Créer un backend Private Service Connect
Vous pouvez vous connecter aux services compatibles à l'aide de backends Private Service Connect, en utilisant l'équilibreur de charge pour l'application des règles. Vous vous connectez au service via une règle de transfert qui est mappée à un backend contenant un groupe de points de terminaison du réseau (NEG, network endpoint group) Private Service Connect.
Pour en savoir plus sur les services et les configurations compatibles, consultez la page À propos des backends Private Service Connect.
Ce guide explique comment ajouter un NEG Private Service Connect à un équilibreur de charge pour accéder aux API Google ou à un service publié. Ce guide n'inclut pas la configuration complète de l'équilibreur de charge.
Pour obtenir des instructions sur la création d'un équilibreur de charge avec un backend Private Service Connect, consultez les pages suivantes :
- Créer un équilibreur de charge d'application interne pour accéder aux API Google
- Créer un équilibreur de charge d'application externe global pour accéder à un service publié
Rôles
Le rôle d'administrateur de l'équilibreur de charge Compute (roles/compute.loadBalancerAdmin
) contient l'autorisation requise pour effectuer les tâches décrites dans ce guide.
Avant de commencer
Déterminez l'API ou le service auquel vous souhaitez vous connecter :
Pour les API Google, procédez comme suit:
- Choisissez un point de terminaison de service régional.
- Choisissez un point de terminaison de service global.
Pour les services publiés :
Si vous souhaitez publier votre propre service, consultez la page Publier des services gérés.
Si vous vous connectez à un service publié Google Cloud ou tiers, demandez au producteur les informations suivantes :
L'URI du rattachement de service auquel vous souhaitez vous connecter.
Les conditions requises pour les noms DNS auxquels vous envoyez des requêtes. Vous devrez peut-être utiliser des noms DNS spécifiques dans votre configuration de mappage d'URL.
Déterminez le type d'équilibreur de charge compatible avec le service auquel vous souhaitez vous connecter et assurez-vous de connaître l'équilibreur de charge que vous mettez à jour. Ce guide explique comment ajouter un NEG Private Service Connect à un équilibreur de charge, mais vous pouvez effectuer d'autres étapes de configuration.
Pour en savoir plus, consultez la section Équilibreurs de charge et cibles compatibles.
Créer un NEG Private Service Connect
Lorsque vous créez un NEG, vous choisissez le type de cible auquel il se connecte :
- Un service publié
- Une API Google régionale
- Une API Google globale
Créer un NEG pour se connecter à un service publié
Lorsque vous créez un NEG Private Service Connect qui pointe vers un service publié, vous avez besoin de l'URI du rattachement de service pour le service. Le rattachement de service a le format suivant : projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
.
Pour en savoir plus sur les équilibreurs de charge compatibles avec cette configuration, consultez la section Cibles de services publiés.
Console
Dans la console Google Cloud, accédez à la page Groupes de points de terminaison du réseau.
Accéder à la page Groupes de points de terminaison du réseau
Cliquez sur Créer un groupe de points de terminaison du réseau.
Saisissez le nom du groupe de points de terminaison du réseau.
Pour le type de groupe de points de terminaison du réseau, sélectionnez Groupe de points de terminaison du réseau Private Service Connect (régional).
Configurez la cible comme suit :
- Pour Cible, sélectionnez Service publié
- Dans le champ Service cible, saisissez l'URI du rattachement de service.
Sélectionnez le Réseau et le Sous-réseau dans lesquels créer le groupe de points de terminaison du réseau.
Le sous-réseau doit se trouver dans la même région que celle du service publié.
Cliquez sur Créer.
gcloud
Exécutez la commande gcloud compute network-endpoint-groups create
:
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=REGION \ --network=NETWORK \ --subnet=SUBNET
Remplacez les éléments suivants :
NEG_NAME
: nom du groupe de points de terminaison du réseau.TARGET_SERVICE
: URI du rattachement de service.REGION
: région dans laquelle créer le groupe de points de terminaison du réseau. La région doit être la même que celle du service cible.NETWORK
: réseau dans lequel créer le groupe de points de terminaison du réseau. S'il n'est pas spécifié, le réseau par défaut est utilisé.SUBNET
: sous-réseau dans lequel créer le groupe de points de terminaison du réseau. Le sous-réseau doit se trouver dans la même région que celle du service cible. Si vous spécifiez le réseau, un sous-réseau doit être spécifié. En cas d'omission du réseau et du sous-réseau, le réseau par défaut est utilisé, et le sous-réseau par défaut dans la régionREGION
spécifiée est utilisé.
Créer un NEG pour se connecter à une API Google régionale
Vous pouvez créer un NEG pour vous connecter à une API Google régionale.
Pour en savoir plus sur les équilibreurs de charge compatibles avec cette configuration, consultez la page Cibles d'API Google régionales.
