Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sulle interfacce Private Service Connect

Questa pagina fornisce una panoramica delle interfacce Private Service Connect.

Un'interfaccia Private Service Connect è una risorsa che consente a una rete Virtual Private Cloud (VPC) producer di avviare connessioni a varie destinazioni in una rete VPC consumer. Le reti di produttori e consumatori possono trovarsi in progetti e organizzazioni diversi.

Per creare una connessione di interfaccia Private Service Connect, devi disporre di un'istanza di macchina virtuale (VM) con almeno due interfacce di rete. La prima interfaccia si connette a una subnet in una rete VPC del producer. Le altre interfacce possono essere interfacce Private Service Connect che richiedono connessioni a collegamenti di rete in reti VPC consumer diverse. Se una connessione viene accettata, Google Cloud assegna all'interfaccia Private Service Connect un indirizzo IP interno dalla subnet consumer specificata dal collegamento di rete.

Questa connessione di interfaccia Private Service Connect consente alle organizzazioni produttrici e consumer di configurare le proprie reti VPC in modo che le due reti siano connesse e possano comunicare utilizzando indirizzi IP interni. Ad esempio, l'organizzazione producer può aggiornare la rete VPC producer per aggiungere route per le subnet consumer.

**Figura 1.** In una rete VPC producer, vm-1 ha due interfacce di rete. Un'interfaccia di rete virtuale (vNIC) si connette a una subnet nella rete del producer. L'altra interfaccia è un'interfaccia virtuale Private Service Connect che si connette a un collegamento di rete in una rete consumer (fai clic per ingrandire).

Una connessione tra un'interfaccia Private Service Connect e un collegamento di rete è simile alla connessione tra un endpoint Private Service Connect e un collegamento di servizio, ma presenta due differenze fondamentali:

Un'interfaccia Private Service Connect consente a una rete VPC producer di avviare connessioni a una rete VPC consumer (uscita del servizio gestito). Un endpoint funziona nella direzione opposta, consentendo a una rete VPC consumer di avviare connessioni a una rete VPC producer (ingresso del servizio gestito).
Una connessione di interfaccia Private Service Connect è transitiva. Ciò significa che i carichi di lavoro in una rete producer possono avviare connessioni ad altri carichi di lavoro connessi alla rete VPC consumer. Gli endpoint Private Service Connect possono avviare connessioni solo alla rete VPC del producer.

**Figura 2.** Gli endpoint Private Service Connect consentono ai consumer di servizi di avviare connessioni ai producer di servizi, mentre le interfacce Private Service Connect consentono ai producer di servizi di avviare connessioni ai consumer di servizi (fai clic per ingrandire).

Connessione ai carichi di lavoro in altre reti

Poiché le connessioni di interfaccia Private Service Connect sono transitive, se la configurazione della rete VPC consumer lo consente, le risorse nelle reti VPC producer possono comunicare con i carichi di lavoro connessi alla rete consumer. È incluso quanto segue:

Carichi di lavoro in reti connesse alla rete VPC consumer tramite tunnel Cloud VPN, Cloud Interconnect o peering di rete VPC.
Workload con indirizzi IP esterni raggiungibili dalla rete VPC consumer tramite Cloud NAT.
API e servizi Google raggiungibili dalla rete VPC consumer tramite l'accesso privato Google o i controlli di servizio VPC. Per utilizzare i controlli di servizio VPC con le interfacce Private Service Connect è necessaria una configurazione aggiuntiva.
Servizi pubblicati e API di Google raggiungibili dalla rete VPC consumer tramite endpoint e backend Private Service Connect.
Carichi di lavoro negli spoke VPC connessi alla rete VPC consumer.

**Figura 3.** Una rete VPC producer connessa a una rete VPC consumer tramite una connessione di interfaccia Private Service Connect può comunicare con i carichi di lavoro connessi alla rete VPC consumer (fai clic per ingrandire).

Esempi di casi d'uso

Un caso d'uso di esempio per le interfacce Private Service Connect è un servizio gestito che deve avviare connessioni a una rete VPC consumer per accedere ai dati dei consumer. Il servizio potrebbe anche richiedere l'accesso a dati o servizi disponibili nella rete on-premise di un consumatore, tramite una connessione VPN o Cloud Interconnect oppure da un servizio di terze parti. Una connessione di interfaccia Private Service Connect può soddisfare tutti questi requisiti.

Un altro caso d'uso è un servizio gestito che fornisce un gateway API. Man mano che il servizio riceve chiamate per API diverse, utilizza interfacce Private Service Connect per avviare connessioni alle reti VPC consumer. Il servizio gateway invia richieste API ai target di backend che le elaborano.

