Informazioni sui backend Private Service Connect
Puoi accedere alle API di Google e ai servizi pubblicati creando un endpoint Private Service Connect (basato su una regola di forwarding) o un backend Private Service Connect (basato su un bilanciatore del carico). Questa guida è incentrata sui backend Private Service Connect.
I backend Private Service Connect utilizzano un bilanciatore del carico configurato con backend del gruppo di endpoint di rete (NEG) Private Service Connect. Questa configurazione era precedentemente indicata come un endpoint di Private Service Connect con controlli di servizio HTTP(S) consumer.
L'accesso ad API e servizi tramite un bilanciatore del carico gestito dal consumer offre diversi vantaggi. I bilanciatori del carico possono fungere da punto di applicazione centralizzato dei criteri in cui vengono applicati criteri di sicurezza (come i criteri di Google Cloud Armor e i criteri SSL) o criteri di routing (come le Google Cloud mappe URL). Forniscono metriche e logging centralizzati che un servizio pubblicato potrebbe non fornire e consentono ai consumer di controllare il proprio routing e failover.
La figura 1 mostra un bilanciatore del carico con un NEG di Private Service Connect che si connette a un servizio pubblicato. Il traffico client viene inviato a un bilanciatore del carico che lo elabora e lo indirizza a un backend di Private Service Connect che esegue il mapping a un servizio pubblicato in esecuzione in una rete VPC diversa.
Figura 1. L'utilizzo di un bilanciatore del carico delle applicazioni esterno globale consente ai consumer di servizi con accesso a internet di inviare traffico ai servizi nella rete VPC del producer di servizi (fai clic per ingrandire).
Panoramica del deployment
Per accedere alle API e ai servizi tramite i backend di Private Service Connect, esegui le seguenti operazioni:
Identifica l'API o il servizio a cui vuoi connetterti.
Per le API di Google: seleziona un endpoint di servizio regionale.
Per i servizi pubblicati: chiedi al producer di servizi l'URI dell'allegato di servizio.
Deploy un bilanciatore del carico per inviare traffico al servizio pubblicato. Scegli un bilanciatore del carico che soddisfi i tuoi requisiti, inclusi i client internet, i client interni o l'isolamento regionale. Puoi anche riutilizzare un bilanciatore del carico esistente.
Esegui il deployment dei NEG di Private Service Connect e aggiungili al servizio di backend del bilanciatore del carico. Crea NEG Private Service Connect che fanno riferimento al servizio pubblicato. Poi aggiungi i NEG al servizio di backend del bilanciatore del carico in modo che il bilanciatore del carico possa inviargli traffico.
Bilanciatori del carico e target supportati
Puoi utilizzare un backend per accedere a un servizio pubblicato o a un'API di Google supportata.
Per saperne di più sul bilanciatore del carico a cui vuoi aggiungere un backend Private Service Connect, consulta la documentazione sul bilanciamento del carico.
- Per informazioni sui bilanciatori del carico delle applicazioni esterni globali e regionali, consulta la panoramica del bilanciatore del carico delle applicazioni esterno.
- Per informazioni sui bilanciatori del carico delle applicazioni interni e sui bilanciatori del carico delle applicazioni interni tra regioni, consulta la panoramica del bilanciatore del carico delle applicazioni interno.
- Per informazioni sui bilanciatori del carico di rete proxy interni regionali, consulta la panoramica del bilanciatore del carico di rete proxy interno regionale.
- Per informazioni sui bilanciatori del carico di rete proxy esterni regionali, consulta la panoramica del bilanciatore del carico di rete proxy esterno regionale.
- Per informazioni sui bilanciatori del carico di rete proxy esterni globali, consulta la panoramica del bilanciatore del carico di rete proxy esterno.
Target del servizio pubblicato
Un backend di Private Service Connect per i servizi pubblicati richiede due bilanciatori del carico: un bilanciatore del carico consumer e un bilanciatore del carico producer.
Configurazione del consumatore
Questa tabella descrive i bilanciatori del carico consumer supportati dai backend di Private Service Connect per i servizi pubblicati, inclusi i protocolli di servizio di backend che possono essere utilizzati con ciascun bilanciatore del carico consumer. I bilanciatori del carico consumer possono accedere ai servizi pubblicati ospitati su bilanciatori del carico producer supportati.
| Bilanciatore del carico consumer | Protocolli | Versione IP | Failover tra regioni |
|---|---|---|---|
|
Bilanciatore del carico delle applicazioni interno tra regioni |
|
IPv4 | |
|
IPv4 | ||
|
Bilanciatore del carico delle applicazioni esterno globale Nota:il bilanciatore del carico delle applicazioni classico non è supportato. |
|
IPv4 | |
|
Bilanciatore del carico di rete proxy esterno globale Per associare questo bilanciatore del carico a un NEG di Private Service Connect, utilizza Google Cloud CLI o invia una richiesta API. Nota:il bilanciamento del carico di rete proxy classico non è supportato. |
|
IPv4 | |
|
Bilanciatore del carico delle applicazioni esterno regionale |
|
IPv4 | |
|
IPv4 | ||
|
Bilanciatore del carico delle applicazioni interno regionale |
|
IPv4 | |
|
IPv4 |
Configurazione del producer
Questa tabella descrive la configurazione dei bilanciatori del carico del producer supportati dai backend Private Service Connect per i servizi pubblicati.
