מידע על שליטה בגישה לשירותים שפורסמו

בדף הזה מוסבר על התכונות שבהן אפשר להשתמש כדי לשלוט בגישה לשירותים שמתפרסמים באמצעות Private Service Connect.

העדפות חיבור

לכל קובץ מצורף של שירות יש העדפת חיבור שקובעת אם החיבורים יתקבלו באופן אוטומטי.

אישור אוטומטי של כל החיבורים. קובץ השירות מקבל אוטומטית את כל בקשות החיבור הנכנסות מכל צרכן.
אישור מפורש של חיבורים מצרכנים נבחרים. החיבור של קובץ השירות יתבצע רק אם הצרכן נמצא ברשימת הצרכנים המורשים של קובץ השירות. אפשר לציין צרכנים לפי פרויקט, רשת VPC או נקודת קצה ספציפית של Private Service Connect (גרסת Preview). אי אפשר לכלול סוגים שונים של צרכנים באותה רשימת צרכנים שהסכימו או דחו את התנאים.

בכל אחת מהעדפות החיבור, אפשר לבטל את החיבורים שאושרו ולדחות אותם באמצעות מדיניות ארגונית שחוסמת חיבורים נכנסים.

מומלץ לאשר באופן מפורש את החיבורים עבור צרכנים נבחרים. יכול להיות שיהיה לכם נוח לאשר אוטומטית את כל החיבורים אם אתם שולטים בגישת הצרכנים באמצעים אחרים ורוצים לאפשר גישה לשירות שלכם.

רשימות של צרכנים שאושרו ונדחו

רשימות של צרכנים שאפשר להוסיף ורשימות של צרכנים שאסור להוסיף הן תכונות אבטחה של קבצים מצורפים לשירות. הרשימות האלה מאפשרות לבעלי שירותים מנוהלים לציין אילו צרכנים יכולים ליצור חיבורים של Private Service Connect לשירותים שלהם. כשמגדירים אישור מפורש לחיבור שירות, חיבור חדש מתקבל רק אם הלקוח נמצא ברשימת האישורים ולא ברשימת הדחיות. עדכונים ברשימות של צרכנים משפיעים רק על חיבורים חדשים, אלא אם מפעילים את התאמת חיבורים.

רשימות הצרכנים המורשים והלא מורשים מאפשרות לכם לציין צרכנים באחת מהדרכים הבאות:

פרויקט
רשת VPC
נקודת קצה מסוג Private Service Connect‏ (Preview)

השיטה הזו לא רלוונטית לקצוות עורפיים של Private Service Connect.

אם מוסיפים את אותו צרכן לרשימות של אישור ודחייה, הצרכן הזה לא יכול להתחבר ל-service attachment. ציון צרכנים לפי תיקייה אינו נתמך.

שתי רשימות הצרכנים של קובץ מצורף לשירות צריכות להכיל את אותו סוג של צרכן. לדוגמה, אם מוסיפים פרויקט לרשימת ההיתרים, אי אפשר להוסיף לרשימה רשת VPC או URI של נקודת קצה, אלא אם מחליפים את הפרויקט ברשימת ההיתרים בסוג החדש של צרכן.

אם רוצים לפרסם שירות שמקבל סוגים שונים של צרכנים, אפשר ליצור כמה קבצים מצורפים של שירותים שמתחברים לאותו שירות. אפשר להגדיר לכל קובץ מצורף של שירות העדפות חיבור משלו ורשימות צרכנים משלו.

אפשר לשנות את סוג הצרכן ברשימות צרכנים בלי להפריע לחיבורים, אבל השינוי חייב להתבצע בעדכון אחד. אחרת, הפעולה תיכשל.

יש הגבלות על מספר הצרכנים שאפשר להוסיף לרשימות ההסכמה והדחייה:

אפשר להוסיף עד 5,000 ערכים לרשימת הצרכנים המותרים.
אפשר להוסיף עד 64 ערכים לרשימת הדחיות של הצרכנים.

רשימות צרכנים קובעות אם נקודת קצה או קצה עורפי יכולים להתחבר לשירות שפורסם, אבל הן לא קובעות מי יכול לשלוח בקשות לנקודת הקצה הזו. לדוגמה, נניח שלצרכן יש רשת VPC משותפת שמצורפים אליה שני פרויקטים של שירותים. אם שירות שפורסם כולל את service-project1 ברשימת הצרכנים המורשים ואת service-project2 ברשימת הצרכנים הדחויים, התנאים הבאים חלים:

צרכן ב-service-project1 יכול ליצור נקודת קצה שמתחברת לשירות שפורסם.
צרכן ב-service-project2 לא יכול ליצור נקודת קצה שמתחברת לשירות שפורסם.
לקוח ב-service-project2 יכול לשלוח בקשות לנקודת הקצה ב-service-project1, אם אין כללי חומת אש או מדיניות שמונעים את התנועה הזו.

