Questa pagina è stata tradotta dall'API Cloud Translation.

Pattern di deployment di Private Service Connect

Questa pagina descrive alcuni modi comuni per eseguire il deployment e accedere a Private Service Connect.

Servizi single-tenant

I servizi single-tenant sono servizi dedicati a un singolo consumer o tenant. L'istanza di servizio è in genere ospitata in una rete VPC separata dedicata a quel tenant per isolarla dalle altre reti VPC tenant nell'organizzazione producer. Ogni servizio utilizza un elenco di accettazione per gli utenti per controllare quali progetti possono connettersi al servizio. Usando l'elenco di accettazione, puoi limitare l'accesso a un singolo tenant. Anche se un solo tenant può connettersi al servizio, potrebbe creare più endpoint o backend se si connettono da più reti VPC.

**Figura 1.** In un servizio gestito con tenant singolo, il producer esegue il deployment di un servizio in una rete VPC separata dedicata a quel consumer.

Servizi multi-tenant

I servizi multi-tenant sono servizi a cui possono accedere più consumer o tenant. Il producer configura l'elenco che accetta il consumer del servizio in modo che i consumer di più progetti o di qualsiasi progetto possano connettersi al servizio. La lista di accettazione del consumer consente inoltre al producer di controllare il numero di connessioni Private Service Connect che ogni progetto può creare. Questi limiti aiutano il producer a evitare l'esaurimento di risorse o quote. Se il producer deve identificare il tenant che proviene dal traffico, può abilitare il protocollo PROXY sul servizio.

**Figura 2.** In un servizio gestito multi-tenant, un servizio in una rete VPC è accessibile a più consumer.

Accesso multipunto

L'accesso multipunto si verifica quando più endpoint o backend Private Service Connect si connettono allo stesso collegamento al servizio. Multi-point Private Service Connect è utile per i servizi multi-tenant perché consente a più consumer indipendenti di connettersi allo stesso servizio. È utile anche per i servizi single-tenant per casi come la creazione di connettività di servizi in più reti VPC all'interno di un singolo consumer.

Non tutti i producer di servizi scelgono di supportare l'accesso multi-punto nel servizio gestito. Contatta il producer di servizi per verificare se i suoi collegamenti ai servizi supportano l'accesso multipunto.

Accesso a più regioni

I servizi gestiti a livello di più regioni sono servizi di cui viene eseguito il deployment o l'accesso in più regioni. I client potrebbero accedere a servizi in una regione diversa perché il servizio non esiste nella loro regione locale o per l'alta disponibilità e il failover multiregione. Poiché Google Cloud supporta le reti VPC globali, l'accesso globale Private Service Connect consente ai clienti di raggiungere gli endpoint di Private Service Connect da qualsiasi regione. Il traffico client può provenire da istanze di macchine virtuali (VM) Compute Engine, tunnel Cloud VPN e collegamenti VLAN per Cloud Interconnect.

**Figura 3.** Gli endpoint Private Service Connect con accesso globale sono accessibili da qualsiasi regione.

Accesso on-premise e ibrido

Puoi connettere reti on-premise o altri cloud provider alla tua rete VPC utilizzando collegamenti VLAN per i tunnel Cloud Interconnect e Cloud VPN. Poiché gli endpoint per le API di Google e gli endpoint per i servizi pubblicati sono entrambi accessibili a livello globale, i client nelle reti connesse possono inviare richieste agli endpoint in qualsiasi regione. ma il deployment degli endpoint in più regioni per controllare in modo più granulare il routing dalle reti ibride. Puoi instradare il traffico ibrido da una regione specifica a un endpoint locale, in modo da ottimizzare il percorso più breve del percorso del traffico.

**Figura 4.** È possibile accedere agli endpoint e ai backend Private Service Connect dalle reti connesse.

Connettività bidirezionale

Sebbene i client consumer in genere avviino connessioni ai servizi gestiti, a volte i servizi gestiti devono avviare connessioni ai servizi di proprietà dei consumatori.

Inverti la connettività privata

La connettività privata inversa si verifica quando un consumer consente alle VM e ai cluster GKE di una rete VPC di producer di avviare il traffico verso una rete VPC consumer eseguendo il deployment di Private Service Connect inverso. In questo caso, il consumer esegue il deployment di un bilanciatore del carico interno e di un collegamento al servizio, che pubblica il servizio per i producer. Insieme, producer e consumer possono utilizzare Private Service Connect in direzione diretta e inversa per creare una connettività bidirezionale tra loro.

**Figura 5.** La connettività privata inversa consente a consumatori e produttori di creare una connettività bidirezionale tra loro.

Interfacce di Private Service Connect

Le interfacce Private Service Connect creano connessioni bidirezionali e transitive tra reti VPC di consumer e producer. Le risorse nelle reti VPC di consumer e producer possono avviare connessioni tramite l'interfaccia Private Service Connect. Inoltre, poiché la connessione è transitiva, le risorse nella rete VPC del producer possono comunicare con altri carichi di lavoro connessi alla rete VPC consumer. Ad esempio, una VM nella rete VPC del produttore può raggiungere i carichi di lavoro nelle reti connesse alla rete VPC consumer tramite Cloud Interconnect o il peering di rete VPC.

Servizi ibridi

I servizi ibridi che non si trovano in Google Cloud possono trovarsi in altri cloud, in un ambiente on-premise o in qualsiasi combinazione di queste località. Private Service Connect consente di rendere accessibile un servizio ibrido in un'altra rete VPC.

È possibile accedere ai servizi ibridi tramite NEG ibridi compatibili con i bilanciatori del carico supportati.

Spesso questa configurazione viene utilizzata come una forma di connettività privata inversa, con i producer di servizi che creano connessioni a servizi consumer ospitati in reti on-premise. Private Service Connect consente al producer di raggiungere le reti ibride di consumo senza stabilire una connettività direttamente con queste reti.

**Figura 6.** La connettività privata inversa consente a consumatori e produttori di creare una connettività bidirezionale tra loro.

Per una configurazione di esempio, consulta Pubblicare un servizio ibrido utilizzando Private Service Connect.

VPC condiviso

Il deployment delle risorse Private Service Connect può essere eseguito in reti VPC autonome o reti VPC condiviso. Il deployment di endpoint, backend e collegamenti ai servizi di Private Service Connect può essere eseguito in progetti host o progetti di servizio.

Ad esempio, un amministratore del servizio consumer può eseguire il deployment di endpoint e backend Private Service Connect in progetti di servizio utilizzando indirizzi IP da subnet nel progetto host. Con questa configurazione, gli endpoint e i backend possono essere raggiunti da altri progetti di servizio nella stessa rete VPC condiviso.

Tutti i client all'interno di una rete VPC condiviso dispongono di connettività a un endpoint Private Service Connect indipendentemente dal progetto in cui è stato eseguito il deployment. Tuttavia, la scelta del progetto influisce sulla visibilità, sull'accesso IAM e sul progetto a cui viene addebitata la fatturazione oraria delle risorse.

**Figura 7.** Puoi rendere disponibili le risorse Private Service Connect in tutti i progetti di servizio associati a una rete VPC condiviso.

Passaggi successivi

Scopri di più su Private Service Connect.
Visualizza le informazioni sulla compatibilità di Private Service Connect.