Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sull'accesso ai servizi pubblicati tramite gli endpoint

Questo documento fornisce una panoramica della connessione ai servizi in un'altra rete VPC utilizzando gli endpoint Private Service Connect. Puoi collegarti ai tuoi servizi o a quelli forniti da altri produttori di servizi, incluso Google.

I client si connettono all'endpoint utilizzando indirizzi IP interni. Private Service Connect esegue la Network Address Translation (NAT) per inoltrare la richiesta al servizio.

Per ulteriori informazioni sui servizi pubblicati, consulta Informazioni sui servizi pubblicati.

Un endpoint Private Service Connect consente ai consumer di servizi di inviare traffico dalla rete VPC del consumer ai servizi nella rete VPC del producer di servizi. Il consumatore, l'endpoint e il servizio devono trovarsi tutti nella stessa regione. (fai clic per ingrandire).

Funzionalità e compatibilità

Nelle tabelle seguenti, un segno di spunta indica che una funzionalità è supportata, mentre un simbolo di divieto indica che una funzionalità non è supportata.

Configurazione del consumatore

Questa tabella riassume le opzioni di configurazione e le funzionalità supportate degli endpoint che accedono ai servizi pubblicati.

Configurazione del consumatore (endpoint)	Bilanciatore del carico dei produttori
Configurazione del consumatore (endpoint)	Bilanciatore del carico di rete passthrough interno	Bilanciatore del carico delle applicazioni interno regionale	Bilanciatore del carico di rete proxy interno regionale	Forwarding del protocollo interno (istanza di destinazione)
Accesso globale dei consumatori	Indipendentemente dall' impostazione di accesso globale sul bilanciatore del carico	Solo se l'accesso globale è abilitato sul bilanciatore del carico prima della creazione del collegamento del servizio	Solo se l' accesso globale è abilitato sul bilanciatore del carico prima della creazione del collegamento del servizio	Indipendentemente dall' impostazione di accesso globale sul bilanciatore del carico
Traffico di interconnessione
Traffico Cloud VPN
Configurazione DNS automatica	Solo IPv4	Solo IPv4	Solo IPv4	Solo IPv4
Propagazione della connessione	Solo IPv4	Solo IPv4	Solo IPv4	Solo IPv4
Endpoint IPv4	Regole di forwarding del produttore IPv4	Regole di forwarding del produttore IPv4	Regole di forwarding del produttore IPv4	Regole di forwarding del produttore IPv4
Endpoint IPv6	Regole di forwarding del produttore IPv4 Regole di inoltro dei produttori IPv6	Regole di forwarding del produttore IPv4	Regole di forwarding del produttore IPv4	Regole di forwarding del produttore IPv4 Regole di inoltro dei produttori IPv6

Configurazione del produttore

Questa tabella riassume le opzioni e le funzionalità di configurazione supportate dei servizi pubblicati a cui accedono gli endpoint.

Configurazione del produttore (servizio pubblicato)	Bilanciatore del carico dei produttori
Configurazione del produttore (servizio pubblicato)	Bilanciatore del carico di rete passthrough interno	Bilanciatore del carico delle applicazioni interno regionale	Bilanciatore del carico di rete proxy interno regionale	Forwarding del protocollo interno (istanza di destinazione)
Backend del produttore supportati: Gruppi di endpoint di rete (NEG) Gruppi di istanze	NEG a livello di zona GCE_VM_IP Gruppi di istanze NEG di mappatura delle porte	NEG a livello di zona GCE_VM_IP_PORT NEG ibride NEG serverless NEG Private Service Connect Gruppi di istanze	NEG a livello di zona GCE_VM_IP_PORT NEG ibride NEG serverless NEG Private Service Connect Gruppi di istanze	Non applicabile
Protocollo PROXY	Solo traffico TCP			Solo traffico TCP
Modalità di affinità sessione	NESSUNO (tuple di 5 elementi) CLIENT_IP_PORT_PROTO	Non applicabile	Non applicabile	Non applicabile
Versione IP	Regole di forwarding del produttore IPv4 Regole di inoltro dei produttori IPv6	Regole di forwarding del produttore IPv4	Regole di forwarding del produttore IPv4	Regole di forwarding del produttore IPv4 Regole di inoltro dei produttori IPv6

I bilanciatori del carico diversi supportano configurazioni di porte diverse; alcuni bilanciatori supportano una singola porta, altri supportano una serie di porte e altri supportano tutte le porte. Per ulteriori informazioni, consulta le specifiche delle porte.