מידע על האינטראקציה בין רשימות היתרים לצרכנים לבין מדיניות הארגון זמין במאמר אינטראקציה בין רשימות היתרים לצרכנים לבין מדיניות הארגון.

מגבלות על רשימות של צרכנים שאושרו

יש מגבלות על מספר החיבורים ברשימות של צרכנים שאפשר לקבל מהם בקשות. ההגבלות האלה קובעות את המספר הכולל של נקודות קצה וחיבורי קצה עורפיים של Private Service Connect שניתן לקבל מצרכן הפרויקט או מרשת ה-VPC שצוינו. אין השפעה להגדרת מגבלות חיבור לרשימות של כתובות IP שאפשר לגשת אליהן שמבוססות על נקודת קצה מסוג Private Service Connect, כי רק נקודת קצה אחת יכולה להתאים למזהה URI נתון.

מפיקים יכולים להשתמש בהגבלות על חיבורים כדי למנוע מצרכנים בודדים לנצל את כל כתובות ה-IP או את מכסות המשאבים ברשת ה-VPC של המפיק. כל חיבור שאושר ב-Private Service Connect מוריד מהמגבלה שהוגדרה לפרויקט של צרכן או לרשת VPC. ההגבלות נקבעות כשיוצרים או מעדכנים רשימות של צרכנים שהביעו הסכמה. אפשר לראות את החיבורים של קובץ מצורף לשירות כשמתארים קובץ מצורף לשירות.

חיבורים שהועברו לא נספרים במגבלות האלה.

לדוגמה, נניח שיש קובץ מצורף לשירות עם רשימת צרכנים שאושרו שכוללת את project-1 ואת project-2, ולכל אחד מהם יש מגבלה של חיבור אחד. בפרויקט project-1 נדרשים שני חיבורים, בפרויקט project-2 נדרש חיבור אחד ובפרויקט project-3 נדרש חיבור אחד. ב-project-1 יש הגבלה של חיבור אחד, ולכן החיבור הראשון מתקבל והחיבור השני נשאר בהמתנה. החיבור מ-project-2 אושר, והחיבור מ-project-3 עדיין בהמתנה. אפשר לאשר את החיבור השני מ-project-1 על ידי הגדלת המגבלה של project-1. אם מוסיפים את project-3 לרשימת הצרכנים המאושרים, החיבור הזה עובר ממצב בהמתנה למצב מאושר.

התאמת החיבור

התאמת החיבור קובעת אם עדכונים לרשימות הקבלה או הדחייה של קובץ מצורף לשירות יכולים להשפיע על חיבורים קיימים של Private Service Connect. אם ההתאמה של החיבורים מופעלת, עדכון של רשימות האישור או הדחייה עלול להפסיק חיבורים קיימים. יכול להיות שחיבורים שנדחו בעבר יאושרו. אם השבתתם את תיאום החיבורים, עדכון רשימות ההסכמה או הדחייה ישפיע רק על חיבורים חדשים וממתינים.

לדוגמה, נניח שיש קובץ מצורף לשירות עם כמה חיבורים שאושרו מ-Project-A. ‫Project-A מופיע ברשימת ההיתרים של קובץ השירות. קובץ ה-Service Attachment מתעדכן על ידי הסרת Project-A מרשימת ההיתרים.

אם הפעלתם את האפשרות 'התאמת חיבורים', כל החיבורים הקיימים מ-Project-A יעברו ל-PENDING, מה שיגרום לסיום הקישוריות בין שתי רשתות ה-VPC ויפסיק מיד את תעבורת הרשת.

אם השבתתם את ההתאמה של החיבורים, זה לא ישפיע על חיבורים קיימים מ-Project-A. תעבורת הנתונים ברשת יכולה להמשיך לזרום דרך חיבורי Private Service Connect הקיימים. עם זאת, אי אפשר ליצור חיבורים חדשים של Private Service Connect.

מידע על הגדרת תיאום חיבורים לצירופי שירות חדשים זמין במאמר פרסום שירות עם אישור מפורש.