Le interfacce Private Service Connect e gli endpoint Private Service Connect sono complementari e possono essere utilizzati insieme nella stessa rete VPC.

Ad esempio, la Figura 4 descrive la configurazione di rete di un servizio gestito che fornisce analisi. Il servizio di analisi può avviare connessioni alla rete VPC consumer utilizzando un'interfaccia Private Service Connect. Un endpoint Private Service Connect nella rete consumer consente al servizio di analisi di avviare connessioni a un servizio di database in un'altra rete VPC. Il traffico dal servizio di analisi al servizio di database passa attraverso la rete consumer, che consente al consumer di monitorare e fornire sicurezza per il traffico tra i due servizi.

**Immagine 4.** Le interfacce Private Service Connect e gli endpoint Private Service Connect sono complementari in questa configurazione di esempio. L'interfaccia consente al servizio di analisi di avviare connessioni alla rete VPC consumer. L'endpoint consente al servizio di analisi di avviare connessioni dalla rete VPC consumer al servizio di database (fai clic per ingrandire).

Tipi di interfacce Private Service Connect

Esistono due tipi di interfacce Private Service Connect:

Le interfacce Virtual Private Service Connect si basano sulle interfacce di rete virtuali (vNIC) utilizzate dalle VM di Compute Engine.
Le interfacce Private Service Connect dinamiche (anteprima) si basano su schede di interfaccia di rete dinamiche.

Le principali differenze tra le interfacce Private Service Connect virtuali e dinamiche sono descritte nella seguente tabella:

Tipo	Numero massimo di interfacce Private Service Connect per VM	Gestione dell'interfaccia	Sistema operativo guest supportato
Interfaccia Private Service Connect virtuale	Fino a 9 (a seconda del numero di vCPU)	Aggiunta al momento della creazione della VM; rimossa con l'eliminazione della VM	Linux, Windows
Interfaccia Private Service Connect dinamica	Fino a 15 (a seconda del numero di vCPU)	Aggiunto in qualsiasi momento; può essere rimosso indipendentemente dalla VM	Solo per Linux

Valuta la possibilità di utilizzare interfacce Private Service Connect virtuali quando prevedi che la configurazione dell'interfaccia rimanga invariata per tutto il ciclo di vita della VM.

Valuta l'utilizzo di interfacce Private Service Connect dinamiche quando si verifica quanto segue:

Devi gestire dinamicamente le connessioni alle reti VPC consumer.
Hai bisogno di più interfacce Private Service Connect per VM.
Devi evitare tempi di inattività durante le modifiche all'interfaccia di Private Service Connect.

Specifiche

Un'interfaccia Private Service Connect è un tipo speciale di interfaccia di rete che si connette a un collegamento di rete.

Le specifiche dell'interfaccia di rete si applicano anche alle interfacce Private Service Connect.

Le seguenti specifiche si applicano a entrambi i tipi di interfacce Private Service Connect:

Una VM che utilizza interfacce Private Service Connect richiede almeno due interfacce di rete. La prima interfaccia di rete è sempre l'interfaccia di rete predefinita, denominata nic0. Questa interfaccia si connette a una subnet del producer. La seconda interfaccia è un'interfaccia Private Service Connect che richiede una connessione a una subnet consumer.
Quando un progetto consumer accetta una connessione da un'interfaccia Private Service Connect, Google Cloudconfigura l'interfaccia con gli indirizzi IP della subnet del collegamento di rete:
- Un indirizzo IPv4 interno viene assegnato dall'intervallo di indirizzi IP primario della subnet.
- Se la subnet dell'allegato di rete è a doppio stack e l'interfaccia Private Service Connect è a doppio stack, viene assegnato un indirizzo IPv6 interno dall'intervallo IPv6 della subnet.
- Non puoi utilizzare subnet solo IPv6 (anteprima) per gli allegati di rete.
Se un collegamento di rete non ha indirizzi IP sufficienti da allocare per le interfacce Private Service Connect, la creazione dell'interfaccia non riesce e viene restituito un errore:
- Se l'errore si verifica durante la creazione di una VM, la VM non viene creata.
- Se l'operazione non va a buon fine durante l'aggiunta di un'interfaccia Private Service Connect dinamica a una VM esistente, l'interfaccia non viene aggiunta.
Devi configurare manualmente il sistema operativo guest della VM di un'interfaccia Private Service Connect per instradare il traffico tramite l'interfaccia.
Le interfacce Private Service Connect supportano gli intervalli di indirizzi IP alias�. Gli intervalli IP alias devono provenire dall'intervallo di indirizzi IPv4 principale della subnet dell'allegato di rete.
Google Cloud verifica che gli indirizzi IP allocati a un'interfaccia Private Service Connect non si sovrappongano agli intervalli di indirizzi delle subnet connesse alle altre interfacce di rete della VM. Se non sono disponibili indirizzi sufficienti, la creazione della VM non riesce.
Un'interfaccia Private Service Connect comunica nello stesso modo di un'interfaccia di rete.
Una connessione tra un collegamento di rete e un'interfaccia Private Service Connect è bidirezionale e transitiva. I carichi di lavoro nella rete VPC producer possono avviare connessioni ai carichi di lavoro connessi alla rete VPC consumer.
Le interfacce Private Service Connect dinamiche e virtuali possono coesistere sulla stessa VM.
Le interfacce Private Service Connect supportano i Controlli di servizio VPC. Questa combinazione richiede un'ulteriore configurazione del routing.

