À propos des backends Private Service Connect

Vous pouvez accéder aux API Google et aux services publiés en créant un point de terminaison Private Service Connect (basé sur une règle de transfert) ou un backend Private Service Connect (basé sur un équilibreur de charge). Ce guide porte sur les backends Private Service Connect.

Les backends Private Service Connect utilisent un équilibreur de charge configuré avec des backends de groupes de points de terminaison du réseau (NEG) Private Service Connect. Cette configuration était auparavant appelée point de terminaison Private Service Connect avec contrôles de service HTTP(S) client.

L'accès aux API et aux services via un équilibreur de charge géré par le client offre plusieurs avantages. Les équilibreurs de charge peuvent agir en tant que point d'application centralisé de la stratégie, où des règles de sécurité (telles que les règles Google Cloud Armor et les règles SSL) ou des règles de routage (telles que les maps d'URL Google Cloud) sont appliquées. Ils fournissent des métriques centralisées et une journalisation qu'un service publié pourrait ne pas fournir, et permettent aux consommateurs de contrôler leur propre routage et basculement.

La figure 1 illustre un équilibreur de charge avec un NEG Private Service Connect connecté à un service publié. Le trafic client est dirigé vers un équilibreur de charge qui traite le trafic, puis l'achemine vers un backend Private Service Connect mappé à un service publié s'exécutant dans un autre réseau VPC.

Figure 1 : L'utilisation d'un équilibreur de charge d'application externe global permet aux clients de services dotés d'un accès Internet d'envoyer du trafic aux services du réseau VPC du producteur de services (cliquez pour agrandir).

Présentation du déploiement

Pour accéder aux API et aux services via des backends Private Service Connect, procédez comme suit :

  1. Identifiez l'API ou le service auquel vous souhaitez vous connecter.

    Pour les API Google : sélectionnez un point de terminaison de service régional.

    Pour les services publiés : demandez l'URI du rattachement de service au producteur de services.

  2. Déployez un équilibreur de charge pour envoyer le trafic vers votre service publié. Choisissez un équilibreur de charge adapté à vos besoins, que vous ayez des clients Internet, des clients internes ou que vous ayez besoin d'une isolation régionale. Vous pouvez également réutiliser un équilibreur de charge existant.

  3. Déployez les NEG Private Service Connect et ajoutez-les au service de backend de l'équilibreur de charge. Créez des NEG Private Service Connect faisant référence à votre service publié. Ajoutez ensuite les NEG au service de backend de l'équilibreur de charge afin que celui-ci puisse leur envoyer du trafic.

Équilibreurs de charge et cibles compatibles

Vous pouvez utiliser un backend pour accéder à un service publié ou à une API Google compatible.

Consultez la documentation sur l'équilibrage de charge pour en savoir plus sur l'équilibreur de charge auquel vous souhaitez ajouter un backend Private Service Connect.

Cibles de services publiés

Un backend Private Service Connect pour les services publiés nécessite deux équilibreurs de charge : un équilibreur de charge du client et un équilibreur de charge du producteur.

Configuration du client

Ce tableau décrit les équilibreurs de charge client compatibles avec les backends Private Service Connect pour les services publiés, y compris les protocoles de service de backend pouvant être utilisés avec chaque équilibreur de charge du client. Les équilibreurs de charge du client peuvent accéder aux services publiés qui sont hébergés sur des équilibreurs de charge du producteur compatibles.

Équilibreur de charge du client Protocoles Version IP

Équilibreur de charge d'application externe global (compatible avec plusieurs régions)

Remarque : L'équilibreur de charge d'application classique n'est pas compatible.

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Équilibreur de charge d'application externe régional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Équilibreur de charge d'application interne régional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Équilibreur de charge d'application interne interrégional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Équilibreur de charge réseau proxy interne régional

  • TCP
IPv4

Équilibreur de charge réseau interne interrégional

  • TCP
IPv4

Équilibreur de charge réseau proxy externe régional

  • TCP
IPv4

Équilibreur de charge réseau proxy externe global

Pour associer cet équilibreur de charge à un NEG Private Service Connect, utilisez la Google Cloud CLI ou envoyez une requête API.

Remarque : L'équilibreur de charge réseau classique n'est pas compatible.

  • TCP/SSL
IPv4

Configuration du producteur

Ce tableau décrit la configuration des équilibreurs de charge de producteur compatibles avec les backends Private Service Connect des services publiés.

Configuration Équilibreur de charge de producteur
Équilibreur de charge réseau passthrough interne Équilibreur de charge d'application interne régional Équilibreur de charge réseau proxy interne régional
Backends de producteur compatibles
  • NEG zonaux GCE_VM_IP
  • Groupes d'instances
  • NEG zonaux GCE_VM_IP_PORT
  • NEG hybrides
  • NEG sans serveur
  • NEG Private Service Connect
  • Groupes d'instances
  • NEG zonaux GCE_VM_IP_PORT
  • NEG hybrides
  • NEG sans serveur
  • NEG Private Service Connect
  • Groupes d'instances
Protocoles de règles de transfert
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
Ports de règle de transfert Nous vous recommandons d'utiliser un seul port. Pour en savoir plus, consultez la section Configuration du port du producteur. Prend en charge un seul port Prend en charge un seul port
Protocole PROXY
Version IP IPv4 IPv4 IPv4

Pour obtenir un exemple de configuration de backend utilisant un équilibreur de charge HTTP(S) externe global, consultez la page Accéder aux services publiés via des backends.

