מידע על שליטה בגישה לשירותים שפורסמו

בדף הזה מוסבר על התכונות שבהן אפשר להשתמש כדי לשלוט בגישה לשירותים שמתפרסמים באמצעות Private Service Connect.

העדפות חיבור

לכל קובץ מצורף של שירות יש העדפת חיבור שקובעת אם החיבורים יאושרו באופן אוטומטי.

  • אישור אוטומטי של כל החיבורים. קובץ ה-Service Attachment מקבל אוטומטית את כל בקשות החיבור הנכנסות מכל צרכן.
  • מאשרים באופן מפורש חיבורים מצרכנים נבחרים. החיבור לשירות המצורף מתאפשר רק אם הצרכן נמצא ברשימת הצרכנים המורשים של השירות המצורף. אפשר לציין צרכנים לפי פרויקט, רשת VPC או נקודת קצה נפרדת של Private Service Connect. אי אפשר לכלול סוגים שונים של צרכנים באותה רשימת צרכנים שהסכימו או דחו את התנאים.

בכל אחת מהעדפות החיבור, אפשר לבטל את החיבורים שאושרו ולדחות אותם באמצעות מדיניות ארגונית שחוסמת חיבורים נכנסים.

מומלץ לאשר במפורש את החיבורים לצרכנים נבחרים. יכול להיות שיהיה לכם מתאים לאשר אוטומטית את כל החיבורים אם אתם שולטים בגישת הצרכנים באמצעים אחרים ורוצים לאפשר גישה לשירות שלכם.

רשימות של צרכנים שאושרו ונדחו

רשימות של צרכנים שאושרו ורשימות של צרכנים שנדחו הן תכונת אבטחה של קבצים מצורפים לשירות. הרשימות האלה מאפשרות לבעלי שירותים מנוהלים לציין אילו צרכנים יכולים ליצור חיבורים באמצעות Private Service Connect לשירותים שלהם. כשמגדירים אישור מפורש לצירוף שירות, חיבור חדש מתקבל רק אם הצרכן נמצא ברשימת האישור ולא ברשימת הדחייה. עדכונים ברשימות של צרכנים משפיעים רק על חיבורים חדשים, אלא אם מופעלת האפשרות התאמת חיבורים.

רשימות הצרכנים שאושרו ונדחו מאפשרות לכם לציין צרכנים באחת מהדרכים הבאות:

  • פרויקט
  • רשת VPC
  • נקודת קצה של Private Service Connect

    השיטה הזו לא חלה על בק-אנדים של Private Service Connect.

אם מוסיפים את אותו צרכן לרשימות של אישור ודחייה, הצרכן הזה לא יכול להתחבר ל-Service Attachment. אי אפשר לציין צרכנים לפי תיקייה.

שתי רשימות הצרכנים של קובץ מצורף לשירות חייבות להכיל את אותו סוג של צרכן. לדוגמה, אם מוסיפים פרויקט לרשימת ההיתרים, אי אפשר להוסיף לרשימה רשת VPC או URI של נקודת קצה, אלא אם מחליפים את הפרויקט ברשימת ההיתרים בסוג החדש של הלקוח.

אם רוצים לפרסם שירות שמקבל סוגים שונים של צרכנים, אפשר ליצור כמה קבצים מצורפים של שירותים שמתחברים לאותו שירות. אפשר להגדיר לכל קובץ מצורף של שירות העדפות חיבור משלו ורשימות צרכנים משלו.

אפשר לשנות את סוג הצרכן ברשימות צרכנים בלי להפריע לחיבורים, אבל צריך לבצע את השינוי בעדכון אחד. אחרת, הפעולה תיכשל.

יש הגבלות על מספר הצרכנים שאפשר להוסיף לרשימות ההסכמה והדחייה:

  • אפשר להוסיף עד 5,000 ערכים לרשימת הצרכנים המותרים.
  • אפשר להוסיף עד 64 ערכים לרשימת הצרכנים שדחו את ההסכמה.

רשימות צרכנים קובעות אם נקודת קצה או קצה עורפי יכולים להתחבר לשירות שפורסם, אבל הן לא קובעות מי יכול לשלוח בקשות לנקודת הקצה הזו. לדוגמה, נניח שלצרכן יש רשת VPC משותפת שמצורפים אליה שני פרויקטים של שירותים. אם שירות שפורסם כולל את service-project1 ברשימת הצרכנים המורשים ואת service-project2 ברשימת הצרכנים הדחויים, התנאים הבאים חלים:

  • צרכן ב-service-project1 יכול ליצור נקודת קצה שמתחברת לשירות שפורסם.
  • צרכן ב-service-project2 לא יכול ליצור נקודת קצה שמתחברת לשירות שפורסם.
  • לקוח ב-service-project2 יכול לשלוח בקשות לנקודת הקצה ב-service-project1, אם אין כללי חומת אש או מדיניות שמונעים את התנועה הזו.

