À propos des interfaces Private Service Connect
Cette page présente les interfaces Private Service Connect.
Une interface Private Service Connect est une ressource qui permet à un réseau cloud privé virtuel (VPC) de producteur d'initier des connexions avec différentes destinations dans un réseau VPC consommateur. Les réseaux de producteurs et les réseaux consommateurs peuvent appartenir à différents projets et organisations.
Pour créer une connexion d'interface Private Service Connect, vous avez besoin d'une instance de machine virtuelle (VM) dotée d'au moins deux interfaces réseau. La première interface se connecte à un sous-réseau dans un réseau VPC producteur. Les autres interfaces peuvent être des interfaces Private Service Connect qui demandent des connexions à des rattachements de réseau dans différents réseaux VPC consommateurs. Si une connexion est acceptée, Google Cloud attribue à l'interface Private Service Connect une adresse IP interne du sous-réseau consommateur spécifié par le rattachement de réseau.
Cette connexion d'interface Private Service Connect permet aux organisations du producteur et du client de configurer leurs réseaux VPC afin que les deux réseaux soient connectés et puissent communiquer à l'aide d'adresses IP internes. Par exemple, l'organisation producteur peut mettre à jour le réseau VPC producteur afin d'ajouter des routes pour les sous-réseaux consommateur.
Figure 1 : Dans un réseau VPC producteur, vm-1 possède deux interfaces réseau. Une interface réseau virtuelle (vNIC) se connecte à un sous-réseau du réseau producteur. L'autre interface est une interface Private Service Connect virtuelle qui se connecte à un rattachement de réseau dans un réseau consommateur (cliquez pour agrandir).
Une connexion entre une interface Private Service Connect et un rattachement de réseau est semblable à une connexion entre un point de terminaison Private Service Connect et un rattachement de service, avec toutefois deux différences majeures :
- Une interface Private Service Connect permet à un réseau VPC producteur d'établir des connexions avec un réseau VPC consommateur (sortie de service géré). Un point de terminaison fonctionne dans le sens inverse, ce qui permet à un réseau VPC consommateur d'établir des connexions avec un réseau VPC producteur (entrée de service géré).
- Une connexion d'interface Private Service Connect est transitive. Cela signifie que les charges de travail d'un réseau producteur peuvent établir des connexions avec d'autres charges de travail connectées au réseau VPC consommateur. Les points de terminaison Private Service Connect peuvent uniquement établir des connexions au réseau VPC producteur.
Figure 2. Les points de terminaison Private Service Connect permettent aux clients de services d'établir des connexions avec des producteurs de services, tandis que les interfaces Private Service Connect permettent aux producteurs de services d'établir des connexions avec les clients de services (cliquez pour agrandir).
Se connecter à des charges de travail sur d'autres réseaux
Comme les connexions d'interface Private Service Connect sont transitives, si la configuration du réseau VPC consommateur le permet, les ressources des réseaux VPC producteur peuvent communiquer avec les charges de travail connectées au réseau consommateur. Éléments inclus :
- Charges de travail sur les réseaux connectés au réseau VPC consommateur via des tunnels Cloud VPN, Cloud Interconnect ou l'appairage de réseaux VPC.
- Charges de travail dont les adresses IP externes sont accessibles à partir du réseau VPC consommateur via Cloud NAT.
- API et services Google accessibles depuis le réseau VPC consommateur via l'accès privé à Google ou VPC Service Controls. Une configuration supplémentaire est requise pour utiliser VPC Service Controls avec des interfaces Private Service Connect.
- Services publiés et API Google accessibles depuis le réseau VPC consommateur via des points de terminaison et des backends Private Service Connect.
- Charges de travail dans les spokes VPC connectés au réseau VPC consommateur.
Figure 3. Un réseau VPC producteur connecté à un réseau VPC consommateur via une connexion d'interface Private Service Connect peut communiquer avec les charges de travail connectées au VPC consommateur.
Exemples de cas d'utilisation
Un exemple de cas d'utilisation des interfaces Private Service Connect est un service géré qui doit établir des connexions avec un réseau VPC consommateur pour accéder aux données consommateur. Le service peut également avoir besoin d'accéder à des données ou à des services disponibles sur le réseau sur site d'un consommateur, via une connexion VPN ou Cloud Interconnect, ou à partir d'un service tiers. Une connexion d'interface Private Service Connect peut répondre à toutes ces exigences.
