Private Service Connect

Questo documento fornisce una panoramica di Private Service Connect.

Private Service Connect è una funzionalità di networking di Google Cloud consente ai consumatori di accedere privatamente ai servizi gestiti all'interno della rete VPC. Analogamente, consente producer di ospitare questi servizi nel proprio VPC separato e offrono una connessione privata ai loro consumatori. Ad esempio, quando utilizzi Private Service Connect per accedere a Cloud SQL, il consumer di servizi e Google è il producer di servizi.

Con Private Service Connect, i consumatori possono utilizzare il proprio IP interno per accedere ai servizi senza uscire dalle reti VPC. Il traffico rimane interamente all'interno di Google Cloud. Private Service Connect offre un accesso orientato ai servizi tra consumer e producer e un controllo completo sulle modalità di accesso ai servizi.

Private Service Connect supporta l'accesso ai seguenti tipi di servizi gestiti:

  • Servizi ospitati su VPC pubblicati, che includono quanto segue:
  • Google API, ad esempio Cloud Storage o BigQuery

Figura 1. Private Service Connect ti consente di inviare il traffico verso endpoint e backend che lo inoltrano agli endpoint gestiti inclusi i servizi pubblicati e le API di Google. Le interfacce di Private Service Connect consentono ai servizi gestiti per avviare le connessioni alle reti VPC consumer.

Private Service Connect fornisce la connettività privata le seguenti caratteristiche:

  • Design orientato ai servizi:i servizi di produzione vengono pubblicati tramite caricamento. bilanciatori che espongono un singolo indirizzo IP al consumer rete VPC. Traffico dei consumatori che accede ai servizi dei producer è unidirezionale e può accedere solo all'indirizzo IP del servizio, anziché di avere accesso a un'intera rete VPC in peering.
  • Autorizzazione esplicita: Private Service Connect fornisce un modello di autorizzazione che offre a consumatori e produttori un controllo granulare, assicurando che solo gli endpoint di servizio previsti e nessun'altra risorsa possano connettersi a un servizio.
  • Nessuna dipendenza condivisa: il traffico tra consumer e producer utilizza NAT in modo che nessun coordinamento degli indirizzi IP o altre dipendenze delle risorse condivise tra le reti VPC consumer e producer. Questo Independence semplifica il deployment e consente di scalare più facilmente i servizi di machine learning.
  • Prestazioni della tariffa di linea: traffico di Private Service Connect passa direttamente dai client consumer ai backend dei producer senza hop o proxy intermedi. NAT viene eseguito direttamente sull'host fisico che ospitano le VM consumer e producer, il che riduce la latenza aumenta la capacità della larghezza di banda. La capacità di larghezza di banda Private Service Connect è limitato solo dalla larghezza di banda delle macchine client e server che comunicano direttamente.

Tipi di Private Service Connect

Private Service Connect è disponibile in diversi tipi offrono capacità e modalità di comunicazione diverse.

I producer di servizi pubblicano le proprie applicazioni per i consumatori creando Servizi Private Service Connect. Accesso consumer di servizi dei servizi Private Service Connect direttamente questi tipi di Private Service Connect:

  • Endpoint Private Service Connect: endpoint vengono implementate utilizzando regole di forwarding che forniscono al consumatore un indirizzo IP indirizzo IP mappato a Private Service Connect completamente gestito di Google Cloud.
  • Backend Private Service Connect: i backend sono il deployment tramite gruppi di endpoint di rete (NEG) che permettono ai consumatori di indirizzare al bilanciatore del carico prima di raggiungere Servizio Private Service Connect.

I producer di servizi possono avviare connessioni ai consumer di servizi utilizzando Interfacce Private Service Connect. Le interfacce Private Service Connect offrono comunicazione e può essere utilizzato nella stessa rete VPC e backend.