מידע על האינטראקציה בין רשימות ההיתרים לצרכנים לבין מדיניות הארגון זמין במאמר אינטראקציה בין רשימות ההיתרים לצרכנים לבין מדיניות הארגון.

מגבלות על רשימות של צרכנים שאפשר להציג להם מודעות

יש מגבלות על מספר החיבורים ברשימות של צרכנים שאפשר לקבל מהם הסכמה. המגבלות האלה מגדירות את המספר הכולל של נקודות קצה וחיבורי קצה עורפיים של Private Service Connect שניתן לקבל בחיבור שירות מפרויקט צרכן או מרשת VPC שצוינו. אין השפעה להגדרת מגבלות חיבור לרשימות של כתובות IP שאפשר לקבל מהן בקשות שמבוססות על נקודת קצה מסוג Private Service Connect, כי רק נקודת קצה אחת יכולה להתאים למזהה URI נתון.

יצרנים יכולים להשתמש בהגבלות על חיבורים כדי למנוע מצרכנים בודדים למצות את כתובות ה-IP או את מכסות המשאבים ברשת ה-VPC של היצרן. כל חיבור Private Service Connect שאושר מוריד מהמגבלה שהוגדרה לפרויקט צרכן או לרשת VPC. המגבלות מוגדרות כשיוצרים או מעדכנים רשימות של צרכנים שהסכימו לקבל הודעות. אפשר לראות את החיבורים של קובץ מצורף לשירות כשמתארים קובץ מצורף לשירות.

חיבורים שהועברו לא נכללים במגבלות האלה.

לדוגמה, נניח שיש קובץ מצורף לשירות עם רשימת צרכנים מורשים שכוללת את project-1 ואת project-2, ולשניהם יש מגבלה של חיבור אחד. בפרויקט project-1 נדרשים שני חיבורים, בפרויקט project-2 נדרש חיבור אחד ובפרויקט project-3 נדרש חיבור אחד. מכיוון שב-project-1 יש הגבלה של חיבור אחד, החיבור הראשון מתקבל והחיבור השני נשאר בהמתנה. החיבור מ-project-2 אושר, והחיבור מ-project-3 עדיין בהמתנה. אפשר לאשר את החיבור השני מ-project-1 על ידי הגדלת המגבלה של project-1. אם מוסיפים את project-3 לרשימת הצרכנים המורשים, החיבור הזה עובר ממצב 'בהמתנה' למצב 'אושר'.

התאמת החיבור

התהליך של התאמת החיבור קובע אם עדכונים לרשימות הקבלה או הדחייה של קובץ מצורף לשירות יכולים להשפיע על חיבורים קיימים של Private Service Connect. אם האפשרות 'התאמת חיבורים' מופעלת, עדכון של רשימות האישור או הדחייה עלול להפסיק חיבורים קיימים. יכול להיות שחיבורים שנדחו בעבר יאושרו. אם השבתתם את תיאום החיבורים, עדכון רשימות ההסכמה או הדחייה ישפיע רק על חיבורים חדשים וממתינים.

הורדת המגבלה של רשימת הכתובות שהצרכן מאשר לא תגרום לסיום של חיבורים קיימים, גם אם האפשרות'התאמת חיבורים' מופעלת.

לדוגמה, נניח שיש לכם קובץ מצורף לשירות עם כמה חיבורים מאושרים מ-Project-A. ‫Project-A מופיע ברשימת ההיתרים של קובץ השירות. קובץ ה-Service Attachment מתעדכן על ידי הסרת Project-A מהרשימה של כתובות ה-IP המורשות.

אם הפעלתם את האפשרות 'התאמת חיבורים', כל החיבורים הקיימים מ-Project-A יעברו ל-PENDING, מה שיגרום לסיום הקישוריות בין שתי רשתות ה-VPC ויפסיק מיד את תעבורת הרשת.

אם השבתתם את תיאום החיבורים, זה לא ישפיע על חיבורים קיימים מ-Project-A. תנועת הרשת יכולה להמשיך לזרום דרך החיבורים הקיימים של Private Service Connect. עם זאת, אסור ליצור חיבורים חדשים של Private Service Connect.

