Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על אוטומציה של קישוריות לשירותים

אוטומציה של קישוריות לשירותים מאפשרת לצרכני שירות לבצע אוטומציה של פריסת קישוריות לשירותים מנוהלים.

נניח שיש אדמין של מסד נתונים שפורס פריט מסד נתונים ורוצה לאפשר לצרכני שירות להגיע למסד הנתונים הזה דרך נקודת קצה של Private Service Connect. יכול להיות שלאדמין של מסד הנתונים אין את פרטי הכניסה הנדרשים לניהול זהויות והרשאות גישה (IAM) או את המומחיות הנדרשת לפריסת משאבי רשת.

אם שירות מנוהל תומך באוטומציה של קישוריות שירות, אפשר להעביר את ההגדרה של מופע השירות ואת הגדרת הרשת לאדמינים המתאימים:

אדמינים של מופעי שירות יכולים לקבוע אילו רשתות יכולות לגשת לשירותים שלהם.
אדמינים של רשתות יכולים לקבוע לאילו שירותים הם רוצים לאפשר חיבורים.

כשההגדרות האלה זהות, אוטומציה של קישוריות לשירותים יוצרת נקודת קצה ברשתות המתאימות, ומספקת קישוריות למופע של השירות המנוהל.

סקירה כללית על אוטומציה של קישוריות לשירותים

בקטע הבא מתוארת הגדרה בסיסית ברשת VPC יחידה שמשתמשת באוטומציה של קישוריות לשירותים. מידע על הגדרות אחרות זמין במאמרים בנושא VPC משותף ושירותי Google עם היקף מותאם אישית של מופע שירות.

כדי לפרוס מופע של שירות מנוהל שתומך באוטומציה של קישוריות שירותים, צריך לבצע את השלבים הבאים:

אדמין רשת יוצר מדיניות של חיבור שירות לרשת ה-VPC שלו.

מדיניות חיבור השירות מפנה אל סוג שירות – משאב ייחודי גלובלית שמזהה שירות ספציפי של בעלים. מדיניות יחידה של חיבור לשירות מוגבלת להיקף של מחלקת שירות יחידה ורשת VPC יחידה של צרכן, ומאפשרת להגדיר קישוריות במסגרת ההיקף הזה.
אדמין של מופע שירות פורס מופע של שירות מנוהל באמצעות ממשק ה-API או ממשק המשתמש האדמיניסטרטיבי של השירות. ההגדרה של מופע השירות מציינת לאילו רשתות יש גישה לשירות באמצעות אוטומציה של קישוריות לשירות.
אוטומציה של קישוריות לשירות יוצרת נקודת קצה ברשת ה-VPC של הצרכן. אפשר להשתמש בנקודת הקצה הזו כדי לשלוח בקשות למופע השירות.

אוטומציה של קישוריות לשירותים מאפשרת לצרכני שירותים להפוך את הפריסה של קישוריות לשירותים מנוהלים לאוטומטית (לחצו כדי להגדיל).

הגדרות של Producer

בקטעים הבאים מתוארים משאבים שספקי שירותים משתמשים בהם כדי להגדיר אוטומציה של קישוריות לשירותים.

סוגי שירות

סיווג שירות הוא ייצוג ייחודי באופן גלובלי של סוג שירות מנוהל. כל ספק הוא הבעלים הבלעדי של סוג השירות שלו. הצרכנים מפנים למחלקת השירות במדיניות חיבור השירות שלהם, שמסמיכה פריסה ומעבירה את הקישוריות לבעלים.

אפשר ליצור מדיניות של חיבור שירות רק לשירותים שיש להם מחלקת שירות.

סוגי השירות זמינים רק לשירותים שפורסמו על ידי Google. מידע נוסף זמין במאמר בנושא שירותים נתמכים.

מפות של חיבורים לשירותים

מפת חיבורי שירות היא משאב שמנוהל על ידי ספק השירות, שבו מאוחסנים פרטים לאישור וליצירת חיבורים של Private Service Connect בין רשתות VPC של צרכנים לבין מופעים של שירותים מנוהלים של ספק השירות. במפה הזו מוגדרים הקשרים המותרים בין מופעים של שירות היצרן (שמיוצגים על ידי קבצים מצורפים לשירות) לבין פרויקטים של צרכנים ורשתות VPC שמורשים להתחבר למופעים של השירות.

מודל ההרשאות

מדיניות חיבור לשירות מאפשרת לצרכנים להאציל את הפריסה של קישוריות לשירותים מנוהלים. לבעלים של השירות המנוהל אין גישה ישירה או הרשאות IAM לפרויקט של צרכן השירות. במקום זאת, הבעלים של השירות המנוהל מגדיר מיפוי של חיבורי שירות בפרויקט שלו.

