מידע על ממשקי Private Service Connect
בדף הזה מובאת סקירה כללית על ממשקי Private Service Connect.
ממשק Private Service Connect הוא משאב שמאפשר לרשת של ענן וירטואלי פרטי (VPC) של יצרן ליזום חיבורים ליעדים שונים ברשת VPC של צרכן. רשתות של יצרנים וצרכנים יכולות להיות בפרויקטים ובארגונים שונים.
כדי ליצור חיבור לממשק Private Service Connect, צריך מכונה וירטואלית (VM) עם לפחות שני ממשקי רשת. הממשק הראשון מתחבר לתת-רשת ברשת VPC של יצרן. הממשקים האחרים יכולים להיות ממשקי Private Service Connect שמבקשים חיבורים לקבצים מצורפים לרשת ברשתות VPC שונות של צרכנים. אם החיבור מתקבל, Google Cloud מקצה לממשק Private Service Connect כתובת IP פנימית מתת-הרשת של הלקוח שצוינה בקובץ המצורף של הרשת.
חיבור הממשק הזה של Private Service Connect מאפשר לארגונים של יצרנים וצרכנים להגדיר את רשתות ה-VPC שלהם כך ששתי הרשתות יהיו מחוברות ויוכלו לתקשר באמצעות כתובות IP פנימיות. לדוגמה, הארגון שמייצר את השירות יכול לעדכן את רשת ה-VPC של השירות כדי להוסיף מסלולים לתת-רשתות של הצרכנים.
איור 1. ברשת VPC של ספק השירות, למכונה הווירטואלית vm-1 יש שני ממשקי רשת. ממשק רשת וירטואלי אחד (vNIC) מתחבר לתת-רשת ברשת של היצרן. הממשק השני הוא ממשק וירטואלי של Private Service Connect שמתחבר לקובץ מצורף עם הרשת ברשת של צרכן (אפשר ללחוץ כדי להגדיל).
חיבור בין ממשק Private Service Connect לבין קובץ מצורף לרשת דומה לחיבור בין נקודת קצה של Private Service Connect לבין קובץ מצורף עם שירות, אבל יש שני הבדלים עיקריים:
- ממשק Private Service Connect מאפשר לרשת VPC של יצרן ליזום חיבורים לרשת VPC של צרכן (תעבורת נתונים יוצאת משירות מנוהל). נקודת קצה פועלת בכיוון ההפוך, ומאפשרת לרשת VPC של צרכן ליזום חיבורים לרשת VPC של יצרן (תנועה נכנסת לשירות מנוהל).
- חיבור ממשק Private Service Connect הוא טרנזיטיבי. המשמעות היא שעומסי עבודה ברשת של יצרן יכולים ליזום חיבורים לעומסי עבודה אחרים שמחוברים לרשת ה-VPC של הצרכן. נקודות קצה של Private Service Connect יכולות ליזום חיבורים רק לרשת ה-VPC של ספק השירות.
איור 2. נקודות קצה של Private Service Connect מאפשרות לצרכני שירות ליזום חיבורים לבעלי שירותים, וממשקי Private Service Connect מאפשרים לבעלי שירותים ליזום חיבורים לצרכני שירות (אפשר ללחוץ כדי להגדיל).
התחברות לעומסי עבודה ברשתות אחרות
מכיוון שחיבורי ממשק Private Service Connect הם טרנזיטיביים, אם ההגדרה של רשת ה-VPC של הצרכן מאפשרת זאת, משאבים ברשתות ה-VPC של היצרן יכולים לתקשר עם עומסי עבודה שמחוברים לרשת הצרכן. הדוגמאות הבאות ממחישות את המצב הזה:
- עומסי עבודה ברשתות שמחוברות לרשת ה-VPC של הלקוח באמצעות מנהרות Cloud VPN, Cloud Interconnect או VPC Network Peering.
- עומסי עבודה שיש להם כתובות IP חיצוניות שאפשר להגיע אליהן מרשת ה-VPC של הלקוח דרך Cloud NAT.
- ממשקי Google API ושירותים שאפשר להגיע אליהם מרשת ה-VPC של הצרכן דרך גישה פרטית ל-Google או VPC Service Controls. כדי להשתמש ב-VPC Service Controls עם ממשקי Private Service Connect, צריך לבצע הגדרה נוספת.
- שירותים שפורסמו וממשקי Google APIs שאפשר להגיע אליהם מרשת ה-VPC של הצרכן דרך נקודות קצה ובק-אנדים של Private Service Connect.