מידע על הגדרת תיאום חיבורים לצירופי שירות חדשים זמין במאמר פרסום שירות עם אישור מפורש.

מידע על הגדרת תיאום חיבורים לצירופי שירות קיימים זמין במאמר הגדרת תיאום חיבורים.

אישור או דחייה של חיבורים לנקודות קצה ב-Private Service Connect

אתם יכולים לאשר או לדחות חיבורים של נקודות קצה ספציפיות ב-Private Service Connect על ידי הוספת מזהה ה-URI של נקודת הקצה לאחת מרשימות הצרכנים של קובץ מצורף לשירות. הגישה הזו מומלצת לשירותים עם מספר דיירים, והיא מספקת את השליטה המפורטת ביותר בניהול החיבורים. האפשרות 'קבלת צרכנים רק דרך נקודת קצה של Private Service Connect' חלה רק על נקודות קצה של Private Service Connect ולא תומכת בבק-אנדים של Private Service Connect.

בניגוד לפרויקטים או לרשתות VPC, אפשר לאשר או לדחות נקודת קצה ספציפית של Private Service Connect רק אחרי שהצרכן יוצר את נקודת הקצה. הסיבה לכך היא שאי אפשר לדעת את ה-URI הייחודי של נקודת הקצה עד שהצרכן יוצר את נקודת הקצה. כדי להוסיף נקודת קצה לרשימת המקבלים של צרכן, צריך לבצע את השלבים הבאים:

  1. הבעלים של השירות המנוהל מפרסם שירות שדורש אישור מפורש, בלי להוסיף ערכים לרשימת ההיתרים של צרכן השירות.
  2. צרכן יוצר נקודת קצה שמתחברת לשירות שפורסם. החיבור מוצג בקובץ המצורף לשירות עם הסטטוס Pending.
  3. כדי למצוא את ה-URI מבוסס-ה-ID של נקודת הקצה בהמתנה, הבעלים של השירות המנוהל יכול להוסיף תיאור לחיבור השירות, או שצרכן השירות יכול להוסיף תיאור לנקודת הקצה.
  4. היוצר מוסיף את ה-URI מבוסס המזהה של נקודת הקצה לרשימת ההסכמה של הצרכן. החיבור נוצר והסטטוס שלו משתנה ל-Accepted.

סטטוסים של חיבור

לנקודות קצה, לבק-אנדים ולקבצים מצורפים של שירותים ב-Private Service Connect יש סטטוסים של חיבורים שמתארים את מצב החיבורים שלהם. למשאבי הצרכן והבעלים שיוצרים את שני הצדדים של החיבור יש תמיד את אותו סטטוס.

אפשר לראות את סטטוס החיבור כשמציגים את פרטי נקודת הקצה, מתארים את ה-Backend או מציגים את הפרטים של שירות שפורסם.

בטבלה הבאה מפורטים הסטטוסים האפשריים.

סטטוס החיבור תיאור
Accepted החיבור של Private Service Connect מתקבל על ידי הספק, והחיבור מותר על ידי ההגדרה. עם זאת, הסטטוס הזה לא מבטיח שאפשר להעביר תנועה דרך החיבור.
בהמתנה

החיבור של Private Service Connect לא נוצר, ולא ניתן להעביר תנועה ברשת בין שתי הרשתות. יכול להיות שהסטטוס של החיבור יהיה כזה מהסיבות הבאות:

חיבורים שנחסמו מהסיבות האלה יישארו במצב 'בהמתנה' לזמן בלתי מוגבל עד שהבעיה הבסיסית תיפתר.

נדחתה

החיבור ל-Private Service Connect לא נוצר. תעבורת הנתונים ברשת לא יכולה לעבור בין שתי הרשתות. יכול להיות שהסטטוס של החיבור יהיה כזה מהסיבות הבאות:

נדרשת התייחסות יש בעיה בצד של המפיק בחיבור. יכול להיות שחלק מעומס התנועה הקל יעבור בין שתי הרשתות, אבל יכול להיות שחלק מהחיבורים לא יפעלו. לדוגמה, יכול להיות שרשת המשנה של NAT של המפיק מוצתה ולא ניתן להקצות כתובות IP לחיבורים חדשים.
סגור

הקובץ המצורף עם השירות נמחק, והחיבור של Private Service Connect נסגר. תעבורת הנתונים ברשת לא יכולה לעבור בין שתי הרשתות.