Console
Dans la console Google Cloud, accédez à la page Groupes de points de terminaison du réseau.
Accéder à la page Groupes de points de terminaison du réseau
Cliquez sur Créer un groupe de points de terminaison du réseau.
Saisissez le nom du groupe de points de terminaison du réseau.
Pour le type de groupe de points de terminaison du réseau, sélectionnez Groupe de points de terminaison du réseau Private Service Connect (régional).
Configurez la cible comme suit :
- Pour Cible, sélectionnez API Google.
- Sélectionnez une région et le service cible.
Cliquez sur Créer.
gcloud
Exécutez la commande gcloud compute network-endpoint-groups create
:
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=REGION
Remplacez les éléments suivants :
NEG_NAME
: nom du groupe de points de terminaison du réseau.TARGET_SERVICE
: point de terminaison de service régional auquel vous souhaitez vous connecter.REGION
: région dans laquelle créer le groupe de points de terminaison du réseau. La région doit être la même que celle du service cible.
Créer un NEG pour se connecter à une API Google globale
Vous pouvez créer un NEG Private Service Connect pour vous connecter à une API Google globale. Les NEG sont régionaux, même lorsqu'ils se connectent à des API globales. Dans cette configuration, la région est ignorée.
Pour en savoir plus sur les équilibreurs de charge compatibles avec cette configuration, consultez la page Cibles d'API Google globales.
Pour obtenir des instructions complètes sur la création d'un équilibreur de charge d'application interne interrégional et d'un NEG Private Service Connect pour accéder aux API Google globales, consultez la section Accéder aux API Google globales.
Console
Dans la console Google Cloud, accédez à la page Groupes de points de terminaison du réseau.
Accéder à la page Groupes de points de terminaison du réseau
Cliquez sur Créer un groupe de points de terminaison du réseau.
Saisissez le nom du groupe de points de terminaison du réseau.
Pour le type de groupe de points de terminaison du réseau, sélectionnez Groupe de points de terminaison du réseau Private Service Connect (régional).
Configurez la cible comme suit :
- Pour Cible, sélectionnez API Google globales.
- Sélectionnez une région et le service cible.
Cliquez sur Créer.
gcloud
Exécutez la commande gcloud compute network-endpoint-groups create
:
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=REGION
Remplacez les éléments suivants :
NEG_NAME
: nom du groupe de points de terminaison du réseau.TARGET_SERVICE
: API Google globale à laquelle vous souhaitez vous connecter.REGION
: région dans laquelle créer le groupe de points de terminaison du réseau.
Ajouter un NEG Private Service Connect à un équilibreur de charge
Vous pouvez configurer un équilibreur de charge compatible pour diriger le trafic vers un backend NEG Private Service Connect.
Pour en savoir plus sur les configurations compatibles, consultez la section Spécifications.
Ajouter un backend à un équilibreur de charge d'application
Ajoutez un NEG à un équilibreur de charge d'application externe global, un équilibreur de charge d'application interne, un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne interrégional.
Console
Modifier l'équilibreur de charge
Dans Google Cloud Console, accédez à la page Équilibrage de charge.
Cliquez sur l'équilibreur de charge que vous souhaitez modifier.
Cliquez sur Modifier.
Mettre à jour la configuration du backend
- Cliquez sur Configuration du backend.
- Développez la liste des services de backend, puis sélectionnez Créer un service de backend.
- Dans le champ Name (Nom), saisissez le nom du service de backend.
- Définissez le type de backend sur Groupe de points de terminaison du réseau Private Service Connect.
- Dans la section Backends, cliquez sur la liste Groupe de points de terminaison du réseau Private Service Connect, puis sélectionnez le NEG Private Service Connect que vous avez créé. Cliquez sur OK.
Si vous configurez un équilibreur de charge d'application externe global pour vous connecter à un service publié dans plusieurs régions et que vous avez créé plusieurs NEG Private Service Connect, cliquez sur Ajouter un backend pour sélectionner un autre NEG.
Répétez cette étape jusqu'à ce que tous les NEG de ce service géré soient ajoutés au service de backend.
Cliquez sur Créer.
Mettre à jour les règles de routage
- Cliquez sur Règles de routage.
- Saisissez un Hôte et un Chemin d'accès pour chaque service de backend que vous avez ajouté.
- Pour vérifier la configuration, cliquez sur Vérification et finalisation.
- Cliquez sur Créer.
gcloud
Mettre à jour la configuration du backend
Créez un service de backend pour le service cible.
Si vous ajoutez le service de backend à un équilibreur de charge régional, utilisez l'option
--region
pour spécifier la même région que l'équilibreur de charge.gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=SCHEME \ --protocol=HTTPS \ --region=REGION
Remplacez les éléments suivants :
BACKEND_SERVICE_NAME
: nom du service de backend.SCHEME
: schéma d'équilibrage de charge de l'équilibreur de charge que vous modifiez :- Pour un équilibreur de charge d'application externe régional, utilisez
EXTERNAL_MANAGED
. - Pour un équilibreur de charge d'application interne, utilisez
INTERNAL_MANAGED
.
