Private Service Connect
Ce document offre un aperçu de Private Service Connect.
Private Service Connect est une fonctionnalité de mise en réseau de Google Cloud qui permet aux clients d'accéder à des services gérés en mode privé depuis leur réseau VPC. De même, il permet aux producteurs de services gérés d'héberger ces services dans leurs propres réseaux VPC séparés et de proposer une connexion privée à leurs clients. Par exemple, lorsque vous utilisez Private Service Connect pour accéder à Cloud SQL, vous êtes le client du service et Google est le producteur de services.
Avec Private Service Connect, les clients peuvent utiliser leurs propres adresses IP internes pour accéder aux services sans quitter leurs réseaux VPC. Le trafic reste entièrement dans Google Cloud. Private Service Connect fournit un accès orienté services entre clients et producteurs, avec un contrôle précis sur l'accès aux services.
Private Service Connect permet d'accéder aux types de services gérés suivants :
- Services publiés hébergés sur VPC, ce qui inclut les éléments suivants :
- Services publiés par Google, tels qu'Apigee ou le plan de contrôle GKE
- Services publiés tiers fournis par des partenaires Private Service Connect
- Services publiés dans l'organisation, où le client et le producteur peuvent être deux réseaux VPC différents au sein de la même entreprise
- API Google, telles que Cloud Storage ou BigQuery
Private Service Connect fournit une connectivité privée qui présente les caractéristiques suivantes :
- Conception orientée services : les services du producteur sont publiés via des équilibreurs de charge qui exposent une seule adresse IP au réseau VPC client. Le trafic client qui accède aux services du producteur est unidirectionnel et ne peut accéder qu'à l'adresse IP du service, au lieu d'avoir accès à l'intégralité du réseau VPC appairé.
- Autorisation explicite : Private Service Connect fournit un modèle d'autorisation qui donne aux clients et aux producteurs un contrôle précis, garantissant que seuls les points de terminaison de service prévus (et aucune autre ressource) peuvent se connecter à un service.
- Aucune dépendance partagée : le trafic entre les clients et les producteurs utilise la traduction NAT pour garantir qu'il n'y a pas de chevauchement entre les adresses IP ou d'autres dépendances de ressources partagées entre les réseaux VPC client et producteur. Cette indépendance simplifie le déploiement et permet de faire évoluer plus facilement les services gérés.
- Performances du débit en ligne : le trafic Private Service Connect passe directement des clients utilisateurs aux backends des producteurs sans sauts ou proxys intermédiaires. La traduction NAT est effectuée directement sur les machines hôtes physiques qui hébergent les VM des clients et des producteurs, ce qui réduit la latence et augmente la capacité de bande passante. La capacité de bande passante de Private Service Connect n'est limitée que par la capacité de bande passante des machines clientes et serveur qui communiquent directement.
Types Private Service Connect
Private Service Connect est disponible sous différents types offrant des fonctionnalités et des modes de communication différents.
Les producteurs de services publient leurs applications auprès des clients en créant des services Private Service Connect. Les clients de service accèdent à ces services Private Service Connect directement via l'un des types suivants :
- Points de terminaison Private Service Connect : les points de terminaison sont déployés à l'aide de règles de transfert qui fournissent au client une adresse IP mappée au service Private Service Connect.
- Backends Private Service Connect : les backends sont déployés à l'aide de groupes de points de terminaison du réseau (NEG) qui permettent aux clients de diriger le trafic vers leur équilibreur de charge avant d'atteindre un service Private Service Connect.
Les producteurs de services peuvent établir des connexions avec les clients des services à l'aide d'interfaces Private Service Connect. Les interfaces Private Service Connect fournissent une communication bidirectionnelle et peuvent être utilisées sur le même réseau VPC que les points de terminaison et les backends.
Points de terminaison
Les points de terminaison Private Service Connect sont des adresses IP internes d'un réseau VPC client, auxquelles les utilisateurs appartenant à ce réseau peuvent accéder directement. Pour créer un point de terminaison, vous devez déployer une règle de transfert faisant référence à un rattachement de service ou à un groupe d'API Google.
Le schéma suivant illustre un point de terminaison Private Service Connect qui cible un service publié s'exécutant dans un réseau et une organisation VPC distincts. Les points de terminaison Private Service Connect et les services publiés permettent à deux entreprises indépendantes de communiquer entre elles à l'aide d'adresses IP internes. Pour en savoir plus, consultez la section À propos de l'accès aux services publiés via des points de terminaison.
De même, un point de terminaison Private Service Connect peut être utilisé pour accéder aux API Google telles que Cloud Storage ou BigQuery. Cette fonctionnalité est semblable à l'accès privé à Google, à la différence que vous pouvez utiliser vos propres adresses IP internes pour les points de terminaison. Private Service Connect vous permet de contrôler directement le routage et de créer autant de points de terminaison que nécessaire pour votre réseau. Pour en savoir plus, consultez la section À propos de l'accès aux API Google via des points de terminaison.
