Informazioni sulle policy di connessione al servizio

Questo documento spiega come gli amministratori di rete possono utilizzare i criteri di connessione al servizio per fornire connettività alle istanze di servizi gestiti supportate tramite l'automazione della connettività al servizio. Prima di leggere questo documento, assicurati di avere familiarità con i concetti spiegati in Informazioni sull'automazione della connettività dei servizi.

Specifiche

Le policy di connessione al servizio hanno le seguenti specifiche:

• Puoi creare una sola policy di connessione al servizio per ogni combinazione di rete, regione e classe di servizio. Ad esempio, puoi avere un solo criterio di connessione al servizio per vpc1 in us-central1 per google-cloud-sql. Questa convalida significa che solo una policy di connessione al servizio regola un determinato endpoint Private Service Connect.

• Gli amministratori delle istanze di servizio possono utilizzare l'API amministrativa o la UI del servizio per eseguire il deployment del servizio e configurare la connettività utilizzando l'automazione della connettività del servizio.

• Se la creazione o l'eliminazione di un endpoint tramite l'automazione della connettività del servizio viene bloccata, un processo automatizzato riprova periodicamente l'operazione finché il problema di blocco non viene risolto.

• Le subnet incluse nella configurazione della policy di connessione del servizio forniscono indirizzi IP assegnati agli endpoint Private Service Connect. Questi indirizzi IP vengono allocati e restituiti automaticamente al pool della subnet man mano che le istanze del servizio gestito vengono create ed eliminate.

  Le subnet devono essere subnet regolari e devono trovarsi nella stessa regione della policy di connessione al servizio. Le subnet regolari sono diverse dalle subnet Private Service Connect.

  Come best practice, ti consigliamo di evitare di utilizzare le subnet per altre risorse. Se altre risorse utilizzano indirizzi IP della subnet, potresti esaurire gli indirizzi IP da assegnare agli endpoint.

• I servizi gestiti che utilizzano le policy di connessione al servizio potrebbero supportare la connessione alle istanze di servizio utilizzando endpoint IPv4, endpoint IPv6 o entrambi. Se il servizio supporta sia IPv4 sia IPv6, gli amministratori dell'istanza di servizio possono scegliere una versione IP durante il deployment di un'istanza di servizio.

• Puoi utilizzare le policy di connessione al servizio con il VPC condiviso.

• Per impostazione predefinita, l'istanza di servizio e gli endpoint che si connettono all'istanza di servizio devono trovarsi nello stesso progetto (o, nel caso del VPC condiviso, in progetti connessi).

  I servizi Google supportati ti consentono di configurare un ambito dell'istanza di servizio personalizzato.

• Gli endpoint creati tramite l'automazione della connettività dei servizi potrebbero avere etichette applicate dal producer di servizi. Per saperne di più sulle etichette, vedi Organizzare le risorse utilizzando le etichette.

• Se vuoi utilizzare l'automazione del servizio Private Service Connect con più reti VPC nello stesso progetto, crea una policy di connessione al servizio per ogni rete.

• Se vuoi, puoi configurare un limite di connessioni per specificare il numero massimo di connessioni Private Service Connect che un determinato producer di servizi può creare nella regione e nella rete VPC della policy.

• Gli endpoint creati tramite le policy di connessione del servizio possono essere resi disponibili in altre reti VPC tramite la propagazione della connessione.

Autorizzazione

Le policy di connessione al servizio consentono ai consumer di delegare il deployment della connettività ai servizi gestiti. Il producer di servizi non ha accesso diretto o privilegi IAM per il progetto consumer. Il producer configura invece una mappa di connessione ai servizi nel proprio progetto.

Quando la mappa di connessione del servizio viene creata o aggiornata, in genere in risposta a una richiesta di un amministratore del servizio consumer all'API o all'interfaccia utente amministrativa del servizio gestito, l'automazione della connettività del servizio esegue una serie di controlli di autorizzazione. Se tutti i controlli vengono superati, gli endpoint Private Service Connect vengono creati come specificato nella richiesta.

Per informazioni sull'autorizzazione, consulta Modello di autorizzazione.

Policy di connessione nelle reti VPC condiviso

Le policy di connessione al servizio possono automatizzare la connettività alle istanze di servizio che si trovano nei progetti host o nei progetti di servizio collegati.

Se utilizzi un VPC condiviso, devi creare il criterio di connessione del servizio nel progetto host. Gli endpoint vengono creati nel progetto specificato nella configurazione dell'istanza di servizio.