חיבור סגור הוא מצב סופי. כדי לשחזר את החיבור, צריך ליצור מחדש את קובץ השירות ואת נקודת הקצה או את ה-backend.

חיבורים שהועברו

צרכנים שמתחברים ל-Service Attachment באמצעות נקודות קצה יכולים להפעיל הפצה של חיבורים. חיבורים שהועברו מאפשרים לעומסי עבודה ברשתות מסוג Hub and Spoke של צרכן VPC לגשת לשירותים מנוהלים ברשתות VPC של יצרן, כאילו שתי רשתות ה-VPC היו מחוברות ישירות דרך נקודות קצה. כל חיבור שמופץ צורך כתובת IP מרשת המשנה של NAT של קובץ ה-Service Attachment.

כשמציגים את הפרטים של שירות שפורסם, אפשר לראות את מספר החיבורים שהועברו ומשויכים לנקודת קצה מקושרת. הספירה הזו לא כוללת חיבורים שהועברו וחסימתם נגרמה בגלל חריגה ממגבלת החיבורים שהועברו של המפיק.

מידע על בדיקת הסטטוס של חיבורים שהועברו זמין במאמר סטטוס ההעברה של חיבור Private Service Connect.

מגבלת חיבורים שהועברה

לחיבורי שירות יש מגבלת חיבורים שמועברת הלאה, שמאפשרת לבעלי השירות המנוהל להגביל את מספר החיבורים שמועברים הלאה שאפשר ליצור לחיבור השירות מצרכן יחיד. אם לא מציינים ערך, מגבלת ברירת המחדל של החיבורים שמועברים היא 250.

  • אם העדפת החיבור של קובץ השירות היא ACCEPT_MANUAL, המגבלה חלה על סמך סוג הצרכן ברשימת הצרכנים המורשים:
    • ברשימות של צרכנים שמבוססות על פרויקטים, המגבלה חלה על כל פרויקט ברשימה.
    • במקרה של רשימות צרכנים שמבוססות על רשתות VPC, המגבלה חלה על כל רשת ברשימה.
    • ברשימות של צרכנים שמבוססות על נקודות קצה של Private Service Connect, המגבלה חלה על הפרויקט של כל נקודת קצה ברשימה. אם כמה נקודות קצה מאותו פרויקט מופיעות ברשימה, הן חולקות את אותה מגבלה.
  • אם העדפת החיבור היא ACCEPT_AUTOMATIC, המגבלה חלה על כל פרויקט שמכיל נקודת קצה מחוברת.

אם צרכן חורג ממגבלת החיבורים שהועברו, לא נוצרים חיבורים נוספים שהועברו. חריגה מהמגבלה לא משנה את סטטוס החיבור של נקודת הקצה שמופצת. כדי לאפשר יצירה של עוד נקודות קצה שהחיבור אליהן מועבר, אפשר להגדיל את מגבלת החיבורים המועברים. כשמגדילים את המגבלה הזו, Network Connectivity Center ‏(NCC) יוצר חיבורים שהועברו שנחסמו בגלל המגבלה, כל עוד החיבורים החדשים לא חורגים מהמגבלה המעודכנת. עדכון המגבלה הזו לא משפיע על חיבורים קיימים שהועברו.

כדי לדעת אם חרגתם ממגבלת החיבור שהועברה, אתם יכולים לראות את סטטוס העברת החיבור של Private Service Connect.

מניעת מיצוי המכסה

מספר נקודות הקצה של Private Service Connect והחיבורים שהועברו, מכל צרכן, שיכולים לגשת לרשת ה-VPC של הספק, מוגבל על ידי מכסת PSC ILB consumer forwarding rules per producer VPC network. במיוחד כשמדובר בשירותים עם מספר דיירים, חשוב להגן על המכסה הזו כדי שלא תנוצל עד הסוף.

כדי למנוע חריגה מהמכסה, אפשר להשתמש במגבלות הבאות:

  • מגבלות החיבור ברשימת ההיתרים של הצרכן קובעות את המספר הכולל של נקודות קצה (endpoints) מסוג Private Service Connect שיכולות ליצור חיבורים לצירוף שירות מרשת VPC או מפרויקט של צרכן יחיד. הורדת המגבלות האלה לא תשפיע על חיבורים קיימים. המגבלות האלה לא חלות על חיבורים שהועברו.
  • מגבלות על חיבורים שהועברו קובעות את המספר הכולל של חיבורים שהועברו שאפשר ליצור לחיבור שירות מצרכן יחיד. הורדת המגבלה הזו לא משפיעה על חיבורים קיימים שהועברו.