Autre cas d'utilisation : un service géré qui fournit une passerelle API. Lorsque le service reçoit des appels pour différentes API, il utilise des interfaces Private Service Connect pour établir des connexions avec des réseaux VPC consommateur. Le service de passerelle envoie des requêtes API aux cibles en backend qui traitent les requêtes.
Les interfaces et les points de terminaison Private Service Connect sont complémentaires et peuvent être utilisés ensemble dans le même réseau VPC.
Par exemple, la figure 4 décrit la configuration réseau d'un service géré qui fournit des analyses. Le service d'analyse peut établir des connexions avec le réseau VPC consommateur à l'aide d'une interface Private Service Connect. Un point de terminaison Private Service Connect dans le réseau consommateur permet au service d'analyse d'établir des connexions avec un service de base de données dans un autre réseau VPC. Le trafic du service d'analyse vers le service de base de données passe par le réseau consommateur, ce qui permet au client de surveiller et de sécuriser le trafic entre les deux services.
Figure 4. Les interfaces et les points de terminaison Private Service Connect sont complémentaires dans cet exemple de configuration. L'interface permet au service d'analyse d'établir des connexions au réseau VPC consommateur. Le point de terminaison permet au service d'analyse d'établir des connexions entre le réseau VPC consommateur et le service de base de données (cliquez pour agrandir).
Types d'interfaces Private Service Connect
Il existe deux types d'interfaces Private Service Connect :
Les interfaces Virtual Private Service Connect sont basées sur les interfaces réseau virtuelles (vNIC) utilisées par les VM Compute Engine.
Les interfaces Private Service Connect dynamiques (preview) sont basées sur les cartes d'interface réseau dynamiques.
Les principales différences entre les interfaces Private Service Connect virtuelles et dynamiques sont décrites dans le tableau suivant :
| Type | Nombre maximal d'interfaces Private Service Connect par VM | Gestion des interfaces | OS invités compatibles |
|---|---|---|---|
| Interface Virtual Private Service Connect | Jusqu'à 9 (selon le nombre de processeurs virtuels) | Ajouté lors de la création de la VM ; supprimé lors de la suppression de la VM | Linux, Windows |
| Interface Private Service Connect dynamique | Jusqu'à 15 (dépend du nombre de vCPU) | Ajouté à tout moment ; peut être supprimé indépendamment de la VM | Linux uniquement |
Envisagez d'utiliser des interfaces Private Service Connect virtuelles lorsque vous prévoyez que la configuration de votre interface restera inchangée tout au long du cycle de vie de la VM.
Envisagez d'utiliser des interfaces Private Service Connect dynamiques lorsque les conditions suivantes sont remplies :
- Vous devez gérer de manière dynamique les connexions aux réseaux VPC de consommateur.
- Vous avez besoin de plus d'interfaces Private Service Connect par VM.
- Vous devez éviter les temps d'arrêt lors des modifications apportées à l'interface Private Service Connect.
Spécifications
Une interface Private Service Connect est un type spécial d'interface réseau qui se connecte à un rattachement de réseau.
Les spécifications relatives à l'interface réseau s'appliquent également aux interfaces Private Service Connect.
Les spécifications suivantes s'appliquent aux deux types d'interfaces Private Service Connect :
- Une VM qui utilise des interfaces Private Service Connect nécessite au moins deux interfaces réseau. La première interface réseau est toujours l'interface réseau par défaut, nommée
nic0. Cette interface se connecte à un sous-réseau producteur. La deuxième interface est une interface Private Service Connect qui demande une connexion à un sous-réseau consommateur. - Lorsqu'un projet consommateur accepte une connexion depuis une interface Private Service Connect, Google Cloudconfigure l'interface avec des adresses IP provenant du sous-réseau du rattachement de réseau :
- Une adresse IPv4 interne est attribuée à partir de la plage d'adresses IP principale du sous-réseau.
- Si le sous-réseau du rattachement de réseau est à double pile et que l'interface Private Service Connect est à double pile, une adresse IPv6 interne est attribuée à partir de la plage IPv6 du sous-réseau.
- Vous ne pouvez pas utiliser de sous-réseaux IPv6 uniquement (version bêta) pour les rattachements réseau.
- Si un rattachement de réseau ne dispose pas de suffisamment d'adresses IP à attribuer aux interfaces Private Service Connect, la création de l'interface échoue et renvoie une erreur :
- Si l'échec se produit lors de la création d'une VM, celle-ci n'est pas créée.
- Si l'échec se produit lors de l'ajout d'une interface Private Service Connect dynamique à une VM existante, l'interface n'est pas ajoutée.
