Informazioni sull'accesso ai servizi pubblicati tramite endpoint
Questo documento fornisce una panoramica della connessione ai servizi in un'altra rete VPC utilizzando gli endpoint Private Service Connect. Puoi connetterti ai tuoi servizi o a quelli forniti da altri produttori, inclusi quelli di Google.
I client si connettono all'endpoint utilizzando indirizzi IP interni. Private Service Connect esegue Network Address Translation (NAT) per instradare la richiesta al servizio.
Per ulteriori informazioni sui servizi pubblicati, vedi Informazioni sui servizi pubblicati.
Funzionalità e compatibilità
Nelle tabelle seguenti, un segno di spunta indica che una funzionalità è supportata, mentre un simbolo di no indica che una funzionalità non è supportata.
Configurazione del consumatore
Questa tabella riassume le opzioni di configurazione e le funzionalità supportate degli endpoint che accedono ai servizi pubblicati.
Configurazione del producer
Questa tabella riassume le opzioni di configurazione e le funzionalità supportate dei servizi pubblicati a cui si accede tramite gli endpoint.
Tipo di produttore | Configurazione del producer (servizio pubblicato) | |||
---|---|---|---|---|
Backend del produttore supportati | Protocollo PROXY (solo traffico TCP) | Versione IP | ||
Bilanciatore del carico delle applicazioni interno tra regioni (anteprima) |
|
|
||
Bilanciatore del carico di rete passthrough interno |
|
|
||
Forwarding del protocollo interno (istanza di destinazione) |
|
|
||
Servizi di mappatura delle porte |
|
|
||
Bilanciatore del carico delle applicazioni interno regionale |
|
|
||
Bilanciatore del carico di rete proxy interno regionale |
|
|
||
Secure Web Proxy |
|
|
I diversi bilanciatori del carico supportano configurazioni di porte diverse; alcuni supportano una singola porta, altri un intervallo di porte e altri ancora tutte le porte. Per ulteriori informazioni, vedi Specifiche della porta.
Limitazioni
Gli endpoint che accedono a un servizio pubblicato presentano le seguenti limitazioni:
Non puoi creare un endpoint nella stessa rete VPC del servizio pubblicato a cui stai accedendo.
Packet Mirroring non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.
Non tutte le route statiche con hop successivi del bilanciatore del carico sono supportate da Private Service Connect. Per saperne di più, consulta la sezione Route statiche con hop successivi del bilanciatore del carico.
Connectivity Tests non può testare la connettività tra un endpoint IPv6 e un servizio pubblicato.
Accesso on-premise
Gli endpoint che utilizzi per accedere alle API di Google sono accessibili dagli host on-premise connessi supportati. Per maggiori informazioni, vedi Accedere agli endpoint dalle reti ibride.
Specifiche
- L'endpoint deve essere creato in una rete VPC diversa da quella che contiene il servizio di destinazione.
- Se utilizzi il VPC condiviso, puoi creare l'endpoint nel progetto host o in un progetto di servizio.
- Per impostazione predefinita, è possibile accedere all'endpoint solo dai client che si trovano nella stessa regione e nella stessa rete VPC (o rete VPC condiviso) dell'endpoint. Per informazioni su come rendere disponibili gli endpoint in altre regioni, vedi Accesso globale.
-
L'indirizzo IP che assegni all'endpoint deve provenire da una
subnet normale.
- Puoi utilizzare un indirizzo IPv4 da una subnet solo IPv4 o da una subnet a doppio stack.
- Puoi utilizzare un indirizzo IPv6 da una subnet solo IPv6 (anteprima) o a doppio stack se la subnet ha un intervallo di indirizzi IPv6 interni.
- La versione IP dell'indirizzo IP influisce sui servizi pubblicati a cui l'endpoint può connettersi. Per saperne di più, vedi Traduzione della versione IP.
- L'indirizzo IP viene conteggiato ai fini della quota del progetto per gli indirizzi IPv4 interni statici o per gli indirizzi IPv6 interni statici.
- Quando crei un endpoint per connetterti a un servizio, se il servizio ha un nome di dominio DNS configurato, le voci del DNS privato vengono create automaticamente nella rete VPC per l'endpoint.
- Ogni endpoint ha un proprio indirizzo IP univoco e, facoltativamente, un proprio nome DNS univoco.
Stati della connessione
Gli endpoint Private Service Connect e i collegamenti ai servizi hanno uno stato di connessione che descrive lo stato della loro connessione. Le risorse consumer e producer che costituiscono i due lati di una connessione hanno sempre lo stesso stato. Puoi visualizzare gli stati della connessione quando visualizzi i dettagli dell'endpoint o visualizzi i dettagli di un servizio pubblicato.