דוגמה למכסות ולמגבלות על חיבורים

בדוגמה הבאה מוצגות מגבלות על חיבורים שמועברות ומגבלות על רשימת ההיתרים של הצרכן ביחס למכסת PSC ILB consumer forwarding rules per producer VPC network.

נניח שצרכן יצר שתי נקודות קצה ברשת VPC מסוג spoke, ‏ spoke-vpc-1. שתי נקודות הקצה מתחברות אל service-attachment-1 ב-producer-vpc-1. הענף מחובר למרכז NCC שבו מופעלת העברת חיבורים, ואין ענפים אחרים שמחוברים למרכז הזה.

בעלים של שירות מנוהל הגדיר את service-attachment-1 כך שלכל פרויקט ברשימת ההיתרים יש מגבלה של ארבעה צרכנים. המפיק הגדיר מגבלת חיבור של שניים, כלומר בפרויקט אחד יכולים להיות עד שני חיבורים.

הגדרת הדוגמה הזו מכילה שתי נקודות קצה ולא חיבורים שהועברו (אפשר ללחוץ כדי להגדיל).

מכסת השימוש והמגבלות של ההגדרה הזו הן:

מכסה / מגבלה Usage הסבר
כללי העברה של מאזן עומסים פנימי (ILB) של PSC לכל רשת VPC של יצרן 2 אחת לכל נקודת קצה
מגבלת החיבורים ברשימת ההסכמה של צרכנים לחיבור שירות consumer-project-1 2 אחת לכל נקודת קצה
מגבלת החיבורים שהועברה מקובץ מצורף של שירות עבור consumer-project-1 0 לא הועברו חיבורים

נניח ש-consumer-project-1 מחבר רשת מסוג Spoke נוספת בשם spoke-vpc-2 לאותו מרכז NCC כמו spoke-vpc-1. כך נוצרים שני חיבורים שהועברו ב-consumer-project-1, אחד לכל נקודת קצה קיימת.

הגדרת הדוגמה הזו מכילה שתי נקודות קצה ושני חיבורים שהועברו (אפשר ללחוץ כדי להגדיל).

מכסת השימוש והמגבלות של ההגדרה הזו הן:

מכסה / מגבלה Usage הסבר
כללי העברה של מאזן עומסים פנימי (ILB) של PSC לכל רשת VPC של יצרן 4 אחד לכל נקודת קצה ואחד לכל חיבור שהועבר
מגבלת החיבורים ברשימת ההסכמה של צרכנים לחיבור שירות consumer-project-1 2 אחת לכל נקודת קצה
מגבלת החיבורים שהועברה מקובץ מצורף של שירות עבור consumer-project-1 2 אחד לכל חיבור שמופץ

Consumer-project-1 הגיע למגבלת החיבורים המועברת שלו. אם הצרכן מוסיף עוד רשת מסוג Hub and Spoke,‏ Private Service Connect לא יוצר חיבורים חדשים שמופצים.

נניח שלקוח אחר יש שני מרכזי VPC ב-consumer-project-2. החיבורים של הרשתות המקומיות מתבצעים למרכז NCC עם הפעלת העברת חיבורים. אחד ממרכזי ה-VPC מכיל נקודת קצה אחת שמחוברת אל service-attachment-1.

הגדרת הדוגמה הזו מכילה שלוש נקודות קצה ושלושה חיבורים שהועברו (אפשר ללחוץ כדי להגדיל).

מכסת השימוש והמגבלות של ההגדרה הזו הן:

מכסה / מגבלה Usage הסבר
כללי העברה של מאזן עומסים פנימי (ILB) של PSC לכל רשת VPC של יצרן 6 ארבעה מ-consumer-project-1 ושניים מ-consumer-project-2
מגבלת החיבורים ברשימת ההסכמה של צרכנים לחיבור שירות consumer-project-1 2 אחד לכל נקודת קצה ב-consumer-project-1
מגבלת החיבורים ברשימת ההסכמה של צרכנים לחיבור שירות consumer-project-2 1 אחד לכל נקודת קצה ב-consumer-project-2
מגבלת החיבורים שהועברה מקובץ מצורף של שירות עבור consumer-project-1 2 אחד לכל חיבור שמועבר בconsumer-project-1
מגבלת החיבורים שהועברה מקובץ מצורף של שירות עבור consumer-project-2 1 אחד לכל חיבור שמועבר בconsumer-project-2