Limitazioni

Gli endpoint che accedono a un servizio pubblicato presentano le seguenti limitazioni:

Non puoi creare un endpoint nella stessa rete VPC del servizio pubblicato a cui stai accedendo.
Gli endpoint non sono accessibili dalle reti VPC in peering.
Il mirroring dei pacchetti non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.
Non tutte le route statiche con hop successivi del bilanciatore del carico sono supportate con Private Service Connect. Per ulteriori informazioni, consulta Route statiche con hop successivi del bilanciatore del carico.
Connectivity Tests non può testare la connettività tra un endpoint IPv6 e un servizio pubblicato.

Accesso on-premise

Puoi accedere agli endpoint che utilizzi per accedere alle API di Google dagli host on-premise connessi supportati. Per maggiori informazioni, consulta Accedere agli endpoint dalle reti ibride.

Specifiche

Gli endpoint Private Service Connect devono essere creati nella stessa regione del servizio pubblicato che è la destinazione dell'endpoint.
L'endpoint deve essere creato in una rete VPC diversa rispetto alla rete VPC che contiene il servizio di destinazione.
Se utilizzi una rete VPC condiviso, puoi creare l'endpoint nel progetto host o in un progetto di servizio.
Per impostazione predefinita, all'endpoint possono accedere solo i client che si trovano nella stessa regione e nella stessa rete VPC (o rete VPC condiviso) dell'endpoint. Per informazioni su come rendere disponibili gli endpoint in altre regioni, consulta Accesso globale.
L'indirizzo IP assegnato all'endpoint deve provenire da una subnet normale.
- Puoi utilizzare un indirizzo IPv4 di una subnet solo IPv4 o di una subnet a doppio stack.
- Puoi utilizzare un indirizzo IPv6 da una subnet a doppio stack se la subnet ha un intervallo di indirizzi IPv6 interno.
- La versione IP dell'indirizzo IP influisce sui servizi pubblicati a cui può connettersi l'endpoint. Per ulteriori informazioni, vedi Traduzione della versione IP.
- L'indirizzo IP viene conteggiato ai fini della quota del progetto per indirizzi IPv4 interni statici o indirizzi IPv6 interni statici.
Quando crei un endpoint per connetterti a un servizio, se per il servizio è configurato un nome di dominio DNS, nella rete VPC vengono create automaticamente voci DNS private per l'endpoint.
Ogni endpoint ha il proprio indirizzo IP univoco e, facoltativamente, il proprio nome DNS univoco.

Stati di connessione

Gli endpoint, i backend e i collegamenti ai servizi di Private Service Connect hanno uno stato di connessione che descrive lo stato della connessione. Le risorse consumer e producer che formano i due lati di una connessione hanno sempre lo stesso stato. Puoi visualizzare gli stati di connessione quando visualizzi i dettagli dell'endpoint, descrivi un backend o visualizzi i dettagli di un servizio pubblicato.

La seguente tabella descrive i possibili stati.

Stato della connessione	Descrizione
Accettata	La connessione Private Service Connect è stata stabilita. Le due reti VPC sono connesse e la connessione funziona normalmente.
In attesa	La connessione Private Service Connect non è stabilita e il traffico di rete non può essere trasferito tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi: L'allegato del servizio richiede l'approvazione esplicita e il consumatore non è nell'elenco di consumatori che accettano. Il numero di connessioni supera il limite di connessioni del collegamento al servizio. Il numero di connessioni propagate associate a un endpoint supera il limite di connessioni propagate del collegamento al servizio. I collegamenti bloccati per questi motivi rimangono nello stato in attesa a tempo indeterminato fino a quando il problema di fondo non viene risolto.
Rifiutata	La connessione Private Service Connect non è stabilita. Il traffico di rete non può essere trasferito tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi: I criteri dell'organizzazione di un produttore hanno rifiutato la connessione. Un elenco di rifiuto dei consumatori ha rifiutato la connessione.
Richiede attenzione o Senza specificare	Si è verificato un problema sul lato producer della connessione. Parte del traffico potrebbe essere in grado di transitare tra le due reti, ma alcune connessioni potrebbero non essere funzionali. Ad esempio, la subnet NAT del produttore potrebbe essere esaurita e non essere in grado di allocare indirizzi IP per nuove connessioni.
Chiuso	Il collegamento al servizio è stato eliminato e la connessione Private Service Connect è chiusa. Il traffico di rete non può essere trasferito tra le due reti. Una connessione chiusa è uno stato terminale. Per ripristinare la connessione, devi ricreare sia il collegamento al servizio sia l'endpoint o il backend.