Backends
Les backends Private Service Connect permettent aux équilibreurs de charge Google Cloud d'envoyer via Private Service Connect du trafic devant atteindre des services publiés ou des API Google. Les backends sont déployés via des groupes de points de terminaison du réseau (NEG) Private Service Connect qui font référence à un rattachement de service de producteur ou à une API Google compatible. Le fait de placer un équilibreur de charge devant un service géré offre au client davantage de visibilité et de contrôle que ce que permet un point de terminaison Private Service Connect. Les backends vous permettent de créer des configurations telles que les suivantes :
- Domaines et certificats détenus par le client devant des services gérés
- Basculement contrôlé par le client entre des services gérés dans différentes régions
- Configuration de la sécurité et contrôle des accès centralisés pour les services gérés
Le schéma suivant présente un équilibreur de charge d'application interne déployé avec des backends Private Service Connect qui font référence à un service publié. La configuration comporte deux équilibreurs de charge :
- L'équilibreur de charge du client, qui assure le contrôle, la visibilité et la sécurité du trafic vers le service
- L'équilibreur de charge du producteur, qui équilibre la charge du trafic sur les backends de service
À l'instar des points de terminaison Private Service Connect, les backends permettent également de cibler des API Google. Le schéma suivant illustre un équilibreur de charge d'application interne qui cible un bucket Cloud Storage et interrompt le trafic à l'aide d'un domaine appartenant au client.
Interfaces
Une interface Private Service Connect est un type spécial d'interface réseau qui fait référence à un rattachement de réseau.
Un producteur de services peut créer une interface Private Service Connect et demander une connexion à un rattachement de réseau. Si le client de services accepte la connexion, Google Cloud alloue à l'interface une adresse IP d'un sous-réseau du réseau VPC consommateur spécifié par le rattachement de réseau. La VM de l'interface Private Service Connect possède une deuxième interface réseau standard qui se connecte au réseau VPC du producteur.
Une connexion entre une interface Private Service Connect et un rattachement de réseau est semblable à une connexion entre un point de terminaison Private Service Connect et un rattachement de service, avec toutefois deux différences majeures :
- Une interface Private Service Connect permet à un réseau VPC producteur d'établir des connexions avec un réseau VPC consommateur (sortie de service géré). Un point de terminaison fonctionne dans le sens inverse, ce qui permet à un réseau VPC consommateur d'établir des connexions avec un réseau VPC producteur (entrée de service géré).
- Une connexion d'interface Private Service Connect est transitive. Cela signifie que les charges de travail d'un réseau producteur peuvent établir des connexions avec d'autres charges de travail connectées au réseau VPC consommateur. Les points de terminaison Private Service Connect peuvent uniquement établir des connexions au réseau VPC producteur.
Services gérés Private Service Connect
Les services gérés sont des services détenus et gérés par une personne autre que le client du service. Private Service Connect peut être utilisé pour accéder à des services gérés appartenant à Google, à des entreprises SaaS (Software as a Service) tierces ou à d'autres équipes au sein de l'entreprise du client lui-même. Les services publiés et les API Google peuvent tous deux être des cibles de Private Service Connect.
Services publiés
Les services publiés sont des services hébergés sur VPC, qui sont déployés dans le réseau VPC du producteur et accessibles depuis le réseau VPC du client. La publication d'un service permet au producteur de services de posséder et de contrôler le déploiement du service dans son propre réseau VPC. Les services publiés peuvent inclure les éléments suivants :
- Services Google, tels que GKE, Apigee ou Cloud Composer. Ces services s'exécutent dans des projets locataires et des réseaux VPC gérés par Google.
- Services tiers, pour lesquels des tiers offrent un accès privé à un service publié dans Google Cloud.
- Services intra-organisationnels, pour lesquels une même entreprise dispose de clients accédant à des applications internes sur différents réseaux VPC. Certaines organisations utilisent des réseaux VPC distincts pour la segmentation interne. Dans une telle configuration, une équipe peut offrir un service géré à une autre équipe qui fonctionne sur un réseau VPC distinct.
Rattachements de service
Les rattachements de service sont des ressources utilisées pour créer des services publiés par Private Service Connect.
Les rattachements de service sont accessibles via des points de terminaison ou des backends. Plusieurs backends ou points de terminaison peuvent se connecter au même rattachement de service, ce qui permet à plusieurs réseaux VPC ou à plusieurs clients d'accéder à la même instance de service.
Un rattachement de service cible un équilibreur de charge de producteur et permet aux utilisateurs d'un réseau VPC client d'accéder à l'équilibreur de charge. La configuration du rattachement de service définit les éléments suivants :
- Une liste d'acceptation client qui définit les clients autorisés à se connecter au service.
- Le sous-réseau NAT à partir duquel le trafic traduit est géré dans le réseau VPC du producteur.
- Un domaine DNS facultatif, le cas échéant, utilisé dans les entrées DNS des points de terminaison qui sont automatiquement créées dans la zone Cloud DNS du client.
API Google
L'accès aux API Google à l'aide de Private Service Connect est une alternative à l'utilisation de l'accès privé à Google ou des noms de domaine publics pour les API Google. Dans ce cas, le producteur est Google.
Les API Google sont accessibles via des points de terminaison ou des backends. Les points de terminaison vous permettent de cibler un groupe d'API Google, tandis que les backends vous permettent de cibler une API Google spécifique, utilisant la localisation.
L'utilisation de Private Service Connect vous permet d'effectuer les opérations suivantes :
- Créer une ou plusieurs adresses IP internes pour accéder aux API Google pour différents cas d'utilisation.
- Diriger le trafic sur site vers des adresses IP et des régions spécifiques lors de l'accès aux API Google.
- Centraliser le trafic des API Google via un équilibreur de charge HTTP(S) pour appliquer vos propres certificats, règles de sécurité ou d'observabilité.
Étapes suivantes
- Effectuez l'un des ateliers de programmation suivants :
- Découvrez comment accéder aux services publiés via des points de terminaison.
- Découvrez comment accéder aux API Google via des points de terminaison.
- En savoir plus sur les backends.
- Découvrez comment publier des services.