La tabella seguente descrive i possibili stati.
Stato della connessione | Descrizione |
---|---|
Accettato | La connessione Private Service Connect è stata stabilita. Le due reti VPC hanno connettività e la connessione funziona normalmente. |
In attesa | La connessione Private Service Connect non è stabilita e il traffico di rete non può essere trasferito tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi:
Le connessioni bloccate per questi motivi rimangono in stato di attesa a tempo indeterminato finché il problema sottostante non viene risolto. |
Rifiutata | La connessione Private Service Connect non è stabilita. Il traffico di rete non può essere trasferito tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi:
|
Richiede attenzione o Motivo imprecisato | Si è verificato un problema sul lato producer della connessione. Parte del traffico potrebbe spostarsi tra le due reti, ma alcune connessioni potrebbero non funzionare. Ad esempio, la subnet NAT del produttore potrebbe essere esaurita e non essere in grado di allocare indirizzi IP per nuove connessioni. |
Chiuso | Il collegamento al servizio è stato eliminato e la connessione Private Service Connect è chiusa. Il traffico di rete non può essere trasferito tra le due reti. Una connessione chiusa è uno stato terminale. Per ripristinare la connessione, devi ricreare sia il collegamento al servizio sia l'endpoint. |
Traduzione della versione IP
Per gli endpoint Private Service Connect che si connettono a servizi pubblicati (collegamenti di servizio), la versione IP dell'indirizzo IP della regola di forwarding del consumer determina la versione IP dell'endpoint e del traffico in uscita dall'endpoint. L'indirizzo IP può provenire da una subnet solo IPv4, solo IPv6 (anteprima) o dual-stack. La versione IP dell'endpoint può essere IPv4 o IPv6, ma non entrambe.
Per i servizi pubblicati, la versione IP dell'allegato di servizio è determinata dall'indirizzo IP della regola di forwarding associata o dell'istanza Secure Web Proxy. Questo indirizzo IP deve essere compatibile con il tipo di stack della subnet NAT dell'allegato del servizio. La subnet NAT può essere una subnet solo IPv4 o a doppio stack. Se la subnet NAT è una subnet a doppio stack, viene utilizzato l'intervallo di indirizzi IPv4 o IPv6, ma non entrambi. Private Service Connect non supporta l'utilizzo di una subnet solo IPv6 (anteprima) per la subnet NAT.
Private Service Connect non supporta la connessione di un endpoint IPv4 con un collegamento di servizio IPv6. In questo caso, la creazione dell'endpoint non va a buon fine e viene visualizzato il seguente messaggio di errore:
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
Per le configurazioni supportate sono possibili le seguenti combinazioni:
- Endpoint IPv4 all'allegato di servizio IPv4
- Endpoint IPv6 all'allegato del servizio IPv6
-
Endpoint IPv6 all'allegato di servizio IPv4
In questa configurazione, Private Service Connect esegue automaticamente la conversione tra le due versioni IP.
Accesso globale
Gli endpoint Private Service Connect utilizzati per accedere ai servizi sono risorse regionali. Tuttavia, puoi rendere disponibile un endpoint in altre regioni configurando l'accesso globale.
L'accesso globale consente alle risorse di qualsiasi regione di inviare traffico agli endpoint Private Service Connect. Puoi utilizzare l'accesso globale per fornire alta disponibilità tra i servizi ospitati in più regioni o per consentire ai client di accedere a un servizio che non si trova nella stessa regione del client.
Il seguente diagramma mostra i client in diverse regioni che accedono allo stesso endpoint:
L'endpoint si trova in
us-west1
e l'accesso globale è configurato.La VM in
us-west1
può inviare traffico all'endpoint e il traffico rimane all'interno della stessa regione.La VM in
us-east1
e la VM della rete on-premise possono anche connettere l'endpoint inus-west1
, anche se si trovano in regioni diverse. Le linee tratteggiate rappresentano il percorso del traffico interregionale.Un endpoint Private Service Connect con accesso globale consente ai consumer di servizi di inviare traffico dalla rete VPC del consumer ai servizi nella rete VPC del producer di servizi. Il client può trovarsi nella stessa regione o in una regione diversa rispetto all'endpoint (fai clic per ingrandire).
Specifiche di accesso globale
Puoi attivare o disattivare l'accesso globale in qualsiasi momento per un endpoint.
- L'attivazione dell'accesso globale non causa interruzioni del traffico per le connessioni esistenti.
- Se disattivi l'accesso globale, vengono terminate tutte le connessioni dalle regioni diverse da quella in cui si trova l'endpoint.
