Sobre a automação de conectividade do serviço

Com a automação de conectividade do serviço, os consumidores podem automatizar a implantação da conectividade em serviços gerenciados.

Considere um administrador de banco de dados que implanta uma instância de banco de dados e quer permitir que os consumidores de serviços acessem esse banco de dados por um endpoint do Private Service Connect. O administrador do banco de dados pode não ter as credenciais ou a experiência necessárias do Identity and Access Management (IAM) para implantar recursos de rede.

Se um serviço gerenciado for compatível com a automação de conectividade de serviço, a configuração da instância de serviço e a configuração de rede poderão ser delegadas aos administradores apropriados:

  • Os administradores de instâncias de serviço podem controlar quais redes podem acessar os serviços deles.

  • Os administradores de rede podem controlar a quais serviços querem permitir conexões.

Quando essas configurações correspondem, a automação de conectividade do serviço cria um endpoint nas redes apropriadas, fornecendo conectividade à instância de serviço gerenciado.

Visão geral da automação de conectividade do serviço

A seção a seguir descreve uma configuração básica em uma única rede VPC que usa a automação da conectividade de serviço. Para informações sobre outras configurações, consulte VPC compartilhada e Serviços do Google com escopo de instância de serviço personalizado.

A implantação de uma instância de um serviço gerenciado que oferece suporte à automação da conectividade de serviço envolve as seguintes etapas:

  1. Um administrador de rede cria uma política de conexão de serviço para a rede VPC.

    A política de conexão de serviço faz referência a uma classe de serviço, um recurso globalmente exclusivo que identifica um serviço de produtor específico. Uma única política de conexão de serviço tem escopo para uma única classe de serviço e uma única rede VPC do consumidor, delegando a capacidade de configurar a conectividade dentro desse escopo.

  2. Um administrador de instância de serviço implanta uma instância de serviço gerenciado usando a API ou a UI administrativa do serviço. A configuração da instância de serviço especifica quais redes podem acessar o serviço pela automação da conectividade de serviço.

  3. A automação de conectividade do serviço cria um endpoint na rede VPC do consumidor. Esse endpoint pode ser usado para enviar solicitações à instância de serviço.

A automação da conectividade de serviços permite que os consumidores de serviços automatizem a implantação da conectividade com serviços gerenciados (clique para ampliar).

Configuração do produtor

As seções a seguir descrevem os recursos usados pelos produtores para configurar a automação da conectividade do serviço.

Classes de serviço

Uma classe de serviço é uma representação globalmente exclusiva de um tipo de serviço gerenciado. Cada produtor detém a própria classe de serviço. Os consumidores fazem referência à classe de serviço nas políticas de conexão de serviço, que autorizam a implantação e delegam a conectividade ao produtor.

As políticas de conexão de serviço só podem ser criadas para serviços que têm uma classe de serviço.

As classes de serviço estão disponíveis para serviços publicados do Google. As classes de serviço também estão disponíveis em uma prévia limitada para serviços de terceiros e serviços gerenciados internos auto-hospedados. Para mais informações, consulte Serviços compatíveis.

Mapas de conexão de serviço

Um mapa de conexões de serviço é um recurso gerenciado pelo produtor que armazena detalhes para autorizar e estabelecer conexões do Private Service Connect entre redes VPC de consumidores e instâncias de serviço gerenciado do produtor. Esse mapa define as relações permitidas entre instâncias de serviço do produtor (representadas por anexos de serviço) e os projetos e redes VPC do consumidor autorizados a se conectar às instâncias de serviço.

Modelo de autorização

As políticas de conexão de serviço permitem que os consumidores deleguem a implantação da conectividade aos serviços gerenciados. O produtor de serviços não tem acesso direto nem privilégios do IAM no projeto do consumidor. Em vez disso, o produtor configura um mapa de conexões de serviço no próprio projeto.