מידע על הגדרת תיאום חיבורים לצירופי שירות קיימים זמין במאמר הגדרת תיאום חיבורים.

אישור או דחייה של חיבורים לנקודות קצה של Private Service Connect

אתם יכולים לאשר או לדחות חיבורים של נקודות קצה מסוג Private Service Connect בנפרד, על ידי הוספת ה-URI מבוסס-ה-ID של נקודת הקצה לאחת מרשימות הצרכנים של קובץ השירות. הגישה הזו, שמומלצת לשירותים עם דיירים מרובים, מספקת את השליטה המפורטת ביותר בניהול החיבורים. האפשרות 'קבלת צרכנים באמצעות נקודת קצה של Private Service Connect' חלה רק על נקודות קצה של Private Service Connect ולא תומכת בעורפי קצה של Private Service Connect.

בניגוד לפרויקטים או לרשתות VPC, אפשר רק לאשר או לדחות נקודת קצה ספציפית של Private Service Connect אחרי שהצרכן יוצר את נקודת הקצה. הסיבה לכך היא שאי אפשר לדעת את ה-URI הייחודי של נקודת הקצה עד שהצרכן יוצר את נקודת הקצה. כדי להוסיף נקודת קצה לרשימת הלקוחות המורשים, צריך לבצע את השלבים הבאים:

הבעלים של השירות המנוהל מפרסם שירות שדורש אישור מפורש, בלי להוסיף ערכים לרשימת ההסכמה של צרכן השירות.
צרכן יוצר נקודת קצה שמתחברת לשירות שפורסם. החיבור מוצג בקובץ המצורף לשירות עם הסטטוס Pending.
כדי למצוא את ה-URI מבוסס-ה-ID של נקודת הקצה בהמתנה, הבעלים של השירות יכול להוסיף תיאור לחיבור השירות, או שהצרכן יכול להוסיף תיאור לנקודת הקצה.
הבעלים של השירות המנוהל מוסיף את ה-URI מבוסס המזהה של נקודת הקצה לרשימת ההיתרים של צרכן השירות. החיבור נוצר והסטטוס שלו משתנה ל-Accepted.

סטטוסים של חיבורים

לנקודות קצה, לקצוות עורפיים ולחיבורי שירות של Private Service Connect יש סטטוסים של חיבור שמתארים את מצב החיבורים שלהם. למשאבי הצרכן והבעלים שיוצרים את שני הצדדים של החיבור תמיד יש את אותו סטטוס. אפשר לראות את סטטוס החיבור כשמציגים את פרטי נקודת הקצה, מתארים את ה-backend או מציגים את הפרטים של שירות שפורסם.

בטבלה הבאה מפורטים הסטטוסים האפשריים.

סטטוס החיבור	תיאור
אושרה	החיבור ל-Private Service Connect נוצר. יש קישוריות בין שתי רשתות ה-VPC, והחיבור פועל כרגיל.
בהמתנה	החיבור של Private Service Connect לא נוצר, ולא ניתן להעביר תנועה ברשת בין שתי הרשתות. יכול להיות שהסטטוס של החיבור יהיה כזה מהסיבות הבאות: נדרש אישור מפורש לצירוף השירות, והצרכן לא נמצא ברשימת הצרכנים המורשים. מספר החיבורים חורג ממגבלת החיבורים של קובץ השירות. חיבורים שנחסמו מהסיבות האלה יישארו במצב 'בהמתנה' לזמן בלתי מוגבל עד שהבעיה הבסיסית תיפתר.
נדחתה	החיבור ל-Private Service Connect לא נוצר. תעבורת הנתונים ברשת לא יכולה לעבור בין שתי הרשתות. יכול להיות שהסטטוס של החיבור יהיה כזה מהסיבות הבאות: מדיניות הארגון של היצרן דחתה את החיבור. ‫A consumer reject list rejected the connection.
נדרשת התייחסות	יש בעיה בצד של המפיק בחיבור. יכול להיות שחלק מעומס התנועה הקל יעבור בין שתי הרשתות, אבל יכול להיות שחלק מהחיבורים לא יפעלו. לדוגמה, יכול להיות שרשת המשנה של NAT של היצרן מלאה ואין אפשרות להקצות כתובות IP לחיבורים חדשים.
סגור	הקובץ המצורף עם השירות נמחק, והחיבור של Private Service Connect נסגר. תעבורת הנתונים ברשת לא יכולה לעבור בין שתי הרשתות. חיבור סגור הוא מצב סופי. כדי לשחזר את החיבור, צריך ליצור מחדש את קובץ השירות ואת נקודת הקצה או את ה-backend.

