Private Service Connect
Questo documento fornisce una panoramica di Private Service Connect.
Private Service Connect è una funzionalità della rete di Google Cloud che consente ai consumer di accedere ai servizi gestiti in privato dall'interno della loro rete VPC. Analogamente, consente ai producer di servizi gestiti di ospitare questi servizi nelle proprie reti VPC separate e di offrire una connessione privata ai propri consumer. Ad esempio, quando utilizzi Private Service Connect per accedere a Cloud SQL, sei il consumatore di servizi e Google è il produttore di servizi.
Con Private Service Connect, i consumer possono utilizzare i propri indirizzi IP interni per accedere ai servizi senza uscire dalle proprie reti VPC. Il traffico rimane interamente all'interno di Google Cloud. Private Service Connect fornisce accesso orientato ai servizi tra consumatori e produttori con controllo granulare sul modo in cui viene eseguito l'accesso ai servizi.
Private Service Connect supporta l'accesso ai seguenti tipi di servizi gestiti:
- Servizi ospitati su VPC pubblicati, che includono quanto segue:
- Google ha pubblicato servizi, come Apigee o il piano di controllo GKE,
- Pubblicato da terze parti fornita dai partner di Private Service Connect
- Servizi pubblicati all'interno dell'organizzazione, in cui il consumatore e il produttore potrebbero essere due reti VPC diverse all'interno della stessa azienda
- API di Google, come Cloud Storage o BigQuery
Private Service Connect fornisce la connettività privata le seguenti caratteristiche:
- Design orientato ai servizi:i servizi di produzione vengono pubblicati tramite caricamento. bilanciatori che espongono un singolo indirizzo IP al consumer rete VPC. Traffico dei consumatori che accede ai servizi dei producer è unidirezionale e può accedere solo all'indirizzo IP del servizio, anziché di avere accesso a un'intera rete VPC in peering.
- Autorizzazione esplicita: Private Service Connect fornisce un modello di autorizzazione che offre a consumatori e produttori un controllo granulare, assicurando che solo gli endpoint di servizio previsti e nessun'altra risorsa possano connettersi a un servizio.
- Nessuna dipendenza condivisa: il traffico tra i consumatori e i produttori utilizza NAT in modo che non esistano dipendenze di risorse condivise o di coordinamento degli indirizzi IP tra le reti VPC dei consumatori e dei produttori. Questa indipendenza semplifica il deployment e ti consente di scalare più facilmente i servizi gestiti.
- Rendimento a velocità di linea: il traffico di Private Service Connect viene inoltrato direttamente dai client consumer ai backend dei producer senza hop o proxy intermedi. La NAT viene eseguita direttamente sulle macchine host fisiche che ospitano le VM di consumer e producer, il che riduce la latenza e aumenta la capacità della larghezza di banda. La capacità di larghezza di banda Private Service Connect è limitato solo dalla larghezza di banda delle macchine client e server che comunicano direttamente.
Tipi di Private Service Connect
Private Service Connect è disponibile in diversi tipi che forniscono funzionalità e modalità di comunicazione diverse.
I producer di servizi pubblicano le loro applicazioni per i consumer creando servizi Private Service Connect. Accesso consumer di servizi dei servizi Private Service Connect direttamente questi tipi di Private Service Connect:
- Endpoint Private Service Connect: gli endpoint vengono di cui vengono eseguiti il deployment utilizzando regole di inoltro che forniscono al consumer un indirizzo IP mappato al servizio Private Service Connect.
- Backend Private Service Connect: i backend vengono impiegati utilizzando i gruppi di endpoint di rete (NEG) che consentono ai consumer di indirizzare il traffico al bilanciatore del carico prima di raggiungere un servizio Private Service Connect.
I producer di servizi possono avviare connessioni ai consumatori di servizi utilizzando le interfacce Private Service Connect. Le interfacce Private Service Connect forniscono comunicazione bidirezionale e possono essere utilizzate nella stessa rete VPC degli endpoint e dei backend.
