Cette page décrit les concepts associés à Private Service Connect. Vous pouvez utiliser Private Service Connect pour les cas suivants :
- Vous pouvez vous connecter à une instance Cloud SQL à partir de plusieurs réseaux VPC appartenant à différents groupes, équipes, projets ou organisations.
- Vous pouvez vous connecter à une instance principale ou à l'une de ses instances répliquées avec accès en lecture.
Point de terminaison Private Service Connect
Vous pouvez utiliser points de terminaison Private Service Connect pour accéder aux instances Cloud SQL de manière privée à partir de vos réseaux VPC clients. Ces points de terminaison sont des adresses IP internes associées à une règle de transfert qui fait référence à un rattachement de service d'une instance Cloud SQL.
Vous pouvez demander à Cloud SQL de créer automatiquement le point de terminaison ou le créer manuellement.
Pour que Cloud SQL crée automatiquement le point de terminaison, procédez comme suit :
- Créez une règle de connexion de service dans vos réseaux VPC.
Créez une instance Cloud SQL sur laquelle Private Service Connect est activé et configurez l'instance pour qu'elle crée automatiquement un point de terminaison. Lors de la création de l'instance, spécifiez des paramètres de connexion automatique tels que les réseaux VPC et les projets.
Cloud SQL recherche la règle de connexion de service dans ces réseaux et crée un point de terminaison Private Service Connect qui pointe vers le rattachement de service de l'instance.
Une fois l'instance créée et le point de terminaison créé par Cloud SQL, les clients des réseaux VPC correspondants peuvent se connecter à l'instance à partir du point de terminaison, via une adresse IP ou un enregistrement DNS.
Pour créer le point de terminaison manuellement, procédez comme suit :
- Créez une instance Cloud SQL sur laquelle Private Service Connect est activé.
- Obtenez l'URI du rattachement de service dont vous avez besoin pour créer le point de terminaison manuellement.
Réservez une adresse IP interne dans votre réseau VPC pour le point de terminaison et créez un point de terminaison avec cette adresse.
Une fois l'instance créée et le point de terminaison créé par Cloud SQL, les clients des réseaux VPC correspondants peuvent se connecter à l'instance à partir du point de terminaison, via une adresse IP ou un enregistrement DNS.
Règle de connexion au service
Une règle de connexion au service vous permet d'autoriser une classe de service spécifiée à créer une connexion Private Service Connect entre des réseaux VPC. Vous pouvez ainsi provisionner des points de terminaison Private Service Connect automatiquement.
Vous pouvez créer au plus une règle pour chaque combinaison de classe de service, de région et de réseau VPC. Une règle détermine l'automatisation de la connectivité du service pour cette combinaison spécifique. Lorsque vous configurez une règle, vous sélectionnez un sous-réseau. Le sous-réseau est utilisé pour allouer des adresses IP aux points de terminaison que vous créez via la règle. Si plusieurs règles de connexion au service partagent la même région, vous pouvez réutiliser le même sous-réseau pour toutes les règles.
Par exemple, si vous souhaitez utiliser l'automatisation de la connectivité du service avec deux services dans trois régions différentes, créez six règles. Vous pouvez utiliser au minimum trois sous-réseaux : un pour chaque région.
Après avoir créé une règle de connexion de service, vous ne pouvez mettre à jour que les sous-réseaux et la limite de connexion de la règle. Si vous devez mettre à jour d'autres champs, procédez comme suit :
- Supprimez toutes les connexions qui utilisent la règle.
- Supprimez la règle.
- Créez une règle.
Rattachement de service
Lorsque vous créez une instance Cloud SQL et que vous configurez l'instance pour qu'elle utilise Private Service Connect, Cloud SQL crée automatiquement un rattachement de service pour l'instance. Un rattachement de service est un point de rattachement que les réseaux VPC utilisent pour accéder à l' instance.
Vous créez un point de terminaison Private Service Connect que le réseau VPC utilise pour se connecter au rattachement de service. Cela permet au réseau d'accéder à l'instance.
Chaque instance Cloud SQL possède un rattachement de service auquel le point de terminaison Private Service Connect peut se connecter via le réseau VPC. S'il existe plusieurs réseaux, chacun d'eux possède son propre point de terminaison.
Noms et enregistrements DNS
Pour les instances sur lesquelles Private Service Connect est activé, nous vous recommandons d'utiliser le nom DNS, car différents réseaux peuvent se connecter à la même instance et les points de terminaison Private Service Connect de chaque réseau peuvent avoir des adresses IP différentes. De plus, le proxy d'authentification Cloud SQL nécessite des noms DNS pour se connecter à ces instances.