כשיוצרים או מעדכנים את מפת חיבורי השירות, בדרך כלל בתגובה לבקשה מאדמין של שירות צרכן אל ממשק ה-API או ממשק המשתמש האדמיניסטרטיביים של השירות המנוהל, האוטומציה של קישוריות השירות מבצעת סדרה של בדיקות הרשאה. אם כל הבדיקות עוברות, נוצרות נקודות קצה של Private Service Connect בהתאם למפרט שבבקשה.

הגדרת רשת (מדיניות חיבור לשירות):
- הרשאה לרשת. ברשת ה-VPC של הצרכן צריכה להיות מדיניות תקפה של חיבור לשירות שמאשרת את רשת ה-VPC, האזור וסוג השירות שצוינו בבקשה. הבדיקה הזו עוזרת לוודא שאדמין ברשת צרכנים עם הרשאות IAM ברשת ה-VPC, מעניק במפורש את היכולת ליצור נקודות קצה של Private Service Connect עבור סוג השירות שצוין.
- היקף מופע השירות. אם מופעלת מדיניות חיבור לשירות שמגדירה היקף מותאם אישית של מופע שירות (custom-resource-hierarchy-levels), ומדובר במופע של שירות Google מנוהל, האוטומציה של קישוריות השירות בודקת את רשימת הצמתים של Resource Manager שסופקו (--allowed-google-producers-resource-hierarchy-level). הפרויקט שהאדמין של מופע השירות ציין בממשק המשתמש או ב-API של השירות המנוהל לצורך פריסה וניהול של מופע השירות חייב להיות בהיקף המותר שמוגדר ברשימה הזו. ההיקף יכול להיות שילוב של ארגונים, תיקיות ופרויקטים.
- אימות פרויקט של נקודת קצה. הפרויקט שבו נוצרת מדיניות החיבור צריך להיות משויך לרשת ה-VPC שבה תיצור את נקודת הקצה. הפרויקט צריך להכיל את רשת ה-VPC או להיות פרויקט שירות שמצורף לרשת ה-VPC המשותפת.
הגדרת מופע שירות:
- הרשאה באמצעות IAM לאדמין של שירות. לאדמין של שירות הצרכן צריכות להיות הרשאות IAM שנדרשות ליצירה או לעדכון של מופע שירות הבעלים. ההרשאות האלה משתנות בהתאם לשירות שנפרס.
- הרשאת אדמין של מופע שירות. ב-API האדמיניסטרטיבי של השירות, האדמין של מופע השירות שיצר את מופע השירות צריך להגדיר את המופע כך שיאפשר חיבורים מרשת ה-VPC שמבקשת את החיבור.
הגדרות של Producer:
- הרשאות IAM של יצרן. לאדמין של שירות הבעלים שיוצר או מעדכן את מפת חיבורי השירות צריכות להיות הרשאות IAM בסיווג השירות המשויך. הבדיקה הזו עוזרת למנוע הצגה כוזבת של שירות ציבורי.

אם כל התנאים מתקיימים, חשבון Network Connectivity Service יוצר את נקודות הקצה המבוקשות ברשתות המורשות. חשבון השירות של Network Connectivity הוא סוכן שירות.

ניסיונות חוזרים אוטומטיים במקרה של כשלים בנקודות קצה

אוטומציה של קישוריות לשירותים מנהלת באופן מלא את היצירה והמחיקה של נקודות הקצה של Private Service Connect.

אם האוטומציה של קישוריות השירות נכשלת ביצירה או במחיקה של נקודת קצה מורשית – למשל, בגלל מגבלות מכסה או בגלל שתת-הרשת של מדיניות חיבור השירות לא כוללת כתובות IP – תהליך אוטומטי מנסה שוב את הפעולה באופן תקופתי עד שהבעיה שמונעת את הפעולה תיפתר. עם זאת, אם יצירה או מחיקה של נקודת קצה נכשלות בגלל בדיקות הרשאה, המערכת לא תנסה לבצע את הפעולה שוב.

כדי לראות שגיאות שמונעות יצירה של נקודת קצה, צריך לתאר את מדיניות חיבור השירות ולבדוק את השדה pscConnections. מידע על פתרון בעיות שקשורות ליצירה או למחיקה של נקודות קצה זמין במאמר פתרון בעיות.

VPC משותף

אפשר להשתמש באוטומציה של קישוריות שירותים כדי ליצור באופן אוטומטי נקודות קצה של Private Service Connect ברשתות VPC משותפות. מכיוון שנקודת הקצה מוגדרת עם כתובת IP מרשת ה-VPC המשותפת, אפשר לגשת לנקודת הקצה מהפרויקט המארח ומכל פרויקטי השירות המצורפים.

