סקירה כללית על Private Service Connect

בדף הזה מוסברים מושגים שקשורים ל-Private Service Connect. אפשר להשתמש ב-Private Service Connect למטרות הבאות:

  • התחברות למכונת Cloud SQL מכמה רשתות VPC ששייכות לקבוצות, לצוותים, לפרויקטים או לארגונים שונים
  • חיבור למופע ראשי או לכל אחת מהרפליקות לקריאה שלו

נקודת קצה מסוג Private Service Connect

אתם יכולים להשתמש בנקודות קצה של Private Service Connect כדי לגשת באופן פרטי למופעי Cloud SQL מרשתות ה-VPC של הצרכנים. נקודות הקצה האלה הן כתובות IP פנימיות שמשויכות לכלל העברה שמפנה אל שירות מצורף של מכונת Cloud SQL.

אתם יכולים לאפשר ל-Cloud SQL ליצור את נקודת הקצה באופן אוטומטי, או ליצור את נקודת הקצה באופן ידני.

כדי שמערכת Cloud SQL תיצור את נקודת הקצה באופן אוטומטי, צריך לבצע את הפעולות הבאות:

  1. יוצרים מדיניות לחיבור שירותים ברשתות ה-VPC.

  2. יוצרים מכונה של Cloud SQL עם Private Service Connect מופעל עבור המכונה, ומגדירים את המכונה כך שתיצור נקודת קצה באופן אוטומטי. במהלך יצירת המכונה, מציינים פרמטרים של חיבור אוטומטי, כמו רשתות VPC ופרויקטים.

    ‫Cloud SQL מאתר את מדיניות חיבור השירות ברשתות האלה ויוצר נקודת קצה של Private Service Connect שמצביעה על קובץ השירות המצורף של המכונה.

    אחרי שיוצרים את המופע ו-Cloud SQL יוצר את נקודת הקצה, הלקוחות ברשתות ה-VPC המתאימות יכולים להתחבר למופע מנקודת הקצה, באמצעות כתובת IP או רשומת DNS.

כדי ליצור את נקודת הקצה באופן ידני:

  1. יוצרים מופע Cloud SQL עם Private Service Connect שמופעל עבור המופע.
  2. מקבלים את ה-URI של השירות המצורף שנדרש ליצירת נקודת הקצה באופן ידני.

  3. שומרים כתובת IP פנימית ברשת ה-VPC עבור נקודת הקצה ויוצרים נקודת קצה עם הכתובת הזו.

    אחרי שיוצרים את המופע ו-Cloud SQL יוצר את נקודת הקצה, הלקוחות ברשתות ה-VPC המתאימות יכולים להתחבר למופע מנקודת הקצה, באמצעות כתובת IP או רשומת DNS.

מדיניות חיבור לשירות

מדיניות חיבור לשירות מאפשרת לכם להעניק הרשאה לסוג שירות ספציפי ליצור חיבור Private Service Connect בין רשתות VPC. כתוצאה מכך, אתם יכולים להקצות נקודות קצה של Private Service Connect באופן אוטומטי.

אפשר ליצור מדיניות אחת לכל שילוב של סוג שירות, אזור ורשת VPC. מדיניות קובעת אוטומציה של קישוריות שירות עבור השילוב הספציפי הזה. כשמגדירים מדיניות, בוחרים רשת משנה. רשת המשנה משמשת להקצאת כתובות IP לנקודות הקצה שיוצרים באמצעות המדיניות. אם כמה כללי מדיניות לחיבור שירות משתפים את אותו אזור, אפשר לעשות שימוש חוזר באותה רשת משנה לכל כללי המדיניות.

לדוגמה, אם רוצים להשתמש באוטומציה של קישוריות לשירות עם שני שירותים בשלושה אזורים שונים, צריך ליצור שש מדיניות. אפשר להשתמש במינימום של שלוש רשתות משנה: אחת לכל אזור.

אחרי שיוצרים מדיניות של חיבור לשירות, אפשר לעדכן רק את רשתות המשנה ואת מגבלת החיבור של המדיניות. אם אתם צריכים לעדכן שדות אחרים, אתם יכולים לעשות את זה באופן הבא:

  1. מסירים את כל החיבורים שמשתמשים במדיניות.
  2. מוחקים את המדיניות.
  3. יוצרים מדיניות חדשה.