- Pour un équilibreur de charge d'application externe régional, utilisez
REGION
: région du service de backend. Utilisez la même région que le NEG.
Si vous ajoutez le service de backend à un équilibreur de charge d'application externe global, utilisez l'option
--global
.gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=EXTERNAL_MANAGED \ --protocol=HTTPS \ --global
Remplacez
BACKEND_SERVICE_NAME
par le nom du service de backend.
Ajoutez le NEG Private Service Connect qui pointe vers le service cible.
Si vous ajoutez un service de backend à un équilibreur de charge régional, utilisez l'option
--region
pour spécifier la même région que l'équilibreur de charge.gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --region=REGION
Remplacez les éléments suivants :
BACKEND_SERVICE_NAME
: nom du service de backend.NEG_NAME
: nom du groupe de points de terminaison du réseau.NEG_REGION
: région du groupe de points de terminaison du réseau.REGION
: région du service de backend.
Si vous ajoutez un service de backend à un équilibreur de charge d'application externe global, utilisez l'option
--global
.Si vous avez créé plusieurs NEG dans différentes régions pour le même service, répétez cette étape pour ajouter tous les NEG au service de backend.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --global
Remplacez les éléments suivants :
BACKEND_SERVICE_NAME
: nom du service de backend.NEG_NAME
: nom du groupe de points de terminaison du réseau.NEG_REGION
: région du groupe de points de terminaison du réseau.
Mettre à jour les règles de routage
Pour chaque service de backend que vous avez créé, ajoutez un outil de mise en correspondance des chemins d'accès au mappage d'URL de l'équilibreur de charge.
Si le mappage d'URL est régional, spécifiez la région à l'aide de l'option
--region
.gcloud compute url-maps add-path-matcher URL_MAP_NAME \ --path-matcher-name=PATH_MATCHER \ --default-service=BACKEND_SERVICE_NAME \ --region=REGION
Remplacez les éléments suivants :
URL_MAP_NAME
: nom du mappage d'URL.PATH_MATCHER
: nom de l'outil de mise en correspondance des chemins d'accès.BACKEND_SERVICE_NAME
: nom du service de backend.REGION
: région du mappage d'URL.
Si le mappage d'URL est global, spécifiez l'option
--global
.gcloud compute url-maps add-path-matcher URL_MAP_NAME \ --path-matcher-name=PATH_MATCHER \ --default-service=BACKEND_SERVICE_NAME \ --global
Remplacez les éléments suivants :
URL_MAP_NAME
: nom du mappage d'URL.PATH_MATCHER
: nom de l'outil de mise en correspondance des chemins d'accès.BACKEND_SERVICE_NAME
: nom du service de backend.
Pour chaque nom d'hôte, ajoutez une règle d'hôte.
Chaque règle d'hôte ne peut référencer qu'un seul outil de mise en correspondance des chemins d'accès, mais deux règles d'hôte ou plus peuvent faire référence à un même outil de mise en correspondance des chemins d'accès.
Si le mappage d'URL est régional, spécifiez la région à l'aide de l'option
--region
.gcloud compute url-maps add-host-rule URL_MAP_NAME \ --hosts=HOST \ --path-matcher-name=PATH_MATCHER \ --region=REGION
Remplacez les éléments suivants :
URL_MAP_NAME
: nom du mappage d'URL.HOST
: nom de l'hôte auquel envoyer les requêtes pour ce service.PATH_MATCHER
: nom de l'outil de mise en correspondance des chemins d'accès.REGION
: région du mappage d'URL.
Si le mappage d'URL est global, spécifiez l'option
--global
.gcloud compute url-maps add-host-rule URL_MAP_NAME \ --hosts=HOST \ --path-matcher-name=PATH_MATCHER \ --global
Remplacez les éléments suivants :
URL_MAP_NAME
: nom du mappage d'URL.HOST
: nom de l'hôte auquel envoyer les requêtes pour ce service.PATH_MATCHER
: nom de l'outil de mise en correspondance des chemins d'accès.
Ajouter un backend à un équilibreur de charge réseau proxy interne régional
Vous pouvez ajouter un backend de NEG Private Service Connect à un équilibreur de charge réseau proxy interne régional si le NEG pointe vers un service publié. Les équilibreurs de charge réseau proxy internes régionaux n'acceptent qu'un seul service de backend.
