Présentation de Private Service Connect

Cette page décrit les concepts associés à Private Service Connect. Vous pouvez utiliser Private Service Connect aux fins suivantes :

• Vous pouvez vous connecter à une instance Cloud SQL à partir de plusieurs réseaux VPC appartenant à différents groupes, équipes, projets ou organisations.
• Se connecter à une instance principale ou à l'une de ses instances répliquées avec accès en lecture

Point de terminaison Private Service Connect

Vous pouvez utiliser des points de terminaison Private Service Connect pour accéder aux instances Cloud SQL de manière privée depuis vos réseaux VPC consommateurs. Ces points de terminaison sont des adresses IP internes associées à une règle de transfert qui fait référence à un rattachement de service d'une instance Cloud SQL.

Vous pouvez demander à Cloud SQL de créer le point de terminaison automatiquement ou le créer manuellement.

Pour que Cloud SQL crée automatiquement le point de terminaison, procédez comme suit :

1. Créez une règle de connexion de service dans vos réseaux VPC.

2. Créez une instance Cloud SQL avec Private Service Connect activé pour l'instance, puis configurez l'instance pour qu'elle crée automatiquement un point de terminaison. Lors de la création de l'instance, spécifiez les paramètres de connexion automatique tels que les réseaux et les projets VPC.

   Cloud SQL localise la règle de connexion de service dans ces réseaux et crée un point de terminaison Private Service Connect qui pointe vers le rattachement de service de l'instance.

   Une fois l'instance créée et le point de terminaison créé par Cloud SQL, les clients des réseaux VPC correspondants peuvent se connecter à l'instance à partir du point de terminaison, soit via une adresse IP, soit via un enregistrement DNS. Cette fonctionnalité permettant à Cloud SQL de créer automatiquement le point de terminaison est disponible en version bêta.

Pour créer le point de terminaison manuellement, procédez comme suit :

1. Créez une instance Cloud SQL avec Private Service Connect activé pour l'instance.
2. Obtenez l'URI du rattachement de service dont vous avez besoin pour créer le point de terminaison manuellement.

3. Réservez une adresse IP interne dans votre réseau VPC pour le point de terminaison et créez un point de terminaison avec cette adresse.

   Une fois l'instance créée et le point de terminaison créé par Cloud SQL, les clients des réseaux VPC correspondants peuvent se connecter à l'instance à partir du point de terminaison, soit via une adresse IP, soit via un enregistrement DNS.

Règle de connexion au service

Une règle de connexion de service vous permet d'autoriser une classe de service spécifiée à créer une connexion Private Service Connect entre des réseaux VPC. Vous pouvez ainsi provisionner automatiquement des points de terminaison Private Service Connect. Cette fonctionnalité est disponible en version bêta.

Vous pouvez créer au plus une règle pour chaque combinaison de classe de service, de région et de réseau VPC. Une règle détermine l'automatisation de la connectivité du service pour cette combinaison spécifique. Lorsque vous configurez une règle, vous sélectionnez un sous-réseau. Le sous-réseau permet d'allouer des adresses IP aux points de terminaison que vous créez via la règle. Si plusieurs règles de connexion de service partagent la même région, vous pouvez réutiliser le même sous-réseau pour toutes les règles.

Par exemple, si vous souhaitez utiliser l'automatisation de la connectivité du service avec deux services dans trois régions différentes, créez six règles. Vous pouvez utiliser au moins trois sous-réseaux, un pour chaque région.

Après avoir créé une règle de connexion de service, vous ne pouvez mettre à jour que les sous-réseaux et la limite de connexion de la règle. Si vous devez mettre à jour d'autres champs, procédez comme suit :

1. Supprimez toutes les connexions qui utilisent la règle.
2. Supprimez la règle.
3. Créez une règle.

Rattachement de service

Lorsque vous créez une instance Cloud SQL et que vous la configurez pour qu'elle utilise Private Service Connect, Cloud SQL crée automatiquement un rattachement de service pour l'instance. Un rattachement de service est un point de rattachement que les réseaux VPC utilisent pour accéder à l'instance.

Vous créez un point de terminaison Private Service Connect que le réseau VPC utilise pour se connecter au rattachement de service. Cela permet au réseau d'accéder à l'instance.

Chaque instance Cloud SQL possède un rattachement de service auquel le point de terminaison Private Service Connect peut se connecter via le réseau VPC. S'il existe plusieurs réseaux, chacun d'eux possède son propre point de terminaison.

