Panoramica di Private Service Connect

Questa pagina descrive i concetti associati a Private Service Connect. Puoi utilizzare Private Service Connect per:

  • Connettiti a un'istanza Cloud SQL da più reti VPC appartenenti a gruppi, team, progetti o organizzazioni diversi.
  • Connettiti a un'istanza principale o a una delle sue repliche di lettura.

Endpoint Private Service Connect

Puoi utilizzare gli endpoint Private Service Connect per accedere alle istanze Cloud SQL in modo privato dalle tue reti VPC consumer. Questi endpoint sono indirizzi IP interni associati a una regola di forwarding che fa riferimento a un collegamento al servizio di un'istanza Cloud SQL.

Puoi fare in modo che Cloud SQL crei automaticamente l'endpoint oppure puoi crearlo manualmente.

Per fare in modo che Cloud SQL crei automaticamente l'endpoint:

  1. Crea una policy di connessione al servizio nelle reti VPC.

  2. Crea un'istanza Cloud SQL con Private Service Connect abilitato per l'istanza e configura l'istanza per creare automaticamente un endpoint. Durante la creazione dell'istanza, specifica i parametri di connessione automatica, come reti VPC e progetti.

    Cloud SQL individua il criterio di connessione al servizio in queste reti e crea un endpoint Private Service Connect che punta al collegamento al servizio dell'istanza.

    Dopo aver creato l'istanza e Cloud SQL crea l'endpoint, i client nelle reti VPC corrispondenti possono connettersi all'istanza dall'endpoint, tramite un indirizzo IP o un record DNS.

Per creare manualmente l'endpoint:

  1. Crea un'istanza Cloud SQL con Private Service Connect abilitato per l'istanza.
  2. Recupera l'URI del collegamento al servizio che ti serve per creare manualmente l'endpoint.

  3. Prenota un indirizzo IP interno nella tua rete VPC per l'endpoint e crea un endpoint con questo indirizzo.

    Dopo aver creato l'istanza e Cloud SQL crea l'endpoint, i client nelle reti VPC corrispondenti possono connettersi all'istanza dall'endpoint, tramite un indirizzo IP o un record DNS.

Policy di connessione al servizio

Una policy di connessione di servizio ti consente di autorizzare una classe di servizio specificata a creare una connessione Private Service Connect tra reti VPC. Di conseguenza, puoi eseguire il provisioning degli endpoint Private Service Connect automaticamente.

Puoi creare un massimo di un criterio per ogni combinazione di classe di servizio, regione e rete VPC. Una policy determina l'automazione della connettività del servizio per quella combinazione specifica. Quando configuri una policy, selezioni una subnet. La subnet viene utilizzata per allocare indirizzi IP per gli endpoint che crei tramite il criterio. Se più policy di connessione al servizio condividono la stessa regione, puoi riutilizzare la stessa subnet per tutte le policy.

Ad esempio, se vuoi utilizzare l'automazione della connettività di servizio con due servizi in tre regioni diverse, crea sei policy. Puoi utilizzare un minimo di tre subnet: una per ogni regione.

Dopo aver creato una policy di connessione al servizio, puoi aggiornare solo le subnet e il limite di connessione della policy. Se devi aggiornare altri campi, segui questi passaggi:

  1. Rimuovi tutte le connessioni che utilizzano il criterio.
  2. Elimina la norma.
  3. Crea una nuova policy.

Collegamento servizio

Quando crei un'istanza Cloud SQL e la configuri per utilizzare Private Service Connect, Cloud SQL crea automaticamente un collegamento al servizio per l'istanza. Un collegamento al servizio è un punto di collegamento utilizzato dalle reti VPC per accedere all'istanza.

Crea un endpoint Private Service Connect che la rete VPC utilizza per connettersi al collegamento al servizio. In questo modo la rete può accedere all'istanza.

Ogni istanza Cloud SQL ha un collegamento al servizio a cui l'endpoint Private Service Connect può connettersi tramite la rete VPC. Se sono presenti più reti, ogni rete ha un proprio endpoint.

