À propos de l'accès aux services publiés via des points de terminaison
Ce document offre un aperçu de la connexion aux services d'un autre réseau VPC à l'aide de points de terminaison Private Service Connect. Vous pouvez vous connecter à vos propres services ou à ceux fournis par d'autres producteurs de services, y compris par Google.
Les clients se connectent au point de terminaison à l'aide d'adresses IP internes. Private Service Connect effectue une traduction d'adresse réseau (NAT, network address translation) pour acheminer la requête vers le service.
Pour en savoir plus sur les services publiés, consultez la section À propos des services publiés.
Fonctionnalités et compatibilité
Dans les tableaux suivants, une coche indique qu'une fonctionnalité est disponible, et un symbole "no" indique qu'une fonctionnalité n'est pas compatible.
Configuration du client
Ce tableau récapitule les options et les capacités compatibles avec les points de terminaison qui accèdent à des services publiés.
Configuration du client (point de terminaison) | Équilibreur de charge de producteur | |||
---|---|---|---|---|
Équilibreur de charge réseau passthrough interne | Équilibreur de charge d'application interne régional | Équilibreur de charge réseau proxy interne régional | Transfert de protocole interne (instance cible) | |
Accès mondial du client |
Indépendant du paramètre d'accès mondial sur l'équilibreur de charge |
Uniquement si l'accès global est activé sur l'équilibreur de charge avant la création du rattachement de service |
Uniquement si l'accès global est activé sur l'équilibreur de charge avant la création du rattachement de service |
Indépendant du paramètre d'accès mondial sur l'équilibreur de charge |
Trafic Cloud VPN | ||||
Configuration DNS automatique | IPv4 uniquement | IPv4 uniquement | IPv4 uniquement | IPv4 uniquement |
Propagation des connexions | IPv4 uniquement | IPv4 uniquement | IPv4 uniquement | IPv4 uniquement |
Points de terminaison IPv4 |
|
|
|
|
Points de terminaison IPv6 |
|
|
|
|
Configuration du producteur
Ce tableau récapitule les options de configuration et les capacités compatibles avec les services publiés auxquels les points de terminaison ont accès.
Configuration du producteur (service publié) | Équilibreur de charge de producteur | |||
---|---|---|---|---|
Équilibreur de charge réseau passthrough interne | Équilibreur de charge d'application interne régional | Équilibreur de charge réseau proxy interne régional | Transfert de protocole interne (instance cible) | |
Backends de producteur compatibles : |
|
|
|
Non applicable |
Protocole PROXY | Trafic TCP uniquement | Trafic TCP uniquement | ||
Modes d'affinité de session | NONE (quintuple) CLIENT_IP_PORT_PROTO |
Non applicable | Non applicable | Non applicable |
Version IP |
|
|
|
|
Différents équilibreurs de charge prennent en charge différentes configurations de port. Certains équilibreurs de charge acceptent un seul port, d'autres sont compatibles avec une plage de ports et d'autres acceptent tous les ports. Pour en savoir plus, consultez la section Spécifications de ports.
Limites
Les limites suivantes s'appliquent aux points de terminaison qui accèdent à un service publié :
Vous ne pouvez pas créer de point de terminaison dans le même réseau VPC que le service publié auquel vous accédez.
Les points de terminaison ne sont pas accessibles à partir des réseaux VPC appairés.
La mise en miroir de paquets ne peut pas mettre en miroir les paquets pour le trafic des services publiés par Private Service Connect.
Les routes statiques avec des sauts suivants de l'équilibreur de charge ne sont pas toutes compatibles avec Private Service Connect. Pour en savoir plus, consultez la section Routes statiques avec sauts suivants de l'équilibreur de charge.
Les tests de connectivité ne peuvent pas tester la connectivité entre un point de terminaison IPv6 et un service publié.
Accès sur site
Les points de terminaison que vous utilisez pour accéder aux API Google sont accessibles à partir d'hôtes sur site connectés compatibles. Pour en savoir plus, consultez la section Accéder aux points de terminaison à partir de réseaux hybrides.