| Tipo di produttore | Configurazione del producer (servizio pubblicato) | |||||
|---|---|---|---|---|---|---|
| Backend del produttore supportati | Protocolli delle regole di forwarding | Porte delle regole di forwarding | Protocollo PROXY | Versione IP | Supporto per il controllo dell'integrità di Private Service Connect | |
| Bilanciatore del carico delle applicazioni interno tra regioni |
|
|
Supporta una, più o tutte le porte | IPv4 | ||
| Bilanciatore del carico di rete passthrough interno |
|
|
Consulta Configurazione della porta del producer. | IPv4 | ||
| Bilanciatore del carico delle applicazioni interno regionale |
|
|
Supporta una sola porta | IPv4 | ||
| Bilanciatore del carico di rete proxy interno regionale |
|
|
Supporta una sola porta | IPv4 | ||
| Secure Web Proxy |
|
|
Non applicabile | IPv4 | ||
Per un esempio di configurazione del backend che utilizza un bilanciatore del carico delle applicazioni esterno globale, consulta Accedere ai servizi pubblicati tramite i backend.
Target API di Google regionali
Questa tabella descrive quali bilanciatori del carico possono utilizzare un backend di Private Service Connect per accedere alle API di Google regionali.
Per un esempio di configurazione che utilizza un bilanciatore del carico delle applicazioni interno, consulta Accedere alle API di Google tramite i backend.
| Configurazione | Dettagli |
|---|---|
| Configurazione del consumer (backend Private Service Connect) | |
| Bilanciatori del carico consumer supportati |
|
| Versione IP | IPv4 |
| Producer | |
| Servizi supportati | API di Google regionali supportate |
Target API di Google globali
Questa tabella descrive quali bilanciatori del carico possono utilizzare un backend di Private Service Connect per accedere a un'API di Google globale.
| Configurazione | Dettagli |
|---|---|
| Configurazione del consumer (backend Private Service Connect) | |
| Bilanciatori del carico consumer supportati |
|
| Versione IP | IPv4 |
| Producer | |
| Servizi supportati |
|
Stati della connessione
Endpoint, backend e collegamenti ai servizi di Private Service Connect hanno uno stato della connessione che descrive lo stato della loro connessione. Le risorse consumer e producer che costituiscono i due lati di una connessione hanno sempre lo stesso stato. Puoi visualizzare gli stati della connessione quando visualizzi i dettagli dell'endpoint, descrivi un backend o visualizzi i dettagli di un servizio pubblicato.
La tabella seguente descrive i possibili stati.
| Stato della connessione | Descrizione |
|---|---|
| Accettato | La connessione Private Service Connect è stata stabilita. Le due reti VPC hanno connettività e la connessione funziona normalmente. |
| In attesa | La connessione Private Service Connect non è stabilita e il traffico di rete non può essere trasferito tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi:
Le connessioni bloccate per questi motivi rimangono in stato di attesa a tempo indeterminato finché il problema sottostante non viene risolto. |
| Rifiutata | La connessione Private Service Connect non è stata stabilita. Il traffico di rete non può essere trasferito tra le due reti. Una connessione potrebbe avere questo stato per i seguenti motivi:
|
| Richiede attenzione | Si è verificato un problema sul lato producer della connessione. Parte del traffico potrebbe spostarsi tra le due reti, ma alcune connessioni potrebbero non funzionare. Ad esempio, la subnet NAT del producer potrebbe essere esaurita e non essere in grado di allocare indirizzi IP per nuove connessioni. |
| Chiuso | Il collegamento al servizio è stato eliminato e la connessione Private Service Connect è chiusa. Il traffico di rete non può essere trasferito tra le due reti. Una connessione chiusa è uno stato terminale. Per ripristinare la connessione, devi ricreare sia il collegamento al servizio sia l'endpoint o il backend. |
Specifiche
Tutti i backend Private Service Connect hanno le seguenti specifiche:
- Solo i bilanciatori del carico supportati possono utilizzare i NEG Private Service Connect come backend.
- I NEG Private Service Connect non possono essere combinati con altri tipi di NEG nello stesso servizio di backend. Tuttavia, le applicazioni self-hosted e i servizi gestiti possono essere entrambi backend dello stesso bilanciatore del carico, a condizione che facciano parte di servizi di backend separati.
- I servizi di backend con NEG Private Service Connect non supportano i controlli di integrità. Le risorse di controllo dell'integrità non sono configurate con i servizi di backend utilizzati per Private Service Connect.
- I servizi di backend con NEG Private Service Connect non supportano l'affinità di sessione.
- Se un NEG di Private Service Connect fa riferimento a un collegamento di servizio, quest'ultimo deve trovarsi in una rete VPC diversa dal NEG e dal bilanciatore del carico.
- I NEG di Private Service Connect non possono fare riferimento agli allegati di servizio configurati per i servizi di mappatura delle porte.
