Questa pagina è stata tradotta dall'API Cloud Translation.

Pattern di deployment di Private Service Connect

Questa pagina illustra alcuni modi comuni per eseguire il deployment e accedere Private Service Connect.

Servizi single-tenant

I servizi single-tenant sono servizi dedicati a un singolo consumatore o tenant. L'istanza di servizio è in genere ospitata in un ambiente rete VPC dedicata a quel tenant per isolarlo da altri alle reti VPC tenant nell'organizzazione del producer. Ogni servizio utilizza un'accettazione del consumatore elenco per controllare quali possono connettersi al servizio. Utilizzando l'elenco di accettazione, puoi limitare l'accesso a un singolo tenant. Anche se solo un singolo tenant può connettersi al servizio, il tenant potrebbe creare più endpoint o backend se si connettono da più reti VPC.

**Figura 1.** In un servizio gestito a singolo tenant, il producer esegue il deployment un servizio in una rete VPC separata dedicata a quel consumer.

Servizi multi-tenant

I servizi multi-tenant sono servizi che più consumer o tenant possono access. Il producer configura l'elenco di accettazione del consumer per il servizio in modo che i consumer in diversi progetti o in più progetti possono connettersi al servizio. Il consumatore la lista di accettazione consente inoltre al producer di controllare Connessioni di Private Service Connect che ogni progetto può creare. Questi limiti aiutano il producer a evitare l'esaurimento di risorse o quote. Se producer deve identificare quale tenant è la sorgente del traffico, abilita PROXY protocollo sul servizio.

**Figura 2.** In un servizio gestito multi-tenant, un servizio in uno La rete VPC è accessibile da più consumer.

Accesso multi-punto

L'accesso multi-punto si verifica quando più Private Service Connect e endpoint o backend si connettono allo stesso collegamento al servizio. Multipunto Private Service Connect è utile per i servizi multi-tenant perché consente a più consumatori indipendenti di connettersi completamente gestito di Google Cloud. È utile anche per i servizi single-tenant, come la creazione la connettività ai servizi su più reti VPC all'interno di un singolo consumer.

Non tutti i producer di servizi scelgono di supportare l'accesso multi-point nella propria completamente gestito di Google Cloud. Contatta il producer di servizi per verificare se i relativi collegamenti di servizio supportano l'accesso multi-punto.

Accesso multiregionale

I servizi gestiti multiregionali sono servizi di cui viene eseguito il deployment o a cui si accede in più regioni. I client potrebbero accedere ai servizi in una regione diversa il servizio non esiste nella loro regione o per l'alta disponibilità e il failover multiregione. Poiché Google Cloud supporta le Reti VPC, Private Service Connect globale accesso consente ai client di raggiungere gli endpoint Private Service Connect da qualsiasi regione. Il traffico client può provenire da istanze di macchine virtuali (VM) Compute Engine, Tunnel Cloud VPN e collegamenti VLAN per Cloud Interconnect.

**Figura 3.** È possibile accedere agli endpoint Private Service Connect con accesso globale da qualsiasi regione.

Accesso on-premise e ibrido

Puoi connettere reti on-premise o altri cloud provider al tuo rete VPC utilizzando collegamenti VLAN per Cloud Interconnect e tunnel Cloud VPN. Poiché gli endpoint per le API e gli endpoint di Google per i servizi pubblicati sono entrambi accessibili a livello globale, i client nelle reti connesse possono inviare richieste in qualsiasi regione. Tuttavia, puoi eseguire il deployment degli endpoint in più regioni per controllare in modo più granulare il routing dalle reti ibride. Puoi eseguire il routing ibrido da una regione specifica a un endpoint locale che ottimizza l'esperienza più breve per il percorso del traffico.

**Figura 4.** È possibile accedere agli endpoint e ai backend di Private Service Connect dalle reti connesse.

Connettività bidirezionale

Sebbene i client consumer in genere avviino connessioni ai servizi gestiti, a volte i servizi gestiti devono avviare connessioni i servizi di machine learning.

Inverti connettività privata

La connettività privata inversa si verifica quando un consumer consente a VM Cluster GKE in una rete VPC del producer avvia il traffico verso una rete VPC consumer eseguendo il deployment Private Service Connect al contrario. In questo caso, il consumatore esegue il deployment di un bilanciatore del carico interno e di un collegamento al servizio, che pubblica la propria come servizio ai producer. Insieme, produttori e consumatori possono usare Private Service Connect in direzione avanti e indietro per creare una connettività bidirezionale tra loro.

**Figura 5.** La connettività privata inversa consente a consumatori e producer creano una connettività bidirezionale tra loro.

Interfacce Private Service Connect

Le interfacce Private Service Connect creano connessioni transitive tra VPC consumer e producer reti. Risorse sia nel consumatore che nel produttore Le reti VPC possono avviare connessioni Interfaccia di Private Service Connect. Inoltre, poiché Connessione transitiva, risorse nella rete VPC del producer può comunicare con altri carichi di lavoro connessi al consumatore rete VPC. Ad esempio, una VM nel VPC del producer può raggiungere i carichi di lavoro nelle reti connesse rete VPC consumer tramite Cloud Interconnect o il peering di rete VPC.

Servizi ibridi

I servizi ibridi che non si trovano in Google Cloud possono trovarsi in altri cloud, in un ambiente on-premise o in una qualsiasi combinazione di queste località. Private Service Connect consente di rendere accessibile un servizio ibrido in un'altra rete VPC.

È possibile accedere ai servizi ibridi tramite ibrido NEG compatibili con il carico supportato bilanciatori del carico.

Spesso questa configurazione viene utilizzata come forma di connettività privata inversa, con producer di servizi che creano connessioni a servizi consumer ospitati in delle reti on-premise. Private Service Connect consente al producer Raggiungere le reti ibride di consumatori senza stabilire direttamente la connettività con quelle reti.

**Figura 6.** La connettività privata inversa consente a consumatori e producer creano una connettività bidirezionale tra loro.

Per una configurazione di esempio, consulta Pubblicare un servizio ibrido utilizzando Private Service Connect.

VPC condiviso

Il deployment delle risorse Private Service Connect può essere eseguito in modalità autonoma Reti VPC o VPC condiviso reti. Endpoint, backend ed endpoint di Private Service Connect è possibile eseguire il deployment dei collegamenti ai servizi nei progetti host o nei progetti di servizio.

Ad esempio, un amministratore dei servizi consumer può eseguire Endpoint e backend Private Service Connect nel servizio utilizzando indirizzi IP di subnet nel progetto host. Con questo gli endpoint e i backend sono raggiungibili da altri servizi di progetti nella stessa rete VPC condiviso.

Tutti i client all'interno di una rete VPC condiviso dispongono di connettività a un Endpoint Private Service Connect indipendentemente dal progetto di cui è stato eseguito il deployment. Tuttavia, la scelta del progetto influisce sulla visibilità, sull'accesso IAM, e a quale progetto viene addebitata la fatturazione oraria delle risorse.

**Figura 7.** Puoi rendere private le risorse Private Service Connect disponibile in tutti i progetti di servizio associati a una rete VPC condiviso.

Passaggi successivi

Scopri di più su Private Service Connect.
Visualizza la compatibilità di Private Service Connect informazioni.