Se crei una policy di connessione al servizio in una rete VPC condiviso e implementi un'istanza di servizio in un progetto di servizio, l'automazione della connettività del servizio condivide le subnet associate alla policy di connessione al servizio aggiornando l'account di servizio Network Connectivity del progetto di servizio. A questo account di servizio viene concesso il ruolo Utente di rete Compute (roles/compute.networkUser) sulle subnet condivise.

Per un esempio di deployment, vedi VPC condiviso.

Policy di connessione con ambito istanza di servizio personalizzato

Per impostazione predefinita, l'automazione della connettività del servizio crea endpoint per le istanze di servizio e le policy di connessione al servizio associate che si trovano nello stesso progettoGoogle Cloud (o, nel caso del VPC condiviso, nei progetti connessi). Per i servizi Google supportati, le istanze di servizio e gli endpoint di connessione possono trovarsi anche in progetti o organizzazioni diversi.

Non tutti i servizi Google supportano la configurazione di un ambito istanza di servizio personalizzato. Per determinare se un servizio supporta un ambito istanza di servizio personalizzato, consulta la documentazione del servizio specifico.

Utilizza l'impostazione Ambito dell'istanza di servizio (--producer-instance-location) per configurare la connettività alle istanze di servizio che si trovano in altri nodi Resource Manager (progetti, cartelle e organizzazioni).

• Se è impostato su no_producer_instance_location, gli endpoint vengono creati solo nello stesso progetto. Questo è il valore predefinito.
• Se è impostato su custom_resource_hierarchy_levels, specifica l'elenco dei nodi Resource Manager nel campo --allowed-google-producers-resource-hierarchy-level.

Se aggiorni l'ambito dell'istanza di servizio per una policy di connessione al servizio, gli endpoint esistenti non vengono interessati.

Per un esempio di deployment, vedi Servizi Google con ambito dell'istanza di servizio personalizzato.

Versioni IP endpoint

Le possibili versioni IP degli endpoint che si connettono alle istanze di servizio (IPv4, IPv6 o entrambe) sono determinate dal producer di servizi, non dall'automazione della connettività del servizio. Se il servizio supporta sia IPv4 che IPv6, gli amministratori delle istanze di servizio possono scegliere una versione IP durante il deployment di un'istanza tramite l'API amministrativa di un servizio. Per informazioni sulle versioni IP supportate di un servizio, consulta la documentazione del servizio.

Quando un amministratore dell'istanza di servizio sceglie una versione IP, l'automazione della connettività del servizio controlla la policy di connessione al servizio per le subnet compatibili da utilizzare per la creazione degli indirizzi IP endpoint:

• Le subnet solo IPv4 supportano gli endpoint IPv4.
• Le subnet a doppio stack supportano sia gli endpoint IPv4 che IPv6.
• Le subnet solo IPv6 (anteprima) supportano gli endpoint IPv6.

Se la policy di connessione al servizio non ha una subnet compatibile, la richiesta non va a buon fine e non viene creato alcun endpoint.

Inoltre, la versione IP dell'endpoint deve essere compatibile con la versione IP dell'istanza di servizio, che è determinata dalla regola di forwarding del collegamento del servizio associato. Private Service Connect supporta le seguenti combinazioni di versioni IP:

• Endpoint IPv4 all'allegato di servizio IPv4
• Endpoint IPv6 all'allegato del servizio IPv6

• Endpoint IPv6 all'allegato di servizio IPv4

  In questa configurazione, Private Service Connect esegue automaticamente la conversione tra le due versioni IP.

La connessione di un endpoint IPv4 a un collegamento di servizio IPv6 non è supportata.

Se vuoi consentire ai client IPv4 e IPv6 di accedere a un'istanza di servizio gestito, configura la connettività per endpoint IPv4 e IPv6 separati che si connettono allo stesso servizio.

Limitazioni

• Le policy di connessione al servizio supportano solo l'automazione della creazione di endpoint Private Service Connect. La creazione di backend Private Service Connect o allegati di servizio non è supportata.
• Non puoi eliminare direttamente gli endpoint Private Service Connect creati tramite l'automazione della connettività dei servizi. Per attivare l'eliminazione di questi endpoint, ritira la connettività al servizio.
• Puoi aggiornare solo le subnet e il limite di connessione per una policy di connessione al servizio. Se vuoi aggiornare altri campi, elimina la norma e creane una nuova.

Prezzi

I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.

Passaggi successivi

• Configura le policy di connessione al servizio