Quando o mapa de conexão de serviço é criado ou atualizado, geralmente em resposta a uma solicitação de um administrador de serviço do consumidor para a API administrativa ou UI do serviço gerenciado, a automação da conectividade do serviço realiza uma série de verificações de autorização. Se todas as verificações forem aprovadas, os endpoints do Private Service Connect serão criados conforme especificado na solicitação.

  • Configuração de rede (política de conexão de serviço):

    • Autorização de rede. A rede VPC do consumidor precisa ter uma política de conexão de serviço válida que autorize a rede VPC, a região e a classe de serviço especificadas pela solicitação. Essa verificação ajuda a garantir que um administrador de rede consumidora com permissões do IAM na rede VPC delegue explicitamente a capacidade de criar endpoints do Private Service Connect para o tipo de serviço especificado.
    • Escopo da instância de serviço. Se a instância de serviço gerenciado for um serviço do Google e a política de conexão de serviço especificar um escopo de instância de serviço personalizado (custom-resource-hierarchy-levels), a automação de conectividade de serviço vai verificar a lista de nós do Resource Manager fornecidos (--allowed-google-producers-resource-hierarchy-level). O projeto especificado pelo administrador da instância de serviço na UI ou API do serviço gerenciado para implantação e gerenciamento da instância de serviço precisa estar dentro do escopo permitido definido por essa lista. O escopo pode ser uma mistura de organizações, pastas e projetos.
    • Validação do projeto de endpoint. O projeto em que a política de conexão é criada precisa estar associado à rede VPC em que o endpoint será criado. O projeto precisa conter a rede VPC ou ser um projeto de serviço anexado à rede VPC compartilhada.

  • Configuração da instância de serviço:

    • Autorização do IAM de administrador de serviços. O administrador do serviço consumidor precisa ter as permissões do IAM necessárias para criar ou atualizar a instância do serviço produtor. Essas permissões variam de acordo com o serviço que está sendo implantado.

    • Autorização do administrador da instância de serviço. Na API administrativa do serviço, o administrador da instância de serviço que a criou precisa ter configurado a instância para permitir conexões da rede VPC que solicita a conexão.

  • Configuração do produtor:

    • Permissões do IAM do produtor. O administrador do serviço produtor que cria ou atualiza o mapa de conexão de serviço precisa ter permissões do IAM na classe de serviço associada. Essa verificação ajuda a evitar representações falsas de uma classe de serviço público.

Se cada condição for atendida, a conta de serviço de conectividade de rede criará os endpoints solicitados nas redes autorizadas. A conta de serviço de conectividade de rede é um agente de serviço.

Novas tentativas automáticas para falhas de endpoint

A automação de conectividade de serviço gerencia totalmente a criação e exclusão dos seus endpoints do Private Service Connect.

Se a automação da conectividade de serviço não conseguir criar ou excluir um endpoint autorizado, por exemplo, devido a limitações de cota ou a sub-rede da política de conexão de serviço estar sem endereços IP, um processo automatizado vai tentar novamente a operação periodicamente até que o problema seja resolvido. No entanto, se a criação ou exclusão do endpoint falhar devido a verificações de autorização, a operação não será repetida.

É possível conferir erros que bloqueiam a criação de endpoints descrevendo a política de conexão de serviço e verificando o campo pscConnections. Para informações sobre como resolver falhas na criação ou exclusão de endpoints, consulte Solução de problemas.

VPC compartilhada

A automação de conectividade de serviço pode ser usada para criar automaticamente endpoints do Private Service Connect em redes VPC compartilhada. Como o endpoint é configurado com um endereço IP da rede VPC compartilhada, ele fica acessível no projeto host e em todos os projetos de serviço anexados.

Para criar a configuração mostrada no diagrama a seguir, as seguintes tarefas são concluídas:

  1. O administrador de rede cria uma política de conexão de serviço para a rede vpc1 no projeto host project1 e permite a conectividade com instâncias de serviço que usam a classe de serviço google-cloud-sql. Os endereços IP de endpoint são alocados da sub-rede endpoint-subnet.