- עומסי עבודה ב-VPC spokes שמחוברים לרשת ה-VPC של הצרכן.
איור 3. רשת VPC של יצרן שמחוברת לרשת VPC של צרכן באמצעות חיבור של ממשק Private Service Connect יכולה לתקשר עם עומסי עבודה שמחוברים לרשת ה-VPC של הצרכן (לחצו להגדלה).
תרחישים לדוגמה
תרחיש שימוש לדוגמה בממשקי Private Service Connect הוא שירות מנוהל שצריך ליזום חיבורים לרשת VPC של צרכן כדי לגשת לנתוני הצרכן. יכול להיות שהשירות יזדקק גם לגישה לנתונים או לשירותים שזמינים ברשת המקומית של הצרכן, דרך חיבור VPN או Cloud Interconnect, או משירות צד שלישי. חיבור של ממשק Private Service Connect יכול לעמוד בכל הדרישות האלה.
תרחיש שימוש נוסף הוא שירות מנוהל שמספק שער API. כשהשירות מקבל קריאות לממשקי API שונים, הוא משתמש בממשקי Private Service Connect כדי ליזום חיבורים לרשתות VPC של צרכנים. שירות ה-Gateway שולח בקשות API ליעדי backend שמבצעים את הבקשות.
ממשקי Private Service Connect ונקודות קצה של Private Service Connect הם משלימים ואפשר להשתמש בהם יחד באותה רשת VPC.
לדוגמה, באיור 4 מתוארת הגדרת הרשת של שירות מנוהל שמספק ניתוח נתונים. שירות הניתוח יכול ליזום חיבורים לרשת ה-VPC של הצרכן באמצעות ממשק Private Service Connect. נקודת קצה של Private Service Connect ברשת הצרכן מאפשרת לשירות ניתוח הנתונים ליזום חיבורים לשירות מסד נתונים ברשת VPC אחרת. התעבורה משירות הניתוח לשירות מסד הנתונים עוברת דרך רשת הצרכן, מה שמאפשר לצרכן לעקוב אחרי התעבורה בין שני השירותים ולספק לה אבטחה.
איור 4. ממשקי Private Service Connect ונקודות קצה של Private Service Connect משלימים זה את זה בהגדרת הדוגמה הזו. הממשק מאפשר לשירות הניתוח ליזום חיבורים לרשת ה-VPC של הצרכן. נקודת הקצה מאפשרת לשירות הניתוח ליזום חיבורים מרשת ה-VPC של הצרכן לשירות מסד הנתונים (אפשר ללחוץ כדי להגדיל).
סוגי ממשקים של Private Service Connect
יש שני סוגים של ממשקי Private Service Connect:
ממשקי Private Service Connect וירטואליים מבוססים על ממשקי רשת וירטואליים (vNICs) שמשמשים מכונות וירטואליות ב-Compute Engine.
ממשקי Private Service Connect דינמיים מבוססים על כרטיסי רשת דינמיים.
בטבלה הבאה מפורטים ההבדלים העיקריים בין ממשקי Private Service Connect וירטואליים לבין ממשקי Private Service Connect דינמיים:
| סוג | מספר ממשקי Private Service Connect מקסימלי לכל מכונה וירטואלית | ניהול הממשק | מערכות הפעלה נתמכות לאורחים | יש תמיכה במכונה וירטואלית אחת עם כמה ממשקים באותה רשת VPC של פרופיל RDMA |
|---|---|---|---|---|
| ממשק וירטואלי של Private Service Connect | עד 9 (תלוי במספר המעבדים הווירטואליים) | נוספה בזמן יצירת ה-VM; מוסרת עם מחיקת ה-VM | Linux, Windows | כן (רק ברשתות VPC של Falcon) |
| ממשק דינמי של Private Service Connect | עד 15 (תלוי במספר המעבדים הווירטואליים) | אפשר להוסיף אותם בכל שלב, ואפשר להסיר אותם בנפרד מהמכונה הווירטואלית | ב-Linux בלבד | לא |
כדאי להשתמש בממשקי Private Service Connect וירטואליים אם מתקיימים התנאים הבאים:
- אתם מצפים שהגדרת הממשק תישאר ללא שינוי לאורך מחזור החיים של המכונה הווירטואלית.
- אתם רוצים שמכונה וירטואלית אחת תחבר כמה ממשקים לרשת שמשתמשת בפרופיל רשת RDMA לרשתות Falcon VPC.
כדאי להשתמש בממשקי Private Service Connect דינמיים אם מתקיימים התנאים הבאים:
- צריך לנהל באופן דינמי את החיבורים לרשתות VPC של צרכנים.
