Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sul controllo dell'accesso ai servizi pubblicati

Questa pagina descrive le funzionalità che puoi utilizzare per controllare l'accesso ai servizi pubblicati utilizzando Private Service Connect.

Preferenze di connessione

Ogni collegamento al servizio ha una preferenza di connessione che controlla se le connessioni vengono accettate automaticamente.

Accetta automaticamente tutte le connessioni. L'allegato di servizio accetta automaticamente tutte le richieste di connessione in entrata da qualsiasi consumer.
Accetta esplicitamente le connessioni dai consumatori selezionati. L'allegato di servizio accetta richieste di connessione in entrata solo se il consumer si trova nell'elenco di accettazione dei consumer dell'allegato di servizio. Puoi specificare i consumer per progetto, rete VPC o singolo endpoint Private Service Connect (anteprima). Non puoi includere diversi tipi di consumatori nello stesso elenco di accettazione o rifiuto dei consumatori.

Per entrambe le preferenze di connessione, le connessioni accettate possono essere sostituite e rifiutate da un criterio dell'organizzazione che blocca le connessioni in entrata.

Ti consigliamo di accettare esplicitamente le connessioni per i consumatori selezionati. L'accettazione automatica di tutte le connessioni potrebbe essere appropriata se controlli l'accesso dei consumatori con altri mezzi e vuoi abilitare l'accesso permissivo al tuo servizio.

Elenchi di accettazione e rifiuto dei consumatori

Gli elenchi di accettazione dei consumer e gli elenchi di rifiuto dei consumer sono una funzionalità di sicurezza degli allegati del servizio. Questi elenchi consentono ai producer di servizi di specificare quali consumer possono stabilire connessioni Private Service Connect ai loro servizi. Quando un collegamento di servizio è configurato per l'approvazione esplicita, una nuova connessione viene accettata solo se il consumer è presente nell'elenco di accettazione e non in quello di rifiuto. Gli aggiornamenti agli elenchi di consumer influiscono solo sulle nuove connessioni, a meno che non sia abilitata la riconciliazione delle connessioni.

Gli elenchi di consumatori accettati e rifiutati ti consentono di specificare i consumatori in uno dei seguenti modi:

Progetto
Rete VPC
Endpoint Private Service Connect (anteprima)

Questo metodo non si applica ai backend Private Service Connect.

Se aggiungi lo stesso consumer sia all'elenco di accettazione sia a quello di rifiuto, il consumer non potrà connettersi al collegamento del servizio. La specifica dei consumatori per cartella non è supportata.

Entrambi gli elenchi di consumer di un collegamento del servizio devono contenere lo stesso tipo di consumer. Ad esempio, se aggiungi un progetto a un elenco di accettazione, non puoi aggiungere un URI di rete VPC o endpoint a nessuno dei due elenchi, a meno che tu non sostituisca il progetto nell'elenco di accettazione con il nuovo tipo di consumer.

Se vuoi pubblicare un servizio che accetta diversi tipi di consumer, puoi creare più collegamenti al servizio che si connettono allo stesso servizio. Ogni collegamento al servizio può essere configurato con le proprie preferenze di connessione ed elenchi di consumer.

Puoi modificare il tipo di consumatore negli elenchi di consumatori senza interrompere le connessioni, ma devi apportare la modifica in un unico aggiornamento. In caso contrario, l'operazione non andrà a buon fine.

Esistono limiti al numero di consumatori che puoi aggiungere agli elenchi di accettazione e rifiuto:

Puoi aggiungere un massimo di 5000 valori all'elenco di accettazione dei consumatori.
Puoi aggiungere un massimo di 64 valori all'elenco di rifiuto dei consumatori.

Gli elenchi di consumer controllano se un endpoint o un backend può connettersi a un servizio pubblicato, ma non controllano chi può inviare richieste a quell'endpoint. Ad esempio, supponiamo che un consumer abbia una rete VPC condivisa a cui sono collegati due progetti di servizio. Se un servizio pubblicato ha service-project1 nell'elenco di accettazione dei consumatori e service-project2 nell'elenco di rifiuto dei consumatori, si applica quanto segue:

Un consumer in service-project1 può creare un endpoint che si connette al servizio pubblicato.
Un consumatore in service-project2 non può creare un endpoint che si connette al servizio pubblicato.
Un client in service-project2 può inviare richieste all'endpoint in service-project1, se non esistono regole o criteri firewall che impediscono questo traffico.

Per informazioni su come gli elenchi di accettazione dei consumatori interagiscono con le norme dell'organizzazione, vedi Interazione tra gli elenchi di accettazione dei consumatori e le norme dell'organizzazione.

