Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sul controllo dell'accesso ai servizi pubblicati

Questa pagina descrive le funzionalità che puoi utilizzare per controllare l'accesso ai servizi pubblicati utilizzando Private Service Connect.

Preferenze di connessione

Ogni collegamento al servizio ha una preferenza di connessione che controlla se le connessioni vengono accettate automaticamente.

Accetta automaticamente tutte le connessioni. L'allegato di servizio accetta automaticamente tutte le richieste di connessione in entrata da qualsiasi consumer.
Accetta esplicitamente le connessioni dai consumatori selezionati. L'allegato di servizio accetta richieste di connessione in entrata solo se il consumer si trova nell'elenco di accettazione dei consumer dell'allegato di servizio. Puoi specificare i consumer per progetto, rete VPC o singolo endpoint Private Service Connect (anteprima). Non puoi includere diversi tipi di consumatori nello stesso elenco di accettazione o rifiuto dei consumatori.

Per entrambe le preferenze di connessione, le connessioni accettate possono essere sostituite e rifiutate da un criterio dell'organizzazione che blocca le connessioni in entrata.

Ti consigliamo di accettare esplicitamente le connessioni per i consumatori selezionati. L'accettazione automatica di tutte le connessioni potrebbe essere appropriata se controlli l'accesso dei consumatori con altri mezzi e vuoi abilitare l'accesso permissivo al tuo servizio.

Elenchi di accettazione e rifiuto dei consumatori

Gli elenchi di accettazione dei consumer e gli elenchi di rifiuto dei consumer sono una funzionalità di sicurezza degli allegati del servizio. Questi elenchi consentono ai producer di servizi di specificare quali consumer possono stabilire connessioni Private Service Connect ai loro servizi. Quando un collegamento di servizio è configurato per l'approvazione esplicita, una nuova connessione viene accettata solo se il consumer è presente nell'elenco di accettazione e non in quello di rifiuto. Gli aggiornamenti agli elenchi di consumer influiscono solo sulle nuove connessioni, a meno che non sia abilitata la riconciliazione delle connessioni.

Gli elenchi di consumatori accettati e rifiutati ti consentono di specificare i consumatori in uno dei seguenti modi:

Progetto
Rete VPC
Endpoint Private Service Connect (anteprima)

Questo metodo non si applica ai backend Private Service Connect.

Se aggiungi lo stesso consumer sia all'elenco di accettazione sia a quello di rifiuto, il consumer non potrà connettersi al collegamento del servizio. La specifica dei consumatori per cartella non è supportata.

Entrambi gli elenchi di consumer di un collegamento del servizio devono contenere lo stesso tipo di consumer. Ad esempio, se aggiungi un progetto a un elenco di accettazione, non puoi aggiungere un URI di rete VPC o endpoint a nessuno dei due elenchi, a meno che tu non sostituisca il progetto nell'elenco di accettazione con il nuovo tipo di consumer.

Se vuoi pubblicare un servizio che accetta diversi tipi di consumer, puoi creare più collegamenti al servizio che si connettono allo stesso servizio. Ogni collegamento al servizio può essere configurato con le proprie preferenze di connessione ed elenchi di consumer.

Puoi modificare il tipo di consumatore negli elenchi di consumatori senza interrompere le connessioni, ma devi apportare la modifica in un unico aggiornamento. In caso contrario, l'operazione non andrà a buon fine.

Esistono limiti al numero di consumatori che puoi aggiungere agli elenchi di accettazione e rifiuto:

Puoi aggiungere un massimo di 5000 valori all'elenco di accettazione dei consumatori.
Puoi aggiungere un massimo di 64 valori all'elenco di rifiuto dei consumatori.

Gli elenchi di consumer controllano se un endpoint o un backend può connettersi a un servizio pubblicato, ma non controllano chi può inviare richieste a quell'endpoint. Ad esempio, supponiamo che un consumer abbia una rete VPC condivisa a cui sono collegati due progetti di servizio. Se un servizio pubblicato ha service-project1 nell'elenco di accettazione dei consumatori e service-project2 nell'elenco di rifiuto dei consumatori, si applica quanto segue:

Un consumer in service-project1 può creare un endpoint che si connette al servizio pubblicato.
Un consumatore in service-project2 non può creare un endpoint che si connette al servizio pubblicato.
Un client in service-project2 può inviare richieste all'endpoint in service-project1, se non esistono regole o criteri firewall che impediscono questo traffico.

Per informazioni su come gli elenchi di accettazione dei consumatori interagiscono con le norme dell'organizzazione, vedi Interazione tra gli elenchi di accettazione dei consumatori e le norme dell'organizzazione.

