Sobre as políticas de conexão de serviço

Neste documento, explicamos como os administradores de rede podem usar políticas de conexão de serviço para fornecer conectividade a instâncias de serviços gerenciados compatíveis por meio da automação de conectividade de serviço. Antes de ler este documento, confira se você conhece os conceitos explicados em Sobre a automação da conectividade de serviços.

Especificações

As políticas de conexão de serviço têm as seguintes especificações:

• É possível criar apenas uma política de conexão de serviço para cada combinação de rede, região e classe de serviço. Por exemplo, só é possível ter uma política de conexão de serviço para vpc1 em us-central1 para google-cloud-sql. Essa validação significa que apenas uma política de conexão de serviço governa um determinado endpoint do Private Service Connect.

• Os administradores de instâncias de serviço podem usar a API ou UI administrativa do serviço para implantar e configurar a conectividade usando a automação de conectividade do serviço.

• Se a criação ou exclusão de um endpoint pela automação da conectividade de serviço for bloqueada, um processo automatizado vai tentar novamente a operação periodicamente até que o problema de bloqueio seja resolvido.

• As sub-redes incluídas na configuração da política de conexão de serviço fornecem endereços IP atribuídos a endpoints do Private Service Connect. Esses endereços IP são alocados automaticamente e retornados ao pool da sub-rede à medida que as instâncias de serviço gerenciado são criadas e excluídas.

  As sub-redes precisam ser sub-redes normais e estar na mesma região que a política de conexão do serviço. As sub-redes regulares são diferentes das sub-redes do Private Service Connect.

  Como prática recomendada, evite usar as sub-redes para outros recursos. Se outros recursos consumirem endereços IP da sub-rede, você poderá ficar sem endereços IP para atribuir aos endpoints.

• Os serviços gerenciados que usam políticas de conexão de serviço podem oferecer suporte a conexão com instâncias de serviço usando endpoints IPv4, endpoints IPv6 ou ambos. Se o serviço for compatível com IPv4 e IPv6, os administradores de instâncias de serviço poderão escolher uma versão de IP ao implantar uma instância de serviço.

• É possível usar políticas de conexão de serviço com a VPC compartilhada.

• Por padrão, a instância de serviço e os endpoints que se conectam a ela precisam estar no mesmo projeto (ou, no caso da VPC compartilhada, em projetos conectados).

  Os Serviços do Google compatíveis permitem configurar um escopo de instância de serviço personalizado.

• Os endpoints criados pela automação da conectividade do serviço podem ter rótulos aplicados a eles pelo produtor de serviços. Para mais informações sobre rótulos, consulte Organizar recursos usando rótulos.

• Se você quiser usar a automação do serviço do Private Service Connect com várias redes VPC que estão no mesmo projeto, crie uma política de conexão de serviço para cada rede.

• Você pode configurar um limite de conexão para especificar o número máximo de conexões do Private Service Connect que um determinado produtor de serviços pode criar na rede VPC e na região da política.

• Os endpoints criados com políticas de conexão de serviço podem ser disponibilizados em outras redes VPC usando a propagação de conexão.

Autorização

As políticas de conexão de serviço permitem que os consumidores deleguem a implantação da conectividade aos serviços gerenciados. O produtor de serviços não tem acesso direto nem privilégios do IAM no projeto do consumidor. Em vez disso, o produtor configura um mapa de conexões de serviço no próprio projeto.

Quando o mapa de conexão de serviço é criado ou atualizado, geralmente em resposta a uma solicitação de um administrador de serviço do consumidor para a API administrativa ou UI do serviço gerenciado, a automação da conectividade do serviço realiza uma série de verificações de autorização. Se todas as verificações forem aprovadas, os endpoints do Private Service Connect serão criados conforme especificado na solicitação.

Para informações sobre autorização, consulte Modelo de autorização.

Políticas de conexão em redes VPC compartilhada

As políticas de conexão de serviço podem automatizar a conectividade com instâncias de serviço localizadas em projetos host ou em projetos de serviço anexados.

Se você estiver usando a VPC compartilhada, crie a política de conexão de serviço no projeto host. Os endpoints são criados no projeto especificado na configuração da instância de serviço.