חיבורים שהועברו

צרכנים שמתחברים ל-Service Attachment באמצעות נקודות קצה יכולים להפעיל הפצה של חיבורים. חיבורים שהועברו מאפשרים לעומסי עבודה ברשתות צרכנים מסוג Hub and Spoke של VPC לגשת לשירותים מנוהלים ברשתות VPC של ספקי שירותים, כאילו שתי רשתות ה-VPC היו מחוברות ישירות דרך נקודות קצה. כל חיבור שמופץ צורך כתובת IP מתת-רשת ה-NAT של קובץ השירות.

כשמציגים את הפרטים של שירות שפורסם, אפשר לראות את מספר החיבורים שהועברו ומשויכים לנקודת קצה מקושרת. הספירה הזו לא כוללת חיבורים שהועברו וחסימתם נגרמה בגלל המגבלה על חיבורים שהועברו של היצרן.

מידע על בדיקת הסטטוס של חיבורים שהועברו זמין במאמר סטטוס ההעברה של חיבור Private Service Connect.

מגבלת חיבורים שהועברה

לחיבורי שירות יש מגבלת חיבורים שמועברת הלאה, שמאפשרת לבעלי השירות המנוהל להגביל את מספר החיבורים שמועברים הלאה שאפשר ליצור לחיבור השירות מצרכן יחיד. אם לא מציינים ערך, מגבלת ברירת המחדל של הקישורים שמועברים היא 250.

אם העדפת החיבור של קובץ השירות היא ACCEPT_MANUAL, המגבלה חלה על סמך סוג הצרכן ברשימת הצרכנים המורשים:
- ברשימות של צרכנים שמבוססות על פרויקטים, המגבלה חלה על כל פרויקט ברשימה.
- במקרה של רשימות צרכנים שמבוססות על רשתות VPC, המגבלה חלה על כל רשת ברשימה.
- ברשימות של צרכנים שמורשים לגשת לנקודות קצה ב-Private Service Connect ‏(Preview), המגבלה חלה על הפרויקט של כל נקודת קצה ברשימה. אם כמה נקודות קצה מאותו פרויקט מופיעות ברשימה, הן חולקות מכסה אחת.
אם העדפת החיבור היא ACCEPT_AUTOMATIC, המגבלה חלה על כל פרויקט שמכיל נקודת קצה מחוברת.

אם צרכן חורג ממגבלת החיבורים שהועברו, לא נוצרים חיבורים נוספים שהועברו. חריגה מהמגבלה לא משנה את סטטוס החיבור של נקודת הקצה שמופצת. כדי לאפשר יצירה של עוד נקודות קצה שהחיבור אליהן מועבר, אפשר להגדיל את מגבלת החיבורים המועברים. כשמגדילים את המגבלה הזו, Network Connectivity Center יוצר חיבורים שהועברו ונחסמו בגלל המגבלה, כל עוד החיבורים החדשים לא חורגים מהמגבלה המעודכנת. עדכון המגבלה הזו לא משפיע על קשרים קיימים שהועברו.

כדי לדעת אם חרגתם ממגבלת החיבור שהועברה, אתם יכולים לראות את סטטוס העברת החיבור של Private Service Connect.

מניעת מיצוי המכסה

מספר נקודות הקצה של Private Service Connect והחיבורים המועברים, מכל צרכן, שיכולים לגשת לרשת ה-VPC של הספק, מוגבל על ידי PSC ILB consumer forwarding rules per producer VPC network מכסת. במיוחד כשמדובר בשירותים עם ריבוי דיירים, חשוב להגן על המכסה הזו כדי שלא תנוצל עד תום.

כדי למנוע חריגה מהמכסה, אפשר להשתמש במגבלות הבאות:

מגבלות החיבור ברשימת ההסכמה של הצרכן קובעות את המספר הכולל של נקודות קצה (endpoints) מסוג Private Service Connect שיכולות ליצור חיבורים לצירוף שירות מרשת VPC או מפרויקט של צרכן יחיד. הורדת המגבלות האלה לא משפיעה על חיבורים קיימים. המגבלות האלה לא חלות על חיבורים שמועברים.
מגבלות על חיבורים שהועברו קובעות את המספר הכולל של חיבורים שהועברו שאפשר ליצור לחיבור שירות מצרכן יחיד. הורדת המגבלה הזו לא משפיעה על חיבורים קיימים שהועברו.

