Questo tutorial mostra come rendere disponibile un servizio bilanciato del carico da altre reti VPC utilizzando Private Service Connect.
Per impostazione predefinita, il bilanciatore del carico di rete passthrough interno che hai creato nel tutorial precedente è disponibile solo all'interno della propria rete VPC. Con Private Service Connect, puoi pubblicare il servizio per renderlo disponibile alle risorse in altre reti VPC.
Questo tutorial è rivolto ad architetti cloud, architetti di rete, amministratori di rete e amministratori IT.
Obiettivi
- Crea il servizio pubblicato
- Crea una regola firewall per il traffico del servizio pubblicato
- Recuperare l'URI del collegamento al servizio
Costi
In questo documento vengono utilizzati i seguenti componenti fatturabili di Google Cloud:
Per generare una stima dei costi in base all'utilizzo previsto,
utilizza il Calcolatore prezzi.
Al termine delle attività descritte in questo documento, puoi evitare l'addebito di ulteriori costi eliminando le risorse che hai creato. Per saperne di più, consulta Esegui la pulizia.
Prima di iniziare
- Completa i passaggi del tutorial precedente, Crea un servizio con bilanciamento del carico.
- Seleziona il progetto di producer di servizi (
PRODUCER_PROJECT) che hai selezionato o creato nel tutorial precedente. Utilizza questo progetto per i passaggi di questo tutorial.
Crea il servizio pubblicato
Per rendere disponibile il servizio da altre reti VPC, devi pubblicarlo. Per pubblicare un servizio, crea le seguenti risorse nella stessa rete e regione del bilanciatore del carico:
- Una subnet Private Service Connect che fornisce indirizzi IP per la Network Address Translation (NAT) tra le reti producer e consumer.
- Un collegamento al servizio.
Queste istruzioni creano un servizio pubblicato accessibile da qualsiasi progetto. In un ambiente di produzione, potresti invece scegliere di limitare le reti o i progetti che possono accedere al servizio.
Console
Nella console Google Cloud , vai alla pagina Private Service Connect.
Fai clic sulla scheda Servizi pubblicati.
Fai clic su Pubblica servizio.
Nella sezione Dettagli della destinazione, seleziona Bilanciatore del carico.
Seleziona Bilanciatore del carico di rete passthrough interno.
Seleziona il bilanciatore del carico interno che hai creato,
service-lb.In Nome servizio, inserisci
published-service.Crea una subnet Private Service Connect per NAT:
- Fai clic su Subnet e poi su Riserva nuova subnet.
- In Nome, inserisci
nat-subnet. - In Regione, seleziona
REGION. - In Intervallo IPv4, inserisci
10.10.20.0/22. - Fai clic su Aggiungi.
In Preferenza di connessione, seleziona Accetta automaticamente tutte le connessioni.
Fai clic su Aggiungi servizio.
gcloud
Crea una subnet Private Service Connect utilizzando il comando
gcloud compute networks subnets create.gcloud compute networks subnets create nat-subnet \ --network=service-network \ --region=REGION \ --range=10.10.20.0/22 \ --purpose=PRIVATE_SERVICE_CONNECT
Per pubblicare il servizio, utilizza il comando
gcloud compute service-attachments create.gcloud compute service-attachments create published-service \ --region=REGION \ --target-service=projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/service-rule \ --connection-preference=ACCEPT_AUTOMATIC \ --nat-subnets=nat-subnet
Sostituisci quanto segue:
PRODUCER_PROJECT: l'ID del progetto producer.REGION: la regione per l'allegato del servizio. Deve essere la stessa regione dell'indirizzo IP della regola di forwarding di destinazione.
Crea una regola firewall per il traffico di servizi pubblicati
Crea una regola firewall per consentire al traffico proveniente dalla subnet NAT di Private Service Connect di raggiungere le VM di backend del bilanciatore del carico.
Console
Nella console Google Cloud , vai alla pagina Policy del firewall.
Per consentire al traffico della subnet NAT di Private Service Connect di raggiungere le VM di backend del bilanciatore del carico, fai clic su Crea regola firewall e utilizza le seguenti impostazioni:
- In Nome, inserisci
fw-allow-nat. - In Rete, seleziona
service-network. - In Priorità, inserisci
1000. - Per Direzione del traffico, seleziona In entrata.
- In Azione in caso di corrispondenza, seleziona Consenti.
- In Destinazioni, seleziona Tag di destinazione specificati.
- In Tag di destinazione, inserisci
allow-nat. - In Filtro di origine, seleziona Intervalli IPv4.
- In Intervalli IPv4 di origine, inserisci
10.10.20.0/22. - In Protocolli e porte, seleziona Consenti tutto.
- In Nome, inserisci
Fai clic su Crea.
gcloud
Crea la regola firewall
fw-allow-natper consentire la comunicazione dalla subnet NAT Private Service Connect ai backend VM:gcloud compute firewall-rules create fw-allow-nat \ --network=service-network \ --action=allow \ --direction=ingress \ --source-ranges=10.10.20.0/22 \ --rules=tcp,udp,icmp
Recuperare l'URI del collegamento al servizio
Utilizzerai l'URI del collegamento al servizio per configurare l'endpoint nel tutorial successivo, Accedere al servizio da un'altra rete VPC.
Console
Nella console Google Cloud , vai alla pagina Private Service Connect.
Fai clic sulla scheda Servizi pubblicati.
Fai clic sul servizio che vuoi visualizzare.
Il campo Service attachment (Collegamento servizio) contiene l'URI del collegamento al servizio.
gcloud
Visualizza i dettagli del servizio pubblicato utilizzando il comando
gcloud compute service-attachments describe.Il campo
selfLinkcontiene l'URI del collegamento al servizio.gcloud compute service-attachments describe \ published-service --region=REGIONSostituisci
REGIONcon la regione che contiene l'allegato di servizio.