Se você criar uma política de conexão de serviço em uma rede VPC compartilhada e implantar uma instância de serviço em um projeto de serviço, a automação de conectividade de serviço vai compartilhar as sub-redes associadas à política de conexão de serviço atualizando a conta de serviço de conectividade de rede do projeto de serviço. Essa conta de serviço recebe o papel de Usuário da rede do Compute (roles/compute.networkUser) nas sub-redes compartilhadas.

Para um exemplo de implantação, consulte VPC compartilhada.

Políticas de conexão com escopo de instância de serviço personalizado

Por padrão, a automação de conectividade do serviço cria endpoints para instâncias de serviço e políticas de conexão de serviço associadas que estão no mesmo projetoGoogle Cloud (ou, no caso da VPC compartilhada, em projetos conectados). Para serviços do Google compatíveis, as instâncias de serviço e os endpoints de conexão também podem estar em projetos ou organizações diferentes.

Nem todos os serviços do Google aceitam a configuração de um escopo de instância de serviço personalizado. Para determinar se um serviço é compatível com um escopo de instância de serviço personalizado, consulte a documentação do serviço específico.

Use a configuração Escopo da instância de serviço (--producer-instance-location) para configurar a conectividade com instâncias de serviço que estão em outros nós do Resource Manager (projetos, pastas e organizações).

• Se estiver definido como no_producer_instance_location, os endpoints serão criados apenas no mesmo projeto. Esse é o valor padrão.
• Se estiver definido como custom_resource_hierarchy_levels, especifique a lista de nós do Resource Manager no campo --allowed-google-producers-resource-hierarchy-level.

Se você atualizar o escopo da instância de serviço de uma política de conexão de serviço, os endpoints atuais não serão afetados.

Para um exemplo de implantação, consulte Serviços do Google com escopo de instância de serviço personalizado.

Versões de IP do endpoint

As possíveis versões de IP dos endpoints que se conectam a instâncias de serviço (IPv4, IPv6 ou ambos) são determinadas pelo produtor de serviços, não pela automação de conectividade de serviço. Se o serviço for compatível com IPv4 e IPv6, os administradores de instâncias de serviço poderão escolher uma versão de IP ao implantar uma instância usando a API administrativa de um serviço. Para informações sobre as versões de IP compatíveis com um serviço, consulte a documentação dele.

Quando um administrador de instância de serviço escolhe uma versão de IP, a automação de conectividade de serviço verifica a política de conexão de serviço em busca de sub-redes compatíveis para usar na criação de endereços IP de endpoint:

• As sub-redes somente IPv4 são compatíveis com endpoints IPv4.
• As sub-redes de pilha dupla são compatíveis com endpoints IPv4 e IPv6.
• As sub-redes somente IPv6 oferecem suporte a endpoints IPv6.

Se a política de conexão de serviço não tiver uma sub-rede compatível, a solicitação vai falhar, e nenhum endpoint será criado.

Além disso, a versão IP do endpoint precisa ser compatível com a versão IP da instância de serviço, que é determinada pela regra de encaminhamento do anexo de serviço associado. O Private Service Connect é compatível com as seguintes combinações de versões de IP:

• Endpoint IPv4 para anexo de serviço IPv4
• Endpoint IPv6 para anexo de serviço IPv6

• Endpoint IPv6 para anexo de serviço IPv4

  Nessa configuração, o Private Service Connect faz a conversão automaticamente entre as duas versões de IP.

Não é possível conectar um endpoint IPv4 a um anexo de serviço IPv6.

Se você quiser permitir que clientes IPv4 e IPv6 acessem uma instância de serviço gerenciado, configure a conectividade para endpoints IPv4 e IPv6 separados que se conectam ao mesmo serviço.

Limitações

• As políticas de conexão de serviço só são compatíveis com a automação da criação de endpoints do Private Service Connect. Não é possível criar back-ends ou anexos de serviço do Private Service Connect.
• Não é possível excluir diretamente os endpoints do Private Service Connect criados pela automação da conectividade do serviço. Para acionar a exclusão desses endpoints, desative a conectividade do serviço.
• Só é possível atualizar as sub-redes e o limite de conexão de uma política de conexão de serviço. Se você quiser atualizar outros campos, exclua a política e crie uma nova.

Preços

Os preços do Private Service Connect são descritos na página de preços da VPC.

A seguir

• Configurar políticas de conexão de serviço