קישוריות פרטית למיקום בארגון או לספקים אחרים של שירותי ענן

בדף הזה מוסבר איך להגדיר קישוריות פרטית מ-Integration Connectors לשירות הקצה העורפי (backend) שלכם, כמו MySQL,‏ Postgres ו-SQL Server, שמארחים במרכז הנתונים המקומי או בספקי ענן אחרים.

בתמונה הבאה מוצגת הגדרת הקישוריות לרשת הפרטית מ-Integration Connectors לשירות הקצה העורפי שמתארח ברשת המקומית.

בדף הזה אנחנו מניחים שאתם מכירים את המושגים הבאים:

• קבצים מצורפים של נקודות קצה
• אזורים מנוהלים
• Private Service Connect (PSC)
• מאזן עומסים של Google Cloud

לתשומת ליבכם

כשיוצרים קובץ מצורף לשירות PSC, חשוב לשים לב לנקודות העיקריות הבאות:

• כבעלים של שירות מנוהל, עליכם להגדיר צירוף שירות PSC ש-Integration Connectors יכול להשתמש בו כדי לצרוך את השירות. אחרי שקובץ השירות מוכן, אפשר להגדיר את החיבור כדי להשתמש בקובץ השירות באמצעות קובץ נקודת קצה.
• הקובץ המצורף של שירות ה-PSC ומאזן העומסים צריכים להיות בתתי-רשתות שונות באותו VPC. באופן ספציפי, צירוף השירות חייב להיות ברשת משנה של NAT.
• התוכנה שפועלת במכונות הווירטואליות של הבק-אנד צריכה להגיב לתנועה מאוזנת עומסים ולבדיקות תקינות שנשלחות לכתובת ה-IP של כל כלל העברה (התוכנה צריכה להאזין ב-0.0.0.0:<port> ולא בכתובת IP ספציפית שהוקצתה לממשק רשת). מידע נוסף זמין במאמר בנושא בדיקת תקינות.
• מגדירים את כללי חומת האש כדי לאפשר את זרימת התנועה.

  כללי תעבורה נכנסת

  • התנועה מרשת המשנה של קובץ ה-PSC חייבת להגיע לרשת המשנה של ILB.
  • בתוך רשת המשנה של איזון העומסים הפנימי, איזון העומסים הפנימי צריך להיות מסוגל לשלוח תנועה למערכת העורפית.
  • הבקשה לבדיקת תקינות (probe) צריכה להיות מסוגלת לגשת למערכת הבק-אנד שלכם. בדיקות תקינות ב-Google Cloud מתבצעות מטווח קבוע של כתובות IP ‏ (35.191.0.0/16, 130.211.0.0/22). לכן אפשר לאשר לכתובות ה-IP האלה לשלוח תעבורה לשרת הקצה העורפי שלכם.

  כללים לתעבורת נתונים יוצאת (egress)

  תעבורת נתונים יוצאת (egress) מופעלת כברירת מחדל בפרויקט בענן של Google, אלא אם מוגדרים כללי דחייה ספציפיים.

• כל הרכיבים של Google Cloud, כמו קובץ ה-PSC המצורף ומאזן העומסים, צריכים להיות באותו אזור.

• מערכת ה-Backend שלכם לא יכולה להיות פתוחה לרשת הציבורית, כי זה עלול להוות בעיה אבטחתית. עם זאת, חשוב לוודא שמערכת ה-Backend שלכם מקבלת תנועה בתרחיש הבא:

  מאזני עומסים מבוססי-proxy‏/HTTP(s) (L4 proxy ILB, L7 ILB): כל הבקשות החדשות מגיעות ממאזן העומסים. לכן, ה-Backend שלכם צריך לקבל בקשות מרשת המשנה של ה-Proxy ברשת ה-VPC. מידע נוסף זמין במאמר רשתות משנה של פרוקסי בלבד למאזני עומסים מבוססי Envoy.

הגדרת קישוריות פרטית

כדי להגדיר קישוריות פרטית, מבצעים את המשימות הבאות:

1. יוצרים קובץ מצורף של שירות PSC.
2. יוצרים חיבור לנקודת קצה כדי להשתמש בחיבור שירות PSC.
3. מגדירים את החיבור לשימוש בנקודת הקצה המצורפת.

יצירת קובץ מצורף של שירות PSC

כדי ליצור קישוריות פרטית מ-Integration Connectors, צריך לחשוף את השירות ל-Integration Connectors באמצעות קובץ מצורף של שירות PSC. קובץ מצורף לשירות תמיד מכוון למאזן עומסים. לכן, אם השירות שלכם לא נמצא מאחורי מאזן עומסים, צריך להגדיר מאזן עומסים.