Traduzione della versione IP

Per le connessioni tra gli endpoint Private Service Connect per i servizi pubblicati e i collegamenti di servizio, la versione IP dell'indirizzo IP della regola di forwarding del consumer determina la versione IP dell'endpoint e il traffico in uscita dall'endpoint. La versione IP dell'endpoint può essere IPv4 o IPv6, ma non entrambe. I consumatori possono utilizzare un indirizzo IPv4 se la subnet dell'indirizzo è a singolo stack. I consumatori possono utilizzare un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack. I consumatori possono collegare endpoint IPv4 e IPv6 allo stesso allegato del servizio, il che può essere utile per eseguire la migrazione dei servizi a IPv6.

Per le connessioni tra gli endpoint Private Service Connect per i servizi pubblicati e i collegamenti di servizio, la versione IP della regola di forwarding del producer determina la versione IP del collegamento di servizio e il traffico in uscita dal collegamento di servizio. La versione IP del collegamento del servizio può essere IPv4 o IPv6, ma non entrambe. I produttori possono utilizzare un indirizzo IPv4 se la subnet dell'indirizzo è a stack singolo. I produttori possono utilizzare un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack.

La versione IP dell'indirizzo IP della regola di forwarding del produttore deve essere compatibile con il tipo di serie della subnet NAT dell'attacco del servizio. Se la regola di forwarding del produttore è IPv4, la subnet NAT può essere a stack singolo o a doppio stack. Se la regola di forwarding del produttore è IPv6, la subnet NAT deve essere a doppio stack.

Private Service Connect non supporta la connessione di un endpoint IPv4 con un collegamento di servizio IPv6. In questo caso, la creazione dell'endpoint non va a buon fine con il seguente messaggio di errore:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

Per le configurazioni supportate sono possibili le seguenti combinazioni:

Endpoint IPv4 all'attacco del servizio IPv4
Endpoint IPv6 all'attacco del servizio IPv6
Endpoint IPv6 all'attacco del servizio IPv4

In questa configurazione, Private Service Connect esegue automaticamente la traduzione tra le due versioni IP.

Propagazione della connessione

Con le connessioni propagate, i servizi accessibili in uno spoke VPC consumer tramite gli endpoint Private Service Connect possono essere accessibili privatamente da altri spoke VPC consumer connessi allo stesso hub Network Connectivity Center.

Per saperne di più, consulta Informazioni sulle connessioni propagate.

Accesso globale

Gli endpoint Private Service Connect utilizzati per accedere ai servizi sono risorse regionali. Tuttavia, puoi rendere disponibile un endpoint in altre regioni configurando l'accesso globale.

L'accesso globale consente alle risorse di qualsiasi regione di inviare traffico agli endpoint Private Service Connect. Puoi utilizzare l'accesso globale per fornire alta disponibilità ai servizi ospitati in più regioni o per consentire ai client di accedere a un servizio che non si trova nella stessa regione del client.

Il seguente diagramma mostra i client in regioni diverse che accedono allo stesso endpoint:

L'endpoint si trova in us-west1 e ha l'accesso globale configurato.
La VM in us-west1 può inviare traffico all'endpoint, che rimane all'interno della stessa regione.
Anche la VM in us-east1 e la VM della rete on-premise possono collegare l'endpoint in us-west1, anche se si trovano in regioni diverse. Le linee tratteggiate rappresentano il percorso del traffico interregionale.

Un endpoint Private Service Connect con accesso globale consente ai consumer di servizi di inviare traffico dalla rete VPC del consumer ai servizi nella rete VPC del producer di servizi. Il client può trovarsi nella stessa regione o in una regione diversa rispetto all'endpoint (fai clic per ingrandire).

Specifiche di accesso globale

Puoi attivare o disattivare l'accesso globale in qualsiasi momento per un endpoint.
- L'attivazione dell'accesso globale non causa interruzioni del traffico per le connessioni esistenti.
- La disattivazione dell'accesso globale termina tutte le connessioni da regioni diverse da quella in cui si trova l'endpoint.
Non tutti i servizi Private Service Connect supportano gli endpoint con accesso globale. Rivolgiti al producer di servizi per verificare se supporta l'accesso globale. Per ulteriori informazioni, consulta Configurazioni supportate.
L'accesso globale non fornisce un unico indirizzo IP globale o nome DNS per più endpoint di accesso globale.

