À propos de l'accès aux services publiés via des points de terminaison
Ce document offre un aperçu de la connexion aux services d'un autre réseau VPC à l'aide de points de terminaison Private Service Connect. Vous pouvez vous connecter à vos propres services ou à ceux fournis par d'autres producteurs de services, y compris par Google.
Les clients se connectent au point de terminaison à l'aide d'adresses IP internes. Private Service Connect effectue une traduction d'adresse réseau (NAT, network address translation) pour acheminer la requête vers le service.
Pour en savoir plus sur les services publiés, consultez la section À propos des services publiés.
Fonctionnalités et compatibilité
Ce tableau récapitule les options et les capacités compatibles avec les points de terminaison qui accèdent à des services publiés.
Dans les tableaux suivants, une coche indique qu'une fonctionnalité est disponible, et un symbole "no" indique qu'une fonctionnalité n'est pas compatible.
| Configuration du client (point de terminaison) | Équilibreur de charge de producteur | |||
|---|---|---|---|---|
| Équilibreur de charge réseau passthrough interne | Équilibreur de charge d'application interne régional | Équilibreur de charge réseau proxy interne régional | Transfert de protocole interne (instance cible) | |
| Accès mondial du client |
Indépendant du paramètre d'accès mondial sur l'équilibreur de charge |
Seulement si l' accès mondial est activé sur l'équilibreur de charge |
Seulement si l' accès mondial est activé sur l'équilibreur de charge |
Indépendant du paramètre d'accès mondial sur l'équilibreur de charge |
| Trafic Cloud VPN | ||||
| Configuration DNS automatique | IPv4 uniquement | IPv4 uniquement | IPv4 uniquement | IPv4 uniquement |
| Points de terminaison IPv4 |
|
|
|
|
| Points de terminaison IPv6 (Bêta) |
|
|
||
Ce tableau récapitule les options de configuration et les capacités compatibles avec les services publiés auxquels les points de terminaison ont accès.
| Configuration du producteur (service publié) | Équilibreur de charge de producteur | |||
|---|---|---|---|---|
| Équilibreur de charge réseau passthrough interne | Équilibreur de charge d'application interne régional | Équilibreur de charge réseau proxy interne régional | Transfert de protocole interne (instance cible) | |
| Backends de producteur compatibles |
|
|
|
Non applicable |
| Protocole PROXY | Trafic TCP uniquement | Trafic TCP uniquement | ||
| Modes d'affinité de session | NONE (quintuple) CLIENT_IP_PORT_PROTO |
Non applicable | Non applicable | Non applicable |
| Version IP |
|
|
|
|
Différents équilibreurs de charge prennent en charge différentes configurations de port. Certains équilibreurs de charge acceptent un seul port, d'autres sont compatibles avec une plage de ports et d'autres acceptent tous les ports. Pour en savoir plus, consultez la section Spécifications de ports.
Limites
Les limites suivantes s'appliquent aux points de terminaison qui accèdent à un service publié :
Vous ne pouvez pas créer de point de terminaison dans le même réseau VPC que le service publié auquel vous accédez.
Les points de terminaison ne sont pas accessibles à partir des réseaux VPC appairés.
La mise en miroir de paquets ne peut pas mettre en miroir les paquets pour le trafic des services publiés par Private Service Connect.
Les routes statiques avec des sauts suivants de l'équilibreur de charge ne sont pas toutes compatibles avec Private Service Connect. Pour en savoir plus, consultez la section Routes statiques avec sauts suivants de l'équilibreur de charge.
Les tests de connectivité ne peuvent pas tester la connectivité entre un point de terminaison IPv6 et un service publié.
Accès sur site
Les points de terminaison que vous utilisez pour accéder aux API Google sont accessibles à partir d'hôtes sur site connectés compatibles. Pour en savoir plus, consultez la section Accéder aux points de terminaison à partir de réseaux hybrides.
Spécifications
- Les points de terminaison Private Service Connect doivent être créés dans la même région que le service publié qui est la cible du point de terminaison.
- Le point de terminaison doit être créé dans un réseau VPC différent du réseau VPC contenant le service cible.
- L'adresse IP que vous attribuez au point de terminaison doit provenir d'un sous-réseau standard.
- Lorsque vous créez un point de terminaison pour vous connecter à un service, des entrées DNS privées sont automatiquement créées dans votre réseau VPC pour le point de terminaison si un nom de domaine DNS est configuré pour le service.