כדי ליצור קובץ מצורף לשירות PSC, מבצעים את הפעולות הבאות:

1. יוצרים בקשה לבדיקת תקינות (probe) ואז יוצרים מאזן עומסים (LB). מידע על הגדרת מאזן עומסים אזורי פנימי לשרת proxy זמין במאמר הגדרת מאזן עומסים אזורי פנימי לשרת proxy עם קישוריות היברידית.
2. יוצרים קובץ מצורף לשירות באותו אזור שבו נמצא מאזן העומסים של השירות. מידע על יצירת קובץ מצורף לשירות זמין במאמר פרסום שירות.

יצירת צירוף של נקודת קצה

צירוף נקודת קצה ככתובת IP

הוראות ליצירת קובץ מצורף לנקודת קצה ככתובת IP זמינות במאמר יצירת קובץ מצורף לנקודת קצה ככתובת IP.

צירוף נקודת קצה כשם מארח

במקרים מסוימים, כמו קצה עורפי עם TLS מופעל, היעד מחייב שימוש בשמות מארחים במקום בכתובות IP פרטיות כדי לבצע אימות TLS. במקרים שבהם נעשה שימוש ב-DNS פרטי במקום בכתובת IP ליעד המארח, בנוסף ליצירת צירוף של נקודת קצה ככתובת IP, צריך גם להגדיר אזורים מנוהלים. הוראות ליצירת קובץ מצורף לנקודת קצה כשם מארח זמינות במאמר יצירת קובץ מצורף לנקודת קצה כשם מארח.

בהמשך, כשמגדירים את החיבור לשימוש בחיבור נקודת הקצה, אפשר לבחור את חיבור נקודת הקצה הזה.

הגדרת חיבור לשימוש בקובץ המצורף של נקודת הקצה

אחרי שיוצרים את נקודת הקצה המצורפת, משתמשים בה בחיבור. כשיוצרים חיבור חדש או מעדכנים חיבור קיים, בקטע 'יעדים', בוחרים באפשרות צירוף נקודת קצה בתור סוג היעד ובוחרים את צירוף נקודת הקצה שיצרתם מתוך הרשימה צירוף נקודת קצה.

אם יצרתם אזור מנוהל, בוחרים באפשרות כתובת המארח בתור סוג היעד ומשתמשים ברשומת A שיצרתם כשיצרתם את האזור המנוהל.

טיפים לפתרון בעיות

אם נתקלתם בבעיות בקישוריות פרטית, כדאי לפעול לפי ההנחיות שמפורטות בקטע הזה כדי למנוע בעיות נפוצות.

• כדי לוודא שהחיבור של נקודת הקצה מוגדר בצורה נכונה ושהחיבור ל-PSC נוצר, בודקים את סטטוס החיבור. מידע נוסף זמין במאמר אימות החיבור של קובץ מצורף לנקודת קצה.
• מוודאים שההגדרה הבאה נקבעה לכללים של חומת האש:
  • צריך לאפשר לתעבורת נתונים מרשת המשנה של צירוף ה-PSC להגיע לשירות לקצה העורפי.
  • מאזן העומסים צריך להיות מסוגל לשלוח תנועה למערכת העורפית. קבוצות NEGs היברידיות נתמכות רק במאזני עומסים של פרוקסי. בקשות ממאזן עומסים של שרת proxy מגיעות רק מרשת המשנה של ה-proxy באזור. לכן, צריך להגדיר את כללי חומת האש כך שיאפשרו לבקשות מתת-רשתות של שרת proxy בלבד להגיע לשרת העורפי (backend).
  • הבקשה לבדיקת תקינות (probe) צריכה להיות מסוגלת לגשת למערכת הבק-אנד שלכם. למנגנוני בדיקת תקינות ב-Google Cloud יש טווח קבוע של כתובות IP ‏ (35.191.0.0/16, ‏ 130.211.0.0/22). לכן, צריך לאפשר לכתובות ה-IP האלה לשלוח תנועה לשרת העורפי.
• אפשר להשתמש בבדיקת הקישוריות של Google Cloud כדי לזהות פערים בתצורת הרשת. מידע נוסף זמין במאמר בנושא יצירה והרצה של בדיקות קישוריות.
• צריך לוודא שכללי חומת האש עודכנו בסביבות מקומיות או בסביבות ענן אחרות כדי לאפשר תעבורת נתונים מתת-הרשת של שרת proxy בלבד באזור Google Cloud.