Informazioni sulle interfacce Private Service Connect

Questa pagina fornisce una panoramica delle interfacce di Private Service Connect.

Un'interfaccia Private Service Connect è una risorsa che consente a una rete VPC (Virtual Private Cloud) producer di avviare connessioni a varie destinazioni in una rete VPC consumer. Le reti di produttori e consumatori possono trovarsi in progetti e organizzazioni diversi.

Quando crei un'interfaccia Private Service Connect, crei un'istanza VM (virtual machine) con almeno due interfacce di rete. La primeira interfaccia si connette a una subnet in una rete VPC producer. La seconda interfaccia è un'interfaccia Private Service Connect che richiede una connessione a un collegamento di rete in una rete consumer. Se la connessione viene accettata, Google Cloud assegna all'interfaccia Private Service Connect un indirizzo IP interno della sottorete del consumatore specificato dal collegamento di rete.

Questa connessione dell'interfaccia Private Service Connect consente alle organizzazioni di produttori e consumatori di configurare le proprie reti VPC in modo che le due reti siano connesse e possano comunicare utilizzando indirizzi IP interni. Ad esempio, l'organizzazione producer può aggiornare la rete VPC producer per aggiungere route per le subnet consumer.

Una connessione tra un'interfaccia Private Service Connect e un collegamento di rete è simile alla connessione tra un endpoint Private Service Connect e un collegamento di servizio, ma presenta due differenze fondamentali:

• Un'interfaccia Private Service Connect consente a una rete VPC producer di avviare connessioni a una rete VPC consumer (traffico in uscita dal servizio gestito). Un endpoint funziona in direzione opposta, consentendo a una rete VPC consumer di avviare connessioni a una rete VPC producer (ingresso del servizio gestito).
• Una connessione dell'interfaccia Private Service Connect è transitiva. Ciò significa che i carichi di lavoro in una rete producer possono avviare connessioni ad altri carichi di lavoro connessi alla rete VPC consumer. Gli endpoint Private Service Connect possono avviare connessioni solo alla rete VPC del producer.

Connessione ai carichi di lavoro in altre reti

Poiché le connessioni delle interfacce Private Service Connect sono transitive, se la configurazione della rete VPC consumer lo consente, le risorse nelle reti VPC producer possono comunicare con i carichi di lavoro connessi alla rete consumer. È incluso quanto segue:

• Carichi di lavoro nelle reti connesse alla rete VPC del consumatore tramite tunnel Cloud VPN, Cloud Interconnect o peering di rete VPC.
• I carichi di lavoro con indirizzi IP esterni raggiungibili dalla rete VPC del consumatore tramite Cloud NAT.
• API e servizi Google raggiungibili dalla rete VPC del consumatore tramite Accesso privato Google o Controlli di servizio VPC. È necessaria una configurazione aggiuntiva per utilizzare Controlli di servizio VPC con le interfacce Private Service Connect.
• Servizi pubblicati e API di Google raggiungibili dalla rete VPC del consumatore tramite gli endpoint e i backend di Private Service Connect.
• Carichi di lavoro in spoke VPC connessi alla rete VPC consumer.

Esempi di casi d'uso

Un caso d'uso di esempio per le interfacce Private Service Connect è un servizio gestito che deve avviare connessioni a una rete VPC consumer per accedere ai dati del consumer. Il servizio potrebbe anche richiedere accesso a dati o servizi disponibili nella rete on-premise di un consumatore, tramite una connessione VPN o Cloud Interconnect o da un servizio di terze parti. Una connessione di interfaccia Private Service Connect può soddisfare tutti questi requisiti.

Un altro caso d'uso è un servizio gestito che fornisce un gateway API. Poiché il servizio riceve chiamate per API diverse, utilizza le interfacce Private Service Connect per avviare connessioni alle reti VPC dei consumer. Il servizio gateway invia richieste API ai target di backend che le elaborano.

