Questa pagina descrive i concetti associati a Private Service Connect. Puoi utilizzare Private Service Connect per i seguenti scopi:
- Connettersi a un'istanza Cloud SQL da più reti VPC appartenenti a gruppi, team, progetti o organizzazioni diversi
- Connessione a un'istanza principale o a una delle relative repliche di lettura
Endpoint Private Service Connect
Puoi utilizzare gli endpoint Private Service Connect per accedere privatamente alle istanze Cloud SQL dalle tue reti VPC consumer. Questi endpoint sono indirizzi IP interni associati a una regola di forwarding che fa riferimento a un collegamento del servizio di un'istanza Cloud SQL.
Puoi fare in modo che Cloud SQL crei automaticamente l'endpoint oppure puoi crearlo manualmente.
Per fare in modo che Cloud SQL crei automaticamente l'endpoint:
- Crea un criterio di connessione del servizio nelle tue reti VPC.
Crea un'istanza Cloud SQL con Private Service Connect abilitato per l'istanza e configura l'istanza in modo che crei automaticamente un endpoint. Durante la creazione dell'istanza, specifica i parametri di connessione automatica, come reti VPC e progetti.
Cloud SQL individua il criterio di connessione al servizio in queste reti e crea un endpoint Private Service Connect che punta al collegamento al servizio dell'istanza.
Dopo aver creato l'istanza e Cloud SQL crea l'endpoint, i client nelle reti VPC corrispondenti possono connettersi all'istanza dall'endpoint, tramite un indirizzo IP o un record DNS. Questa funzionalità per consentire a Cloud SQL di creare automaticamente l'endpoint è disponibile in anteprima.
Per creare l'endpoint manualmente:
- Crea un'istanza Cloud SQL con Private Service Connect abilitato per l'istanza.
- Recupera l'URI del collegamento al servizio necessario per creare manualmente l'endpoint.
Prenota un indirizzo IP interno nella tua rete VPC per l'endpoint e crea un endpoint con questo indirizzo.
Dopo aver creato l'istanza e Cloud SQL crea l'endpoint, i client nelle reti VPC corrispondenti possono connettersi all'istanza dall'endpoint, tramite un indirizzo IP o un record DNS.
Policy di connessione al servizio
Un criterio di connessione al servizio ti consente di autorizzare una classe di servizio specificata a creare una connessione Private Service Connect tra reti VPC. Di conseguenza, puoi eseguire il provisioning automatico degli endpoint Private Service Connect. Questa funzionalità è disponibile in anteprima.
Puoi creare un massimo di una policy per ogni combinazione di classe di servizio, regione e rete VPC. Una policy determina l'automazione della connettività del servizio per quella combinazione specifica. Quando configuri una policy, selezioni una subnet. La subnet viene utilizzata per allocare indirizzi IP per gli endpoint creati tramite la policy. Se più policy di connessione al servizio condividono la stessa regione, puoi riutilizzare la stessa subnet per tutte le policy.
Ad esempio, se vuoi utilizzare l'automazione della connettività di servizio con due servizi in tre regioni diverse, crea sei policy. Puoi utilizzare un minimo di tre subnet: una per ogni regione.
Dopo aver creato una policy di connessione al servizio, puoi aggiornare solo le subnet e il limite di connessioni della policy. Se devi aggiornare altri campi:
- Rimuovi tutte le connessioni che utilizzano il criterio.
- Elimina la norma.
- Crea una nuova norma.
Collegamento servizio
Quando crei un'istanza Cloud SQL e la configuri per utilizzare Private Service Connect, Cloud SQL crea automaticamente un collegamento al servizio per l'istanza. Un collegamento al servizio è un punto di collegamento utilizzato dalle reti VPC per accedere all'istanza.
Crea un endpoint Private Service Connect che la rete VPC utilizza per connettersi al collegamento al servizio. In questo modo la rete può accedere all'istanza.
Ogni istanza Cloud SQL ha un collegamento al servizio a cui l'endpoint Private Service Connect può connettersi tramite la rete VPC. Se sono presenti più reti, ogni rete ha il proprio endpoint.
