des ressources Private Service Connect disponibles dans tous les projets de service associés à un réseau VPC partagé.
Étapes suivantes
- Apprenez-en plus sur Private Service Connect.
- Consultez les informations de compatibilité de Private Service Connect.