Ce tutoriel explique comment rendre un service à équilibrage de charge disponible à partir d'autres réseaux VPC à l'aide de Private Service Connect.
Par défaut, l'équilibreur de charge réseau passthrough interne que vous avez créé dans le tutoriel précédent n'est disponible que dans son propre réseau VPC. Avec Private Service Connect, vous pouvez publier le service pour le rendre disponible aux ressources d'autres réseaux VPC.
Ce tutoriel est destiné aux architectes cloud, aux architectes réseau, aux administrateurs réseau et aux administrateurs informatiques.
Objectifs
- Créer le service publié
- Créer une règle de pare-feu pour le trafic de service publié
- Obtenir l'URI du rattachement de service
Coûts
Dans ce document, vous utilisez les composants facturables de Google Cloudsuivants :
Vous pouvez obtenir une estimation des coûts en fonction de votre utilisation prévue à l'aide du simulateur de coût.
Une fois que vous avez terminé les tâches décrites dans ce document, supprimez les ressources que vous avez créées pour éviter que des frais vous soient facturés. Pour en savoir plus, consultez la section Effectuer un nettoyage.
Avant de commencer
- Suivez les étapes du tutoriel précédent, Créer un service à équilibrage de charge.
- Sélectionnez le projet de producteur de services (
PRODUCER_PROJECT) que vous avez sélectionné ou créé dans le tutoriel précédent. Utilisez ce projet pour les étapes de ce tutoriel.
Créer le service publié
Pour rendre le service disponible à partir d'autres réseaux VPC, vous devez le publier. Pour publier un service, créez les ressources suivantes dans le même réseau et la même région que l'équilibreur de charge :
- Sous-réseau Private Service Connect qui fournit des adresses IP pour la traduction d'adresse réseau (NAT) entre les réseaux du producteur et du consommateur.
- Un rattachement de service.
Ces instructions permettent de créer un service publié accessible depuis n'importe quel projet. Dans un environnement de production, vous pouvez choisir de limiter les réseaux ou projets pouvant accéder au service.
Console
Dans la console Google Cloud , accédez à la page Private Service Connect.
Cliquez sur l'onglet Services publiés.
Cliquez sur Publier le service.
Dans la section Détails de la cible, sélectionnez Équilibreur de charge.
Sélectionnez Équilibreur de charge réseau passthrough interne.
Sélectionnez l'équilibreur de charge interne que vous avez créé,
service-lb.Dans le champ Nom du service, saisissez
published-service.Créez un sous-réseau Private Service Connect pour NAT :
- Cliquez sur Sous-réseaux, puis sur Réserver un nouveau sous-réseau.
- Dans le champ Nom, saisissez
nat-subnet. - Pour Région, sélectionnez
REGION. - Dans Plage IPv4, saisissez
10.10.20.0/22. - Cliquez sur Ajouter.
Pour Préférences de connexion, sélectionnez Accepter automatiquement toutes les connexions.
Cliquez sur Ajouter un service.
gcloud
Créez un sous-réseau Private Service Connect à l'aide de la commande
gcloud compute networks subnets create.gcloud compute networks subnets create nat-subnet \ --network=service-network \ --region=REGION \ --range=10.10.20.0/22 \ --purpose=PRIVATE_SERVICE_CONNECT
Pour publier le service, utilisez la commande
gcloud compute service-attachments create.gcloud compute service-attachments create published-service \ --region=REGION \ --target-service=projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/service-rule \ --connection-preference=ACCEPT_AUTOMATIC \ --nat-subnets=nat-subnet
Remplacez les éléments suivants :
PRODUCER_PROJECT: ID du projet du producteur.REGION: région du rattachement de service. Il doit s'agir de la même région que l'adresse IP de la règle de transfert cible.
Créer une règle de pare-feu pour le trafic de service publié
Créez une règle de pare-feu pour autoriser le trafic du sous-réseau NAT Private Service Connect à atteindre les VM de backend de l'équilibreur de charge.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Pour permettre au trafic du sous-réseau NAT Private Service Connect d'atteindre les VM de backend de l'équilibreur de charge, cliquez sur Créer une règle de pare-feu et utilisez les paramètres suivants :
- Dans le champ Nom, saisissez
fw-allow-nat. - Pour Réseau, sélectionnez
service-network. - Dans le champ Priorité, saisissez
1000. - Pour le Sens du trafic, sélectionnez Entrée.
- Pour l'option Action en cas de correspondance, sélectionnez Autoriser.
- Pour Cibles, sélectionnez Specified target tags (Tags cibles spécifiés).
- Pour Tags cibles, saisissez
allow-nat. - Dans la section Filtre source, sélectionnez Plages IPv4.
- Dans le champ Plages IPv4 sources, saisissez
10.10.20.0/22. - Pour Protocoles et ports, sélectionnez Tout autoriser.
- Dans le champ Nom, saisissez
Cliquez sur Créer.
gcloud
Créez la règle de pare-feu
fw-allow-natpour autoriser la communication du sous-réseau NAT Private Service Connect vers les backends de VM :gcloud compute firewall-rules create fw-allow-nat \ --network=service-network \ --action=allow \ --direction=ingress \ --source-ranges=10.10.20.0/22 \ --rules=tcp,udp,icmp
Obtenir l'URI du rattachement de service
Vous utiliserez l'URI du rattachement de service pour configurer le point de terminaison dans le prochain tutoriel, Accéder au service depuis un autre réseau VPC.
Console
Dans la console Google Cloud , accédez à la page Private Service Connect.
Cliquez sur l'onglet Services publiés.
Cliquez sur le service que vous souhaitez afficher.
Le champ Rattachement de service contient l'URI du rattachement de service.
gcloud
Affichez les détails du service publié à l'aide de la commande
gcloud compute service-attachments describe.Le champ
selfLinkcontient l'URI du rattachement de service.gcloud compute service-attachments describe \ published-service --region=REGIONRemplacez
REGIONpar la région qui contient l'association de service.