Endpoint

Gli endpoint Private Service Connect sono indirizzi IP interni in rete VPC consumer a cui i client possono accedere direttamente quella rete. Gli endpoint vengono creati eseguendo il deployment di un regola che fa riferimento a un collegamento al servizio o a un set di API di Google.

Il seguente diagramma mostra un endpoint Private Service Connect che ha come target un servizio pubblicato in esecuzione in un rete VPC e organizzazione. Gli endpoint Private Service Connect e i servizi pubblicati permettono le aziende indipendenti comunicano tra loro usando indirizzi IP interni. Per ulteriori informazioni, consulta Informazioni sull'accesso ai servizi pubblicati tramite endpoint.

Figura 2. Private Service Connect ti consente di inviare il traffico verso gli endpoint che inoltrano il traffico ai servizi pubblicati in un'altra rete VPC.

Analogamente, un endpoint Private Service Connect può essere utilizzato accesso ad API di Google come Cloud Storage o BigQuery. Questa funzionalità è simile all'accesso privato Google, con la differenza che puoi e usare i tuoi indirizzi IP interni per gli endpoint. Private Service Connect ti consente di controllare in modo più diretto il routing e creare tutti gli endpoint necessari per la tua rete. Per ulteriori informazioni consulta la sezione Informazioni sull'accesso alle API di Google tramite endpoint.

Figura 3. Private Service Connect ti consente di inviare il traffico verso gli endpoint che lo inoltrano alle API di Google.

Backend

I backend Private Service Connect consentono a Google Cloud di caricare I bilanciatori del traffico inviano il traffico tramite Private Service Connect alla copertura o i servizi pubblicati, o API di Google. Il deployment dei backend viene eseguito Gruppi di endpoint di rete di Private Service Connect (NEG) che fanno riferimento a un collegamento a un servizio producer o a un'API di Google supportata. L'inserimento di un Il bilanciatore del carico di fronte a un servizio gestito offre al consumatore di visibilità e controllo rispetto a quanto ottenibile tramite Endpoint Private Service Connect. I backend consentono di creare configurazioni come le seguenti:

  • Domini e certificati di proprietà del cliente visibili ai servizi gestiti
  • Failover controllato dal consumatore tra servizi gestiti in diversi regioni
  • Configurazione di sicurezza e controllo dell'accesso centralizzati per i servizi gestiti

Il seguente diagramma mostra un bilanciatore del carico delle applicazioni interno di cui è stato eseguito il deployment con Backend Private Service Connect che fanno riferimento a un completamente gestito di Google Cloud. Nella configurazione sono presenti due bilanciatori del carico:

  • Il bilanciatore del carico consumer che fornisce controllo, visibilità e sicurezza di traffico al servizio.
  • Il bilanciatore del carico del producer che bilancia il carico nel servizio di backend.

Figura 4. Private Service Connect ti consente di inviare il traffico verso backend che lo inoltrano ai servizi pubblicati.

Analogamente agli endpoint Private Service Connect, anche i backend il supporto delle API di Google per il targeting. Il seguente diagramma mostra un bilanciatore del carico delle applicazioni interno che ha come target un bucket Cloud Storage e termina il traffico utilizzando un di proprietà del cliente.

Figura 5. Private Service Connect ti consente di inviare il traffico ai backend che lo inoltrano a un'API di Google regionale.

Interfacce

Un'interfaccia Private Service Connect è un tipo speciale di interfaccia di rete che fa riferimento a un collegamento di rete.

Un producer di servizi può creare un'interfaccia Private Service Connect e richiedere la connessione a un collegamento di rete. Se il consumer di servizi accetta la connessione, Google Cloud alloca all'interfaccia un indirizzo IP da una subnet nella rete VPC consumer specificata collegamento di rete. La VM di Private Service Connect ha una seconda interfaccia di rete standard che si collega alla rete VPC del producer.

