Cette page décrit les concepts associés à Private Service Connect. Vous pouvez utiliser Private Service Connect aux fins suivantes :
- Vous pouvez vous connecter à une instance Cloud SQL à partir de plusieurs réseaux VPC appartenant à différents groupes, équipes, projets ou organisations.
- Se connecter à une instance principale ou à l'une de ses instances répliquées avec accès en lecture
Point de terminaison Private Service Connect
Vous pouvez utiliser des points de terminaison Private Service Connect pour accéder de manière privée aux instances Cloud SQL à partir de vos réseaux VPC consommateurs. Ces points de terminaison sont des adresses IP internes associées à une règle de transfert qui fait référence à un rattachement de service d'une instance Cloud SQL.
Vous pouvez demander à Cloud SQL de créer le point de terminaison automatiquement ou de le créer manuellement.
Pour que Cloud SQL crée automatiquement le point de terminaison, procédez comme suit:
- Créez une règle de connexion de service dans vos réseaux VPC.
Créez une instance Cloud SQL sur laquelle Private Service Connect est activé et configurez-la pour qu'elle crée automatiquement un point de terminaison. Lorsque vous créez l'instance, spécifiez les paramètres de connexion automatique, tels que les réseaux VPC et les projets.
Cloud SQL recherche la règle de connexion de service dans ces réseaux et crée un point de terminaison Private Service Connect qui pointe vers le rattachement de service de l'instance.
Une fois que vous avez créé l'instance et que Cloud SQL a créé le point de terminaison, les clients des réseaux VPC correspondants peuvent se connecter à l'instance à partir du point de terminaison, via une adresse IP ou un enregistrement DNS. Cette fonctionnalité permettant à Cloud SQL de créer automatiquement le point de terminaison est disponible en version Preview.
Pour créer le point de terminaison manuellement, procédez comme suit:
- Créez une instance Cloud SQL avec Private Service Connect activé.
- Obtenez l'URI du rattachement de service dont vous avez besoin pour créer le point de terminaison manuellement.
Réservez une adresse IP interne dans votre réseau VPC pour le point de terminaison et créez un point de terminaison avec cette adresse.
Une fois que vous avez créé l'instance et que Cloud SQL a créé le point de terminaison, les clients des réseaux VPC correspondants peuvent se connecter à l'instance à partir du point de terminaison, via une adresse IP ou un enregistrement DNS.
Règle de connexion au service
Une règle de connexion de service vous permet d'autoriser une classe de service spécifiée à créer une connexion Private Service Connect entre les réseaux VPC. Vous pouvez ainsi provisionner automatiquement des points de terminaison Private Service Connect. Cette fonctionnalité est disponible en version Preview.
Vous pouvez créer au plus une règle pour chaque combinaison de classe de service, de région et de réseau VPC. Une règle détermine l'automatisation de la connectivité du service pour cette combinaison spécifique. Lorsque vous configurez une règle, vous sélectionnez un sous-réseau. Le sous-réseau permet d'allouer des adresses IP aux points de terminaison que vous créez via la règle. Si plusieurs règles de connexion de service partagent la même région, vous pouvez réutiliser le même sous-réseau pour toutes les règles.
Par exemple, si vous souhaitez utiliser l'automatisation de la connectivité du service avec deux services dans trois régions différentes, créez six règles. Vous pouvez utiliser au moins trois sous-réseaux, un pour chaque région.
Après avoir créé une règle de connexion de service, vous ne pouvez mettre à jour que les sous-réseaux et la limite de connexion de la règle. Si vous devez mettre à jour d'autres champs, procédez comme suit:
- Supprimez toutes les connexions qui utilisent la stratégie.
- Supprimez la stratégie.
- Créez une règle.
Rattachement de service
Lorsque vous créez une instance Cloud SQL et que vous la configurez pour qu'elle utilise Private Service Connect, Cloud SQL crée automatiquement un rattachement de service pour l'instance. Un rattachement de service est un point de rattachement que les réseaux VPC utilisent pour accéder à l'instance.
Vous créez un point de terminaison Private Service Connect que le réseau VPC utilise pour se connecter au rattachement de service. Cela permet au réseau d'accéder à l'instance.
Chaque instance Cloud SQL possède un rattachement de service auquel le point de terminaison Private Service Connect peut se connecter via le réseau VPC. S'il existe plusieurs réseaux, chacun d'eux possède son propre point de terminaison.
Noms et enregistrements DNS
Pour les instances sur lesquelles Private Service Connect est activé, nous vous recommandons d'utiliser le nom DNS, car différents réseaux peuvent se connecter à la même instance et les points de terminaison Private Service Connect de chaque réseau peuvent avoir des adresses IP différentes. De plus, le proxy d'authentification Cloud SQL nécessite des noms DNS pour se connecter à ces instances.
Cloud SQL ne crée pas d'enregistrements DNS automatiquement. À la place, un nom DNS suggéré est fourni à partir de la réponse de l'API de recherche d'instance. Nous vous recommandons de créer l'enregistrement DNS dans une zone DNS privée du réseau VPC correspondant. Cela permet de se connecter de manière cohérente à partir de différents réseaux.
Projets Private Service Connect autorisés
Les projets autorisés sont des projets associés à des réseaux VPC et sont spécifiques à chaque instance Cloud SQL. Si une instance ne fait partie d'aucun projet autorisé, vous ne pouvez pas activer Private Service Connect pour l'instance.
Pour ces projets, vous pouvez créer des points de terminaison Private Service Connect pour chaque instance. Si un projet n'est pas explicitement autorisé, vous pouvez toujours créer un point de terminaison pour les instances du projet, mais le point de terminaison reste à l'état PENDING.
Propagation des points de terminaison Private Service Connect
Par défaut, les connexions Private Service Connect ne sont pas transitives à partir des réseaux VPC appairés. Vous devez créer un point de terminaison Private Service Connect dans chaque réseau VPC qui doit se connecter à votre instance Cloud SQL. Par exemple, si vous avez trois réseaux VPC qui doivent se connecter à votre instance, vous devez créer trois points de terminaison Private Service Connect, un pour chaque réseau VPC.
Toutefois, en propageant les points de terminaison Private Service Connect via le hub Network Connectivity Center, ces points de terminaison peuvent être accessibles par n'importe quel autre réseau VPC spoke du même hub. Le hub fournit un modèle de gestion de la connectivité centralisée pour interconnecter les réseaux VPC spoke aux points de terminaison Private Service Connect.
La fonctionnalité de propagation de connexion de Network Connectivity Center est utile pour le cas d'utilisation suivant des déploiements Private Service Connect:
Vous pouvez utiliser un réseau VPC de services communs pour créer plusieurs points de terminaison Private Service Connect. En ajoutant un seul réseau VPC de services communs au hub Network Connectivity Center, tous les points de terminaison Private Service Connect du réseau VPC deviennent accessibles de manière transitoire aux autres réseaux VPC spoke via le hub. Cette connectivité élimine la nécessité de gérer individuellement chaque point de terminaison Private Service Connect dans chaque réseau VPC.
Pour découvrir comment utiliser le hub Network Connectivity Center pour propager des points de terminaison Private Service Connect vers des réseaux VPC spoke, consultez le atelier de programmation Network Connectivity Center : propagation Private Service Connect.
Étape suivante
- Apprenez-en plus sur les adresses IP privées.
- Découvrez comment vous connecter à une instance à l'aide de Private Service Connect.