Private Service Connect

Questo documento fornisce una panoramica di Private Service Connect.

Private Service Connect è una funzionalità del networking di Google Cloud che consente ai consumatori di accedere privatamente ai servizi gestiti dall'interno della loro rete VPC. Analogamente, consente ai producer di servizi gestiti di ospitare questi servizi in proprie reti VPC separate e di offrire una connessione privata ai propri consumer. Ad esempio, quando utilizzi Private Service Connect per accedere a Cloud SQL, sei il consumer di servizi e Google è il producer di servizi.

Con Private Service Connect, i consumer possono utilizzare i propri indirizzi IP interni per accedere ai servizi senza uscire dalle reti VPC. Il traffico rimane interamente all'interno di Google Cloud. Private Service Connect offre un accesso orientato ai servizi tra consumer e producer con controllo granulare sulle modalità di accesso ai servizi.

Private Service Connect supporta l'accesso ai seguenti tipi di servizi gestiti:

Figura 1. Private Service Connect consente di inviare traffico a endpoint e backend che lo inoltrano ai servizi gestiti, incluse le API di Google e i servizi pubblicati. Le interfacce Private Service Connect consentono ai servizi gestiti di avviare connessioni alle reti VPC consumer.

Private Service Connect fornisce una connettività privata con le seguenti caratteristiche:

  • Progettazione orientata ai servizi: i servizi producer sono pubblicati tramite bilanciatori del carico che espongono un singolo indirizzo IP alla rete VPC consumer. Il traffico consumer che accede ai servizi del producer è unidirezionale e può accedere solo all'indirizzo IP di servizio, anziché avere accesso a un'intera rete VPC in peering.
  • Autorizzazione esplicita: Private Service Connect fornisce un modello di autorizzazione che offre a consumer e producer un controllo granulare, garantendo che solo gli endpoint di servizio previsti e nessun'altra risorsa possano connettersi a un servizio.
  • Nessuna dipendenza condivisa: il traffico tra consumer e producer utilizza NAT in modo che non esistano coordinamento di indirizzi IP o altre dipendenze di risorse condivise tra le reti VPC di consumer e producer. Questa indipendenza semplifica il deployment e consente di scalare più facilmente i servizi gestiti.
  • Prestazioni della velocità di linea: il traffico di Private Service Connect passa direttamente dai client consumer ai backend del producer senza hop o proxy intermedi. NAT viene eseguito direttamente sulle macchine host fisiche che ospitano le VM consumer e producer, riducendo la latenza e aumentando la capacità della larghezza di banda. La capacità di larghezza di banda di Private Service Connect è limitata solo dalla capacità di larghezza di banda dei computer client e server che comunicano direttamente.

Tipi di Private Service Connect

Private Service Connect è disponibile in diversi tipi che offrono funzionalità e modalità di comunicazione differenti.

I producer di servizi pubblicano le proprie applicazioni per i consumer creando servizi Private Service Connect. I consumer di servizi accedono ai servizi Private Service Connect direttamente tramite uno di questi tipi:

  • Endpoint Private Service Connect: il deployment degli endpoint viene eseguito utilizzando regole di forwarding che forniscono al consumer un indirizzo IP mappato al servizio Private Service Connect.
  • Backend di Private Service Connect: il deployment dei backend viene eseguito utilizzando gruppi di endpoint di rete (NEG) che consentono ai consumatori di indirizzare il traffico al proprio bilanciatore del carico prima di raggiungere un servizio Private Service Connect.

I producer di servizi possono avviare connessioni ai consumer di servizi utilizzando le interfacce di Private Service Connect. Le interfacce Private Service Connect forniscono comunicazione bidirezionale e possono essere utilizzate nella stessa rete VPC di endpoint e backend.

Endpoint

Gli endpoint Private Service Connect sono indirizzi IP interni in una rete VPC consumer a cui i client in quella rete possono accedere direttamente. Gli endpoint vengono creati eseguendo il deployment di una regola di forwarding che fa riferimento a un collegamento a un servizio o a un bundle di API di Google.

