Private Service Connect

Private Service Connect consente l'utilizzo privato dei servizi su reti VPC che appartengono a gruppi, team, progetti o organizzazioni diversi. Puoi pubblicare e utilizzare i servizi utilizzando indirizzi IP da te definiti e interni alla tua rete VPC.

Puoi utilizzare Private Service Connect per accedere ad API e servizi Google o a servizi gestiti in un'altra rete VPC.

Utilizzo di Private Service Connect per accedere alle API di Google

Per impostazione predefinita, se hai un'applicazione che utilizza un servizio Google, ad esempio Cloud Storage, la tua applicazione si connette al nome DNS predefinito del servizio, ad esempio storage.googleapis.com. Anche se gli indirizzi IP dei nomi DNS predefiniti sono pubblicamente instradabili, il traffico inviato dalle risorse Google Cloud rimane all'interno della rete Google.

Con Private Service Connect, puoi creare endpoint privati utilizzando indirizzi IP interni globali all'interno della tua rete VPC. Puoi assegnare nomi DNS a questi indirizzi IP interni con nomi significativi come storage-vialink1.p.googleapis.com e bigtable-adsteam.p.googleapis.com. Questi nomi e indirizzi IP sono interni alla tua rete VPC e a qualsiasi rete on-premise collegata tramite tunnel Cloud VPN o collegamenti di Cloud Interconnect (VLAN). Puoi stabilire quale traffico indirizzare a quale endpoint e dimostrare che il traffico rimane all'interno di Google Cloud.

Questa opzione consente di accedere a tutti i servizi e le API Google inclusi nei gruppi di API. Se hai bisogno di limitare l'accesso solo a determinati API e servizi, i controlli del servizio HTTP(S) del servizio consumer ti consentono di scegliere quali API e servizi rendere disponibili per gli endpoint dei servizi a livello di area geografica supportati.

Per scoprire di più sulle configurazioni di Private Service Connect per l'accesso alle API di Google, consulta i casi d'uso.

Figura 1. Private Service Connect ti consente di inviare il traffico alle API di Google utilizzando un endpoint Private Service Connect che è privato per la tua rete VPC.

Usare Private Service Connect per accedere alle API di Google con i controlli di servizio HTTP(S) del consumatore

Puoi creare un endpoint Private Service Connect con controlli del servizio HTTP(S) consumer utilizzando un bilanciatore del carico HTTP(S) interno. Il bilanciatore del carico HTTP(S) interno fornisce le seguenti funzionalità:

Figura 2. Private Service Connect ti consente di inviare il traffico alle API di Google a livello di area geografica supportate utilizzando un endpoint Private Service Connect. L'utilizzo di un bilanciatore del carico aggiunge controlli del servizio HTTP(S) consumer. (fai clic per ingrandire).

Utilizzo di Private Service Connect per pubblicare e utilizzare servizi gestiti

Private Service Connect consente a un producer di servizi di offrire servizi a un consumer di servizi. Una rete VPC del producer di servizi può supportare più consumer di servizi.

Esistono due tipi di endpoint di Private Service Connect che possono connettersi a un servizio pubblicato:

Figura 3. Un endpoint Private Service Connect basato su una regola di forwarding consente ai consumer di servizi di inviare il traffico dalla rete VPC del consumatore ai servizi nella rete VPC del producer di servizi. (fai clic per ingrandire).

Figura 4. L'utilizzo di un bilanciatore del carico HTTP(S) esterno globale consente ai consumer di servizi con accesso a Internet di inviare il traffico ai servizi nella rete VPC del producer di servizi (fai clic per ingrandire).

Concetti chiave per i consumer di servizi

Puoi utilizzare gli endpoint di Private Service Connect per consumare servizi che si trovano all'esterno della tua rete VPC. I consumer di servizi creano endpoint di Private Service Connect che si connettono a un servizio di destinazione.

Endpoint e target

Utilizza gli endpoint Private Service Connect per connetterti a un servizio di destinazione. Gli endpoint hanno un indirizzo IP interno nella tua rete VPC e si basano sulla risorsa della regola di forwarding.

Invii il traffico all'endpoint, che lo inoltra ai target al di fuori della tua rete VPC.

Tipo di endpoint Target supportati Accessibile da

Endpoint di Private Service Connect per accedere alle API di Google

indirizzo IP interno globale

Un pacchetto API:
  • Tutte le API (all-apis): la maggior parte delle API di Google
    (come private.googleapis.com).
  • VPC-SC (vpc-sc): API supportate dai Controlli di servizio VPC(
    come restricted.googleapis.com).
  • VM nella stessa rete VPC dell'endpoint (tutte le aree geografiche)
  • Sistemi on-premise collegati alla rete VPC contenente l'endpoint

Endpoint di Private Service Connect per accedere alle API di Google con controlli del servizio HTTP(S) consumer

Indirizzo IP interno a livello di area geografica di un bilanciatore del carico HTTPS interno

Un endpoint di servizio a livello di area geografica.

