Informazioni sull'accesso ai servizi pubblicati tramite endpoint

Questo documento fornisce una panoramica della connessione ai servizi in un'altra rete VPC utilizzando gli endpoint Private Service Connect. Puoi connetterti ai tuoi servizi o a quelli forniti da altri produttori, inclusi quelli di Google.

I client si connettono all'endpoint utilizzando indirizzi IP interni. Private Service Connect esegue Network Address Translation (NAT) per instradare la richiesta al servizio.

Per ulteriori informazioni sui servizi pubblicati, vedi Informazioni sui servizi pubblicati.

Funzionalità e compatibilità

Nelle tabelle seguenti, un segno di spunta indica che una funzionalità è supportata, mentre un simbolo di no indica che una funzionalità non è supportata.

Configurazione del consumatore

Questa tabella riassume le opzioni di configurazione e le funzionalità supportate degli endpoint che accedono ai servizi pubblicati.

Target producer	Configurazione del consumer (endpoint)
	Accesso globale dei consumatori	Accesso ibrido	Configurazione DNS automatica (solo IPv4)	Accesso al peering di rete VPC	Propagazione della connessione Network Connectivity Center (solo IPv4)	Servizi di destinazione supportati per gli endpoint IPv4	Servizi di destinazione supportati per gli endpoint IPv6
Bilanciatore del carico delle applicazioni interno tra regioni (anteprima)						Servizi IPv4	Servizi IPv4
Bilanciatore del carico di rete passthrough interno	Solo se l'accesso globale è abilitato sul bilanciatore del carico (problema noto)					Servizi IPv4	Servizi IPv4 Servizi IPv6
Forwarding del protocollo interno (istanza di destinazione)	Solo se l'accesso globale è attivato nella regola di forwarding del producer (problema noto)					Servizi IPv4	Servizi IPv4 Servizi IPv6
Servizi di mappatura delle porte	Solo se l'accesso globale è abilitato nella regola di forwarding del producer					Servizi IPv4	Servizi IPv4 Servizi IPv6
Bilanciatore del carico delle applicazioni interno regionale	Solo se l'accesso globale è abilitato sul bilanciatore del carico prima della creazione del collegamento del servizio					Servizi IPv4	Servizi IPv4
Bilanciatore del carico di rete proxy interno regionale	Solo se l'accesso globale è abilitato sul bilanciatore del carico prima della creazione del collegamento del servizio					Servizi IPv4	Servizi IPv4
Secure Web Proxy						Servizi IPv4	Servizi IPv4

Configurazione del producer

Questa tabella riassume le opzioni di configurazione e le funzionalità supportate dei servizi pubblicati a cui si accede tramite gli endpoint.

Tipo di produttore	Configurazione del producer (servizio pubblicato)
	Backend del produttore supportati	Protocollo PROXY (solo traffico TCP)	Versione IP
Bilanciatore del carico delle applicazioni interno tra regioni (anteprima)	NEG a livello di zona GCE_VM_IP_PORT NEG ibridi NEG serverless NEG Private Service Connect Gruppi di istanze		IPv4
Bilanciatore del carico di rete passthrough interno	NEG a livello di zona GCE_VM_IP Gruppi di istanze		IPv4 IPv6
Forwarding del protocollo interno (istanza di destinazione)	Non applicabile		IPv4 IPv6
Servizi di mappatura delle porte	Mappatura delle porte NEG		IPv4 IPv6
Bilanciatore del carico delle applicazioni interno regionale	NEG a livello di zona GCE_VM_IP_PORT NEG ibridi NEG serverless NEG Private Service Connect Gruppi di istanze		IPv4
Bilanciatore del carico di rete proxy interno regionale	NEG a livello di zona GCE_VM_IP_PORT NEG ibridi NEG Private Service Connect Gruppi di istanze		IPv4
Secure Web Proxy	Non applicabile		IPv4

I diversi bilanciatori del carico supportano configurazioni di porte diverse; alcuni supportano una singola porta, altri un intervallo di porte e altri ancora tutte le porte. Per ulteriori informazioni, vedi Specifiche della porta.