- אתם צריכים יותר ממשקי Private Service Connect לכל מכונה וירטואלית.
- צריך להימנע מהשבתה במהלך שינויים בממשק Private Service Connect.
מפרטים
ממשק Private Service Connect הוא סוג מיוחד של ממשק רשת שמתחבר לקובץ מצורף עם הרשת.
המפרטים של ממשקי הרשת חלים גם על ממשקי Private Service Connect.
המפרטים הבאים חלים על שני הסוגים של ממשקי Private Service Connect:
- מכונה וירטואלית שמשתמשת בממשקי Private Service Connect צריכה לפחות שני ממשקי רשת. ממשק הרשת הראשון הוא ממשק הרשת שמוגדר כברירת מחדל, והשם שלו הוא
nic0. הממשק הזה מתחבר לרשת משנה של יצרן. הממשק השני הוא ממשק Private Service Connect שמבקש חיבור לרשת משנה של צרכן. - כשפרויקט צרכן מאשר חיבור מממשק Private Service Connect, Google Cloudהממשק מוגדר עם כתובות IP פנימיות מתת-הרשת של קובץ הרשת המצורף. סוג ה-stack של רשת המשנה של רכיב הרשת המצורף קובע את סוגי ה-stack האפשריים של הממשק.
- אם למכונה וירטואלית אחת יש כמה ממשקי Private Service Connect, כל ממשק צריך להתחבר אל:
- קובץ מצורף לרשת אחרת שמשויך לרשת משנה אחרת.
- צירוף רשת שנמצא ברשת VPC אחרת, אלא אם מתקיימים שני התנאים הבאים:
- הרשת של הצרכן משתמשת בפרופיל רשת RDMA עבור רשתות Falcon VPC.
- הבעלים של השירות המנוהל מתחבר באמצעות ממשקי Private Service Connect וירטואליים.
- Google Cloud מוודא שכתובות ה-IP שהוקצו לממשק Private Service Connect לא חופפות לטווחי הכתובות של תת-הרשתות שמחוברות לממשקי הרשת האחרים של המכונה הווירטואלית.
- אם לקובץ המצורף לרשת אין מספיק כתובות IP להקצאה לממשקי Private Service Connect, יצירת הממשק תיכשל ותוחזר שגיאה:
- אם הכשל מתרחש בזמן יצירת מכונה וירטואלית, המכונה הווירטואלית לא נוצרת.
- אם הכשל מתרחש כשמוסיפים ממשק דינמי של Private Service Connect למכונה וירטואלית קיימת, הממשק לא מתווסף.
- צריך להגדיר באופן ידני את מערכת ההפעלה של האורח במכונה וירטואלית עם ממשק Private Service Connect כדי לנתב את התעבורה דרך הממשק.
- ממשקי Private Service Connect תומכים בטווחים של כתובות IP עם כינוי. טווח כתובות ה-IP החלופיות חייב להיות מתוך טווח כתובות ה-IPv4 הראשי של תת-הרשת של קובץ הרשת המצורף.
- ממשק Private Service Connect מתקשר באותו אופן כמו ממשק רשת.
- החיבור בין קובץ מצורף לרשת לבין ממשק Private Service Connect הוא דו-כיווני וטרנזיטיבי. עומסי עבודה ברשת ה-VPC של היצרן יכולים ליזום חיבורים לעומסי עבודה שמחוברים לרשת ה-VPC של הצרכן.
- ממשקי Private Service Connect דינמיים ווירטואליים יכולים להתקיים במקביל באותה מכונה וירטואלית.
- ממשקי Private Service Connect תומכים ב-VPC Service Controls. כדי להשתמש בשילוב הזה צריך לקבוע הגדרות ניתוב נוספות.
מפרטים של ממשק וירטואלי של Private Service Connect
המפרטים הבאים רלוונטיים לממשקי Private Service Connect וירטואליים.
- אפשר ליצור ממשקי Private Service Connect וירטואליים רק בזמן יצירת המכונה הווירטואלית, ואפשר להסיר אותם רק על ידי מחיקת המכונה הווירטואלית המשויכת.
- אפשר ליצור עד תשעה ממשקי Private Service Connect וירטואליים במכונה וירטואלית אחת, בהתאם למספר ליבות ה-vCPU במכונה הווירטואלית.
- אם רשת VPC של צרכן משתמשת בפרופיל רשת RDMA לרשתות Falcon VPC, מכונה וירטואלית אחת יכולה להתחבר אליה באמצעות כמה ממשקי Private Service Connect וירטואליים.
