Pattern di implementazione di Private Service Connect
Questa pagina illustra alcuni modi comuni per eseguire il deployment e accedere a Private Service Connect.
Servizi single-tenant
I servizi monotenant sono servizi dedicati a un singolo consumatore o tenant. L'istanza di servizio è in genere ospitata in una rete VPC distinta dedicata al tenant per isolarlo dalle altre reti VPC del tenant nell'organizzazione del producer. Ogni servizio utilizza un elenco di consumer accettati per controllare quali progetti possono connettersi al servizio. Utilizzando l'elenco di accettazione, puoi limitare l'accesso a un singolo tenant. Anche se solo un singolo tenant può connettersi al servizio, il tenant potrebbe creare più endpoint o backend se si connette da più reti VPC.
Figura 1. In un servizio gestito monoutente, il producer esegue il deployment di un servizio in una rete VPC separata dedicata a quel consumer (fai clic per ingrandire).
Servizi multi-tenant
I servizi multi-tenant sono servizi a cui possono accedere più consumatori o tenant. Il producer configura l'elenco di accettazione dei consumer del servizio in modo che i consumer di più progetti o di tutti i progetti possano connettersi al servizio. L'elenco di accettazione del consumatore consente inoltre al produttore di controllare il numero di connessioni Private Service Connect che ogni progetto può creare. Questi limiti aiutano il produttore a evitare l'esaurimento delle risorse o delle quote. Se il produttore deve identificare il tenant che è la sorgente del traffico, può attivare il protocollo PROXY sul servizio.
Figura 2. In un servizio gestito multi-tenant, a un servizio in una rete VPC possono accedere più utenti (fai clic per ingrandire).
Accesso multipunto
L'accesso multipunto si verifica quando più endpoint o backend di Private Service Connect si connettono allo stesso collegamento di servizio. Private Service Connect multipunto è utile per i servizi multi-tenant perché consente a più consumer indipendenti di connettersi allo stesso servizio. È utile anche per i servizi monotenant, ad esempio per creare la connettività dei servizi su più reti VPC all'interno di un singolo consumer.
Non tutti i produttori di servizi scelgono di supportare l'accesso multipunto nel loro servizio gestito. Contatta il producer di servizi per verificare se gli allegati del servizio supportano l'accesso multipunto.
Accesso multiregione
I servizi gestiti multiregione sono servizi di cui viene eseguito il deployment o a cui si accede in più regioni. I clienti potrebbero accedere a servizi in una regione diversa perché il servizio non esiste nella loro regione locale o per garantire un'alta disponibilità e il failover multi-regione. Poiché Google Cloud supporta le reti VPC globali, l'accesso globale Private Service Connect consente ai clienti di raggiungere gli endpoint Private Service Connect da qualsiasi regione. Il traffico client può provenire da istanze di macchine virtuali (VM) Compute Engine, tunnel Cloud VPN e collegamenti VLAN per Cloud Interconnect.
Figura 3. È possibile accedere agli endpoint Private Service Connect con accesso globale da qualsiasi regione (fai clic per ingrandire).
Accesso on-premise e ibrido
Puoi connettere reti on-premise o altri provider cloud alla tua rete VPC utilizzando i collegamenti VLAN per i tunnel Cloud Interconnect e Cloud VPN. Poiché gli endpoint per le API di Google e gli endpoint per i servizi pubblicati sono entrambi accessibili a livello globale, i client nelle reti connesse possono inviare richieste agli endpoint di qualsiasi regione. Tuttavia, puoi eseguire il deployment di endpoint in più regioni per controllare in modo più granulare il routing dalle reti ibride. Puoi indirizzare il trafficoibrido da una regione specifica a un endpoint locale che ottimizza il percorso più breve per il percorso del traffico.
Figura 4. È possibile accedere agli endpoint e ai backend di Private Service Connect dalle reti collegate (fai clic per ingrandire).
Connettività bidirezionale
Sebbene i client consumer in genere avviino connessioni ai servizi gestiti, talvolta i servizi gestiti devono avviare connessioni ai servizi di proprietà dei consumatori.
Connettività privata inversa
La connettività privata inversa si verifica quando un consumer consente alle VM e ai cluster GKE in una rete VPC del producer di avviare il traffico verso una rete VPC del consumer implementando Private Service Connect in modo inverso. In questo caso, il consumatore implementa un bilanciatore del carico interno e un collegamento di servizio, che pubblica il servizio per i produttori. Insieme, i producer e i consumer possono utilizzare Private Service Connect in entrambe le direzioni per creare connettività bidirezionale tra loro.
Figura 5. La connettività privata inversa consente ai consumatori e ai produttori di creare connettività bidirezionale tra loro (fai clic per ingrandire).
Interfacce Private Service Connect
Le interfacce Private Service Connect creano connessioni transitive bidirezionali tra le reti VPC consumer e producer. Le risorse nelle reti VPC consumer e producer possono avviare connessioni tramite l'interfaccia Private Service Connect. Inoltre, poiché la connessione è transitiva, le risorse nella rete VPC del producer possono comunicare con altri carichi di lavoro connessi alla rete VPC del consumer. Ad esempio, una VM nella rete VPC del producer può raggiungere i carichi di lavoro nelle reti connesse alla rete VPC del consumer tramite Cloud Interconnect o il peering di rete VPC.
Servizi ibridi
I servizi ibridi che non si trovano in Google Cloud possono trovarsi in altri cloud, in un ambiente on-premise o in qualsiasi combinazione di queste località. Private Service Connect ti consente di rendere accessibile un servizio ibrido in un'altra rete VPC.
È possibile accedere ai servizi ibridi tramite NEG ibridi compatibili con i bilanciatori del carico supportati.
Spesso questa configurazione viene utilizzata come forma di connettività privata inversa, con i produttori di servizi che effettuano connessioni ai servizi consumer ospitati in reti on-premise. Private Service Connect consente al produttore di raggiungere le reti ibride dei consumatori senza stabilire la connettività direttamente con queste reti.
Figura 6. La connettività privata inversa consente ai consumatori e ai produttori di creare connettività bidirezionale tra loro (fai clic per ingrandire).
Per un esempio di configurazione, consulta Pubblicare un servizio ibrido utilizzando Private Service Connect.
VPC condiviso
Le risorse Private Service Connect possono essere implementate in reti VPC autonome o in reti VPC condiviso. Gli endpoint, i backend e i collegamenti di servizio Private Service Connect possono essere dispiacciati in progetti host o progetti di servizi.
Ad esempio, un amministratore di servizi consumer può eseguire il deployment di endpoint e backend di Private Service Connect nei progetti di servizio utilizzando gli indirizzi IP delle subnet nel progetto host. Con questa configurazione, gli endpoint e i backend possono essere raggiunti da altri progetti di servizio nella stessa rete VPC condiviso.
Tutti i client all'interno di una rete VPC condiviso hanno connettività a un endpoint Private Service Connect, indipendentemente dal progetto in cui è disegnato. Tuttavia, la scelta del progetto influisce sulla visibilità, sull'accesso IAM e sul progetto a cui viene addebitata la fatturazione delle risorse orarie.
Figura 7. Puoi rendere disponibili le risorse di Private Service Connect in tutti i progetti di servizio associati a una rete VPC condiviso (fai clic per ingrandire).
Passaggi successivi
- Scopri di più su Private Service Connect.
- Visualizza le informazioni sulla compatibilità di Private Service Connect.