  2. O administrador da instância de serviço implanta duas instâncias de serviço gerenciado: db-test no projeto service-project-test e db-prod no projeto service-project-prod. O administrador configura a instância de serviço para permitir que a automação da conectividade de serviço implante endpoints na rede vpc1 em project1 que se conectam às instâncias de serviço.

  3. Como todas as verificações de autorização são aprovadas, a automação da conectividade de serviço cria dois endpoints conectados a endpoint-subnet, um para cada instância de serviço. Todas as VMs conectadas à sub-rede vm-subnet podem acessar os endpoints porque estão conectadas à mesma rede VPC compartilhada que eles.

É possível usar uma política de conexão de serviço em uma rede VPC compartilhada para criar conectividade com instâncias de serviço implantadas em projetos de serviço (clique para ampliar).

Serviços do Google com escopo de instância de serviço personalizado

Por padrão, a automação de conectividade do serviço exige que a instância de serviço e os endpoints que se conectam a ela estejam no mesmo projeto (ou, no caso da VPC compartilhada, em projetos conectados). Para serviços do Google compatíveis, as instâncias de serviço e os endpoints de conexão podem estar em projetos ou organizações diferentes.

Para criar a configuração mostrada no diagrama a seguir, as seguintes tarefas são concluídas:

  1. Os administradores de rede de vpc-1, vpc-2 e vpc-3 criam políticas de conexão de serviço nas respectivas redes VPC. Elas permitem a conectividade com instâncias de serviço que usam a classe de serviço google-cloud-sql e são implantadas no projeto project-1 na organização org-1.

  2. O administrador da instância de serviço implanta uma instância de serviço gerenciado db-1 em project-1 usando a API ou a UI administrativa do serviço. O administrador configura a instância de serviço para permitir que a automação da conectividade de serviço implante endpoints em vpc-1 e vpc-2 que se conectam a db-1.

  3. Para vpc-1 e vpc-2, todas as verificações de autorização são aprovadas e a automação de conectividade do serviço cria um endpoint em cada rede. As VMs nessas redes podem enviar tráfego para a instância de serviço pelos endpoints.

    No entanto, um endpoint não é criado em vpc-3 porque essa rede não está configurada para conectividade automática na configuração da instância de serviço db-1.

    Se vpc-3 precisar acessar a instância de serviço db-1, o administrador de rede poderá entrar em contato com o administrador do banco de dados e pedir que ele adicione vpc-3 à configuração de conectividade de db-1.

É possível automatizar a conectividade com os serviços do Google compatíveis de diferentes projetos, pastas ou organizações (clique para ampliar).

Serviços compatíveis

Os seguintes serviços do Google são compatíveis com a automação de conectividade do serviço.

Serviço do Google Acesso fornecido
AlloyDB para PostgreSQL Permite automatizar a criação de conexões com instâncias do AlloyDB para PostgreSQL.
Cloud SQL Permite automatizar a criação de conexões com instâncias do Cloud SQL.
Memorystore for Redis Cluster Permite automatizar a criação de conexões com instâncias do cluster do Memorystore para Redis.
Memorystore for Valkey Permite automatizar a criação de conexões com instâncias do Memorystore para Valkey.
Pesquisa vetorial da Vertex AI Permite automatizar a criação de conexões com endpoints da Pesquisa de vetor.

Para saber se um serviço gerenciado de terceiros é compatível com as políticas de conexão de serviço, entre em contato com o provedor. Se um serviço for compatível com políticas de conexão de serviço, o provedor poderá fornecer a classe de serviço associada.

Os recursos de automação do produtor estão disponíveis na Prévia limitada. Se você quiser automatizar a conectividade do consumidor para seu próprio serviço gerenciado, entre em contato com seu representante de vendas Google Cloud.