Endpoint
Gli endpoint di Private Service Connect sono indirizzi IP interni di una rete VPC del consumer a cui i client della stessa rete possono accedere direttamente. Gli endpoint vengono creati eseguendo il deployment di un regola che fa riferimento a un collegamento al servizio o a un set di API di Google.
Il seguente diagramma mostra un endpoint Private Service Connect che ha come target un servizio pubblicato in esecuzione in un rete VPC e organizzazione. Gli endpoint Private Service Connect e i servizi pubblicati permettono le aziende indipendenti comunicano tra loro usando indirizzi IP interni. Per saperne di più, consulta Informazioni sull'accesso ai servizi pubblicati tramite gli endpoint.
Analogamente, un endpoint Private Service Connect può essere utilizzato accesso ad API di Google come Cloud Storage o BigQuery. Questa funzionalità è simile all'accesso privato Google, con la differenza che puoi e usare i tuoi indirizzi IP interni per gli endpoint. Private Service Connect ti consente di controllare più direttamente il routing e di creare tutti gli endpoint necessari per la tua rete. Per ulteriori informazioni, consulta Informazioni sull'accesso alle API di Google tramite gli endpoint.
Backend
I backend Private Service Connect consentono a Google Cloud di caricare I bilanciatori del traffico inviano il traffico tramite Private Service Connect alla copertura o i servizi pubblicati, o API di Google. Il deployment dei backend viene eseguito Gruppi di endpoint di rete di Private Service Connect (NEG) che fanno riferimento a un collegamento a un servizio producer o a un'API di Google supportata. Posizionare un bilanciatore del carico davanti a un servizio gestito offre al consumatore più visibilità e controllo di quanto sia possibile tramite un endpoint Private Service Connect. I backend consentono di creare configurazioni come le seguenti:
- Domini e certificati di proprietà del cliente visibili ai servizi gestiti
- Failover controllato dal consumatore tra servizi gestiti in diversi regioni
- Configurazione della sicurezza e controllo degli accessi centralizzati per i servizi gestiti
Il seguente diagramma mostra un bilanciatore del carico delle applicazioni interno di cui è stato eseguito il deployment con i backend Private Service Connect che fanno riferimento a un servizio pubblicato. Nella configurazione sono presenti due bilanciatori del carico:
- Il bilanciatore del carico del consumer che fornisce controllo, visibilità e sicurezza del traffico verso il servizio.
- Il bilanciatore del carico del produttore che bilancia il traffico tra i backend del servizio.
Analogamente agli endpoint Private Service Connect, anche i backend supportano il targeting delle API di Google. Il seguente diagramma mostra un bilanciatore del carico delle applicazioni interno che ha come target un bucket Cloud Storage e termina il traffico utilizzando un dominio di proprietà del cliente.
Interfacce
Un'interfaccia Private Service Connect è un tipo speciale di interfaccia di rete che fa riferimento a un collegamento di rete.
Un producer di servizi può creare un'interfaccia Private Service Connect e richiedere la connessione a un collegamento di rete. Se il consumatore del servizio accetta la connessione, Google Cloud alloca all'interfaccia un indirizzo IP di una subnet nella rete VPC del consumatore specificata dal collegamento di rete. La VM di Private Service Connect ha una seconda interfaccia di rete standard che si collega alla rete VPC del producer.
Una connessione tra un'interfaccia di Private Service Connect e una collegamento di rete è simile alla connessione tra Endpoint Private Service Connect e un collegamento al servizio, ma presenta due differenze fondamentali:
- Un'interfaccia Private Service Connect consente a una rete VPC producer di avviare connessioni a una rete VPC consumer (traffico in uscita dal servizio gestito). Un endpoint funziona in direzione opposta, consentendo a una rete VPC consumer di avviare connessioni a una rete VPC producer (ingresso del servizio gestito).
