Questa pagina è stata tradotta dall'API Cloud Translation.

Pattern di deployment di Private Service Connect

Questa pagina descrive alcuni modi comuni per eseguire il deployment e accedere a Private Service Connect.

Servizi single-tenant

I servizi single-tenant sono servizi dedicati a un singolo consumatore o tenant. L'istanza di servizio è in genere ospitata in una rete VPC separata dedicata a quel tenant per isolarlo dalle altre reti VPC tenant nell'organizzazione producer. Ogni servizio utilizza un elenco di accettazione del consumer per controllare quali progetti possono connettersi al servizio. Utilizzando la lista consentita, puoi limitare l'accesso a un singolo tenant. Sebbene solo un singolo tenant possa connettersi al servizio, il tenant potrebbe creare più endpoint o backend se si connette da più reti VPC.

**Figura 1.** In un servizio gestito single-tenant, il producer esegue il deployment di un servizio in una rete VPC separata dedicata a quel consumer (fai clic per ingrandire).

Servizi multi-tenant

I servizi multi-tenant sono servizi a cui possono accedere più consumatori o tenant. Il producer configura la lista di accettazione dei consumer del servizio in modo che i consumer di più progetti o di qualsiasi progetto possano connettersi al servizio. L'elenco di accettazione consumer consente inoltre al producer di controllare il numero di connessioni Private Service Connect che ogni progetto può creare. Questi limiti aiutano il producer a evitare l'esaurimento delle risorse o della quota. Se il produttore deve identificare quale tenant è l'origine del traffico, può attivare il protocollo PROXY sul servizio.

**Figura 2.** In un servizio gestito multi-tenant, un servizio in una rete VPC può essere accessibile a più consumer (fai clic per ingrandire).

Accesso multipunto

L'accesso multipunto si verifica quando più endpoint o backend Private Service Connect si connettono allo stesso collegamento al servizio. Private Service Connect multi-point è utile per i servizi multi-tenant perché consente a più consumer indipendenti di connettersi allo stesso servizio. È utile anche per i servizi single-tenant per casi come la creazione della connettività dei servizi in più reti VPC all'interno di un singolo consumer.

Non tutti i produttori di servizi scelgono di supportare l'accesso multipunto nel loro servizio gestito. Contatta il producer di servizi per verificare se gli allegati del servizio supportano l'accesso multipunto.

Accesso multiregionale

I servizi gestiti multiregionali sono servizi di cui è stato eseguito il deployment o a cui è stato eseguito l'accesso in più regioni. I clienti potrebbero accedere ai servizi in un'altra regione perché il servizio non esiste nella loro regione locale o per l'alta disponibilità e il failover multiregionale. Poiché Google Cloud supporta le reti VPC globali, l'accesso globale di Private Service Connect consente ai client di raggiungere gli endpoint Private Service Connect da qualsiasi regione. Il traffico client può provenire da istanze di macchine virtuali (VM) Compute Engine, tunnel Cloud VPN e collegamenti VLAN per Cloud Interconnect.

**Figura 3.** È possibile accedere agli endpoint Private Service Connect con accesso globale da qualsiasi regione (fai clic per ingrandire).

Accesso on-premise e ibrido

Puoi connettere reti on-premise o altri provider cloud alla tua rete VPC utilizzando i collegamenti VLAN per Cloud Interconnect e i tunnel Cloud VPN. Poiché gli endpoint per le API di Google e gli endpoint per i servizi pubblicati sono entrambi accessibili a livello globale, i client nelle reti connesse possono inviare richieste agli endpoint in qualsiasi regione. Tuttavia, puoi eseguire il deployment degli endpoint in più regioni per controllare in modo più granulare il routing dalle reti ibride. Puoi instradare il traffico ibrido da una regione specifica a un endpoint locale che ottimizza il percorso più breve per il percorso del traffico.

**Immagine 4.** È possibile accedere agli endpoint e ai backend di Private Service Connect dalle reti connesse (fai clic per ingrandire).

Connettività bidirezionale

Sebbene i client consumer in genere inizino le connessioni ai servizi gestiti, a volte i servizi gestiti devono iniziare le connessioni ai servizi di proprietà dei consumer.

Invertire la connettività privata

La connettività privata inversa si verifica quando un consumer consente alle VM e ai cluster GKE in una rete VPC producer di avviare il traffico verso una rete VPC consumer tramite il deployment di Private Service Connect in senso inverso. In questo caso, il consumer esegue il deployment di un bilanciatore del carico interno e di un collegamento di servizio, che pubblica il servizio per i producer. Insieme, producer e consumer possono utilizzare Private Service Connect in direzione diretta e inversa per creare una connettività bidirezionale tra loro.

**Figura 5.** La connettività privata inversa consente a consumer e producer di creare una connettività bidirezionale tra loro (fai clic per ingrandire).

Interfacce Private Service Connect

Le interfacce Private Service Connect creano connessioni bidirezionali e transitive tra le reti VPC consumer e producer. Le risorse nelle reti VPC consumer e producer possono avviare connessioni tramite l'interfaccia Private Service Connect. Inoltre, poiché la connessione è transitiva, le risorse nella rete VPC del producer possono comunicare con altri carichi di lavoro connessi alla rete VPC del consumer. Ad esempio, una VM nella rete VPC del producer può raggiungere i carichi di lavoro nelle reti connesse alla rete VPC del consumer tramite Cloud Interconnect o il peering di rete VPC.

Servizi ibridi

I servizi ibridi che non si trovano in Google Cloud possono trovarsi in altri cloud, in un ambiente on-premise o in qualsiasi combinazione di queste posizioni. Private Service Connect ti consente di rendere accessibile un servizio ibrido in un'altra rete VPC.

È possibile accedere ai servizi ibridi tramite NEG ibridi compatibili con i bilanciatori del carico supportati.

Spesso questa configurazione viene utilizzata come forma di connettività privata inversa, con i producer di servizi che si connettono ai servizi consumer ospitati in reti on-premise. Private Service Connect consente al produttore di raggiungere le reti ibride consumer senza stabilire una connettività diretta con queste reti.

**Immagine 6.** La connettività privata inversa consente a consumer e producer di creare una connettività bidirezionale tra loro (fai clic per ingrandire).

Per un esempio di configurazione, vedi Pubblicare un servizio ibrido utilizzando Private Service Connect.

VPC condiviso

Le risorse Private Service Connect possono essere implementate in reti VPC autonome o in reti VPC condiviso. Endpoint, backend e collegamenti di servizio Private Service Connect possono essere implementati in progetti host o di servizio.

Ad esempio, un amministratore di servizi consumer può eseguire il deployment di endpoint e backend Private Service Connect nei progetti di servizio utilizzando indirizzi IP provenienti da subnet nel progetto host. Con questa configurazione, gli endpoint e i backend sono raggiungibili da altri progetti di servizio nella stessa rete VPC condiviso.

Tutti i client all'interno di una rete VPC condiviso hanno la connettività a un endpoint Private Service Connect, indipendentemente dal progetto in cui è stato eseguito il deployment. Tuttavia, la scelta del progetto influisce sulla visibilità, sull'accesso IAM e sul progetto a cui viene addebitata la fatturazione oraria delle risorse.

**Immagine 7.** Puoi rendere disponibili le risorse Private Service Connect in tutti i progetti di servizio associati a una rete VPC condiviso (fai clic per ingrandire).

Passaggi successivi

Scopri di più su Private Service Connect.
Visualizza le informazioni sulla compatibilità di Private Service Connect.