Pour configurer l'équilibreur de charge réseau proxy interne régional, suivez les instructions de configuration d'un équilibreur de charge réseau proxy interne régional avec des backends zonaux, mais n'appliquez pas les étapes de création des NEG zonaux ou configurez des vérifications d'état. Au lieu de configurer un NEG zonal, utilisez les instructions suivantes pour ajouter le NEG Private Service Connect que vous avez créé à un backend Private Service Connect.
Console
- Dans l'équilibreur de charge réseau proxy interne régional que vous créez, cliquez sur Configuration du backend.
- Pour le type de backend, sélectionnez Groupe de points de terminaison du réseau Private Service Connect.
- Pour Nouveau backend, sélectionnez le NEG que vous avez créé.
- Conservez les valeurs par défaut restantes, puis cliquez sur OK.
- Dans la console Google Cloud, vérifiez qu'une coche apparaît à côté de Configuration du backend. Si ce n'est pas le cas, vérifiez que vous avez bien suivi la procédure ci-dessous dans son intégralité.
gcloud
Créez un service de backend pour le service cible.
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=INTERNAL_MANAGED \ --protocol=TCP \ --region=REGION
Remplacez les éléments suivants :
BACKEND_SERVICE_NAME
: nom du service de backend.REGION
: région du service de backend. Utilisez la même région que le NEG.
Ajoutez le NEG Private Service Connect qui pointe vers le service cible.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --region=REGION
Remplacez les éléments suivants :
BACKEND_SERVICE_NAME
: nom du service de backend.NEG_NAME
: nom du groupe de points de terminaison du réseau.NEG_REGION
: région du groupe de points de terminaison du réseau.REGION
: région du service de backend.
Ajouter un backend à un équilibreur de charge réseau proxy externe régional
Vous pouvez ajouter un backend de NEG Private Service Connect à un équilibreur de charge réseau proxy externe régional si le NEG pointe vers un service publié. Cet équilibreur de charge n'accepte qu'un seul service de backend.
Pour configurer l'équilibreur de charge, suivez les instructions pour configurer un équilibreur de charge réseau proxy externe régional avec des backends zonaux, mais n'appliquez pas les étapes de création des NEG zonaux ou configurez des vérifications d'état. Au lieu de configurer un NEG zonal, utilisez les instructions suivantes pour ajouter le NEG Private Service Connect que vous avez créé à un backend Private Service Connect.
Console
- Dans l'équilibreur de charge réseau proxy externe régional que vous créez, cliquez sur Configuration du backend.
- Pour le type de backend, sélectionnez Groupe de points de terminaison du réseau Private Service Connect.
- Pour Nouveau backend, sélectionnez le NEG que vous avez créé.
- Conservez les valeurs par défaut restantes, puis cliquez sur OK.
- Dans la console Google Cloud, vérifiez qu'une coche apparaît à côté de Configuration du backend. Si ce n'est pas le cas, vérifiez que vous avez bien suivi la procédure ci-dessous dans son intégralité.
gcloud
Créez un service de backend pour le service cible.
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=EXTERNAL_MANAGED \ --protocol=TCP \ --region=REGION
Remplacez les éléments suivants :
BACKEND_SERVICE_NAME
: nom du service de backend.REGION
: région du service de backend. Utilisez la même région que le NEG.
Ajoutez le NEG Private Service Connect qui pointe vers le service cible.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --region=REGION
Remplacez les éléments suivants :
BACKEND_SERVICE_NAME
: nom du service de backend.NEG_NAME
: nom du groupe de points de terminaison du réseau.NEG_REGION
: région du groupe de points de terminaison du réseau.REGION
: région du service de backend.
Lister les backends
Vous pouvez répertorier tous les backends Private Service Connect configurés.
Console
Dans la console Google Cloud, accédez à la page Private Service Connect.
Cliquez sur l'onglet Points de terminaison connectés.
Les backends Private Service Connect sont affichés dans la section Points de terminaison d'équilibreur de charge.
Décrire un backend
Vous pouvez décrire un backend Private Service Connect pour afficher ses détails, y compris son état de connexion.
Console
- Répertoriez les backends disponibles.
- Cliquez sur le backend que vous souhaitez décrire.
Dépannage
Erreur lors de l'accès à la règle de transfert de l'équilibreur de charge
Si une erreur 404
s'affiche lorsque vous essayez d'accéder à la règle de transfert de votre équilibreur de charge, l'erreur peut avoir l'une des causes suivantes :
Le mappage d'URL n'a pas encore été propagé.
Si vous venez de créer l'équilibreur de charge, patientez quelques minutes.
L'URL que vous utilisez dans votre requête ne correspond pas à une URL définie dans le mappage d'URL.
Vérifiez que l'URL que vous essayez correspond à la configuration du mappage d'URL dans votre équilibreur de charge.
Le backend du producteur de services n'est pas compatible avec l'URL à laquelle vous essayez d'accéder.
Demandez au producteur de services de vérifier l'URL à utiliser pour accéder à son service.