דוגמה למכסה ולמגבלות על חיבורים

בדוגמה הבאה מוצגות מגבלות על חיבורים שהועברו ומגבלות על רשימת ההיתרים של הצרכן ביחס למכסת PSC ILB consumer forwarding rules per producer VPC network.

נניח שצרכן יצר שתי נקודות קצה ברשת VPC מסוג Hub and Spoke, ‏ spoke-vpc-1. שתי נקודות הקצה מתחברות אל service-attachment-1 ב-producer-vpc-1. ה-spoke מחובר ל-hub של NCC שבו מופעלת העברת חיבורים, ואין spokes אחרים שמחוברים ל-hub הזה.

בעלים של שירות מנוהל הגדיר את service-attachment-1 כך שלכל פרויקט ברשימת ההיתרים יש מגבלה של ארבעה צרכנים. המפיק הגדיר מגבלת חיבור מופצת של שניים, כלומר בפרויקט אחד יכולים להיות עד שני חיבורים מופצים.

הגדרת הדוגמה הזו מכילה שתי נקודות קצה ולא חיבורים שהועברו (אפשר ללחוץ כדי להגדיל).

השימוש במכסה ובמגבלה של ההגדרה הזו הוא כדלקמן:

מכסה / מגבלה	Usage	הסבר
כללי העברה של צרכן ILB של PSC לכל רשת VPC של ספק	2	אחת לכל נקודת קצה
מגבלת החיבורים ברשימת הצרכנים המורשים של קובץ מצורף לשירות עבור `consumer-project-1`	2	אחת לכל נקודת קצה
מגבלת החיבורים שהועברה לקובץ המצורף של השירות `consumer-project-1`	0	לא הועברו חיבורים

נניח ש-consumer-project-1 מחבר עוד רכיב spoke בשם spoke-vpc-2 לאותו רכזת NCC כמו spoke-vpc-1. כך נוצרים שני חיבורים שהועברו ב-consumer-project-1, אחד לכל נקודת קצה קיימת.

הגדרת הדוגמה הזו מכילה שתי נקודות קצה ושני חיבורים שהועברו (אפשר ללחוץ כדי להגדיל).

מכסת השימוש והמגבלות של ההגדרה הזו הן:

מכסה / מגבלה	Usage	הסבר
כללי העברה של צרכן ILB של PSC לכל רשת VPC של ספק	4	אחד לכל נקודת קצה ואחד לכל חיבור שהועבר
מגבלת החיבורים ברשימת הצרכנים המורשים של קובץ מצורף לשירות עבור `consumer-project-1`	2	אחת לכל נקודת קצה
מגבלת החיבורים שהועברה לקובץ המצורף של השירות `consumer-project-1`	2	אחד לכל חיבור שמועבר

Consumer-project-1 הגיע למגבלת החיבורים שהועברו. אם הצרכן מוסיף עוד רשת מסוג spoke של VPC,‏ Private Service Connect לא יוצר חיבורים חדשים שמופצים.

נניח שלקוח אחר יש שני מרכזי VPC ב-consumer-project-2. החיבורים בין הרכזת לבין הרשתות המקומיות מופעלים. אחד ממרכזי ה-VPC מכיל נקודת קצה אחת שמחוברת אל service-attachment-1.

הגדרת הדוגמה הזו מכילה שלוש נקודות קצה ושלושה חיבורים שהועברו (אפשר ללחוץ כדי להגדיל).

מכסת השימוש והמגבלות של ההגדרה הזו הן:

מכסה / מגבלה	Usage	הסבר
כללי העברה של צרכן ILB של PSC לכל רשת VPC של ספק	6	ארבעה מ-`consumer-project-1` ושניים מ-`consumer-project-2`
מגבלת החיבורים ברשימת הצרכנים המורשים של קובץ מצורף לשירות עבור `consumer-project-1`	2	אחד לכל נקודת קצה ב-`consumer-project-1`
מגבלת החיבורים ברשימת הצרכנים המורשים של קובץ מצורף לשירות עבור `consumer-project-2`	1	אחד לכל נקודת קצה ב-`consumer-project-2`
מגבלת החיבורים שהועברה לקובץ המצורף של השירות `consumer-project-1`	2	אחד לכל חיבור שמועבר ב`consumer-project-1`
מגבלת החיבורים שהועברה לקובץ המצורף של השירות `consumer-project-2`	1	אחד לכל חיבור שמועבר ב`consumer-project-2`