Spécifications
- Les points de terminaison Private Service Connect doivent être créés dans la même région que le service publié qui est la cible du point de terminaison.
- Le point de terminaison doit être créé dans un réseau VPC différent du réseau VPC contenant le service cible.
- Si vous utilisez un VPC partagé, vous pouvez créer le point de terminaison dans le projet hôte ou dans un projet de service.
- Par défaut, le point de terminaison n'est accessible que par les clients situés dans la même région et le même réseau VPC (ou réseau VPC partagé) que le point de terminaison. Pour savoir comment rendre des points de terminaison disponibles dans d'autres régions, consultez la section Accès mondial.
-
L'adresse IP que vous attribuez au point de terminaison doit provenir d'un sous-réseau standard.
- Vous pouvez utiliser une adresse IPv4 à partir d'un sous-réseau IPv4 uniquement ou d'un sous-réseau à double pile.
- Vous pouvez utiliser une adresse IPv6 à partir d'un sous-réseau à double pile si le sous-réseau dispose d'une plage d'adresses IPv6 interne.
- La version IP de l'adresse IP détermine les services publiés auxquels le point de terminaison peut se connecter. Pour en savoir plus, consultez la page Traduction de version IP.
- L'adresse IP est comptabilisée dans le quota du projet pour les adresses IPv4 internes statiques ou les adresses IPv6 internes statiques.
- Lorsque vous créez un point de terminaison pour vous connecter à un service, des entrées DNS privées sont automatiquement créées dans votre réseau VPC pour le point de terminaison si un nom de domaine DNS est configuré pour le service.
- Chaque point de terminaison possède sa propre adresse IP et, éventuellement, son propre nom DNS.
États de connexion
Les points de terminaison, les backends et les rattachements de service Private Service Connect disposent d'un état de connexion qui décrit l'état de leur connexion. Les ressources client et producteur qui constituent les deux côtés d'une connexion ont toujours le même état. Vous pouvez afficher les états de connexion lorsque vous affichez les détails du point de terminaison, décrivez un backend ou affichez les détails d'un service publié.
Le tableau suivant décrit les états possibles.
État de la connexion | Description |
---|---|
Acceptée | La connexion Private Service Connect est établie. Les deux réseaux VPC disposent d'une connectivité et la connexion fonctionne normalement. |
En attente | La connexion Private Service Connect n'est pas établie et le trafic ne peut pas transiter entre les deux réseaux. Cette connexion peut présenter cet état pour les raisons suivantes :
Les connexions bloquées pour ces raisons restent en attente indéfiniment jusqu'à ce que le problème sous-jacent soit résolu. |
Refusé | La connexion Private Service Connect n'est pas établie. Le trafic réseau ne peut pas transiter entre les deux réseaux. Cette connexion peut présenter cet état pour les raisons suivantes :
|
Attention requise ou Aucune raison spécifiée | Un problème est survenu du côté producteur de la connexion. Certaines connexions peuvent ne pas fonctionner, même si du trafic transite entre les deux réseaux. Par exemple, le sous-réseau NAT du producteur peut être épuisé et ne pas pouvoir allouer d'adresses IP pour de nouvelles connexions. |
Fermée | Le rattachement de service a été supprimé et la connexion Private Service Connect est fermée. Le trafic réseau ne peut pas transiter entre les deux réseaux. Une connexion fermée est un état final. Pour rétablir la connexion, vous devez recréer à la fois le rattachement de service et le point de terminaison ou le backend. |
Traduction de version IP
Pour les connexions entre les points de terminaison Private Service Connect pour les services publiés et les rattachements de service, la version IP de l'adresse IP de la règle de transfert client détermine la version IP du point de terminaison et le trafic sortant du point de terminaison. La version IP du point de terminaison peut être de type IPv4 ou IPv6, mais pas les deux. Les utilisateurs peuvent utiliser une adresse IPv4 si le sous-réseau de l'adresse est à pile unique. Les clients peuvent utiliser une adresse IPv4 ou IPv6 si le sous-réseau de l'adresse est à double pile. Les clients peuvent connecter des points de terminaison IPv4 et IPv6 au même rattachement de service, ce qui peut être utile pour migrer des services vers IPv6.