Nomi e record DNS
Per le istanze con Private Service Connect abilitato, ti consigliamo di utilizzare il nome DNS perché reti diverse possono connettersi alla stessa istanza e gli endpoint Private Service Connect in ogni rete potrebbero avere indirizzi IP diversi. Inoltre, Cloud SQL Auth Proxy richiede i nomi DNS per connettersi a queste istanze.
Cloud SQL non crea automaticamente record DNS. Viene invece fornito un nome DNS suggerito dalla risposta dell'API di ricerca delle istanze. Ti consigliamo di creare il record DNS in una zona DNS privata nella rete VPC corrispondente. In questo modo, la connessione da reti diverse è coerente.
Progetti Private Service Connect consentiti
I progetti consentiti sono associati alle reti VPC e sono specifici per ogni istanza Cloud SQL. Se un'istanza non è contenuta in alcun progetto consentito, non puoi abilitare Private Service Connect per l'istanza.
Per questi progetti, puoi creare endpoint Private Service Connect per ogni istanza. Se un progetto non è consentito in modo esplicito, puoi comunque creare un endpoint per le istanze nel progetto, ma l'endpoint rimane nello stato PENDING.
Propagazione endpoint Private Service Connect
Per impostazione predefinita, le connessioni Private Service Connect non sono transitive dalle reti VPC con peering. Devi creare un endpoint Private Service Connect in ogni rete VPC che deve connettersi alla tua istanza Cloud SQL. Ad esempio, se hai tre reti VPC che devono connettersi alla tua istanza, devi creare tre endpoint Private Service Connect, uno per ogni rete VPC.
Tuttavia, propagando gli endpoint Private Service Connect tramite l'hub Network Connectivity Center, questi endpoint possono essere raggiungibili da qualsiasi altra rete VPC spoke nello stesso hub. L'hub fornisce un modello di gestione della connettività centralizzato per interconnettere le reti VPC spoke agli endpoint Private Service Connect.
La funzionalità di propagazione della connessione in Network Connectivity Center è utile per il seguente caso d'uso per le implementazioni di Private Service Connect:
Puoi utilizzare una rete VPC di servizi comuni per creare più endpoint Private Service Connect. Se aggiungi una singola rete VPC di servizi comuni all'hub Network Connectivity Center, tutti gli endpoint Private Service Connect nella rete VPC diventano accessibili in modo transitivo ad altre reti VPC spoke tramite l'hub. Questa connettività elimina la necessità di gestire singolarmente ogni endpoint Private Service Connect in ogni rete VPC.
Per scoprire come utilizzare l'hub Network Connectivity Center per propagare gli endpoint Private Service Connect alle reti VPC spoke, consulta il codelab Network Connectivity Center - Propagazione di Private Service Connect.
Backend Private Service Connect
Puoi utilizzare i backend Private Service Connect, in alternativa agli endpoint Private Service Connect, per accedere alle istanze Cloud SQL. Per facilità d'uso, ti consigliamo di connetterti alle istanze Cloud SQL utilizzando gli endpoint Private Service Connect. Per un maggiore controllo e visibilità, puoi connetterti utilizzando i backend Private Service Connect.
Per utilizzare i backend Private Service Connect, devi configurare le seguenti risorse per ogni porta di servizio su cui vuoi accedere a una determinata istanza Cloud SQL:
- Gruppo di endpoint di rete (NEG) Private Service Connect, che deve fare riferimento al collegamento al servizio e a una porta di pubblicazione dell'istanza Cloud SQL.
- Bilanciatore del carico di rete proxy interno (costituito da servizio di backend, proxy TCP di destinazione e regola di forwarding) con il backend che è il NEG Private Service Connect.
- Porta TCP 1433 per le connessioni dirette al server di database SQL Server.
- Porta TCP 3307 per le connessioni tramite il proxy di autenticazione Cloud SQL.
Passaggi successivi
- Scopri di più sull'IP privato.
- Scopri di più su come connettersi a un'istanza utilizzando Private Service Connect.