Les instances Cloud SQL sur lesquelles Private Service Connect est activé peuvent avoir deux types de noms DNS :
Un nom DNS par instance. Ce nom est disponible pour les instances de toutes les éditions de Cloud SQL. L'instance principale et chaque instance répliquée ont des noms DNS par instance distincts.
Un nom DNS de point de terminaison d'écriture global. Ce nom est disponible pour les instances de l'édition Cloud SQL Enterprise Plus, afin de faciliter la reprise après sinistre avancée. Un point de terminaison d'écriture est un nom DNS global qui se résout automatiquement en adresse IP de l'instance principale actuelle. En cas d'opération de basculement d'instance répliquée ou de commutation, ce point de terminaison d'écriture redirige automatiquement les connexions entrantes vers la nouvelle instance principale. En utilisant un point de terminaison d'écriture, vous pouvez éviter d'avoir à modifier la connexion de l'application lorsque vous effectuez une opération de basculement d'instance répliquée ou de commutation pour la récupération après une panne régionale ou un exercice de reprise après sinistre.
Pour un nom DNS par instance, vous pouvez demander à Cloud SQL de créer automatiquement des enregistrements DNS ou créer le nom DNS manuellement.
Si vous utilisez l'approche manuelle, vous pouvez obtenir le nom DNS par instance recommandé à partir de la réponse de l'API de recherche d'instance, puis créer l'enregistrement DNS dans une zone DNS privée du réseau VPC correspondant. Pour en savoir plus, consultez Configurer le DNS manuellement.
Fonctionnalité d'automatisation DNS
Vous pouvez également utiliser la fonctionnalité d'automatisation DNS pour laisser Cloud SQL provisionner et gérer automatiquement les enregistrements DNS pour le nom DNS par instance dans vos réseaux VPC clients autorisés.
Pour en savoir plus sur l'activation et la configuration de l'automatisation DNS, consultez Créer une instance avec l'automatisation DNS activée.
Lorsque vous utilisez la fonctionnalité d'automatisation DNS dans les instances de l'édition Cloud SQL Enterprise Plus, Cloud SQL provisionne et gère également automatiquement les enregistrements DNS pour le nom DNS global du point de terminaison d'écriture dans vos réseaux VPC clients autorisés.
L'automatisation DNS présente les limites suivantes :
- Il n'est pas possible de se connecter à un nom DNS par instance ou à un point de terminaison d'écriture créé via l'automatisation DNS à partir d'un proxy d'authentification ou de connecteurs de langage.
- La configuration de l'automatisation DNS à l'aide de la Google Cloud console ou de Terraform n'est pas prise en charge.
Projets Private Service Connect autorisés
Les projets autorisés sont des projets associés à des réseaux VPC et sont spécifiques à chaque instance Cloud SQL. Si une instance ne fait partie d'aucun projet autorisé, vous ne pouvez pas activer Private Service Connect pour l'instance.
Pour ces projets, vous pouvez créer des points de terminaison Private Service Connect pour chaque instance. Si un projet n'est pas explicitement autorisé, vous pouvez toujours créer un point de terminaison pour les instances du projet, mais le point de terminaison reste à l'état PENDING.
Propagation des points de terminaison Private Service Connect
Par défaut, les connexions Private Service Connect ne sont pas transitives à partir des réseaux VPC appairés. Vous devez créer un point de terminaison Private Service Connect dans chaque réseau VPC qui doit se connecter à votre instance Cloud SQL. Par exemple, si vous disposez de trois réseaux VPC qui doivent se connecter à votre instance, vous devez créer trois points de terminaison Private Service Connect, un pour chaque réseau VPC.
Toutefois, en propageant les points de terminaison Private Service Connect via le hub Network Connectivity Center, ces points de terminaison peuvent être accessibles par n'importe quel autre réseau VPC spoke du même hub. Le hub fournit un modèle de gestion de la connectivité centralisé pour interconnecter les réseaux VPC spoke aux points de terminaison Private Service Connect.
La fonctionnalité de propagation de connexion dans NCC présente l'avantage suivant pour les déploiements Private Service Connect :
Vous pouvez utiliser un réseau VPC de services communs pour créer plusieurs points de terminaison Private Service Connect. En ajoutant un seul réseau VPC de services communs au hub NCC, tous les points de terminaison Private Service Connect du réseau VPC deviennent accessibles de manière transitive aux autres réseaux VPC spoke via le hub. Cette connectivité élimine la nécessité de gérer individuellement chaque point de terminaison Private Service Connect dans chaque réseau VPC.