קובץ מצורף עם השירות

כשיוצרים מכונה של Cloud SQL ומגדירים את המכונה לשימוש ב-Private Service Connect, ‏ Cloud SQL יוצר באופן אוטומטי קובץ מצורף לשירות עבור המכונה. שירות מצורף הוא נקודת צירוף שרשתות VPC משתמשות בה כדי לגשת למופע.

אתם יוצרים נקודת קצה של Private Service Connect שרשת ה-VPC משתמשת בה כדי להתחבר לקובץ המצורף של השירות. כך הרשת יכולה לגשת למופע.

לכל מופע Cloud SQL יש קובץ מצורף אחד לשירות שאליו נקודת הקצה של Private Service Connect יכולה להתחבר דרך רשת ה-VPC. אם יש כמה רשתות, לכל רשת יש נקודת קצה משלה.

שמות ורשומות DNS

למכונות שמופעל בהן Private Service Connect, מומלץ להשתמש בשם ה-DNS כי רשתות שונות יכולות להתחבר לאותה מכונה, ונקודות הקצה של Private Service Connect בכל רשת עשויות לקבל כתובות IP שונות. בנוסף, שרת proxy ל-Cloud SQL Auth דורש שמות DNS כדי להתחבר למכונות האלה.

‫Cloud SQL לא יוצר רשומות DNS באופן אוטומטי. במקום זאת, מוצע שם DNS מתוך התשובה של ה-API של חיפוש המופע. מומלץ ליצור את רשומת ה-DNS בתחום DNS פרטי ברשת ה-VPC המתאימה. כך אפשר להתחבר בצורה עקבית מרשתות שונות.

פרויקטים מותרים של Private Service Connect

פרויקטים מורשים משויכים לרשתות VPC והם ספציפיים לכל מופע Cloud SQL. אם מופע לא נכלל באף אחד מהפרויקטים המותרים, אי אפשר להפעיל Private Service Connect עבור המופע.

בפרויקטים האלה, אפשר ליצור נקודות קצה מסוג Private Service Connect לכל מופע. אם פרויקט לא אושר באופן מפורש, עדיין אפשר ליצור נקודת קצה למופעים בפרויקט, אבל נקודת הקצה נשארת במצב PENDING.

הפצה של נקודת קצה מסוג Private Service Connect

כברירת מחדל, חיבורי Private Service Connect לא עוברים מרשתות VPC מקושרות. צריך ליצור נקודת קצה של Private Service Connect בכל רשת VPC שצריך לחבר למופע Cloud SQL. לדוגמה, אם יש לכם שלוש רשתות VPC שצריך לחבר למכונה, אתם צריכים ליצור שלוש נקודות קצה של Private Service Connect – נקודת קצה אחת לכל רשת VPC.

עם זאת, אם מעבירים את נקודות הקצה של Private Service Connect דרך המרכז של Network Connectivity Center, אפשר להגיע לנקודות הקצה האלה מכל רשת VPC מסוג spoke אחרת באותו מרכז. המרכז מספק מודל מרכזי לניהול קישוריות, כדי לקשר בין רשתות VPC מסוג spoke לבין נקודות קצה של Private Service Connect.

התכונה 'הפצת חיבורים' ב-NCC מועילה לתרחיש השימוש הבא בפריסות של Private Service Connect:

אתם יכולים להשתמש ברשת VPC של שירותים משותפים כדי ליצור כמה נקודות קצה של Private Service Connect. אם מוסיפים לרכזת NCC רשת VPC אחת של שירותים משותפים, כל נקודות הקצה של Private Service Connect ברשת ה-VPC הופכות לנגישות באופן טרנזיטיבי לרשתות VPC אחרות מסוג spoke דרך הרכזת. הקישוריות הזו מבטלת את הצורך לנהל כל נקודת קצה של Private Service Connect בכל רשת VPC בנפרד.