Limitazioni

Gli endpoint che accedono a un servizio pubblicato presentano le seguenti limitazioni:

• Non puoi creare un endpoint nella stessa rete VPC del servizio pubblicato a cui stai accedendo.

• Packet Mirroring non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.

• Non tutte le route statiche con hop successivi del bilanciatore del carico sono supportate da Private Service Connect. Per saperne di più, consulta la sezione Route statiche con hop successivi del bilanciatore del carico.

• Connectivity Tests non può testare la connettività tra un endpoint IPv6 e un servizio pubblicato.

Accesso on-premise

Gli endpoint che utilizzi per accedere alle API di Google sono accessibili dagli host on-premise connessi supportati. Per maggiori informazioni, vedi Accedere agli endpoint dalle reti ibride.

Specifiche

• L'endpoint deve essere creato in una rete VPC diversa da quella che contiene il servizio di destinazione.
• Se utilizzi il VPC condiviso, puoi creare l'endpoint nel progetto host o in un progetto di servizio.
• Per impostazione predefinita, è possibile accedere all'endpoint solo dai client che si trovano nella stessa regione e nella stessa rete VPC (o rete VPC condiviso) dell'endpoint. Per informazioni su come rendere disponibili gli endpoint in altre regioni, vedi Accesso globale.
• L'indirizzo IP che assegni all'endpoint deve provenire da una subnet normale.
  • Puoi utilizzare un indirizzo IPv4 da una subnet solo IPv4 o da una subnet a doppio stack.
  • Puoi utilizzare un indirizzo IPv6 da una subnet solo IPv6 (anteprima) o a doppio stack se la subnet ha un intervallo di indirizzi IPv6 interni.
  • La versione IP dell'indirizzo IP influisce sui servizi pubblicati a cui l'endpoint può connettersi. Per saperne di più, vedi Traduzione della versione IP.
  • L'indirizzo IP viene conteggiato ai fini della quota del progetto per gli indirizzi IPv4 interni statici o per gli indirizzi IPv6 interni statici.
• Quando crei un endpoint per connetterti a un servizio, se il servizio ha un nome di dominio DNS configurato, le voci del DNS privato vengono create automaticamente nella rete VPC per l'endpoint.
• Ogni endpoint ha un proprio indirizzo IP univoco e, facoltativamente, un proprio nome DNS univoco.

Stati della connessione

Gli endpoint Private Service Connect e i collegamenti ai servizi hanno uno stato di connessione che descrive lo stato della loro connessione. Le risorse consumer e producer che costituiscono i due lati di una connessione hanno sempre lo stesso stato. Puoi visualizzare gli stati della connessione quando visualizzi i dettagli dell'endpoint o visualizzi i dettagli di un servizio pubblicato.

La tabella seguente descrive i possibili stati.

Stato della connessione	Descrizione
Accettato	La connessione Private Service Connect è stata stabilita. Le due reti VPC hanno connettività e la connessione funziona normalmente.
In attesa	La connessione Private Service Connect non è stabilita e il traffico di rete non può essere trasferito tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi: L'allegato di servizio richiede un approvazione esplicita e il consumer non è presente nell'elenco di accettazione dei consumer. Il numero di connessioni supera il limite di connessioni del collegamento al servizio. Il numero di connessioni propagate associate a un endpoint supera il limite di connessioni propagate del collegamento al servizio. Le connessioni bloccate per questi motivi rimangono in stato di attesa a tempo indeterminato finché il problema sottostante non viene risolto.
Rifiutata	La connessione Private Service Connect non è stabilita. Il traffico di rete non può essere trasferito tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi: Un criterio dell'organizzazione del producer ha rifiutato la connessione. Un elenco di rifiuto dei consumatori ha rifiutato la connessione.
Richiede attenzione o Motivo imprecisato	Si è verificato un problema sul lato producer della connessione. Parte del traffico potrebbe spostarsi tra le due reti, ma alcune connessioni potrebbero non funzionare. Ad esempio, la subnet NAT del produttore potrebbe essere esaurita e non essere in grado di allocare indirizzi IP per nuove connessioni.
Chiuso	Il collegamento al servizio è stato eliminato e la connessione Private Service Connect è chiusa. Il traffico di rete non può essere trasferito tra le due reti. Una connessione chiusa è uno stato terminale. Per ripristinare la connessione, devi ricreare sia il collegamento al servizio sia l'endpoint.