Pour découvrir comment utiliser le hub NCC afin de propager des points de terminaison Private Service Connect vers des réseaux VPC spoke, consultez l'atelier de programmation NCC—Private Service Connect propagation.
Backend Private Service Connect
Vous pouvez utiliser backends Private Service Connect au lieu de points de terminaison Private Service Connect, pour accéder aux instances Cloud SQL. Pour faciliter l'utilisation, nous vous recommandons de vous connecter à vos instances Cloud SQL à l'aide de points de terminaison Private Service Connect. Pour plus de contrôle et de visibilité, vous pouvez vous connecter à l'aide de backends Private Service Connect.
Pour utiliser des backends Private Service Connect, vous devez configurer les ressources suivantes pour chaque port de diffusion sur lequel vous souhaitez accéder à une instance Cloud SQL donnée :
- Groupe de points de terminaison du réseau (NEG) Private Service Connect, qui doit faire référence au rattachement de service et à un port de diffusion de l' instance Cloud SQL.
- Équilibreur de charge de proxy réseau interne (composé d'un service de backend, d'un proxy TCP cible et d'une règle de transfert) dont le backend est le NEG Private Service Connect.
- Port TCP 1433 pour les connexions directes au serveur de base de données SQL Server.
- Port TCP 3307 pour les connexions via le proxy d'authentification Cloud SQL.
Connexions sortantes Private Service Connect
Vous pouvez associer une interface Private Service Connect à vos instances Cloud SQL existantes sur lesquelles Private Service Connect est activé à l'aide d'un rattachement de réseau pour permettre à votre instance Cloud SQL d'établir des connexions sortantes vers votre réseau. Pour vous connecter à l'interface Private Service Connect de votre réseau, vous avez besoin d'un rattachement de réseau nouveau ou existant dans votre Google Cloud projet.
Vous pouvez utiliser la connectivité sortante pour migrer des données d'un serveur externe au sein de votre réseau, utiliser un serveur lié qui nécessite une connexion sortante ou effectuer une migration homogène à l'aide de Database Migration Service.
Limites
Lorsque vous utilisez une interface Private Service Connect avec un rattachement de réseau pour créer des connexions sortantes vers votre réseau à partir de votre instance Cloud SQL, tenez compte des limites suivantes :
- L'activation ou la désactivation de la connectivité sortante de Private Service Connect nécessite un temps d'arrêt. Cette opération prend environ 8 minutes, avec un temps d'arrêt approximatif de 3 minutes.
- Si vous utilisez un nom d'hôte ou un DNS pour votre connexion sortante, le nom DNS doit être résolvable publiquement et résolu en une plage d'adresses IP RFC-1918.
- Les adresses IPv6 ne sont pas prises en charge.
- Les adresses IP publiques ne sont pas prises en charge.
- La connectivité sortante de Private Service Connect ne peut pas être activée sur une instance répliquée avec accès en lecture.
- La commutation n'est pas prise en charge pour les instances sur lesquelles la connectivité sortante de Private Service Connect est activée.
- Vous ne pouvez pas activer la connectivité sortante de Private Service Connect pour une instance qui possède une instance répliquée de reprise après sinistre.
- Vous ne pouvez pas convertir l'instance répliquée d'une instance sur laquelle la connectivité sortante de Private Service Connect est activée en une instance répliquée de reprise après sinistre.
- Si l'adresse IP de connectivité sortante est en conflit avec l'adresse IP
eth0ou la règle de transfert Private Service Connect, il est possible que l'adresse IP ne se connecte pas correctement. Pour plus d'informations, consultez la Présentation de Private Service Connect. - Si votre instance est configurée à la fois pour l'accès aux services privés et pour Private Service Connect, vous ne pouvez pas activer la connectivité sortante de Private Service Connect pour votre instance.
- Si vous activez la connectivité sortante de Private Service Connect pour une instance, vous ne pouvez pas créer d' instance répliquée pour cette instance.
Pour en savoir plus sur la configuration de la connectivité sortante pour votre instance Cloud SQL, consultez Configurer la connectivité sortante.
Étape suivante
- Apprenez-en plus sur les adresses IP privées.
- Découvrez comment vous connecter à une instance à l'aide de Private Service Connect.