Il seguente diagramma mostra un endpoint Private Service Connect che ha come target un servizio pubblicato in esecuzione in un'organizzazione e una rete VPC separate. Gli endpoint Private Service Connect e i servizi pubblicati consentono a due aziende indipendenti di comunicare tra loro utilizzando indirizzi IP interni. Per maggiori informazioni, vedi Informazioni sull'accesso ai servizi pubblicati tramite endpoint.

Figura 2. Private Service Connect consente di inviare traffico agli endpoint che lo inoltrano ai servizi pubblicati in un'altra rete VPC.

Analogamente, è possibile utilizzare un endpoint Private Service Connect per accedere ad API di Google come Cloud Storage o BigQuery. Questa funzionalità è simile all'accesso privato Google, con la differenza che puoi utilizzare i tuoi indirizzi IP interni per gli endpoint. Private Service Connect consente di controllare in modo più diretto il routing e creare tutti gli endpoint necessari per la rete. Per saperne di più, consulta Informazioni sull'accesso alle API di Google tramite endpoint.

Figura 3. Private Service Connect consente di inviare traffico agli endpoint che lo inoltrano alle API di Google.

Backend

I backend Private Service Connect consentono ai bilanciatori del carico di Google Cloud di inviare il traffico tramite Private Service Connect per raggiungere i servizi pubblicati o le API di Google. Il deployment dei backend viene eseguito tramite gruppi di endpoint di rete (NEG) di Private Service Connect che fanno riferimento a un collegamento a un servizio producer o a un'API di Google supportata. Il posizionamento di un bilanciatore del carico davanti a un servizio gestito offre al consumer maggiore visibilità e controllo rispetto a un endpoint Private Service Connect. I backend consentono di creare configurazioni come queste:

  • Domini e certificati di proprietà del cliente per i servizi gestiti
  • Failover controllato dal consumatore tra servizi gestiti in diverse regioni
  • Configurazione della sicurezza e controllo dell'accesso centralizzati per i servizi gestiti

Il seguente diagramma mostra un bilanciatore del carico delle applicazioni interno di cui è stato eseguito il deployment con backend Private Service Connect che fanno riferimento a un servizio pubblicato. La configurazione include due bilanciatori del carico:

  • Il bilanciatore del carico consumer che fornisce controllo, visibilità e sicurezza del traffico al servizio.
  • Il bilanciatore del carico del producer che bilancia il carico del traffico nei backend del servizio.

Figura 4. Private Service Connect ti consente di inviare traffico ai backend che lo inoltrano ai servizi pubblicati.

Analogamente agli endpoint Private Service Connect, i backend supportano anche il targeting delle API di Google. Il seguente diagramma mostra un bilanciatore del carico delle applicazioni interno che ha come target un bucket Cloud Storage e termina il traffico utilizzando un dominio di proprietà del cliente.

Figura 5. Private Service Connect consente di inviare traffico ai backend che lo inoltrano a un'API di Google locale.

Interfacce

Un'interfaccia Private Service Connect è un tipo speciale di interfaccia di rete che fa riferimento a un collegamento di rete.

Un producer di servizi può creare un'interfaccia Private Service Connect e richiedere una connessione a un collegamento di rete. Se il consumer di servizi accetta la connessione, Google Cloud alloca all'interfaccia un indirizzo IP da una subnet nella rete VPC consumer specificata dal collegamento di rete. La VM dell'interfaccia Private Service Connect ha una seconda interfaccia di rete standard che si connette alla rete VPC del producer.