Specifiche dell'interfaccia Private Service Connect virtuale

Le seguenti specifiche sono specifiche per le interfacce Private Service Connect virtuali.

Le interfacce Virtual Private Service Connect possono essere create solo al momento della creazione della VM e possono essere rimosse solo eliminando la VM associata.
Puoi creare un massimo di sette interfacce Private Service Connect virtuali su una singola VM, a seconda del numero di vCPU nella VM.

Specifiche dell'interfaccia Private Service Connect dinamica

Le seguenti specifiche sono specifiche delle interfacce Private Service Connect dinamiche.

Le proprietà e limitazioni delle NIC dinamiche si applicano anche alle interfacce Private Service Connect dinamiche.
Puoi aggiungere o rimuovere interfacce Private Service Connect dinamiche in qualsiasi momento, senza dover riavviare la VM.
Una singola VM può avere fino a 15 interfacce Private Service Connect dinamiche, a seconda del numero di vCPU nella VM.
L'unità massima di trasmissione (MTU) di un'interfaccia di rete è impostata sull'MTU della rete VPC a cui si connette. L'MTU di un'interfaccia Private Service Connect dinamica deve essere inferiore o uguale all'MTU della relativa interfaccia di rete principale, altrimenti la creazione dell'interfaccia non va a buon fine e viene visualizzato un errore.

Limitazioni

Una connessione di interfaccia Private Service Connect può essere terminata solo nei seguenti modi:
- Un producer elimina la VM dell'interfaccia.
- Un producer rimuove un'interfaccia Private Service Connect dinamica.
- Un consumer elimina un progetto connesso a un'interfaccia Private Service Connect. Questa azione arresta la VM dell'interfaccia.
- Un consumer disabilita l'API Compute Engine in un progetto connesso a un'interfaccia Private Service Connect. Questa azione arresta la VM dell'interfaccia.
Attenzione: Google consiglia di evitare architetture multi-tenant, in cui più progetti consumer si connettono alla stessa VM di interfaccia Private Service Connect. In un'architettura multi-tenant, se un consumer termina la connessione all'interfaccia Private Service Connect, anche gli altri consumer connessi alla stessa VM perdono la connettività.
Se una VM ha più interfacce Private Service Connect, ognuna deve connettersi a un collegamento di rete univoco e ogni collegamento di rete deve trovarsi in una rete VPC consumer diversa.
Non puoi assegnare indirizzi IP esterni (pubblicizzati pubblicamente) alle interfacce Private Service Connect.
Le interfacce Private Service Connect dinamiche non sono supportate sulle VM che utilizzano il sistema operativo guest Windows. Sebbene questa configurazione non sia impedita dall'API, i pacchetti non vengono trasferiti perché i driver del sistema operativo guest Windows non supportano le NIC dinamiche.
Un'interfaccia Private Service Connect non può essere l'hop successivo di una regola di forwarding interno.
Non puoi associare direttamente le interfacce Private Service Connect ai nodi o ai pod di Google Kubernetes Engine (GKE). Tuttavia, il traffico in uscita dal servizio è possibile con GKE tramite interfacce Private Service Connect configurate su VM proxy.
Le VM con interfacce Private Service Connect non possono far parte di servizi di backend che hanno come target le VM Compute Engine. Questo perché le VM devono trovarsi nello stesso progetto del servizio di backend.

Prezzi

I prezzi delle interfacce Private Service Connect sono descritti nella pagina dei prezzi di VPC.

Passaggi successivi

Scopri come creare e gestire le interfacce Private Service Connect.
Completa il codelab sui servizi gestiti dell'interfaccia Private Service Connect.