Cibles d'API Google régionales

Ce tableau décrit les équilibreurs de charge qui peuvent accéder aux API Google régionales à l'aide d'un backend Private Service Connect.

Pour obtenir un exemple de configuration utilisant un équilibreur de charge d'application interne, consultez la section Accéder aux API Google via des backends.

Configuration Détails
Configuration du client (backend Private Service Connect)
Équilibreurs de charge clients compatibles
  • Équilibreur de charge d'application interne

    Protocole : HTTPS

  • Équilibreur de charge d'application externe régional

    Protocole : HTTPS

Version IP IPv4
Producteur
Services compatibles API Google régionales compatibles

Cibles d'API Google globales

Ce tableau décrit les équilibreurs de charge qui peuvent utiliser un backend Private Service Connect pour accéder à une API Google globale.

Configuration Détails
Configuration du client (backend Private Service Connect)
Équilibreurs de charge clients compatibles
  • Équilibreur de charge d'application externe global

    Remarque : L'équilibreur de charge d'application classique n'est pas compatible.

  • Équilibreur de charge d'application interne interrégional

Version IP IPv4
Producteur
Services compatibles

États de connexion

Les points de terminaison, les backends et les rattachements de service Private Service Connect disposent d'un état de connexion qui décrit l'état de leur connexion. Les ressources client et producteur qui constituent les deux côtés d'une connexion ont toujours le même état. Vous pouvez afficher les états de connexion lorsque vous affichez les détails du point de terminaison, décrivez un backend ou affichez les détails d'un service publié.

Le tableau suivant décrit les états possibles.

État de la connexion Description
Acceptée La connexion Private Service Connect est établie. Les deux réseaux VPC disposent d'une connectivité et la connexion fonctionne normalement.
En attente

La connexion Private Service Connect n'est pas établie et le trafic ne peut pas transiter entre les deux réseaux. Cette connexion peut présenter cet état pour les raisons suivantes :

Les connexions bloquées pour ces raisons restent en attente indéfiniment jusqu'à ce que le problème sous-jacent soit résolu.

Refusé

La connexion Private Service Connect n'est pas établie. Le trafic réseau ne peut pas transiter entre les deux réseaux. Cette connexion peut présenter cet état pour les raisons suivantes :

Attention requise ou Aucune raison spécifiée Un problème est survenu du côté producteur de la connexion. Certaines connexions peuvent ne pas fonctionner, même si du trafic transite entre les deux réseaux. Par exemple, le sous-réseau NAT du producteur peut être épuisé et ne pas pouvoir allouer d'adresses IP pour de nouvelles connexions.
Fermée

Le rattachement de service a été supprimé et la connexion Private Service Connect est fermée. Le trafic réseau ne peut pas transiter entre les deux réseaux.

Une connexion fermée est un état final. Pour rétablir la connexion, vous devez recréer à la fois le rattachement de service et le point de terminaison ou le backend.

Spécifications

Tous les backends Private Service Connect présentent les spécifications suivantes:

  • Seuls les équilibreurs de charge compatibles peuvent utiliser des NEG Private Service Connect en tant que backends.
  • Les NEG Private Service Connect ne peuvent pas être associés à d'autres types de NEG dans le même service de backend. Cependant, les applications auto-hébergées et les services gérés peuvent être des backends du même équilibreur de charge tant qu'ils font partie de services de backend distincts.
  • Les services de backend dotés de NEG Private Service Connect ne sont pas compatibles avec les vérifications d'état. Les ressources de vérification de l'état ne sont pas configurées avec les services de backend utilisés pour Private Service Connect.
  • Les services de backend dotés de NEG Private Service Connect ne sont pas compatibles avec l'affinité de session.
  • Si un NEG Private Service Connect fait référence à un rattachement de service, celui-ci doit se trouver dans un réseau VPC différent du NEG et de l'équilibreur de charge.
  • Les NEG Private Service Connect ne peuvent pas faire référence aux rattachements de service configurés pour les services de mappage de port.

Les backends Private Service Connect utilisés dans des services de backend globaux présentent des spécifications supplémentaires :

  • Plusieurs NEG Private Service Connect peuvent se trouver dans le même service de backend tant qu'ils proviennent de différentes régions. Vous ne pouvez pas ajouter plusieurs NEG Private Service Connect de la même région au même service de backend.
  • Les NEG Private Service Connect sont automatiquement configurés avec la détection des anomalies. La détection des anomalies permet à l'équilibreur de charge de détecter les défaillances dans les réponses du service publié et de basculer vers les régions opérationnelles restantes. La règle de détection des anomalies par défaut peut être ignorée en appliquant votre propre configuration de détection des anomalies au service de backend.

Tarifs

Pour en savoir plus sur les tarifs, consultez les sections suivantes de la page des tarifs de VPC :

Étape suivante