- Chaque point de terminaison possède sa propre adresse IP et, éventuellement, son propre nom DNS.
États de connexion
Les points de terminaison, les backends et les rattachements de service Private Service Connect disposent d'un état de connexion qui décrit l'état de leur connexion. Les ressources client et producteur qui constituent les deux côtés d'une connexion ont toujours le même état. Vous pouvez afficher les états de connexion lorsque vous affichez les détails du point de terminaison, décrivez un backend ou affichez les détails d'un service publié.
Le tableau suivant décrit les états possibles.
| État de la connexion | Description |
|---|---|
| Acceptée | La connexion Private Service Connect est établie. Les deux réseaux VPC disposent d'une connectivité et la connexion fonctionne normalement. |
| En attente | La connexion Private Service Connect n'est pas établie et le trafic ne peut pas transiter entre les deux réseaux. Cette connexion peut présenter cet état pour les raisons suivantes :
Les connexions bloquées pour ces raisons restent en attente indéfiniment jusqu'à ce que le problème sous-jacent soit résolu. |
| Refusé | La connexion Private Service Connect n'est pas établie. Le trafic réseau ne peut pas transiter entre les deux réseaux. Cette connexion peut présenter cet état pour les raisons suivantes :
|
| Attention requise | Un problème est survenu au niveau du producteur de la connexion. Certaines connexions peuvent ne pas fonctionner, même si du trafic transite entre les deux réseaux. Par exemple, le sous-réseau NAT du producteur peut être épuisé et ne pas pouvoir allouer d'adresses IP pour de nouvelles connexions. |
| Fermée | Le rattachement de service a été supprimé et la connexion Private Service Connect est fermée. Le trafic réseau ne peut pas transiter entre les deux réseaux. Une connexion fermée est un état final. Pour rétablir la connexion, vous devez recréer à la fois le rattachement de service et le point de terminaison ou le backend. |
Traduction de version IP
Pour les connexions entre les points de terminaison Private Service Connect pour les services publiés et les rattachements de service, la version IP de l'adresse IP de la règle de transfert client détermine la version IP du point de terminaison et le trafic sortant du point de terminaison. La version IP du point de terminaison peut être de type IPv4 ou IPv6, mais pas les deux. Les utilisateurs peuvent utiliser une adresse IPv4 si le sous-réseau de l'adresse est à pile unique. Les clients peuvent utiliser une adresse IPv4 ou IPv6 si le sous-réseau de l'adresse est à double pile. Les clients peuvent connecter des points de terminaison IPv4 et IPv6 au même rattachement de service, ce qui peut être utile pour migrer des services vers IPv6.
Pour les connexions entre les points de terminaison Private Service Connect pour les services publiés et les rattachements de service, la version IP de la règle de transfert du producteur détermine la version IP du rattachement de service et le trafic sortant du rattachement de service. La version IP du rattachement de service peut être de type IPv4 ou IPv6, mais pas les deux. Les producteurs peuvent utiliser une adresse IPv4 si le sous-réseau de l'adresse est à pile unique. Les producteurs peuvent utiliser une adresse IPv4 ou IPv6 si le sous-réseau de l'adresse est à double pile.
La version IP de l'adresse IP de la règle de transfert du producteur doit être compatible avec le type de pile du sous-réseau NAT du rattachement de service. Si la règle de transfert du producteur est de type IPv4, le sous-réseau NAT peut être à pile unique ou à double pile. Si la règle de transfert du producteur est IPv6, le sous-réseau NAT doit être à double pile.
Private Service Connect n'est pas compatible avec la connexion d'un point de terminaison IPv4 à un rattachement de service IPv6. Dans ce cas, la création du point de terminaison échoue avec le message d'erreur suivant :
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
Les combinaisons suivantes sont possibles pour les configurations compatibles :
- Point de terminaison IPv4 vers rattachement de service IPv4
- Point de terminaison IPv6 vers rattachement de service IPv6 (Bêta)
-
Point de terminaison IPv6 vers rattachement de service IPv4 (Bêta)
Dans cette configuration, Private Service Connect traduit automatiquement les deux versions IP.
