À propos des règles de connexion de services
Ce document explique comment les administrateurs réseau peuvent utiliser des règles de connexion de service pour fournir une connectivité aux instances de service gérées compatibles grâce à l'automatisation de la connectivité des services. Avant de lire ce document, assurez-vous de connaître les concepts expliqués dans À propos de l'automatisation de la connectivité des services.
Spécifications
Les règles de connexion aux services ont les spécifications suivantes :
Vous ne pouvez créer qu'une seule règle de connexion de service pour chaque combinaison de réseau, de région et de classe de service. Par exemple, vous ne pouvez avoir qu'une seule règle de connexion de service pour
vpc1dansus-central1pourgoogle-cloud-sql. Cette validation signifie qu'une seule règle de connexion de service régit un point de terminaison Private Service Connect donné.Les administrateurs d'instances de service peuvent utiliser l'API ou l'UI d'administration du service pour déployer ce service et configurer la connectivité à l'aide de l'automatisation de la connectivité du service.
Si la création ou la suppression d'un point de terminaison via l'automatisation de la connectivité du service est bloquée, un processus automatisé réessaie périodiquement l'opération jusqu'à ce que le problème de blocage soit résolu.
Les sous-réseaux inclus dans la configuration de la règle de connexion de service fournissent des adresses IP attribuées aux points de terminaison Private Service Connect. Ces adresses IP sont automatiquement allouées et renvoyées au pool de sous-réseaux à mesure que des instances de service géré sont créées et supprimées.
Les sous-réseaux doivent être des sous-réseaux standards et se trouver dans la même région que la règle de connexion de service. Les sous-réseaux standards sont différents des sous-réseaux Private Service Connect.
Nous vous recommandons d'éviter d'utiliser les sous-réseaux pour d'autres ressources. Si d'autres ressources consomment des adresses IP du sous-réseau, vous risquez de manquer d'adresses IP à attribuer aux points de terminaison.
Les services gérés qui utilisent des règles de connexion de service peuvent permettre de se connecter à des instances de service à l'aide de points de terminaison IPv4, de points de terminaison IPv6 ou des deux. Si le service est compatible avec IPv4 et IPv6, les administrateurs d'instance de service peuvent choisir une version IP lors du déploiement d'une instance de service.
Vous pouvez utiliser des règles de connexion de service avec un VPC partagé.
Par défaut, l'instance de service et les points de terminaison qui s'y connectent doivent se trouver dans le même projet (ou dans des projets connectés en cas de VPC partagé).
Les services Google compatibles vous permettent de configurer un champ d'application d'instance de service personnalisé.
Des libellés peuvent être appliqués aux points de terminaison créés grâce à l'automatisation de la connectivité des services par le producteur de services. Pour en savoir plus sur les libellés, consultez Organiser des ressources à l'aide de libellés.
Si vous souhaitez utiliser l'automatisation du service Private Service Connect avec plusieurs réseaux VPC appartenant au même projet, créez une règle de connexion au service pour chaque réseau.
Vous pouvez éventuellement configurer une limite de connexions pour spécifier le nombre maximal de connexions Private Service Connect qu'un producteur de services donné peut créer dans le réseau VPC et la région de la règle.
Les points de terminaison créés à l'aide de règles de connexion de service peuvent être mis à disposition dans d'autres réseaux VPC grâce à la propagation des connexions.
Autorisation
Les règles de connexion de service permettent aux clients de déléguer le déploiement de la connectivité aux services gérés. Le producteur de services ne dispose pas d'un accès direct ni des autorisations IAM pour le projet du consommateur. À la place, le producteur configure un mappage de connexions au service dans son propre projet.
Lorsque le mappage de connexion de service est créé ou mis à jour, généralement en réponse à une requête d'un administrateur de service consommateur à l'API ou à l'interface utilisateur d'administration du service géré, l'automatisation de la connectivité du service effectue une série de vérifications d'autorisation. Si toutes les vérifications sont réussies, les points de terminaison Private Service Connect sont créés comme spécifié dans la requête.
Pour en savoir plus sur l'autorisation, consultez la section Modèle d'autorisation.
Règles de connexion dans les réseaux VPC partagés
Les règles de connexion de service peuvent automatiser la connectivité aux instances de service situées dans des projets hôtes ou dans des projets de service associés.
Si vous utilisez un VPC partagé, vous devez créer la règle de connexion de service dans le projet hôte. Les points de terminaison sont créés dans le projet spécifié dans la configuration de l'instance de service.