Pour les connexions entre les points de terminaison Private Service Connect pour les services publiés et les rattachements de service, la version IP de la règle de transfert du producteur détermine la version IP du rattachement de service et le trafic sortant du rattachement de service. La version IP du rattachement de service peut être de type IPv4 ou IPv6, mais pas les deux. Les producteurs peuvent utiliser une adresse IPv4 si le sous-réseau de l'adresse est à pile unique. Les producteurs peuvent utiliser une adresse IPv4 ou IPv6 si le sous-réseau de l'adresse est à double pile.
La version IP de l'adresse IP de la règle de transfert du producteur doit être compatible avec le type de pile du sous-réseau NAT du rattachement de service. Si la règle de transfert du producteur est de type IPv4, le sous-réseau NAT peut être à pile unique ou à double pile. Si la règle de transfert du producteur est IPv6, le sous-réseau NAT doit être à double pile.
Private Service Connect n'est pas compatible avec la connexion d'un point de terminaison IPv4 à un rattachement de service IPv6. Dans ce cas, la création du point de terminaison échoue avec le message d'erreur suivant :
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
Les combinaisons suivantes sont possibles pour les configurations compatibles :
- Point de terminaison IPv4 vers rattachement de service IPv4
- Point de terminaison IPv6 vers rattachement de service IPv6
-
Point de terminaison IPv6 vers rattachement de service IPv4
Dans cette configuration, Private Service Connect traduit automatiquement les deux versions d'adresse IP.
Propagation de connexion
Avec les connexions propagées, les services accessibles dans un spoke VPC consommateur via des points de terminaison Private Service Connect peuvent être accessibles de manière privée par d'autres spokes VPC consommateurs connectés au même hub Network Connectivity Center.
Pour en savoir plus, consultez À propos des connexions propagées.
Accès mondial
Les points de terminaison Private Service Connect utilisés pour accéder aux services sont des ressources régionales. Toutefois, vous pouvez configurer l'accès mondial pour rendre un point de terminaison disponible dans d'autres régions.
L'accès mondial permet aux ressources de n'importe quelle région d'envoyer du trafic aux points de terminaison Private Service Connect. Vous pouvez utiliser l'accès mondial pour fournir une haute disponibilité à des services hébergés dans plusieurs régions ou pour permettre à des clients d'accéder à un service qui ne se trouve pas dans leur région.
Le schéma suivant illustre des clients de différentes régions accédant au même point de terminaison :
Le point de terminaison pour lequel l'accès mondial est configuré se trouve dans
us-west1
.La VM située dans
us-west1
peut envoyer du trafic au point de terminaison. Le trafic reste dans la même région.La VM dans
us-east1
et la VM du réseau sur site peuvent également connecter le point de terminaison dansus-west1
, même si elles se trouvent dans des régions différentes. Les lignes en pointillés représentent le chemin du trafic interrégional.
Spécifications de l'accès mondial
Vous pouvez activer ou désactiver l'accès mondial à tout moment pour un point de terminaison.
- L'activation de l'accès mondial n'entraîne pas de perturbation du trafic pour les connexions existantes.
- La désactivation de l'accès mondial met fin à toutes les connexions depuis des régions autres que celle où se trouve le point de terminaison.
Les services Private Service Connect ne sont pas tous compatibles avec les points de terminaison avec accès mondial. Contactez votre producteur de services pour vérifier si son service est compatible avec l'accès mondial. Pour en savoir plus, consultez la section Configurations compatibles.
L'accès mondial ne fournit pas une adresse IP globale ou un nom DNS unique pour plusieurs points de terminaison avec accès mondial.
VPC partagé
Les administrateurs de projet de service peuvent créer des points de terminaison dans des projets de service VPC partagé utilisant des adresses IP de réseaux VPC partagés. La configuration est la même que pour un point de terminaison standard, mais le point de terminaison utilise une adresse IP réservée à partir d'un sous-réseau partagé du VPC partagé.
