התחברות לשירות פרטי
במסמך הזה מפורטת סקירה כללית על Private Service Connect.
Private Service Connect הוא תכונה של Google Cloud רשתות שמאפשרת לצרכנים לגשת באופן פרטי לשירותים מנוהלים מתוך רשת ה-VPC שלהם. באופן דומה, היא מאפשרת לספקי שירותים מנוהלים לארח את השירותים האלה ברשתות VPC נפרדות משלהם ולהציע חיבור פרטי לצרכנים שלהם. לדוגמה, כשמשתמשים ב-Private Service Connect כדי לגשת ל-Cloud SQL, אתם צרכני השירות ו-Google היא בעלים של שירות מנוהל.
באמצעות Private Service Connect, צרכנים יכולים להשתמש בכתובות ה-IP הפנימיות שלהם כדי לגשת לשירותים בלי לצאת מרשתות ה-VPC שלהם. התנועה נשארת כולה בתוך Google Cloud. Private Service Connect מספק גישה ממוקדת שירותים בין צרכנים לבין בעלים של שירות מנוהל, עם שליטה מדויקת באופן הגישה לשירותים.
Private Service Connect מאפשר לכם לשלוח תנועה לנקודות קצה ולבק-אנדים שמעבירים את התנועה לשירותים מנוהלים, כולל Google APIs ושירותים שפורסמו. ממשקי Private Service Connect מאפשרים לשירותים מנוהלים ליזום חיבורים לרשתות VPC של צרכנים.
בחירת תכונה של Private Service Connect
בטבלה הבאה מפורט סיכום של התכונות של Private Service Connect שמתאימות לתרחישי שימוש שונים.
| תרחיש שימוש | התכונה Private Service Connect |
|---|---|
| שימוש בשירותים |
|
| שירותי הפקה |
|
סוגים של Private Service Connect
Private Service Connect זמין בסוגים שונים שמספקים יכולות שונות ואופני תקשורת שונים.
בעלי שירותים מנוהלים מפרסמים את האפליקציות שלהם לצרכנים על ידי יצירת שירותים של Private Service Connect. צרכני השירותים ניגשים לשירותים האלה של Private Service Connect ישירות דרך אחד מהסוגים הבאים של Private Service Connect:
- נקודות קצה של Private Service Connect. נקודות הקצה נפרסות באמצעות כללי העברה שמספקים לצרכן כתובת IP שממופה לשירות Private Service Connect.
- בק-אנדים של Private Service Connect. פריסת הקצוות העורפיים מתבצעת באמצעות קבוצות של נקודות קצה ברשת (NEGs), שמאפשרות לצרכנים להפנות תנועה למאזן העומסים שלהם לפני שהיא מגיעה לשירות Private Service Connect.
בעלי שירותים יכולים ליזום חיבורים לצרכני שירותים באמצעות ממשקי Private Service Connect. ממשקי Private Service Connect מספקים תקשורת דו-כיוונית, ואפשר להשתמש בהם באותה רשת VPC כמו נקודות קצה ובק-אנדים.
נקודות קצה
נקודות קצה של Private Service Connect הן כתובות IP פנימיות ברשת VPC של צרכן, שלקוחות ברשת הזו יכולים לגשת אליהן ישירות. נקודות קצה נוצרות כשפורסים כלל העברה שמפנה אל קובץ מצורף של שירות, אל חבילה של ממשקי Google API או אל ממשק API אזורי יחיד.
בתרשים הבא מוצגת נקודת קצה של Private Service Connect שמכוונת לשירות שפורסם ופועל ברשת VPC ובארגון נפרדים. נקודות קצה של Private Service Connect ושירותים שפורסמו מאפשרים לשתי חברות עצמאיות לתקשר ביניהן באמצעות כתובות IP פנימיות. מידע נוסף זמין במאמר גישה לשירותים שפורסמו דרך נקודות קצה.
Private Service Connect מאפשר לכם לשלוח תעבורה לנקודות קצה שמעבירות את התעבורה לשירותים שפורסמו ברשת VPC אחרת.
באופן דומה, אפשר להשתמש בנקודת קצה של Private Service Connect כדי לגשת לממשקי Google APIs כמו Cloud Storage או BigQuery. הפונקציונליות הזו דומה לגישה פרטית ל-Google, אבל אפשר להשתמש בכתובות IP פנימיות משלכם לנקודות קצה. Private Service Connect מאפשר לכם לשלוט בניתוב בצורה ישירה יותר וליצור כמה נקודות קצה שדרושות לרשת שלכם. מידע נוסף זמין במאמר גישה לממשקי Google API דרך נקודות קצה.