Questo endpoint è un bilanciatore del carico HTTP(S) interno con una mappa URL semplice e un servizio di backend singolo. Per configurare la destinazione, devi connettere il servizio di backend del bilanciatore del carico a un gruppo di endpoint di rete Private Service Connect che fa riferimento a un endpoint di servizio a livello di area geografica.

  • VM nella stessa rete e nella stessa area geografica dell'endpoint
  • Sistemi on-premise collegati alla rete VPC che contengono l'endpoint se i tunnel Cloud VPN o i collegamenti di Cloud Interconnect (VLAN) si trovano nella stessa area geografica dell'endpoint

Endpoint di Private Service Connect per accedere ai servizi pubblicati in un'altra rete VPC

indirizzo IP interno a livello di area geografica

Un servizio pubblicato in un'altra rete VPC. Questo servizio può essere gestito dalla tua organizzazione o da una terza parte.

Il target per questo tipo di endpoint è un allegato del servizio.

  • VM nella stessa rete e nella stessa area geografica dell'endpoint
  • Sistemi on-premise collegati alla rete VPC che contengono l'endpoint tramite tunnel Cloud VPN che si trovano nella stessa area geografica dell'endpoint

Endpoint di Private Service Connect per accedere ai servizi pubblicati con controlli di servizio HTTP(S) per utenti finali

Indirizzo IP esterno globale di un bilanciatore del carico HTTPS esterno

Un servizio pubblicato in un'altra rete VPC. Questo servizio può essere gestito dalla tua organizzazione o da una terza parte.

Questo endpoint è un bilanciatore del carico HTTP(S) esterno globale con una mappa URL semplice e un servizio di backend singolo. Per configurare la destinazione, devi connettere il servizio di backend del bilanciatore del carico a un gruppo di endpoint di rete Private Service Connect che fa riferimento a un collegamento del servizio.

  • Sistemi con accesso a Internet

Concetti chiave per i produttori di servizi

Per rendere disponibile un servizio per i consumatori, devi creare una o più subnet dedicate. Poi creerai un allegato di servizio che fa riferimento a tali subnet.

Subnet Private Service Connect

Per esporre un servizio, il producer di servizi crea prima una o più subnet con lo scopo impostato su Private Service Connect.

  • Se il tuo servizio viene utilizzato da endpoint di Private Service Connect basati su regole di forwarding, l'indirizzo IP di origine del consumer viene tradotto utilizzando SNAT di origine con un indirizzo IP selezionato da una delle subnet di Private Service Connect.

    Se vuoi conservare le informazioni relative all'indirizzo IP della connessione consumer, consulta la sezione Visualizzare le informazioni relative alle connessioni consumer.

  • Se il tuo servizio è utilizzato da endpoint di Private Service Connect basati su bilanciatori del carico HTTP(S) esterni globali, la subnet non viene utilizzata e il NAT non viene eseguito. Per pubblicare il servizio, è tuttavia necessaria la creazione della subnet.

Le subnet di Private Service Connect non possono essere utilizzate per risorse come istanze VM o regole di forwarding. Le subnet vengono utilizzate solo per fornire gli indirizzi IP per lo SNAT delle connessioni consumer in entrata. Anche se un servizio pubblicato può avere più subnet configurate, non è possibile utilizzare una subnet di Private Service Connect in più di un servizio pubblicato.

Capacità della subnet di Private Service Connect

Quando crei la subnet Private Service Connect del producer di servizi, tieni presente quanto segue:

  • Le subnet di Private Service Connect possono essere di qualsiasi dimensione valida e possono utilizzare qualsiasi intervallo di indirizzi IP validi, inclusi gli indirizzi IP privati utilizzati pubblicamente.

    • Se il tuo servizio viene utilizzato da endpoint di Private Service Connect basati su una regola di forwarding, ti consigliamo di configurare la subnet di Private Service Connect con una lunghezza del prefisso pari o inferiore a /22 (ad esempio,/21).

    • Se il tuo servizio è utilizzato da endpoint di Private Service Connect basati su un bilanciatore del carico HTTP(S) esterno globale, la subnet non viene utilizzata. Puoi configurare la subnet Private Service Connect con una lunghezza del prefisso pari a /29 per creare una subnet con le dimensioni supportate minime.

  • Sono presenti quattro indirizzi IP riservati in una subnet Private Service Connect, quindi il numero di indirizzi IP disponibili è 2(32 - PREFIX_LENGTH) - 4. Ad esempio, se crei una subnet di Private Service Connect con lunghezza del prefisso /22, Private Service Connect può utilizzare 1020 degli indirizzi IP.