I backend di Private Service Connect utilizzati nei servizi di backend globali hanno specifiche aggiuntive:
- Più NEG Private Service Connect possono trovarsi nello stesso servizio di backend, purché provengano da regioni diverse. Non puoi aggiungere più NEG Private Service Connect della stessa regione allo stesso servizio di backend.
- Puoi sfruttare il failover automatico tra regioni associando più NEG Private Service Connect allo stesso servizio di backend. Per ulteriori informazioni, consulta la sezione seguente.
Failover automatico tra regioni
L'accesso ai servizi pubblicati utilizzando i backend Private Service Connect basati su bilanciatori del carico globali o cross-region consente di sfruttare il failover automatico tra regioni.
Con il failover automatico, se un'istanza di servizio in una regione diventa non integra, il bilanciatore del carico consumer interrompe l'instradamento del traffico all'istanza non integra e instrada invece il traffico a un'istanza di servizio integra in una regione alternativa.
Per supportare il failover automatico, sia il producer di servizi sia il consumer del servizio devono configurare le proprie risorse per un deployment multiregionale, come descritto in questa sezione. Per informazioni sui requisiti aggiuntivi del produttore per il failover con il controllo dell'integrità di Private Service Connect, consulta Specifiche del controllo dell'integrità di Private Service Connect.
Configurazione del produttore:
- Esegui il deployment del servizio in ogni regione. Ogni istanza regionale del servizio deve essere configurata su un bilanciatore del carico regionale che supporta l'accesso da parte di un backend.
- Crea un collegamento al servizio per pubblicare ogni istanza regionale del servizio.
Configurazione del consumer:
- Crea un backend di Private Service Connect per accedere ai servizi pubblicati. Il backend
deve basarsi su un
bilanciatore del carico che supporta il failover tra regioni
e include la seguente configurazione:
- Un NEG Private Service Connect in ogni regione che punta al collegamento del servizio di quella regione
- Un servizio di backend globale che contiene i backend NEG
Un bilanciatore del carico delle applicazioni esterno globale con più NEG Private Service Connect si connette a un servizio pubblicato in più regioni. Questo deployment multiregionale consente al bilanciatore del carico consumer di eseguire il failover quando un'istanza di servizio diventa non integra, instradando il traffico a un'istanza di servizio integra in una regione alternativa (fai clic per ingrandire).
Il failover automatico può essere attivato in due modi:
Failover con rilevamento dei valori anomali:il meccanismo di failover standard del bilanciatore del carico, abilitato per impostazione predefinita nei deployment multiregionali. Il traffico viene indirizzato lontano dai NEG di Private Service Connect che ricevono un alto tasso di errori dal servizio pubblicato.
Failover avanzato con il controllo dell'integrità di Private Service Connect:i producer di servizi possono configurare il controllo dell'integrità di Private Service Connect per fornire indicatori di integrità più dettagliati per i propri servizi.
Failover tramite il rilevamento di outlier
Quando in un servizio di backend globale vengono configurati più NEG Private Service Connect, il rilevamento degli outlier viene attivato automaticamente nel servizio di backend.
Quando il rilevamento di outlier identifica errori nelle risposte inviate da un servizio pubblicato, ad esempio codici di risposta 5xx, il bilanciatore del carico consumer esegue il failover, reindirizzando temporaneamente il traffico a un'istanza di servizio integra in una regione alternativa.
Puoi sostituire il criterio di rilevamento dei valori anomali predefinito applicando la tua configurazione di rilevamento dei valori anomali al servizio di backend oppure puoi disattivare la funzionalità configurando un singolo NEG di Private Service Connect nel servizio di backend e instradando il 100% del traffico a questo NEG.
Failover avanzato tramite il controllo dell'integrità di Private Service Connect
Con il controllo di integrità di Private Service Connect, un bilanciatore del carico consumer può eseguire il failover in base a un segnale di integrità diretto configurato dal producer di servizi.
Il producer definisce le condizioni che creano un unico stato di integrità composito per ogni istanza di servizio pubblicata a livello regionale. Lo stato di salute composito si basa sullo stato di salute dei backend del servizio, ad esempio istanze VM o endpoint di rete. Ad esempio, un produttore può specificare che il suo servizio è considerato integro solo quando una determinata percentuale delle sue istanze di backend è integra.
Per i bilanciatori del carico supportati nelle implementazioni multiregionali, non è richiesta alcuna configurazione aggiuntiva da parte dei consumer per utilizzare gli indicatori di integrità dell'integrità di Private Service Connect.
Per informazioni su come i producer di servizi possono configurare lo stato di Private Service Connect, consulta Informazioni sullo stato di Private Service Connect.
Prezzi
Per informazioni sui prezzi, consulta le seguenti sezioni della pagina dei prezzi di VPC:
Utilizzo di un backend di Private Service Connect per accedere a un servizio pubblicato.
Utilizzo di un backend di Private Service Connect per accedere alle API di Google.
Passaggi successivi
- Crea un backend Private Service Connect
- Accedere alle API Google regionali tramite i backend
- Accedere alle API di Google globali tramite i backend
- Accedere ai servizi pubblicati tramite i backend