Informazioni sulle policy di connessione al servizio

Questa pagina fornisce una panoramica delle policy di connessione al servizio.

I consumatori di servizi possono creare criteri di connessione al servizio che automatizzano il deployment e la connettività per le istanze di servizi gestiti idonee. Questa procedura è chiamata automazione della connettività dei servizi Private Service Connect.

Ad esempio, un amministratore del servizio consumer potrebbe essere un amministratore del database che esegue il deployment di un database e poi configura Private Service Connect per raggiungerlo. Tuttavia, l'amministratore del database potrebbe non disporre delle credenziali IAM (Identity and Access Management) richieste o delle conoscenze necessarie per eseguire il deployment delle risorse di rete. Se esiste una policy di connessione al servizio e il servizio di produzione è configurato per l'automazione dei servizi, l'amministratore del database può richiedere di eseguire il deployment di un'istanza del servizio di produzione e di connetterla alla rete tramite l'automazione della connettività dei servizi.

I criteri di connessione al servizio sono utili per i seguenti ruoli:

  • Gli amministratori di servizi consumer possono eseguire il deployment di istanze di servizi di produzione gestiti e configurarne la connettività tramite l'API di amministrazione o l'interfaccia utente del servizio di produzione. Non è necessario alcun passaggio aggiuntivo per configurare Private Service Connect.
  • Gli amministratori di rete possono creare un unico insieme di criteri che controllano i servizi e le subnet utilizzati per la connettività.
  • I producer di servizi possono semplificare la procedura di condivisione degli allegati dei servizi e guidare i consumatori nella procedura di implementazione della connettività. I consumatori con criteri di connessione ai servizi possono configurare un servizio del produttore utilizzando l'API o l'interfaccia utente amministrativa del produttore.

Deployment delle istanze di servizio

Il deployment di un'istanza di un servizio gestito utilizzando i criteri di connessione ai servizi prevede i seguenti passaggi, illustrati nella figura 1:

  1. Un amministratore di rete consumer crea un criterio di connessione ai servizi per la sua rete VPC. Se vuoi, questa rete può essere una rete VPC condivisa.

    La policy di connessione del servizio consente a Google di eseguire automaticamente il deployment degli endpoint Private Service Connect per conto dell'amministratore del servizio consumer. Il criterio di connessione al servizio fa riferimento a una classe di servizio, una risorsa univoca a livello globale che identifica un servizio di produzione specifico. Un singolo criterio di connessione al servizio è limitato a una singola classe di servizio e a una singola rete VPC consumer, delegando la possibilità di configurare la connettività all'interno di questo ambito.

  2. Un amministratore di servizi consumer esegue il deployment di un'istanza di servizio gestito e configura la connettività a quell'istanza utilizzando l'API o l'interfaccia utente di amministrazione del servizio.

    Se hai creato il criterio di connessione del servizio in una rete VPC condiviso, puoi eseguire il deployment dell'istanza di servizio gestito in un progetto di servizio collegato.

  3. Il producer riceve la configurazione di connettività del consumer e passa queste informazioni a una mappa di connessione dei servizi.

  4. L'account del servizio di connettività di rete crea un endpoint nella rete VPC del consumer. Questo endpoint si connette a un collegamento di servizio nella rete VPC del producer.

Un amministratore di rete crea una policy di connessione al servizio. Un amministratore del servizio consumer può quindi implementare le istanze di servizio gestite utilizzando l'API o l'interfaccia utente di amministrazione del servizio (fai clic per ingrandire).

Servizi supportati

Per sapere se un servizio gestito supporta i criteri di connessione al servizio, contatta il fornitore di servizi. Se un servizio supporta i criteri di connessione dei servizi, il fornitore di servizi può fornirti la classe di servizio associata.

I produttori possono utilizzare i classi di servizio, che consentono di automatizzare i servizi per conto dei consumatori, in anteprima limitata. Per informazioni sull'automazione della connettività per i tuoi servizi gestiti tramite classi di servizio, contatta il tuo rappresentante di vendita Google Cloud.

Norme di connessione al servizio

Un criterio di connessione al servizio è una risorsa Google Cloud regionale. Consente a un amministratore di rete di specificare quali servizi di produzione possono essere di cui può essere eseguito il deployment e collegati tramite l'automazione della connettività dei servizi. Se esiste un criterio di connessione del servizio per un servizio gestito, un amministratore del servizio consumer può eseguire il deployment del servizio.

Le policy di connessione al servizio hanno i seguenti campi:

  • Classe di servizio: specifica il tipo di servizio gestito a cui si applica il criterio. Ogni producer che supporta i criteri di connessione ai servizi ha una propria classe di servizio unica a livello mondiale.
  • Rete VPC: specifica la rete VPC per cui è definito l'ambito del criterio.
  • Subnet: specifica le subnet da cui vengono allocati gli indirizzi IP per gli endpoint Private Service Connect.
  • Limite di connessione: specifica il numero massimo di connessioni Private Service Connect che un producer può creare nella regione e nella rete VPC del criterio.