מפרטים של ממשק דינמי של Private Service Connect
המפרטים הבאים ספציפיים לממשקי Private Service Connect דינמיים.
- המאפיינים והמגבלות של מתאמי NIC דינמיים חלים גם על ממשקי Private Service Connect דינמיים.
- אפשר להוסיף או להסיר ממשקי Private Service Connect דינמיים בכל שלב, בלי להפעיל מחדש את המכונה הווירטואלית.
- למכונה וירטואלית אחת יכולים להיות עד 15 ממשקי Private Service Connect דינמיים, בהתאם למספר המעבדים הווירטואליים במכונה הווירטואלית.
- יחידת השידור המקסימלית (MTU) של ממשק רשת מוגדרת ל-MTU של רשת ה-VPC שאליה הוא מתחבר. ערך ה-MTU של ממשק דינמי מסוג Private Service Connect צריך להיות קטן או שווה לערך ה-MTU של ממשק הרשת הראשי שלו, אחרת יצירת הממשק תיכשל עם שגיאה.
מגבלות
אפשר לסיים חיבור של ממשק Private Service Connect רק באחת מהדרכים הבאות:
- מפיק מוחק את מכונת ה-VM של הממשק.
- בעלים של שירות מנוהל מסיר ממשק דינמי של Private Service Connect.
- צרכן מוחק פרויקט שמחובר לממשק Private Service Connect. הפעולה הזו מפסיקה את המכונה הווירטואלית של הממשק.
- צרכן משבית את Compute Engine API בפרויקט שמחובר לממשק Private Service Connect. הפעולה הזו תפסיק את ה-VM של הממשק.
אי אפשר להקצות כתובות IP חיצוניות (שמפורסמות באופן ציבורי) לממשקי Private Service Connect.
ממשקי Private Service Connect דינמיים לא נתמכים במכונות וירטואליות שמשתמשות במערכת הפעלה אורחת של Windows. ה-API לא מונע את ההגדרה הזו, אבל המנות לא עוברות כי מנהלי ההתקנים של מערכת ההפעלה האורחת ב-Windows לא תומכים בכרטיסי רשת דינמיים.
התמיכה בממשקי Private Service Connect דינמיים במכונות וירטואליות של מערכת הפעלה שמותאמת לקונטיינרים מוגבלת לmilestone 129 ומגרסאות חדשות יותר.
ממשק Private Service Connect לא יכול להיות הניתוב הבא של כלל העברה פנימי.
אי אפשר לשייך ישירות ממשקי Private Service Connect לצמתים או ל-Pods של Google Kubernetes Engine (GKE). עם זאת, אפשר להשתמש ב-GKE כדי להגדיר תעבורת נתונים יוצאת משירות באמצעות ממשקי Private Service Connect שמוגדרים במכונות וירטואליות של שרת proxy.
מכונות וירטואליות עם ממשקי Private Service Connect לא יכולות להיות חלק משירותים עורפיים שמכוונים למכונות וירטואליות של Compute Engine. הסיבה לכך היא שהמכונות הווירטואליות צריכות להיות באותו פרויקט כמו שירות לקצה העורפי.
הרשאת צרכן ומזהים של סוגי שירותים
לקבצים מצורפים עם הרשת של Private Service Connect יש מדיניות הרשאות שמציינת אם חיבורים מממשקי Private Service Connect מתקבלים באופן אוטומטי או שנדרש אישור מפורש. במקרים של צירופי רשת שדורשים הרשאה מפורשת, הצרכנים יכולים להעניק הרשאה ליצרנים על סמך מזהה פרויקט או מזהה סוג שירות.
מזהה של סוג שירות הוא מזהה ייחודי שחלק משירותי Google מספקים כדי לפשט את ההרשאה לשירות הזה. אם קובץ מצורף לרשת מוגדר לקבל יצרנים על סמך מזהה מחלקת שירות, היצרן צריך לציין את המזהה במהלך יצירת ממשק Private Service Connect. אם מפיק ינסה ליצור ממשק עם מזהה של מחלקת שירות שאין לו הרשאה להשתמש בה, הפעולה תיכשל.
תמחור
המחירים של ממשקי Private Service Connect מפורטים בדף התמחור של VPC.
המאמרים הבאים
- איך יוצרים ומנהלים ממשקי Private Service Connect
- משלימים את שיעור ה-Codelab בנושא שירותים מנוהלים של ממשק Private Service Connect.