כדי ליצור את ההגדרה שמוצגת בתרשים הבא, צריך לבצע את המשימות הבאות:

אדמין הרשת יוצר מדיניות חיבור לשירות עבור הרשת vpc1 בפרויקט המארח project1, ומאפשר קישוריות למופעי שירות שמשתמשים בסיווג השירות google-cloud-sql. כתובות ה-IP של נקודות הקצה מוקצות מתת-הרשת endpoint-subnet.
האדמין של מופע השירות פורס שני מופעים של שירות מנוהל: db-test בפרויקט service-project-test ו-db-prod בפרויקט service-project-prod. האדמין מגדיר את מופע השירות כך שאוטומציה של קישוריות לשירות תפרוס נקודות קצה ברשת vpc1 ב-project1 שמתחברות למופעי השירות.
מכיוון שכל בדיקות ההרשאה עוברות בהצלחה, אוטומציית הקישוריות של השירות יוצרת שתי נקודות קצה שמחוברות ל-endpoint-subnet, אחת לכל מופע של השירות. לכל המכונות הווירטואליות שמחוברות לרשת המשנה vm-subnet יש גישה לנקודות הקצה, כי הן מחוברות לאותה רשת VPC משותפת כמו נקודות הקצה.

אפשר להשתמש במדיניות חיבור לשירות ברשת VPC משותפת כדי ליצור קישוריות למופעי שירות שנפרסים בפרויקטים של שירותים (לחצו כדי להגדיל).

שירותים עם תמיכה בהיקף מותאם אישית של מופע שירות

כברירת מחדל, כדי להשתמש באוטומציה של קישוריות לשירותים, מופע השירות ונקודות הקצה שמתחברות למופע השירות צריכים להיות באותו פרויקט (או בפרויקטים מקושרים במקרה של VPC משותף). אם שירות תומך בהיקף מותאם אישית של מופע שירות, מופעי שירות ונקודות קצה לחיבור יכולים להיות בפרויקטים או בארגונים שונים.

כדי ליצור את ההגדרה שמוצגת בדיאגרמה הבאה, צריך לבצע את המשימות הבאות:

אדמינים של רשתות ב-vpc-1, ב-vpc-2 וב-vpc-3 יוצרים מדיניות של חיבור שירות ברשתות ה-VPC שלהם. הם מאפשרים קישוריות למופעי שירות שמשתמשים במחלקה google-cloud-sql של השירות ומוצבים בפרויקט project-1 בארגון org-1.
האדמין של מופע השירות פורס מופע של שירות מנוהל db-1ב-project-1 באמצעות ממשק ה-API או ממשק המשתמש האדמיניסטרטיבי של השירות. האדמין מגדיר את מופע השירות כך שאוטומציה של קישוריות לשירות תפרוס נקודות קצה ב-vpc-1 וב-vpc-2 שמתחברות ל-db-1.
במקרה של vpc-1 ו-vpc-2, כל בדיקות ההרשאות עוברות בהצלחה, והאוטומציה של קישוריות השירות יוצרת נקודת קצה בכל רשת. מכונות וירטואליות ברשתות האלה יכולות לשלוח תנועה למופע השירות דרך נקודות הקצה.

עם זאת, נקודת קצה לא נוצרת ב-vpc-3 כי הרשת הזו לא מוגדרת לקישוריות אוטומטית בהגדרות של מופע השירות db-1.

אם vpc-3 צריך לגשת למופע של שירות db-1, אדמין הרשת יכול לפנות לאדמין מסד הנתונים ולבקש ממנו להוסיף את vpc-3 להגדרות הקישוריות של db-1.

אפשר להפוך את הקישור לאוטומטי לשירותי Google נתמכים מפרויקטים, תיקיות או ארגונים שונים (לחצו כדי להגדיל).

שירותים נתמכים

שירותי Google הבאים תומכים באוטומציה של קישוריות שירותים.

Google service	הגישה ניתנה
‫AlloyDB ל-PostgreSQL	מאפשר ליצור חיבורים למכונות AlloyDB ל-PostgreSQL באופן אוטומטי.
Cloud SQL	מאפשר ליצור חיבורים למכונות Cloud SQL באופן אוטומטי.
‫Memorystore for Redis Cluster	מאפשרת ליצור חיבורים למכונות של Memorystore for Redis Cluster באופן אוטומטי.
Memorystore for Valkey	מאפשר ליצור באופן אוטומטי חיבורים למופעים של Memorystore for Valkey.
חיפוש וקטורי ב-Vertex AI	מאפשרת ליצור באופן אוטומטי חיבורים לנקודות קצה של חיפוש וקטורי.