VPC condiviso

Gli amministratori dei progetti di servizio possono creare endpoint nei progetti di servizio VPC condiviso che utilizzano indirizzi IP delle reti VPC condivise. La configurazione è la stessa di un endpoint normale, ma l'endpoint utilizza un indirizzo IP riservato da una subnet condivisa della VPC condiviso.

La risorsa indirizzo IP può essere prenotata nel progetto di servizio o nel progetto host. L'origine dell'indirizzo IP deve essere una subnet condivisa con il progetto di servizio.

Per ulteriori informazioni, consulta Creare un endpoint con un indirizzo IP da una VPC condiviso condivisa.

Controlli di servizio VPC

I Controlli di servizio VPC e Private Service Connect sono compatibili tra loro. Se la rete VPC in cui è disegnato l'endpoint Private Service Connect si trova in un perimetro dei Controlli di servizio VPC, l'endpoint fa parte dello stesso perimetro. Tutti i servizi supportati da Controlli di servizio VPC a cui si accede tramite l'endpoint sono soggetti ai criteri del perimetro di Controlli di servizio VPC.

Quando crei un endpoint, vengono eseguite chiamate API del piano di controllo tra i progetti consumer e producer per stabilire una connessione Private Service Connect. L'impostazione di una connessione Private Service Connect tra progetti consumer e producer che non si trovano nello stesso perimetro dei Controlli di servizio VPC non richiede un'autorizzazione esplicita con i criteri di uscita. La comunicazione con i servizi supportati da Controlli di servizio VPC tramite l'endpoint è protetta dal perimetro di Controlli di servizio VPC.

Route statiche con hop successivi del bilanciatore del carico

Le route statiche possono essere configurate in modo da utilizzare la regola di inoltro di un bilanciatore del carico di rete passthrough interno come hop successivo (--next-hop-ilb). Non tutte le route di questo tipo sono supportate con Private Service Connect.

Le route statiche che utilizzano --next-hop-ilb per specificare il nome di una regola di forwarding del bilanciatore del carico di rete passthrough interno possono essere utilizzate per inviare e ricevere traffico a un endpoint Private Service Connect quando la route e l'endpoint si trovano nella stessa rete e nella stessa regione VPC.

Le seguenti configurazioni di routing non sono supportate con Private Service Connect:

Route statici che utilizzano --next-hop-ilb per specificare l'indirizzo IP di una regola di forwarding del bilanciatore del carico di rete passthrough interno.
Percorsi statici che utilizzano --next-hop-ilb per specificare il nome o l'indirizzo IP di una regola di forwarding dell'endpoint Private Service Connect.

Logging

Puoi attivare i log di flusso VPC nelle subnet contenenti VM che accedono ai servizi in un'altra rete VPC utilizzando gli endpoint. I log mostrano i flussi tra le VM e l'endpoint.
Puoi visualizzare le modifiche allo stato della connessione per gli endpoint utilizzando i log di controllo. Le modifiche allo stato della connessione per l'endpoint vengono acquisite nei metadati degli eventi di sistema per il tipo di risorsa Regola di inoltro GCE. Per visualizzare queste voci, puoi filtrare in base apscConnectionStatus.

Ad esempio, quando un producer di servizi consente le connessioni dal tuo progetto, lo stato di connessione dell'endpoint passa da PENDING a ACCEPTED e questa modifica viene applicata nei log di controllo.
- Per visualizzare i log di controllo, vedi Visualizzare i log.
- Per impostare avvisi basati sui log di controllo, consulta Gestire gli avvisi basati su log.

Prezzi

I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.

Quote

Il numero di endpoint che puoi creare per accedere ai servizi pubblicati è controllato dalla quota PSC Internal LB Forwarding Rules. Per ulteriori informazioni, consulta quote.

Vincoli dei criteri dell'organizzazione

Un amministratore dei criteri dell'organizzazione può utilizzare il vincolo constraints/compute.disablePrivateServiceConnectCreationForConsumers per definire l'insieme di tipi di endpoint per gli utenti non possono creare regole di inoltro.

Per informazioni su come creare un criterio dell'organizzazione che utilizzi questo vincolo, consulta Impedire ai consumatori di eseguire il deployment di endpoint in base al tipo di connessione.

Passaggi successivi

Accedere ai servizi pubblicati utilizzando gli endpoint