במאמר NCC—Private Service Connect propagation codelab מוסבר איך להשתמש במרכז NCC כדי להפיץ נקודות קצה של Private Service Connect לרשתות VPC מסוג spoke.

קצה עורפי של Private Service Connect

כדי לגשת למופעי Cloud SQL, אפשר להשתמש בבקצה העורפי של Private Service Connect במקום בנקודות קצה של Private Service Connect. כדי להקל על השימוש, מומלץ להתחבר למופעי Cloud SQL באמצעות נקודות קצה של Private Service Connect. כדי לקבל שליטה נוספת ולראות את הנתונים, אפשר להתחבר באמצעות קצוות עורפיים של Private Service Connect.

כדי להשתמש בשרתי קצה (backend) של Private Service Connect, צריך להגדיר את המשאבים הבאים לכל יציאת שרת שרוצים לגשת אליה במופע Cloud SQL נתון:

יציאות ההגשה הנתמכות ב-PostgreSQL הן:

  • יציאת TCP‏ 5432 לחיבורים ישירים לשרת מסד הנתונים של PostgreSQL.
  • יציאת TCP‏ 6432 לחיבורים ישירים לשרת PgBouncer כשמשתמשים בניהול מאגר חיבורים.
  • יציאת TCP‏ 3307 לחיבורים דרך Cloud SQL Auth Proxy.

חיבורים יוצאים של Private Service Connect

אתם יכולים לצרף ממשק Private Service Connect למופעים קיימים של Cloud SQL שמופעל בהם Private Service Connect באמצעות חיבור לרשת, כדי לאפשר למופע Cloud SQL ליצור חיבורים יוצאים לרשת שלכם. כדי להתחבר לממשק Private Service Connect של הרשת, צריך ליצור קובץ מצורף חדש לרשת או להשתמש בקובץ מצורף קיים לרשת בתוך פרויקט Google Cloud .

אתם יכולים להשתמש בקישוריות יוצאת כדי להעביר נתונים משרת חיצוני ברשת שלכם, להשתמש בתוספים של PostgreSQL שדורשים חיבור יוצא למכונה של Cloud SQL, או לבצע העברה הומוגנית באמצעות Database Migration Service.

מגבלות

כשמשתמשים בממשק Private Service Connect עם רכיב Network Attachment כדי ליצור חיבורים יוצאים לרשת ממופע Cloud SQL, חשוב לשים לב למגבלות הבאות:

  • הפעלה או השבתה של קישוריות יוצאת של Private Service Connect מחייבות השבתה. הפעולה הזו תימשך כ-8 דקות, וזמן ההשבתה יהיה כ-3 דקות.
  • אם אתם משתמשים בשם מארח או ב-DNS לחיבור היוצא, שם ה-DNS צריך להיות ניתן לפתרון באופן ציבורי ולפתור לטווח כתובות IP של RFC-1918.
  • אין תמיכה בכתובות IPv6.
  • אין תמיכה בכתובות IP ציבוריות.
  • אי אפשר להפעיל קישוריות יוצאת של Private Service Connect במופע של רפליקה לקריאה.
  • מעבר לגיבוי (Switchover) לא נתמך במקרים שבהם מופעלת קישוריות יוצאת של Private Service Connect במופעים.
  • אי אפשר להפעיל קישוריות יוצאת של Private Service Connect למכונה וירטואלית שיש לה רפליקה של DR.
  • אי אפשר להמיר את הרפליקה של מופע שמופעלת בו קישוריות יוצאת של Private Service Connect לרפליקת DR.
  • אם כתובת ה-IP של הקישוריות היוצאת מתנגשת עם כתובת ה-IP של eth0 או עם כלל ההעברה של Private Service Connect, יכול להיות שכתובת ה-IP לא תתחבר בצורה תקינה. מידע נוסף זמין במאמר סקירה כללית על Private Service Connect.
  • אם המופע שלכם מוגדר לגישה לשירותים פרטיים ול-Private Service Connect, לא תוכלו להפעיל קישוריות יוצאת של Private Service Connect למופע.

מידע נוסף על הגדרת קישוריות יוצאת למופע Cloud SQL זמין במאמר בנושא הגדרת קישוריות יוצאת.

המאמרים הבאים