Configurazione SNAT per subnet di Private Service Connect

La configurazione SNAT per le subnet di Private Service Connect include quanto segue:

  • Quando viene eseguito SNAT, a ogni VM client nella rete VPC consumer vengono assegnati 1024 indirizzi di origine e tupla porte di origine utilizzando gli indirizzi IP nella subnet di Private Service Connect.

  • Il timeout per inattività della mappatura UDP è di 30 secondi e non può essere configurato.

  • Il timeout per inattività della connessione stabilita TCP è di 20 minuti e non può essere configurato.

  • Il timeout per inattività della connessione al transito TCP è di 30 secondi e non può essere configurato.

  • Prima di poter riutilizzare qualsiasi indirizzo IP di origine e porta di destinazione più il protocollo di destinazione, l'indirizzo IP e la porta di destinazione, è necessario un ritardo di due minuti (5 porte).

Collegamenti di servizio

I produttori di servizi espongono il servizio mediante un allegato.

  • Per esporre un servizio, un producer di servizi crea un allegato di servizio che fa riferimento alla regola di forwarding del bilanciatore del carico del servizio.

  • Per accedere a un servizio, un consumer di servizi crea un endpoint che fa riferimento all'allegato del servizio.

L'URI dell'allegato di servizio ha questo formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

È possibile fare riferimento a ciascun bilanciatore del carico solo da un singolo collegamento del servizio. Non puoi configurare più collegamenti di servizio che utilizzano lo stesso bilanciatore del carico.

Preferenze di connessione

Quando crei un servizio, scegli come renderlo disponibile. Le opzioni disponibili sono due:

  • Accetta automaticamente le connessioni per tutti i progetti: qualsiasi consumer di servizi può configurare un endpoint e connettersi automaticamente al servizio.

  • Accetta le connessioni per i progetti selezionati: i consumer di servizi configurano un endpoint per la connessione al servizio e il producer di servizi accetta o rifiuta le richieste di connessione.

Accesso on-premise

  • Puoi accedere agli endpoint di Private Service Connect che utilizzi per accedere alle API di Google dagli host on-premise connessi supportati. Per ulteriori informazioni, consulta Utilizzo di Private Service Connect da host on-premise.

  • È possibile accedere agli endpoint Private Service Connect con controlli di servizio HTTP(S) da host on-premise connessi supportati. Per saperne di più, vedi Utilizzare Private Service Connect da host on-premise.

  • È possibile accedere agli endpoint di Private Service Connect che utilizzi per accedere ai servizi gestiti in un'altra rete VPC da host on-premise supportati supportati (solo utilizzando Cloud VPN). Per scoprire di più, vedi Utilizzare Private Service Connect da host on-premise.

  • Gli endpoint di Private Service Connect con controlli di servizio HTTP(S) che utilizzi per accedere ai servizi gestiti sono basati su un bilanciatore del carico HTTP(S) esterno globale e sono accessibili da qualsiasi sistema dotato di accesso a Internet.

Servizi Google supportati

La tabella seguente elenca i servizi Google Cloud supportati da Private Service Connect. Puoi creare un endpoint Private Service Connect per connetterti a questi servizi in privato nella tua rete VPC.

Servizio Descrizione
API di Google Consente di accedere alla maggior parte delle API e dei servizi Google, ad esempio *.googleapis.com. Per ulteriori informazioni, consulta la sezione API supportate.
Apigee X Consente di esporre le API gestite da Apigee a Internet (anteprima). Consente inoltre di stabilire una connessione privata da Apigee ai servizi di destinazione di backend (Anteprima).
Cloud Composer 2 Consente di accedere al progetto tenant di Cloud Composer (anteprima).
Dataproc Metastore Consente di accedere al servizio Dataproc Metastore (anteprima)
Cluster pubblici Google Kubernetes Engine (GKE) Consente di accedere ai nodi master del cluster pubblico GKE per GKE 1.23 e versioni successive.

Prezzi

I prezzi di Private Service Connect sono descritti nella pagina sui prezzi di VPC.

Vincoli dei criteri dell'organizzazione

Un amministratore dei criteri dell'organizzazione può utilizzare il vincolo constraints/compute.disablePrivateServiceConnectCreationForConsumers per definire l'insieme di tipi di endpoint di Private Service Connect per i quali gli utenti non possono creare regole di forwarding. Puoi utilizzare questo vincolo per impedire agli utenti di creare endpoint di Private Service Connect per accedere alle API di Google o di creare endpoint di Private Service Connect per accedere ai servizi gestiti. Il vincolo si applica alle nuove configurazioni e non influisce sulle connessioni esistenti.

Quote

Esistono quote per gli endpoint e i collegamenti di servizio di Private Service Connect. Per ulteriori informazioni, consulta le quote.

Passaggi successivi