Limiti per gli elenchi di accettazione dei consumatori

Gli elenchi di accettazione dei consumatori hanno limiti di connessione. Questi limiti impostano il numero totale di connessioni di endpoint e backend Private Service Connect che un collegamento al servizio può accettare dal progetto consumer o dalla rete VPC specificati. La specifica dei limiti di connessione per gli elenchi di accettazione basati su endpoint Private Service Connect non ha effetto, perché solo un endpoint può corrispondere a un determinato URI.

I producer possono utilizzare i limiti di connessione per impedire ai singoli consumer di esaurire gli indirizzi IP o le quote di risorse nella rete VPC producer. Ogni connessione Private Service Connect accettata viene sottratta dal limite configurato per un progetto consumer o una rete VPC. I limiti vengono impostati quando crei o aggiorni gli elenchi di accettazione dei consumatori. Puoi visualizzare le connessioni di un collegamento del servizio quando descrivi un collegamento del servizio.

Le connessioni propagate non vengono conteggiate ai fini di questi limiti.

Ad esempio, considera un caso in cui un collegamento del servizio ha un elenco di accettazione dei consumer che include project-1 e project-2, entrambi con un limite di una connessione. Il progetto project-1 richiede due connessioni, project-2 ne richiede una e project-3 ne richiede una. Poiché project-1 ha un limite di una connessione, la prima connessione viene accettata e la seconda rimane in attesa. La connessione da project-2 è accettata e la connessione da project-3 rimane in attesa. La seconda connessione da project-1 può essere accettata aumentando il limite per project-1. Se project-3 viene aggiunto all'elenco di accettazione dei consumatori, la connessione passa da in attesa ad accettata.

Riconciliazione delle connessioni

La riconciliazione delle connessioni determina se gli aggiornamenti agli elenchi di accettazione o rifiuto di un collegamento di servizio possono influire sulle connessioni Private Service Connect esistenti. Se la riconciliazione delle connessioni è abilitata, l'aggiornamento degli elenchi di accettazione o rifiuto può interrompere le connessioni esistenti. Le connessioni precedentemente rifiutate possono essere accettate. Se la riconciliazione delle connessioni è disattivata, l'aggiornamento degli elenchi di accettazione o rifiuto influisce solo sulle connessioni nuove e in attesa.

Ad esempio, considera un service attachment con diverse connessioni accettate da Project-A. Project-A è presente nell'elenco di accettazione dell'allegato di servizio. L'allegato di servizio viene aggiornato rimuovendo Project-A dall'elenco di accettazione.

Se la riconciliazione delle connessioni è abilitata, tutte le connessioni esistenti da Project-A passano a PENDING, il che termina la connettività di rete tra le due reti VPC e interrompe immediatamente il traffico di rete.

Se la riconciliazione delle connessioni è disattivata, le connessioni esistenti da Project-A non sono interessate. Il traffico di rete può comunque fluire attraverso le connessioni Private Service Connect esistenti. Tuttavia, non sono consentite nuove connessioni Private Service Connect.

Per informazioni sulla configurazione della riconciliazione delle connessioni per i nuovi allegati di servizio, consulta Pubblicare un servizio con approvazione esplicita.

Per informazioni sulla configurazione della riconciliazione delle connessioni per i service attachment esistenti, consulta Configurare la riconciliazione delle connessioni.

Accettare o rifiutare le connessioni degli endpoint Private Service Connect

Puoi accettare o rifiutare singole connessioni endpoint Private Service Connect aggiungendo l'URI basato sull'ID dell'endpoint a uno degli elenchi consumer di un collegamento al servizio. Questo approccio, consigliato per i servizi multi-tenant, fornisce il controllo più granulare per la gestione delle connessioni. L'accettazione dei consumer per endpoint Private Service Connect si applica solo agli endpoint Private Service Connect e non supporta i backend Private Service Connect.

A differenza dei progetti o delle reti VPC, puoi accettare o rifiutare un singolo endpoint Private Service Connect solo dopo che il consumer lo ha creato. Questo perché l'URI univoco di un endpoint non è noto finché il consumer non lo crea. L'aggiunta di un endpoint a un elenco di accettazione dei consumatori prevede i seguenti passaggi:

Il producer pubblica un servizio che richiede l'approvazione esplicita, senza aggiungere valori all'elenco di accettazione dei consumer.
Un consumatore crea un endpoint che si connette al servizio pubblicato. La connessione è visibile nell'allegato del servizio con lo stato Pending.
Per trovare l'URI basato sull'ID dell'endpoint in attesa, il producer può descrivere il collegamento di servizio oppure il consumer può descrivere l'endpoint.
Il producer aggiunge l'URI basato sull'ID dell'endpoint all'elenco di accettazione del consumer. La connessione viene stabilita e il suo stato cambia in Accepted.