VPC partagé
Les administrateurs de projet de service peuvent créer des points de terminaison dans des projets de service VPC partagé utilisant des adresses IP de réseaux VPC partagés. La configuration est la même que pour un point de terminaison standard, mais le point de terminaison utilise une adresse IP réservée à partir d'un sous-réseau partagé du VPC partagé.
La ressource d'adresse IP peut être réservée dans le projet de service ou le projet hôte. La source de l'adresse IP doit être un sous-réseau partagé avec le projet de service.
Pour en savoir plus, consultez la page Créer un point de terminaison avec une adresse IP provenant d'un réseau VPC partagé.
VPC Service Controls
Les solutions VPC Service Controls et Private Service Connect sont compatibles entre elles. Si le réseau VPC sur lequel le point de terminaison Private Service Connect est déployé se trouve dans un périmètre VPC Service Controls, le point de terminaison fait partie du même périmètre. Tous les services compatibles avec VPC Service Controls accessibles via le point de terminaison sont soumis aux règles de ce périmètre VPC Service Controls.
Lorsque vous créez un point de terminaison, des appels d'API de plan de contrôle sont effectués entre les projets client et producteur pour établir une connexion Private Service Connect. L'établissement d'une connexion Private Service Connect entre des projets client et producteur qui ne se trouvent pas dans le même périmètre VPC Service Controls ne nécessite pas d'autorisation explicite avec des règles de sortie. La communication avec les services compatibles avec VPC Service Controls via le point de terminaison est protégée par le périmètre VPC Service Controls.
Routages statiques avec sauts suivants de l'équilibreur de charge
Les routages statiques peuvent être configurés pour utiliser la règle de transfert d'un équilibreur de charge réseau interne à stratégie directe utilisé comme saut suivant (--next-hop-ilb). Les routages de ce type ne sont pas tous compatibles avec Private Service Connect.
Les routages statiques qui utilisent --next-hop-ilb pour spécifier le nom d'une règle de transfert d'équilibreur de charge réseau interne à stratégie directe peuvent être utilisés pour envoyer et recevoir du trafic vers un point de terminaison Private Service Connect lorsque le routage et le point de terminaison se trouvent dans le même réseau VPC et la même région.
Les configurations de routage suivantes ne sont pas compatibles avec Private Service Connect :
- Les routages statiques qui utilisent
--next-hop-ilbpour spécifier l'adresse IP d'une règle de transfert d'équilibreur de charge réseau interne à stratégie directe. - Les routages statiques qui utilisent
--next-hop-ilbpour spécifier le nom ou l'adresse IP d'une règle de transfert de point de terminaison Private Service Connect.
Journalisation
Vous pouvez activer les journaux de flux VPC sur des sous-réseaux contenant des VM qui accèdent aux services d'un autre réseau VPC à l'aide de points de terminaison. Les journaux affichent les flux entre les VM et le point de terminaison.
Vous pouvez afficher les modifications apportées à l'état de connexion des points de terminaison à l'aide des journaux d'audit. Les modifications de l'état de connexion d'un point de terminaison sont capturées dans les métadonnées d'événement système pour le type de ressource Règle de transfert GCE. Vous pouvez définir un filtrage selon
pscConnectionStatuspour afficher ces entrées.Par exemple, lorsqu'un producteur de services autorise les connexions à partir de votre projet, l'état de connexion du point de terminaison passe de
PENDINGàACCEPTED, et cette modification est reflétée dans les journaux d'audit.- Pour savoir comment afficher les journaux d'audit, consultez la section Afficher les journaux.
- Pour définir des alertes basées sur les journaux d'audit, consultez la page Gérer les alertes basées sur les journaux.
Tarifs
La tarification de Private Service Connect est décrite sur la page des tarifs relatifs aux VPC.
Quotas
Le nombre de points de terminaison que vous pouvez créer pour accéder aux services publiés est contrôlé par le quota PSC Internal LB Forwarding Rules.
Pour en savoir plus, consultez la page consacrée aux quotas.
Contraintes liées aux règles d'administration
Un administrateur des règles d'administration peut utiliser la contrainte constraints/compute.disablePrivateServiceConnectCreationForConsumers pour définir l'ensemble des types de points de terminaison pour lesquels les utilisateurs ne sont pas autorisés à créer des règles de transfert.
Pour en savoir plus sur la création d'une règle d'administration utilisant cette contrainte, consultez Empêcher les clients de déployer des points de terminaison par type de connexion.