Traduzione della versione IP

Per gli endpoint Private Service Connect che si connettono a servizi pubblicati (collegamenti di servizio), la versione IP dell'indirizzo IP della regola di forwarding del consumer determina la versione IP dell'endpoint e del traffico in uscita dall'endpoint. L'indirizzo IP può provenire da una subnet solo IPv4, solo IPv6 (anteprima) o dual-stack. La versione IP dell'endpoint può essere IPv4 o IPv6, ma non entrambe.

Per i servizi pubblicati, la versione IP dell'allegato di servizio è determinata dall'indirizzo IP della regola di forwarding associata o dell'istanza Secure Web Proxy. Questo indirizzo IP deve essere compatibile con il tipo di stack della subnet NAT dell'allegato del servizio. La subnet NAT può essere una subnet solo IPv4 o a doppio stack. Se la subnet NAT è una subnet a doppio stack, viene utilizzato l'intervallo di indirizzi IPv4 o IPv6, ma non entrambi. Private Service Connect non supporta l'utilizzo di una subnet solo IPv6 (anteprima) per la subnet NAT.

Private Service Connect non supporta la connessione di un endpoint IPv4 con un collegamento di servizio IPv6. In questo caso, la creazione dell'endpoint non va a buon fine e viene visualizzato il seguente messaggio di errore:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

Per le configurazioni supportate sono possibili le seguenti combinazioni:

• Endpoint IPv4 all'allegato di servizio IPv4
• Endpoint IPv6 all'allegato del servizio IPv6

• Endpoint IPv6 all'allegato di servizio IPv4

  In questa configurazione, Private Service Connect esegue automaticamente la conversione tra le due versioni IP.

Accesso globale

Gli endpoint Private Service Connect utilizzati per accedere ai servizi sono risorse regionali. Tuttavia, puoi rendere disponibile un endpoint in altre regioni configurando l'accesso globale.

L'accesso globale consente alle risorse di qualsiasi regione di inviare traffico agli endpoint Private Service Connect. Puoi utilizzare l'accesso globale per fornire alta disponibilità tra i servizi ospitati in più regioni o per consentire ai client di accedere a un servizio che non si trova nella stessa regione del client.

Il seguente diagramma mostra i client in diverse regioni che accedono allo stesso endpoint:

• L'endpoint si trova in us-west1 e l'accesso globale è configurato.

• La VM in us-west1 può inviare traffico all'endpoint e il traffico rimane all'interno della stessa regione.

• La VM in us-east1 e la VM della rete on-premise possono anche connettere l'endpoint in us-west1, anche se si trovano in regioni diverse. Le linee tratteggiate rappresentano il percorso del traffico interregionale.

  

Specifiche di accesso globale

• Puoi attivare o disattivare l'accesso globale in qualsiasi momento per un endpoint.

  • L'attivazione dell'accesso globale non causa interruzioni del traffico per le connessioni esistenti.
  • Se disattivi l'accesso globale, vengono terminate tutte le connessioni dalle regioni diverse da quella in cui si trova l'endpoint.

• Non tutti i servizi Private Service Connect supportano gli endpoint con accesso globale. Rivolgiti al producer di servizi per verificare se il suo servizio supporta l'accesso globale. Per ulteriori informazioni, vedi Configurazioni supportate.

• L'accesso globale non fornisce un unico indirizzo IP globale o nome DNS per più endpoint di accesso globale.

VPC condiviso

Gli amministratori dei progetti di servizio possono creare endpoint nei progetti di servizio VPC condiviso che utilizzano indirizzi IP delle reti VPC condiviso. La configurazione è la stessa di un endpoint normale, ma l'endpoint utilizza un indirizzo IP riservato da una subnet condivisa del VPC condiviso.