Non tutti i servizi Private Service Connect supportano gli endpoint con accesso globale. Rivolgiti al producer di servizi per verificare se il suo servizio supporta l'accesso globale. Per ulteriori informazioni, vedi Configurazioni supportate.
L'accesso globale non fornisce un unico indirizzo IP globale o nome DNS per più endpoint di accesso globale.
VPC condiviso
Gli amministratori dei progetti di servizio possono creare endpoint nei progetti di servizio VPC condiviso che utilizzano indirizzi IP delle reti VPC condiviso. La configurazione è la stessa di un endpoint normale, ma l'endpoint utilizza un indirizzo IP riservato da una subnet condivisa del VPC condiviso.
La risorsa indirizzo IP può essere riservata nel progetto di servizio o nel progetto host. L'origine dell'indirizzo IP deve essere una subnet condivisa con il progetto di servizio.
Per maggiori informazioni, consulta Crea un endpoint con un indirizzo IP da una VPC condiviso condivisa.
Controlli di servizio VPC
I controlli di servizio VPC e Private Service Connect sono compatibili tra loro. Se la rete VPC in cui è deployato l'endpoint Private Service Connect si trova in un perimetro dei Controlli di servizio VPC, l'endpoint fa parte dello stesso perimetro. Tutti i servizi supportati da Controlli di servizio VPC a cui si accede tramite l'endpoint sono soggetti ai criteri di quel perimetro Controlli di servizio VPC.
Quando crei un endpoint, vengono effettuate chiamate API del control plane tra i progetti consumer e producer per stabilire una connessione Private Service Connect. La creazione di una connessione Private Service Connect tra progetti consumer e producer che non si trovano nello stesso perimetro Controlli di servizio VPC non richiede un'autorizzazione esplicita con criteri di uscita. La comunicazione con i servizi supportati dai Controlli di servizio VPC tramite l'endpoint è protetta dal perimetro dei Controlli di servizio VPC.
Route statiche con hop successivi del bilanciatore del carico
Le route statiche possono essere configurate per utilizzare la regola di forwarding di un bilanciatore del carico di rete passthrough interno come hop successivo (--next-hop-ilb
). Non tutte le route di questo tipo sono supportate con Private Service Connect.
Le route statiche che utilizzano --next-hop-ilb
per specificare il nome di una regola di forwarding del bilanciatore del carico di rete passthrough interno possono essere utilizzate per inviare e ricevere traffico a un endpoint Private Service Connect quando la route e l'endpoint si trovano nella stessa rete VPC.
Le seguenti configurazioni di routing non sono supportate con Private Service Connect:
- Route statiche che utilizzano
--next-hop-ilb
per specificare l'indirizzo IP di una regola di forwarding del bilanciatore del carico di rete passthrough interno. - Route statiche che utilizzano
--next-hop-ilb
per specificare il nome o l'indirizzo IP di una regola di forwarding dell'endpoint Private Service Connect.
Logging
Puoi abilitare i log di flusso VPC nelle subnet contenenti le VM che accedono ai servizi in un'altra rete VPC utilizzando gli endpoint. I log mostrano i flussi tra le VM e l'endpoint.
Puoi visualizzare le modifiche allo stato della connessione per gli endpoint utilizzando i log di controllo. Le modifiche allo stato della connessione per l'endpoint vengono acquisite nei metadati degli eventi di sistema per il tipo di risorsa Regola di forwarding GCE. Puoi filtrare in base a
pscConnectionStatus
per visualizzare queste voci.Ad esempio, quando un producer di servizi consente le connessioni dal tuo progetto, lo stato della connessione dell'endpoint cambia da
PENDING
aACCEPTED
e questa modifica viene riportata nei log di controllo.- Per visualizzare i log di controllo, vedi Visualizzare i log.
- Per impostare avvisi basati sui log di controllo, vedi Gestione degli avvisi basati su log.
Quote
Il numero di endpoint che puoi creare per accedere ai servizi pubblicati è controllato dalla quota PSC Internal LB Forwarding Rules
.
Per ulteriori informazioni, consulta Quote.
Vincoli dei criteri dell'organizzazione
Un amministratore dei criteri dell'organizzazione può utilizzare il vincolo
constraints/compute.disablePrivateServiceConnectCreationForConsumers
<0x2E>
per definire l'insieme di tipi di endpoint per
cui gli utenti non possono creare regole di forwarding.
Per informazioni sulla creazione di una policy dell'organizzazione che utilizza questo vincolo, consulta Impedire ai consumatori di eseguire il deployment di endpoint per tipo di connessione.