Stati della connessione

Endpoint, backend e collegamenti ai servizi di Private Service Connect hanno stati di connessione che descrivono lo stato delle loro connessioni. Le risorse consumer e producer che costituiscono i due lati di una connessione hanno sempre lo stesso stato. Puoi visualizzare gli stati della connessione quando visualizzi i dettagli dell'endpoint, descrivi un backend o visualizzi i dettagli di un servizio pubblicato.

La tabella seguente descrive i possibili stati.

Stato della connessione	Descrizione
Accettato	La connessione Private Service Connect è stata stabilita. Le due reti VPC hanno connettività e la connessione funziona normalmente.
In attesa	La connessione Private Service Connect non è stabilita e il traffico di rete non può essere trasferito tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi: L'allegato di servizio richiede un approvazione esplicita e il consumer non è presente nell'elenco di accettazione dei consumer. Il numero di connessioni supera il limite di connessioni del collegamento al servizio. Il numero di connessioni propagate associate a un endpoint supera il limite di connessioni propagate del collegamento al servizio. Le connessioni bloccate per questi motivi rimangono in stato di attesa a tempo indeterminato finché il problema sottostante non viene risolto.
Rifiutata	La connessione Private Service Connect non è stata stabilita. Il traffico di rete non può essere trasferito tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi: Una policy dell'organizzazione del producer ha rifiutato la connessione. Un elenco di rifiuto del consumatore ha rifiutato la connessione.
Richiede attenzione	Si è verificato un problema sul lato producer della connessione. Parte del traffico potrebbe spostarsi tra le due reti, ma alcune connessioni potrebbero non funzionare. Ad esempio, la subnet NAT del producer potrebbe essere esaurita e non essere in grado di allocare indirizzi IP per nuove connessioni.
Chiuso	Il collegamento al servizio è stato eliminato e la connessione Private Service Connect è chiusa. Il traffico di rete non può essere trasferito tra le due reti. Una connessione chiusa è uno stato terminale. Per ripristinare la connessione, devi ricreare sia il collegamento al servizio sia l'endpoint o il backend.

Connessioni propagate

I consumer che si connettono al collegamento al servizio utilizzando gli endpoint possono abilitare la propagazione della connessione. Le connessioni propagate consentono ai carichi di lavoro negli spoke VPC consumer di accedere ai servizi gestiti nelle reti VPC producer come se le due reti VPC fossero connesse direttamente tramite endpoint. Ogni connessione propagata utilizza un indirizzo IP della subnet NAT del collegamento al servizio.

Puoi visualizzare il numero di connessioni propagate associate a un endpoint connesso quando visualizzi i dettagli di un servizio pubblicato. Questo conteggio non include le connessioni propagate bloccate dal limite di connessioni propagate del producer.

Limite di connessioni propagate

I collegamenti al servizio hanno un limite per le connessioni propagate, che consente ai producer di servizi di limitare il numero delle connessioni propagate che un singolo consumer può stabilire con il collegamento al servizio. Se non è specificata, il limite predefinito per le connessioni propagate è 250.

Se la preferenza di connessione del collegamento al servizio è ACCEPT_MANUAL, il limite viene applicato in base al tipo di consumer nella lista di accettazione del consumer:
- Per gli elenchi di accettazione dei consumer basati su progetti, il limite si applica a ogni progetto nell'elenco.
- Per gli elenchi di accettazione dei consumer basati sulla rete VPC, il limite si applica a ogni rete dell'elenco.
- Per le liste di accettazione dei consumer basate sugli endpoint Private Service Connect (anteprima), il limite si applica al progetto di ogni endpoint nell'elenco. Se nell'elenco sono presenti più endpoint dello stesso progetto, condividono un unico limite.
Se la preferenza di connessione è ACCEPT_AUTOMATIC, il limite si applica a tutti i progetti che includono un endpoint connesso.

Se un consumatore supera il limite di connessioni propagate, non vengono create altre connessioni propagate. Per consentire la creazione di più endpoint propagati, puoi aumentare il limite di connessioni propagate. Quando aumenti questo limite, Network Connectivity Center crea connessioni propagate che erano bloccate dal limite, a condizione che le nuove connessioni non superino il limite aggiornato. L'aggiornamento di questo limite non influisce sulle connessioni propagate esistenti.