- Vous devez configurer manuellement le système d'exploitation invité de la VM d'une interface Private Service Connect pour acheminer le trafic via l'interface.
- Les interfaces Private Service Connect sont compatibles avec les plages d'adresses IP d'alias. Les plages d'adresses IP d'alias doivent provenir de la plage d'adresses IPv4 principales du sous-réseau du rattachement de réseau.
- Google Cloud valide que les adresses IP attribuées à une interface Private Service Connect ne chevauchent pas les plages d'adresses des sous-réseaux connectés aux autres interfaces réseau de la VM. Si le nombre d'adresses disponibles n'est pas suffisant, la création de la VM échoue.
- Une interface Private Service Connect communique de la même manière qu'une interface réseau.
- Une connexion entre un rattachement de réseau et une interface Private Service Connect est bidirectionnelle et transitive. Les charges de travail du réseau VPC producteur peuvent établir des connexions avec les charges de travail connectées au réseau VPC consommateur.
- Les interfaces Private Service Connect dynamiques et virtuelles peuvent coexister sur la même VM.
- Les interfaces Private Service Connect sont compatibles avec VPC Service Controls. Cette combinaison nécessite une configuration de routage supplémentaire.
Spécifications de l'interface Virtual Private Service Connect
Les spécifications suivantes sont propres aux interfaces Private Service Connect virtuelles.
- Les interfaces Virtual Private Service Connect ne peuvent être créées qu'au moment de la création de la VM et ne peuvent être supprimées qu'en supprimant la VM associée.
- Vous pouvez créer jusqu'à sept interfaces Private Service Connect virtuelles sur une même VM, en fonction du nombre de processeurs virtuels de la VM.
Spécifications de l'interface Private Service Connect dynamique
Les spécifications suivantes sont propres aux interfaces Private Service Connect dynamiques.
- Les propriétés et les limites des cartes d'interface réseau dynamiques s'appliquent également aux interfaces Private Service Connect dynamiques.
- Vous pouvez ajouter ou supprimer des interfaces Private Service Connect dynamiques à tout moment, sans avoir à redémarrer la VM.
- Une même VM peut comporter jusqu'à 15 interfaces Private Service Connect dynamiques, en fonction du nombre de processeurs virtuels de la VM.
- L'unité de transmission maximale (MTU) d'une interface réseau est définie sur la MTU du réseau VPC auquel elle se connecte. La MTU d'une interface Private Service Connect dynamique doit être inférieure ou égale à celle de son interface réseau parente. Sinon, la création de l'interface échoue et une erreur s'affiche.
Limites
Une connexion d'interface Private Service Connect ne peut être interrompue que comme suit :
- Un producteur supprime la VM de l'interface.
- Un producteur supprime une interface Private Service Connect dynamique.
- Un client supprime un projet associé à une interface Private Service Connect. Cette action arrête la VM de l'interface.
- Un client désactive l'API = Compute Engine dans un projet associé à une interface Private Service Connect. Cette action arrête la VM de l'interface.
Si une VM possède plusieurs interfaces Private Service Connect, chacune d'elles doit se connecter à un rattachement de réseau unique, et chaque rattachement de réseau doit se trouver dans un réseau VPC consommateur différent.
Vous ne pouvez pas attribuer d'adresses IP externes (publiques) aux interfaces Private Service Connect.
Les interfaces Private Service Connect dynamiques ne sont pas compatibles avec les VM qui utilisent un système d'exploitation invité Windows. Bien que l'API n'empêche pas cette configuration, les paquets ne circulent pas, car les pilotes de l'OS invité Windows ne sont pas compatibles avec les cartes d'interface réseau dynamiques.
Une interface Private Service Connect ne peut pas être le saut suivant d'une règle de transfert interne.
Vous ne pouvez pas associer directement des interfaces Private Service Connect à des nœuds ou des pods Google Kubernetes Engine (GKE). Toutefois, la sortie de service est possible avec GKE via des interfaces Private Service Connect configurées sur des VM proxy.
Les VM avec des interfaces Private Service Connect ne peuvent pas faire partie des services de backend qui ciblent les VM Compute Engine. En effet, les VM doivent se trouver dans le même projet que le service de backend.
Tarifs
La tarification des interfaces Private Service Connect est décrite sur la page des tarifs des VPC.
Étapes suivantes
- Découvrez comment Créer et gérer des interfaces Private Service Connect.
- Suivez l'Atelier de programmation sur les services gérés de l'interface Private Service Connect.