La ressource d'adresse IP peut être réservée dans le projet de service ou le projet hôte. La source de l'adresse IP doit être un sous-réseau partagé avec le projet de service.
Pour en savoir plus, consultez la page Créer un point de terminaison avec une adresse IP provenant d'un réseau VPC partagé.
VPC Service Controls
Les solutions VPC Service Controls et Private Service Connect sont compatibles entre elles. Si le réseau VPC sur lequel le point de terminaison Private Service Connect est déployé se trouve dans un périmètre VPC Service Controls, le point de terminaison fait partie du même périmètre. Tous les services compatibles avec VPC Service Controls accessibles via le point de terminaison sont soumis aux règles de ce périmètre VPC Service Controls.
Lorsque vous créez un point de terminaison, des appels d'API de plan de contrôle sont effectués entre les projets client et producteur pour établir une connexion Private Service Connect. L'établissement d'une connexion Private Service Connect entre des projets client et producteur qui ne se trouvent pas dans le même périmètre VPC Service Controls ne nécessite pas d'autorisation explicite avec des règles de sortie. La communication avec les services compatibles avec VPC Service Controls via le point de terminaison est protégée par le périmètre VPC Service Controls.
Routages statiques avec sauts suivants de l'équilibreur de charge
Les routages statiques peuvent être configurés pour utiliser la règle de transfert d'un équilibreur de charge réseau passthrough interne utilisé comme saut suivant (--next-hop-ilb
). Les routages de ce type ne sont pas tous compatibles avec Private Service Connect.
Les routages statiques qui utilisent --next-hop-ilb
pour spécifier le nom d'une règle de transfert d'équilibreur de charge réseau passthrough interne peuvent être utilisés pour envoyer et recevoir du trafic vers un point de terminaison Private Service Connect lorsque le routage et le point de terminaison se trouvent dans le même réseau VPC et la même région.
Les configurations de routage suivantes ne sont pas compatibles avec Private Service Connect :
- Les routages statiques qui utilisent
--next-hop-ilb
pour spécifier l'adresse IP d'une règle de transfert d'équilibreur de charge réseau passthrough interne. - Les routages statiques qui utilisent
--next-hop-ilb
pour spécifier le nom ou l'adresse IP d'une règle de transfert de point de terminaison Private Service Connect.
Journalisation
Vous pouvez activer les journaux de flux VPC sur des sous-réseaux contenant des VM qui accèdent aux services d'un autre réseau VPC à l'aide de points de terminaison. Les journaux affichent les flux entre les VM et le point de terminaison.
Vous pouvez afficher les modifications apportées à l'état de connexion des points de terminaison à l'aide des journaux d'audit. Les modifications de l'état de connexion d'un point de terminaison sont capturées dans les métadonnées d'événement système pour le type de ressource Règle de transfert GCE. Vous pouvez définir un filtrage selon
pscConnectionStatus
pour afficher ces entrées.Par exemple, lorsqu'un producteur de services autorise les connexions à partir de votre projet, l'état de connexion du point de terminaison passe de
PENDING
àACCEPTED
, et cette modification est reflétée dans les journaux d'audit.- Pour savoir comment afficher les journaux d'audit, consultez la section Afficher les journaux.
- Pour définir des alertes basées sur les journaux d'audit, consultez la page Gérer les alertes basées sur les journaux.
Tarifs
La tarification de Private Service Connect est décrite sur la page des tarifs relatifs aux VPC.
Quotas
Le nombre de points de terminaison que vous pouvez créer pour accéder aux services publiés est contrôlé par le quota PSC Internal LB Forwarding Rules
.
Pour en savoir plus, consultez la page consacrée aux quotas.
Contraintes liées aux règles d'administration
Un administrateur des règles d'administration peut utiliser la contrainte constraints/compute.disablePrivateServiceConnectCreationForConsumers
pour définir l'ensemble des types de points de terminaison pour lesquels les utilisateurs ne sont pas autorisés à créer des règles de transfert.
Pour en savoir plus sur la création d'une règle d'administration utilisant cette contrainte, consultez Empêcher les clients de déployer des points de terminaison par type de connexion.