Prevenzione dell'esaurimento della quota

Il numero totale di endpoint Private Service Connect e di connessioni propagate, da qualsiasi consumer, che possono accedere alla tua rete VPC del producer è controllato dalla quota PSC ILB consumer forwarding rules per producer VPC network. In particolare per i servizi multi-tenant, è importante proteggersi dall'esaurimento di questa quota.

Puoi utilizzare i seguenti limiti per proteggerti dall'esaurimento della quota:

L'elenco di accettazione dei consumer limiti di connessione controlla il numero totale di endpoint Private Service Connect che possono creare connessioni a un collegamento al servizio da un singolo progetto o rete VPC consumer. La riduzione di questi limiti non influisce sulle connessioni esistenti. Questi limiti non si applicano alle connessioni propagate.
I limiti di connessioni propagate controllano il numero totale di connessioni propagate che possono essere stabilite con un collegamento al servizio da un singolo consumer. L'abbassamento di questo limite non influisce sulle connessioni propagate esistenti.

Esempio di limiti di quota e connessione

Il seguente esempio mostra come funzionano i limiti di connessione propagati e i limiti della lista di accettazione dei consumer rispetto alla quota PSC ILB consumer forwarding rules per producer VPC network.

Considera un caso in cui un consumer ha creato due endpoint in una rete VPC spoke, spoke-vpc-1. Entrambi gli endpoint si connettono a service-attachment-1 in producer-vpc-1. Lo spoke è connesso a un hub di Network Connectivity Center con la propagazione della connessione abilitata e non sono presenti altri spoke connessi a questo hub.

Il producer di servizi ha configurato service-attachment-1 in modo che abbia un limite di quattro per ogni progetto nella lista di accettazione del consumer. Il producer ha configurato un limite di connessioni propagate pari a due, specificando che un singolo progetto può avere fino a due connessioni propagate.

Questa configurazione di esempio contiene due endpoint e nessuna connessione propagata (fai clic per ingrandire).

L'utilizzo di quote e limiti per questa configurazione è il seguente:

Quota / limite	Utilizzo	Spiegazione
Regole di forwarding consumer ILB PSC per rete VPC producer	2	uno per endpoint
Limite di connessione dell'elenco di accettazione del consumer del collegamento al servizio per `consumer-project-1`	2	uno per endpoint
Limite di connessioni propagate del collegamento di servizio per `consumer-project-1`	0	nessuna connessione propagata

Supponiamo che consumer-project-1 connetta un altro spoke denominato spoke-vpc-2 allo stesso hub Network Connectivity Center di spoke-vpc-1. Vengono create due connessioni propagate in consumer-project-1, una per ogni endpoint esistente.

Questa configurazione di esempio contiene due endpoint e due connessioni propagate (fai clic per ingrandire).

L'utilizzo di quota e limite per questa configurazione è il seguente:

Quota / limite	Utilizzo	Spiegazione
Regole di forwarding consumer ILB PSC per rete VPC producer	4	uno per endpoint e uno per connessione propagata
Limite di connessione dell'elenco di accettazione del consumer del collegamento al servizio per `consumer-project-1`	2	uno per endpoint
Limite di connessioni propagate del collegamento di servizio per `consumer-project-1`	2	uno per connessione propagata

Consumer-project-1 ha esaurito il limite di connessioni propagate. Se il consumer aggiunge un altro spoke VPC, Private Service Connect non crea nuove connessioni propagate.

Supponiamo che un altro consumer abbia due spoke VPC in consumer-project-2. Gli spoke si connettono a un hub Network Connectivity Center con le connessioni propagate attivate. Uno degli spoke VPC contiene un singolo endpoint che si connette a service-attachment-1.

Questa configurazione di esempio contiene tre endpoint e tre connessioni propagate (fai clic per ingrandire).

L'utilizzo di quote e limiti per questa configurazione è il seguente:

Quota / limite	Utilizzo	Spiegazione
Regole di forwarding consumer ILB PSC per rete VPC producer	6	quattro da `consumer-project-1` e due da `consumer-project-2`
Limite di connessione dell'elenco di accettazione del consumer del collegamento al servizio per `consumer-project-1`	2	uno per endpoint in `consumer-project-1`
Limite di connessione dell'elenco di accettazione del consumer del collegamento al servizio per `consumer-project-2`	1	uno per endpoint in `consumer-project-2`
Limite di connessioni propagate del collegamento di servizio per `consumer-project-1`	2	uno per ogni connessione propagata in `consumer-project-1`
Limite di connessioni propagate del collegamento di servizio per `consumer-project-2`	1	uno per ogni connessione propagata in `consumer-project-2`