La risorsa indirizzo IP può essere riservata nel progetto di servizio o nel progetto host. L'origine dell'indirizzo IP deve essere una subnet condivisa con il progetto di servizio.

Per maggiori informazioni, consulta Crea un endpoint con un indirizzo IP da una VPC condiviso condivisa.

Controlli di servizio VPC

I controlli di servizio VPC e Private Service Connect sono compatibili tra loro. Se la rete VPC in cui è deployato l'endpoint Private Service Connect si trova in un perimetro dei Controlli di servizio VPC, l'endpoint fa parte dello stesso perimetro. Tutti i servizi supportati da Controlli di servizio VPC a cui si accede tramite l'endpoint sono soggetti ai criteri di quel perimetro Controlli di servizio VPC.

Quando crei un endpoint, vengono effettuate chiamate API del control plane tra i progetti consumer e producer per stabilire una connessione Private Service Connect. La creazione di una connessione Private Service Connect tra progetti consumer e producer che non si trovano nello stesso perimetro Controlli di servizio VPC non richiede un'autorizzazione esplicita con criteri di uscita. La comunicazione con i servizi supportati dai Controlli di servizio VPC tramite l'endpoint è protetta dal perimetro dei Controlli di servizio VPC.

Route statiche con hop successivi del bilanciatore del carico

Le route statiche possono essere configurate per utilizzare la regola di forwarding di un bilanciatore del carico di rete passthrough interno come hop successivo (--next-hop-ilb). Non tutte le route di questo tipo sono supportate con Private Service Connect.

Le route statiche che utilizzano --next-hop-ilb per specificare il nome di una regola di forwarding del bilanciatore del carico di rete passthrough interno possono essere utilizzate per inviare e ricevere traffico a un endpoint Private Service Connect quando la route e l'endpoint si trovano nella stessa rete VPC.

Le seguenti configurazioni di routing non sono supportate con Private Service Connect:

• Route statiche che utilizzano --next-hop-ilb per specificare l'indirizzo IP di una regola di forwarding del bilanciatore del carico di rete passthrough interno.
• Route statiche che utilizzano --next-hop-ilb per specificare il nome o l'indirizzo IP di una regola di forwarding dell'endpoint Private Service Connect.

Logging

• Puoi abilitare i log di flusso VPC nelle subnet contenenti le VM che accedono ai servizi in un'altra rete VPC utilizzando gli endpoint. I log mostrano i flussi tra le VM e l'endpoint.

• Puoi visualizzare le modifiche allo stato della connessione per gli endpoint utilizzando i log di controllo. Le modifiche allo stato della connessione per l'endpoint vengono acquisite nei metadati degli eventi di sistema per il tipo di risorsa Regola di forwarding GCE. Puoi filtrare in base a pscConnectionStatus per visualizzare queste voci.

  Ad esempio, quando un producer di servizi consente le connessioni dal tuo progetto, lo stato della connessione dell'endpoint cambia da PENDING a ACCEPTED e questa modifica viene riportata nei log di controllo.

  • Per visualizzare i log di controllo, vedi Visualizzare i log.
  • Per impostare avvisi basati sui log di controllo, vedi Gestione degli avvisi basati su log.

Quote

Il numero di endpoint che puoi creare per accedere ai servizi pubblicati è controllato dalla quota PSC Internal LB Forwarding Rules. Per ulteriori informazioni, consulta Quote.

Vincoli dei criteri dell'organizzazione

Un amministratore dei criteri dell'organizzazione può utilizzare il vincolo constraints/compute.disablePrivateServiceConnectCreationForConsumers<0x2E> per definire l'insieme di tipi di endpoint per cui gli utenti non possono creare regole di forwarding.

Per informazioni sulla creazione di una policy dell'organizzazione che utilizza questo vincolo, consulta Impedire ai consumatori di eseguire il deployment di endpoint per tipo di connessione.

Passaggi successivi

• Accedere ai servizi pubblicati utilizzando gli endpoint