Una connessione tra un'interfaccia di Private Service Connect e una collegamento di rete è simile alla connessione tra Endpoint Private Service Connect e un collegamento al servizio, ma presenta due differenze fondamentali:

  • Un'interfaccia Private Service Connect consente a un producer La rete VPC avvia le connessioni a un VPC consumer rete (traffico in uscita dal servizio gestito). Un endpoint funziona nella direzione inversa, Consentire a una rete VPC consumer di avviare connessioni a un producer Rete VPC (servizio gestito in entrata).
  • Una connessione all'interfaccia di Private Service Connect è transitiva. Ciò significa che i carichi di lavoro nella rete di un producer possono avviare connessioni e altri carichi di lavoro connesso alla rete VPC consumer. Gli endpoint Private Service Connect possono solo avviare connessioni alla rete VPC del producer.

Figura 6. Interfacce Private Service Connect consente ai producer di servizi di avviare connessioni ai consumer di servizi.

Servizi gestiti di Private Service Connect

I servizi gestiti sono servizi di proprietà e gestiti da un utente diverso da il consumer di servizi. Private Service Connect può essere utilizzato accedere a servizi gestiti di proprietà di Google, software di terze parti come società di servizi al dettaglio (SaaS) o altri team all'interno dell'azienda del consumatore. Entrambi e le API di Google possono essere destinazioni Private Service Connect.

Servizi pubblicati

I servizi pubblicati sono ospitati su VPC. di cui viene eseguito il deployment nella rete VPC del producer a cui si accede dalla rete VPC del consumer. Pubblicazione di un servizio consente al producer di servizi di possedere e controllare il deployment del servizio la tua rete VPC. I servizi pubblicati possono includere quanto segue:

  • Google Google Cloud, come GKE, Apigee o Cloud Composer. Questi servizi vengono eseguiti in progetti tenant e reti VPC sono gestiti da Google.
  • Terze parti Google Cloud, in cui terze parti offrono l'accesso privato a un servizio pubblicato in Google Cloud.
  • Servizi all'interno dell'organizzazione, a cui i clienti di una singola azienda accedono per applicazioni interne su diverse reti VPC. Alcune le organizzazioni utilizzano reti VPC separate per la segmentazione dei clienti. Data questa configurazione, un team può offrire un servizio gestito a un altro team che opera in una rete VPC separata.

Collegamenti ai servizi

Servizio allegati sono risorse utilizzate per creare Private Service Connect servizi pubblicati.

È possibile accedere ai collegamenti di servizio utilizzando endpoint o backend. Più backend o possono connettersi allo stesso collegamento a un servizio, il che consente Le reti VPC o più consumer accedono allo stesso servizio in esecuzione in un'istanza Compute Engine.

Un collegamento a un servizio ha come target un bilanciatore del carico del producer e consente ai client in un l'accesso alla rete VPC consumer al bilanciatore del carico. Il servizio di collegamento degli allegati definisce quanto segue:

  • Un elenco di accettazione dei consumatori che definisce quali consumatori sono autorizzati a connettersi al servizio.
  • La subnet NAT in cui il traffico tradotto proviene dal VPC del producer in ogni rete.
  • Un DNS facoltativo dominio, se fornita, che viene utilizzata nelle voci DNS per endpoint che sono viene creato automaticamente nella zona Cloud DNS del consumer.

API di Google

L'utilizzo di Private Service Connect per accedere alle API di Google è un un'alternativa all'utilizzo dell'accesso privato Google o dei nomi di dominio pubblico per le API di Google. In questo caso, il produttore è Google.

È possibile accedere alle API di Google utilizzando endpoint o backend.

Private Service Connect ti consente di:

  • Crea uno o più indirizzi IP interni per accedere alle API di Google per diversi e casi d'uso specifici.
  • Indirizza il traffico on-premise a regioni e indirizzi IP specifici quando che accede alle API di Google.
  • Centralizza il traffico delle API di Google tramite un bilanciatore del carico HTTP(S) per applicare i propri certificati, criteri di sicurezza o osservabilità.

Passaggi successivi