Noms et enregistrements DNS

Pour les instances sur lesquelles Private Service Connect est activé, nous vous recommandons d'utiliser le nom DNS, car différents réseaux peuvent se connecter à la même instance et les points de terminaison Private Service Connect de chaque réseau peuvent avoir des adresses IP différentes. De plus, le proxy d'authentification Cloud SQL nécessite des noms DNS pour se connecter à ces instances.

Cloud SQL ne crée pas d'enregistrements DNS automatiquement. À la place, un nom DNS suggéré est fourni à partir de la réponse de l'API de recherche d'instance. Nous vous recommandons de créer l'enregistrement DNS dans une zone DNS privée du réseau VPC correspondant. Cela permet de se connecter de manière cohérente à partir de différents réseaux.

Projets Private Service Connect autorisés

Les projets autorisés sont des projets associés à des réseaux VPC et sont spécifiques à chaque instance Cloud SQL. Si une instance ne fait partie d'aucun projet autorisé, vous ne pouvez pas activer Private Service Connect pour l'instance.

Pour ces projets, vous pouvez créer des points de terminaison Private Service Connect pour chaque instance. Si un projet n'est pas explicitement autorisé, vous pouvez toujours créer un point de terminaison pour les instances du projet, mais le point de terminaison reste à l'état PENDING.

Propagation des points de terminaison Private Service Connect

Par défaut, les connexions Private Service Connect ne sont pas transitives à partir des réseaux VPC appairés. Vous devez créer un point de terminaison Private Service Connect dans chaque réseau VPC qui doit se connecter à votre instance Cloud SQL. Par exemple, si vous avez trois réseaux VPC qui doivent se connecter à votre instance, vous devez créer trois points de terminaison Private Service Connect (un pour chaque réseau VPC).

Toutefois, en propageant les points de terminaison Private Service Connect via le hub Network Connectivity Center, ces points de terminaison peuvent être accessibles par n'importe quel autre spoke de réseau VPC du même hub. Le hub fournit un modèle de gestion de la connectivité centralisé pour interconnecter les réseaux VPC spokes aux points de terminaison Private Service Connect.

La fonctionnalité de propagation de connexion dans Network Connectivity Center présente l'avantage suivant pour les déploiements Private Service Connect :

Vous pouvez utiliser un réseau VPC de services communs pour créer plusieurs points de terminaison Private Service Connect. En ajoutant un seul réseau VPC de services communs au hub Network Connectivity Center, tous les points de terminaison Private Service Connect du réseau VPC deviennent accessibles de manière transitive aux autres réseaux VPC spokes via le hub. Cette connectivité élimine la nécessité de gérer individuellement chaque point de terminaison Private Service Connect dans chaque réseau VPC.

Pour savoir comment utiliser le hub Network Connectivity Center afin de propager les points de terminaison Private Service Connect vers les réseaux VPC spokes, consultez l'atelier de programmation Network Connectivity Center : propagation Private Service Connect.

Backend Private Service Connect

Vous pouvez utiliser des backends Private Service Connect, au lieu des points de terminaison Private Service Connect, pour accéder aux instances Cloud SQL. Pour plus de facilité, nous vous recommandons de vous connecter à vos instances Cloud SQL à l'aide de points de terminaison Private Service Connect. Pour plus de contrôle et de visibilité, vous pouvez vous connecter à l'aide de backends Private Service Connect.

Pour utiliser les backends Private Service Connect, vous devez configurer les ressources suivantes pour chaque port de diffusion sur lequel vous souhaitez accéder à une instance Cloud SQL donnée :

• Un groupe de points de terminaison du réseau Private Service Connect (NEG), qui doit faire référence au rattachement de service et à un port de diffusion de l'instance Cloud SQL.
• Équilibreur de charge réseau proxy interne (composé d'un service de backend, d'un proxy TCP cible et d'une règle de transfert) dont le backend est le NEG Private Service Connect.

Les ports de diffusion compatibles avec SQL Server sont les suivants :

• Port TCP 1433 pour les connexions directes au serveur de base de données SQL Server.
• Port TCP 3307 pour les connexions via le proxy d'authentification Cloud SQL.

Étapes suivantes

• Apprenez-en plus sur les adresses IP privées.
• Découvrez comment vous connecter à une instance à l'aide de Private Service Connect.