Una connessione tra un'interfaccia di Private Service Connect e un collegamento di rete è simile a quella tra un endpoint di Private Service Connect e un collegamento di servizio, ma presenta due differenze fondamentali:

  • Un'interfaccia Private Service Connect consente a una rete VPC del producer di avviare connessioni a una rete VPC consumer (in uscita da servizio gestito). Un endpoint funziona in direzione inversa, consentendo a una rete VPC consumer di avviare connessioni a una rete VPC producer (servizio in entrata di servizio gestito).
  • Una connessione dell'interfaccia di Private Service Connect è transitiva. Ciò significa che i carichi di lavoro in una rete di un produttore possono avviare connessioni ad altri carichi di lavoro connessi alla rete VPC consumer. Gli endpoint Private Service Connect possono avviare solo connessioni alla rete VPC del producer.

Figura 6. Le interfacce di Private Service Connect consentono ai producer di servizi di avviare connessioni ai consumer di servizi.

Servizi gestiti di Private Service Connect

I servizi gestiti sono servizi di proprietà e gestiti da un utente diverso dal consumer di servizi. Private Service Connect può essere utilizzato per accedere a servizi gestiti di proprietà di Google, di società SaaS (Software as a Service) di terze parti o di altri team all'interno dell'azienda del consumatore. Sia i servizi pubblicati sia le API di Google possono essere destinazioni di Private Service Connect.

Servizi pubblicati

I servizi pubblicati sono servizi ospitati su VPC di cui viene eseguito il deployment nella rete VPC del producer e a cui si accede dalla rete VPC del consumer. La pubblicazione di un servizio consente al producer di servizi di essere proprietario e controllo del deployment del servizio nella propria rete VPC. I servizi pubblicati possono includere:

  • Servizi Google, come GKE, Apigee o Cloud Composer. Questi servizi vengono eseguiti in progetti tenant e reti VPC gestite da Google.
  • Servizi di terze parti, in cui le terze parti offrono accesso privato a un servizio pubblicato in Google Cloud.
  • Servizi all'interno dell'organizzazione, in cui una singola azienda ha client che accedono alle applicazioni interne su diverse reti VPC. Alcune organizzazioni utilizzano reti VPC separate per la segmentazione interna. Considerata questa configurazione, un team può offrire un servizio gestito a un altro team che opera in una rete VPC separata.

Collegamento al servizio

I servizi collegati sono risorse utilizzate per creare servizi pubblicati di Private Service Connect.

È possibile accedere ai collegamenti ai servizi utilizzando endpoint o backend. Più backend o endpoint possono connettersi allo stesso collegamento al servizio, il che consente a più reti VPC o a più consumer di accedere alla stessa istanza di servizio.

Il collegamento a un servizio ha come target un bilanciatore del carico del producer e consente ai client in una rete VPC consumer di accedere al bilanciatore del carico. La configurazione del collegamento al servizio definisce quanto segue:

  • Un elenco di accettazione dei consumer che definisce i consumer autorizzati a connettersi al servizio.
  • La subnet NAT da cui proviene il traffico tradotto nella rete VPC del produttore.
  • Un dominio DNS facoltativo, se fornito, utilizzato nelle voci DNS per gli endpoint creati automaticamente nella zona Cloud DNS del consumer.

API di Google

L'utilizzo di Private Service Connect per accedere alle API di Google è un'alternativa all'accesso privato Google o ai nomi di dominio pubblico per le API di Google. In questo caso, il produttore è Google.

È possibile accedere alle API di Google utilizzando endpoint o backend. Gli endpoint consentono di scegliere come target un bundle di API di Google, mentre i backend ti consentono di scegliere come target un'API di Google localizzata specifica.

Private Service Connect ti consente di:

  • Crea uno o più indirizzi IP interni per accedere alle API di Google per diversi casi d'uso.
  • Indirizza il traffico on-premise a regioni e indirizzi IP specifici quando accedi alle API di Google.
  • Centralizza il traffico delle API di Google tramite un bilanciatore del carico HTTP(S) per applicare certificati, criteri di sicurezza o osservabilità di tua proprietà.

Passaggi successivi