Specifiche

Le policy di connessione al servizio hanno le seguenti specifiche:

  • Puoi creare un singolo criterio di connessione al servizio per una combinazione di rete, regione e classe di servizio. In questo modo, viene regolata solo una norma per la creazione di qualsiasi endpoint Private Service Connect.
  • Se esiste un criterio di connessione del servizio per una determinata classe di servizio, gli amministratori dei servizi consumer possono utilizzare l'API o l'interfaccia utente di amministrazione del servizio per eseguire il deployment del servizio e configurare la connettività utilizzando l'automazione della connettività del servizio.
  • Le subnet incluse nella configurazione del criterio di connessione del servizio forniscono gli indirizzi IP assegnati agli endpoint Private Service Connect. Queste subnet devono essere subnet regolari e devono trovarsi nella stessa regione del criterio di connessione del servizio. Le subnet normali sono diverse dalle subnet Private Service Connect.
  • Come best practice, Google consiglia di utilizzare sottoreti dedicate con criteri di connessione ai servizi. In questo modo, gli indirizzi IP delle sottoreti non vengono riutilizzati per risorse diverse.
  • Le policy di connessione al servizio possono essere create solo nello stesso progetto della rete VPC a cui si applicano.
  • Se vuoi utilizzare l'automazione dei servizi Private Service Connect con più reti VPC nello stesso progetto, crea un criterio di connessione ai servizi per ogni rete.
  • Puoi utilizzare i criteri di connessione dei servizi con il VPC condiviso.

Configurazione del produttore

Le sezioni seguenti descrivono le risorse utilizzate dai produttori di servizi per configurare l'automazione della connettività dei servizi.

Mappa delle connessioni ai servizi

Una mappa di connessione ai servizi è una risorsa lato producer che consente a un producer di specificare una mappatura tra i collegamenti ai servizi e gli endpoint Private Service Connect. Questa mappa contiene un elenco di combinazioni di reti VPC e progetti che possono essere mappate a un elenco di collegamenti di servizi.

I producer utilizzano le mappe di connessione ai servizi per definire i progetti consumer e le reti Private Service Connect da utilizzare quando vengono creati gli endpoint tramite l'automazione dei servizi.

Quando un amministratore di servizi consumer richiede il deployment di un'istanza di servizio tramite l'automazione della connettività dei servizi, specifica una rete VPC. Il servizio gestito utilizza queste informazioni per aggiornare la mappa di connessione ai servizi corrispondente e specificare a quale collegamento al servizio connettere il consumatore.

Classe di servizio

Una classe di servizio è una rappresentazione univoca a livello globale di un tipo di servizio gestito. Ogni produttore è proprietario esclusivo della propria classe di servizio. I consumer fanno riferimento alla classe di servizio nei propri criteri di connessione dei servizi, autorizzando il deployment e delegando la connettività al producer.

Esistono classi di servizi per i servizi pubblicati da Google, i servizi di terze parti e i servizi gestiti interni self-hosted. I criteri di connessione al servizio possono essere creati solo per i servizi che dispongono di una classe di servizio.

Modello di autorizzazione

I criteri di connessione al servizio consentono ai consumer di delegare il deployment della connettività ai producer. Il produttore non dispone di accesso diretto o di privilegi IAM per il progetto consumer. Il producer configura invece una mappa di connessione ai servizi nel proprio progetto. In questo modo, il producer può specificare i progetti consumer e le reti VPC in cui eseguire il deployment degli endpoint.

Quando una mappa di connessione dei servizi viene creata o aggiornata da un produttore, Google Cloud esegue i seguenti controlli di autorizzazione:

  • L'utente producer che crea o aggiorna la mappa di connessione ha la proprietà IAM della classe di servizio associata. Questo controllo contribuisce a evitare rappresentazioni ingannevoli di una classe di servizi pubblici.
  • La rete del consumatore dispone di un criterio di connessione al servizio valido che autorizza la rete, la regione e la classe di servizio VPC specificati dalla mappa di connessione al servizio. Questo controllo garantisce che un amministratore con autorizzazioni IAM per la rete VPC deleghi esplicitamente la possibilità di creare endpoint Private Service Connect per il tipo di servizio specificato.
  • Il progetto specificato dal consumatore per la connettività nell'API o nell'interfaccia utente del servizio gestito è associato all'istanza del servizio gestito. Questo controllo aiuta a impedire lo spoofing o l'inganno di un servizio gestito affinché crei connettività per progetti non autorizzati.

Se tutte le condizioni sono soddisfatte, l'account di servizio di connettività di rete crea gli endpoint richiesti nella rete del consumatore. L'account di servizio Network Connectivity è un agente di servizio.

Limitazioni

  • I criteri di connessione al servizio supportano solo l'automazione degli endpoint Private Service Connect all'interno di una rete VPC consumer. I backend o i collegamenti di servizi di Private Service Connect non sono supportati.
  • Non puoi eliminare direttamente gli endpoint Private Service Connect creati tramite l'automazione della connettività dei servizi. Per attivare l'eliminazione di questi endpoint, ritira la connettività del servizio.
  • Puoi aggiornare solo le sottoreti e il limite di connessioni per un criterio di connessione al servizio. Se vuoi aggiornare altri campi, elimina il criterio e creane uno nuovo.
  • I criteri di connessione al servizio supportano la creazione di endpoint con indirizzi IPv4. La creazione di endpoint con indirizzi IPv6 non è supportata.

Prezzi

I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.

Passaggi successivi