- Una connessione dell'interfaccia Private Service Connect è transitiva. Ciò significa che i carichi di lavoro in una rete producer possono avviare connessioni ad altri carichi di lavoro connessi alla rete VPC consumer. Gli endpoint Private Service Connect possono solo avviare connessioni alla rete VPC del producer.
Servizi gestiti di Private Service Connect
I servizi gestiti sono servizi di proprietà e gestiti da un utente diverso da il consumer di servizi. Private Service Connect può essere utilizzato per accedere ai servizi gestiti di proprietà di Google, a società di software as a service (SaaS) di terze parti o ad altri team all'interno della stessa azienda del consumatore. Sia i servizi pubblicati sia le API di Google possono essere target di Private Service Connect.
Servizi pubblicati
I servizi pubblicati sono ospitati su VPC. di cui viene eseguito il deployment nella rete VPC del producer a cui si accede dalla rete VPC del consumer. La pubblicazione di un servizio consente al producer di servizi di possedere e controllare il deployment del servizio nella propria rete VPC. I servizi pubblicati possono includere quanto segue:
- Servizi Google, come GKE, Apigee o Cloud Composer. Questi servizi vengono eseguiti in progetti tenant e reti VPC sono gestiti da Google.
- Servizi di terze parti, in cui terze parti offrono accesso privato a un servizio pubblicato in Google Cloud.
- Servizi intra-organizzazione, in cui una singola azienda ha client che accedono alle applicazioni interne su reti VPC diverse. Alcune le organizzazioni utilizzano reti VPC separate per la segmentazione dei clienti. Con questa configurazione, un team può offrire un servizio gestito a un altro team che opera in una rete VPC separata.
Collegamenti di servizi
Servizio allegati sono risorse utilizzate per creare Private Service Connect servizi pubblicati.
Puoi accedere agli allegati dei servizi utilizzando endpoint o backend. Più backend o endpoint possono connettersi allo stesso collegamento del servizio, il che consente a più reti VPC o a più consumatori di accedere alla stessa istanza di servizio.
Un collegamento di servizio ha come target un bilanciatore del carico del producer e consente ai client in una rete VPC consumer di accedere al bilanciatore del carico. La configurazione dell'aggancio del servizio definisce quanto segue:
- Un elenco di accettazione dei consumatori che definisce quali consumatori sono autorizzati a connettersi al servizio.
- La subnet NAT in cui il traffico tradotto proviene dal VPC del producer in ogni rete.
- Un DNS facoltativo dominio, se fornita, che viene utilizzata nelle voci DNS per endpoint che sono viene creato automaticamente nella zona Cloud DNS del consumer.
API di Google
L'utilizzo di Private Service Connect per accedere alle API di Google è un un'alternativa all'utilizzo dell'accesso privato Google o dei nomi di dominio pubblico per le API di Google. In questo caso, il produttore è Google.
È possibile accedere alle API Google utilizzando endpoint o backend.
- Gli endpoint ti consentono di scegliere come target un bundle di API di Google globali o una singola API di Google regionale.
- I backend ti consentono di scegliere come target una singola API di Google o una singola API di Google regionale.
Private Service Connect ti consente di:
- Crea uno o più indirizzi IP interni per accedere alle API Google per diversi casi d'uso.
- Indirizza il traffico on-premise ad indirizzi IP e regioni specifici quando accedhi alle API di Google.
- Centralizza il traffico delle API di Google tramite un bilanciatore del carico HTTP(S) per applicare i tuoi certificati, criteri di sicurezza o l'osservabilità.
Passaggi successivi
- Completa uno dei seguenti codelab:
- Scopri come accedere ai servizi pubblicati tramite endpoint.
- Scopri come accedere alle API Google tramite endpoint.
- Scopri di più sui backend.
- Scopri di più sui servizi di pubblicazione.