Limiti per gli elenchi di accettazione dei consumatori

Gli elenchi di accettazione dei consumatori hanno limiti di connessione. Questi limiti impostano il numero totale di connessioni endpoint Private Service Connect che un collegamento del servizio può accettare dal progetto consumer o dalla rete VPC specificati.

I producer possono utilizzare i limiti di connessione per impedire ai singoli consumer di esaurire gli indirizzi IP o le quote di risorse nella rete VPC producer. Ogni connessione Private Service Connect accettata viene sottratta dal limite configurato per un progetto consumer o una rete VPC. I limiti vengono impostati quando crei o aggiorni gli elenchi di accettazione dei consumatori. Puoi visualizzare le connessioni di un collegamento del servizio quando descrivi un collegamento del servizio.

Ad esempio, considera un caso in cui un collegamento del servizio ha un elenco di accettazione dei consumer che include project-1 e project-2, entrambi con un limite di una connessione. Il progetto project-1 richiede due connessioni, project-2 ne richiede una e project-3 ne richiede una. Poiché project-1 ha un limite di una connessione, la prima connessione viene accettata e la seconda rimane in attesa. La connessione da project-2 è accettata e la connessione da project-3 rimane in attesa. La seconda connessione da project-1 può essere accettata aumentando il limite per project-1. Se project-3 viene aggiunto all'elenco di accettazione dei consumatori, la connessione passa da in attesa ad accettata.

Riconciliazione delle connessioni

La riconciliazione delle connessioni determina se gli aggiornamenti agli elenchi di accettazione o rifiuto di un collegamento di servizio possono influire sulle connessioni Private Service Connect esistenti. Se la riconciliazione delle connessioni è abilitata, l'aggiornamento degli elenchi di accettazione o rifiuto può interrompere le connessioni esistenti. Le connessioni precedentemente rifiutate possono essere accettate. Se la riconciliazione delle connessioni è disattivata, l'aggiornamento degli elenchi di accettazione o rifiuto influisce solo sulle connessioni nuove e in attesa.

Ad esempio, considera un service attachment con diverse connessioni accettate da Project-A. Project-A è presente nell'elenco di accettazione dell'allegato di servizio. L'allegato di servizio viene aggiornato rimuovendo Project-A dall'elenco di accettazione.

Se la riconciliazione delle connessioni è abilitata, tutte le connessioni esistenti da Project-A passano a PENDING, il che termina la connettività di rete tra le due reti VPC e interrompe immediatamente il traffico di rete.

Se la riconciliazione delle connessioni è disattivata, le connessioni esistenti da Project-A non sono interessate. Il traffico di rete può comunque fluire attraverso le connessioni Private Service Connect esistenti. Tuttavia, non sono consentite nuove connessioni Private Service Connect.

Per informazioni sulla configurazione della riconciliazione delle connessioni per i nuovi allegati di servizio, consulta Pubblicare un servizio con approvazione esplicita.

Per informazioni sulla configurazione della riconciliazione delle connessioni per i service attachment esistenti, consulta Configurare la riconciliazione delle connessioni.

Accettare o rifiutare le connessioni degli endpoint Private Service Connect

Puoi accettare o rifiutare singole connessioni endpoint Private Service Connect aggiungendo l'URI basato sull'ID dell'endpoint a uno degli elenchi consumer di un collegamento al servizio. Questo approccio, consigliato per i servizi multi-tenant, fornisce il controllo più granulare per la gestione delle connessioni. L'accettazione dei consumer per endpoint Private Service Connect si applica solo agli endpoint Private Service Connect e non supporta i backend Private Service Connect.

A differenza dei progetti o delle reti VPC, puoi accettare o rifiutare un singolo endpoint Private Service Connect solo dopo che il consumer lo ha creato. Questo perché l'URI univoco di un endpoint non è noto finché il consumer non lo crea. L'aggiunta di un endpoint a un elenco di accettazione dei consumatori prevede i seguenti passaggi:

Il producer pubblica un servizio che richiede l'approvazione esplicita, senza aggiungere valori all'elenco di accettazione dei consumer.
Un consumatore crea un endpoint che si connette al servizio pubblicato. La connessione è visibile nell'allegato del servizio con lo stato Pending.
Per trovare l'URI basato sull'ID dell'endpoint in attesa, il producer può descrivere il collegamento di servizio oppure il consumer può descrivere l'endpoint.
Il producer aggiunge l'URI basato sull'ID dell'endpoint all'elenco di accettazione del consumer. La connessione viene stabilita e il suo stato cambia in Accepted.