Le interfacce e gli endpoint di Private Service Connect sono complementari e possono essere utilizzati insieme nella stessa rete VPC.

Ad esempio, la figura 4 descrive la configurazione di rete di un servizio gestito che fornisce analisi. Il servizio di analisi può avviare connessioni alla rete VPC consumer utilizzando un'interfaccia Private Service Connect. Un endpoint Private Service Connect nella rete del consumer consente al servizio di analisi di avviare connessioni a un servizio di database in un'altra rete VPC. Il traffico dal servizio di analisi al servizio di database passa attraverso la rete del consumatore, che consente al consumatore di monitorare e fornire sicurezza per il traffico tra i due servizi.

Specifiche

• Un'interfaccia Private Service Connect è un tipo speciale di interfaccia di rete che si connette a un collegamento di rete. Le specifiche dell'interfaccia di rete si applicano anche alle interfacce Private Service Connect.
• Quando crei una VM per le interfacce Private Service Connect, crei almeno due interfacce di rete. La prima interfaccia di rete è sempre quella predefinita, denominata nic0. Questa interfaccia si connette a una subnet del produttore. La seconda interfaccia è un'interfaccia Private Service Connect che richiede una connessione a una subnet consumer. Puoi includere fino a sette interfacce Private Service Connect in una singola VM.
• Quando un progetto consumer accetta una connessione da un'interfaccia Private Service Connect, Google Cloud configura l'interfaccia con gli indirizzi IP della sottorete del collegamento di rete:
  • Viene assegnato un indirizzo IPv4 interno dall'intervallo di indirizzi IP primario della subnet.
  • Se la subnet dell'attacco alla rete è a doppio stack e l'interfaccia Private Service Connect è a doppio stack, viene assegnato un indirizzo IPv6 interno dall'intervallo IPv6 della subnet.
• Le interfacce Private Service Connect supportano gli intervalli IP di alias. Gli intervalli IP alias devono provenire dall'intervallo di indirizzi IPv4 principale della subnet dell'attacco alla rete.
• Google Cloud assicura che gli indirizzi IP allocati a un'interfaccia Private Service Connect non si sovrappongano agli intervalli di indirizzi delle subnet connesse alle altre interfacce di rete della VM. Se non sono disponibili indirizzi sufficienti, la creazione della VM non riesce.
• Un'interfaccia Private Service Connect comunica nello stesso modo di un'interfaccia di rete.
• Una connessione tra un collegamento di rete e un'interfaccia Private Service Connect è bidirezionale e transitiva. I carichi di lavoro nella rete VPC del producer possono avviare connessioni a carichi di lavoro connessi alla rete VPC del consumer.

Limitazioni

• Una connessione dell'interfaccia Private Service Connect può essere terminata solo nei seguenti modi:

  • Un producer elimina la VM dell'interfaccia.
  • Un consumer elimina un progetto collegato a un'interfaccia Private Service Connect. Questa azione arresta la VM dell'interfaccia.
  • Un consumer disattiva l'API Compute Engine in un progetto collegato a un'interfaccia Private Service Connect. Questa azione interrompe la VM dell'interfaccia.

• Le interfacce Private Service Connect non supportano gli indirizzi IP esterni.

• Un'interfaccia Private Service Connect non può essere l'hop successivo di una regola di forwarding interna.

• Non puoi associare direttamente le interfacce Private Service Connect con i nodi o i pod di Google Kubernetes Engine (GKE). Tuttavia, il traffico in uscita dal servizio è possibile con GKE tramite le interfacce Private Service Connect configurate sulle VM proxy.

Prezzi

I prezzi delle interfacce Private Service Connect sono descritti nella pagina dei prezzi VPC.

Passaggi successivi

• Scopri come creare e gestire le interfacce Private Service Connect.
• Completa il codelab sui servizi gestiti dell'interfaccia Private Service Connect.