Nomi e record DNS

Per le istanze con Private Service Connect abilitato, ti consigliamo di utilizzare il nome DNS perché reti diverse possono connettersi alla stessa istanza e gli endpoint Private Service Connect in ogni rete potrebbero avere indirizzi IP diversi. Inoltre, il proxy di autenticazione Cloud SQL richiede nomi DNS per connettersi a queste istanze.

Le istanze Cloud SQL con Private Service Connect abilitato possono avere due tipi di nomi DNS:

  • Un nome DNS per istanza. Questa opzione è disponibile per le istanze in tutte le versioni di Cloud SQL. L'istanza primaria e ogni istanza di replica hanno nomi DNS separati per istanza.

  • Un nome DNS dell'endpoint di scrittura globale. Questa opzione è disponibile per le istanze nella versione Cloud SQL Enterprise Plus, per facilitare il disasteripristino di emergenzato (ADR). Un endpoint di scrittura è un nome DNS globale che si risolve automaticamente nell'indirizzo IP dell'istanza principale corrente. In caso di failover o operazione di switchover di replica, questo endpoint di scrittura reindirizza automaticamente le connessioni in entrata alla nuova istanza principale. Utilizzando un endpoint di scrittura, puoi evitare di dover apportare modifiche alla connessione dell'applicazione quando esegui un failover o un cambio di replica per il ripristino di un'interruzione della regione o un'esercitazione di ripristino di emergenza.

Per un nome DNS per istanza, puoi fare in modo che Cloud SQL crei automaticamente i record DNS oppure puoi creare il nome DNS manualmente.

Se utilizzi l'approccio manuale, puoi ottenere il nome DNS consigliato per istanza dalla risposta dell'API di ricerca delle istanze e poi creare il record DNS in una zona DNS privata nella rete VPC corrispondente. Per maggiori dettagli, consulta Configurare manualmente il DNS.

Funzionalità di automazione DNS

In alternativa, puoi utilizzare la funzionalità di automazione DNS per consentire a Cloud SQL di eseguire automaticamente il provisioning e la gestione dei record DNS per il nome DNS per istanza nelle reti VPC consumer autorizzate.

Per saperne di più sull'attivazione e la configurazione dell'automazione DNS, consulta Crea un'istanza con l'automazione DNS attivata.

Quando utilizzi la funzionalità di automazione DNS nelle istanze Cloud SQL Enterprise Plus, Cloud SQL esegue automaticamente il provisioning e la gestione dei record DNS per il nome DNS globale dell'endpoint di scrittura nelle reti VPC consumer autorizzate.

L'automazione DNS presenta le seguenti limitazioni:

  • Non è possibile connettersi dal proxy di autenticazione o dai connettori dei linguaggi a un nome DNS per istanza o a un endpoint di scrittura creato tramite l'automazione DNS.
  • La configurazione dell'automazione DNS utilizzando la console Google Cloud o Terraform non è supportata.

Progetti Private Service Connect consentiti

I progetti consentiti sono associati alle reti VPC e sono specifici per ogni istanza Cloud SQL. Se un'istanza non è contenuta in alcun progetto consentito, non puoi attivare Private Service Connect per l'istanza.

Per questi progetti, puoi creare endpoint Private Service Connect per ogni istanza. Se un progetto non è consentito in modo esplicito, puoi comunque creare un endpoint per le istanze nel progetto, ma l'endpoint rimane nello stato PENDING.

Propagazione endpoint Private Service Connect

Per impostazione predefinita, le connessioni Private Service Connect non sono transitive dalle reti VPC con peering. Devi creare un endpoint Private Service Connect in ogni rete VPC che deve connettersi alla tua istanza Cloud SQL. Ad esempio, se hai tre reti VPC che devono connettersi alla tua istanza, devi creare tre endpoint Private Service Connect, uno per ogni rete VPC.

Tuttavia, propagando gli endpoint Private Service Connect tramite l'hub Network Connectivity Center, questi endpoint possono essere raggiungibili da qualsiasi altra rete VPC spoke nello stesso hub. L'hub fornisce un modello di gestione della connettività centralizzato per interconnettere le reti VPC spoke agli endpoint Private Service Connect.