Si vous créez une règle de connexion de service dans un réseau VPC partagé et que vous déployez une instance de service dans un projet de service, l'automatisation de la connectivité des services partage les sous-réseaux associés à la règle de connexion de service en mettant à jour le compte de service de connectivité réseau du projet de service.
Ce compte de service se voit attribuer le rôle d'utilisateur de réseau Compute (roles/compute.networkUser) sur les sous-réseaux partagés.
Pour obtenir un exemple de déploiement, consultez VPC partagé.
Règles de connexion avec un champ d'application d'instance de service personnalisé
Par défaut, l'automatisation de la connectivité des services crée des points de terminaison pour les instances de service et les règles de connexion au service associées qui se trouvent dans le même projetGoogle Cloud (ou dans les projets connectés dans le cas du VPC partagé). Pour les services Google compatibles, les instances de service et les points de terminaison de connexion peuvent également se trouver dans des projets ou des organisations différents.
Tous les services Google ne permettent pas de configurer un champ d'application d'instance de service personnalisé. Pour savoir si un service est compatible avec un champ d'application d'instance de service personnalisé, consultez la documentation du service concerné.
Utilisez le paramètre Étendue de l'instance de service (--producer-instance-location) pour configurer la connectivité aux instances de service qui se trouvent dans d'autres nœuds Resource Manager (projets, dossiers et organisations).
- S'il est défini sur
no_producer_instance_location, les points de terminaison sont créés uniquement dans le même projet. Il s'agit de la valeur par défaut. - Si la valeur est définie sur
custom_resource_hierarchy_levels, vous spécifiez la liste des nœuds Resource Manager dans le champ--allowed-google-producers-resource-hierarchy-level.
Si vous mettez à jour le champ d'application de l'instance de service pour une règle de connexion de service, les points de terminaison existants ne sont pas affectés.
Pour obtenir un exemple de déploiement, consultez Services Google avec un champ d'application d'instance de service personnalisé.
Versions IP des points de terminaison
Les versions IP possibles des points de terminaison qui se connectent aux instances de service (IPv4, IPv6 ou les deux) sont déterminées par le producteur de services, et non par l'automatisation de la connectivité des services. Si le service est compatible avec IPv4 et IPv6, les administrateurs d'instance de service peuvent choisir une version IP lors du déploiement d'une instance via l'API d'administration d'un service. Pour en savoir plus sur les versions IP compatibles avec un service, consultez sa documentation.
Lorsqu'un administrateur d'instance de service choisit une version IP, l'automatisation de la connectivité du service vérifie la règle de connexion au service pour les sous-réseaux compatibles à utiliser pour créer des adresses IP de point de terminaison :
- Les sous-réseaux IPv4 uniquement sont compatibles avec les points de terminaison IPv4.
- Les sous-réseaux à double pile acceptent les points de terminaison IPv4 et IPv6.
- Les sous-réseaux IPv6-only (preview) sont compatibles avec les points de terminaison IPv6.
Si la règle de connexion de service ne dispose pas d'un sous-réseau compatible, la requête échoue et aucun point de terminaison n'est créé.
De plus, la version IP du point de terminaison doit être compatible avec la version IP de l'instance de service, qui est déterminée par la règle de transfert du rattachement de service associé. Private Service Connect est compatible avec les combinaisons de versions d'adresses IP suivantes :
- Point de terminaison IPv4 vers rattachement de service IPv4
- Point de terminaison IPv6 vers rattachement de service IPv6
Point de terminaison IPv6 vers rattachement de service IPv4
Dans cette configuration, Private Service Connect traduit automatiquement les deux versions d'adresse IP.
La connexion d'un point de terminaison IPv4 à un rattachement de service IPv6 n'est pas prise en charge.
Si vous souhaitez autoriser les clients IPv4 et IPv6 à accéder à une instance de service gérée, configurez la connectivité pour des points de terminaison IPv4 et IPv6 distincts qui se connectent au même service.
Limites
- Les règles de connexion de service ne sont compatibles qu'avec l'automatisation de la création de points de terminaison Private Service Connect. La création de backends Private Service Connect ou de rattachements de service n'est pas acceptée.
- Vous ne pouvez pas supprimer directement les points de terminaison Private Service Connect qui sont créées grâce à l'automatisation de la connectivité des services. Pour déclencher la suppression de ces points de terminaison, mettez hors service la connectivité du service.
- Vous ne pouvez mettre à jour que les sous-réseaux et la limite de connexion d'une règle de connexion de service. Si vous souhaitez mettre à jour d'autres champs, supprimez la règle et créez-en une nouvelle.
Tarifs
La tarification de Private Service Connect est décrite sur la page des tarifs relatifs aux VPC.