La funzionalità di propagazione della connessione in NCC è utile per il seguente caso d'uso per i deployment di Private Service Connect:

Puoi utilizzare una rete VPC di servizi comuni per creare più endpoint Private Service Connect. Se aggiungi una singola rete VPC di servizi comuni all'hub NCC, tutti gli endpoint Private Service Connect nella rete VPC diventano accessibili in modo transitivo ad altre reti VPC spoke tramite l'hub. Questa connettività elimina la necessità di gestire singolarmente ogni endpoint Private Service Connect in ogni rete VPC.

Per scoprire come utilizzare l'hub NCC per propagare gli endpoint Private Service Connect alle reti VPC spoke, consulta il codelab NCC - Propagazione di Private Service Connect.

Backend Private Service Connect

Puoi utilizzare i backend Private Service Connect in alternativa agli endpoint Private Service Connect, per accedere alle istanze Cloud SQL. Per facilità d'uso, ti consigliamo di connetterti alle istanze Cloud SQL utilizzando gli endpoint Private Service Connect. Per un maggiore controllo e visibilità, puoi connetterti utilizzando i backend Private Service Connect.

Per utilizzare i backend Private Service Connect, devi configurare le seguenti risorse per ogni porta di pubblicazione su cui vuoi accedere a una determinata istanza Cloud SQL:

Le porte di pubblicazione supportate per SQL Server sono le seguenti:

Connessioni in uscita di Private Service Connect

Puoi collegare un'interfaccia Private Service Connect alle tue istanze esistenti abilitate per Private Service Connect di Cloud SQL utilizzando un collegamento di rete per consentire all'istanza Cloud SQL di effettuare connessioni in uscita alla tua rete. Per connetterti all'interfaccia Private Service Connect della tua rete, devi disporre di un collegamento di rete nuovo o esistente all'interno del tuo progetto Google Cloud .

Puoi utilizzare la connettività in uscita per eseguire la migrazione dei dati da un server esterno all'interno della tua rete, utilizzare un server collegato che richiede una connessione in uscita o eseguire una migrazione omogenea utilizzando Database Migration Service.

Limitazioni

Quando utilizzi un'interfaccia Private Service Connect con un collegamento di rete per creare connessioni in uscita alla tua rete dall'istanza Cloud SQL, tieni presente le seguenti limitazioni:

  • L'attivazione o la disattivazione della connettività in uscita di Private Service Connect richiede tempi di inattività. Il completamento di questa operazione richiede circa 8 minuti con un tempo di inattività approssimativo di 3 minuti.
  • Se utilizzi un nome host o DNS per la connessione in uscita, il nome DNS deve essere risolvibile pubblicamente e risolto in un intervallo IP RFC-1918.
  • Gli indirizzi IPv6 non sono supportati.
  • Gli indirizzi IP pubblici non sono supportati.
  • La connettività in uscita di Private Service Connect non può essere attivata su un'istanza di replica di lettura.
  • Lo switchover non è supportato per le istanze con la connettività in uscita di Private Service Connect abilitata.
  • Non puoi attivare la connettività in uscita di Private Service Connect per un'istanza che ha una replica di DR.
  • Non puoi convertire la replica di un'istanza in cui è abilitata la connettività in uscita di Private Service Connect in una replica di DR.
  • Se l'indirizzo IP della connettività in uscita è in conflitto con l'IP eth0 o con la regola di forwarding di Private Service Connect, l'indirizzo IP potrebbe non connettersi correttamente. Per saperne di più, consulta la panoramica di Private Service Connect.
  • Se l'istanza è configurata sia per l'accesso privato ai servizi sia per Private Service Connect, non puoi attivare la connettività in uscita di Private Service Connect per l'istanza.
  • Se abiliti la connettività in uscita di Private Service Connect per un'istanza, non puoi creare una replica per quell'istanza.

Per ulteriori informazioni su come configurare la connettività in uscita per l'istanza Cloud SQL, consulta Configura la connettività in uscita.

Passaggi successivi