Private Service Connect מאפשר לכם לשלוח תנועה לנקודות קצה שמעבירות את התנועה ל-Google APIs.
קצה עורפי
בק-אנדים של Private Service Connect מאפשרים למאזני עומסים לשלוח תנועה דרך Private Service Connect כדי להגיע לשירותים שפורסמו או ל-Google APIs. Google Cloud הבק-אנדים נפרסים באמצעות קבוצות של נקודות קצה ברשת (NEGs) של Private Service Connect, שמפנות לצירוף של שירות של ספק או ל-Google API נתמך. הצבת מאזן עומסים לפני שירות מנוהל מספקת לצרכן יותר נראות ושליטה מאשר נקודת קצה של Private Service Connect. באמצעות ה-Backends, אפשר ליצור הגדרות כמו:
- דומיינים ואישורים בבעלות הלקוח לפני שירותים מנוהלים
- מעבר אוטומטי לגיבוי (failover) בין שירותים מנוהלים באזורים שונים, בשליטת הצרכן
- הגדרת אבטחה מרכזית ובקרת גישה לשירותים מנוהלים
בתרשים הבא מוצג מאזן עומסים פנימי של אפליקציות שנפרס עם קצוות עורפיים מסוג Private Service Connect שמפנים לשירות שפורסם. יש שני מאזני עומסים בהגדרה:
- מאזן העומסים של הצרכן, שמספק בקרה, שקיפות ואבטחה של תעבורת הנתונים לשירות.
- מאזן העומסים של הבעלים של השירות המנוהל, שמבצע איזון עומסים של התנועה בין הקצוות העורפיים של השירות.
Private Service Connect מאפשר לכם לשלוח תעבורה לבק-אנדים שמעבירים את התעבורה לשירותים שפורסמו.
בדומה לנקודות קצה של Private Service Connect, גם בק-אנדים תומכים בטירגוט של ממשקי Google APIs. בתרשים הבא מוצג מאזן עומסים פנימי של אפליקציות (ALB) שמכוון לקטגוריה של Cloud Storage ומסיים את התעבורה באמצעות דומיין בבעלות הלקוח.
Private Service Connect מאפשר לכם לשלוח תנועה לבק-אנדים שמעבירים את התנועה ל-Google API אזורי.
ממשקים
ממשק Private Service Connect הוא סוג מיוחד של ממשק רשת שמפנה אל קובץ מצורף עם הרשת.
בעלים של שירות מנוהל יכולים ליצור ממשק Private Service Connect ולבקש חיבור לצירוף רשת. אם צרכן השירות מקבל את החיבור, Google Cloud מוקצית לחיבור כתובת IP מרשת משנה ברשת ה-VPC של הצרכן, שמוגדרת על ידי קובץ הרשת המצורף. למכונה הווירטואלית של ממשק Private Service Connect יש ממשק רשת רגיל שני שמתחבר לרשת ה-VPC של היצרן.
חיבור בין ממשק Private Service Connect לבין קובץ מצורף לרשת דומה לחיבור בין נקודת קצה של Private Service Connect לבין קובץ מצורף עם שירות, אבל יש שני הבדלים עיקריים:
- ממשק Private Service Connect מאפשר לרשת VPC של יצרן ליזום חיבורים לרשת VPC של צרכן (תעבורת נתונים יוצאת משירות מנוהל). נקודת קצה פועלת בכיוון ההפוך, ומאפשרת לרשת VPC של צרכן ליזום חיבורים לרשת VPC של יצרן (תנועה נכנסת לשירות מנוהל).
- חיבור ממשק Private Service Connect הוא טרנזיטיבי. המשמעות היא שעומסי עבודה ברשת של יצרן יכולים ליזום חיבורים לעומסי עבודה אחרים שמחוברים לרשת ה-VPC של הצרכן. נקודות קצה של Private Service Connect יכולות ליזום חיבורים רק לרשת ה-VPC של ספק השירות.
ממשקי Private Service Connect מאפשרים לבעלי שירותים מנוהלים ליזום חיבורים לצרכני שירותים.
שירותים מנוהלים של Private Service Connect
שירותים מנוהלים הם שירותים שנמצאים בבעלות של מישהו אחר ולא של צרכן השירות, והם מנוהלים על ידו. אפשר להשתמש ב-Private Service Connect כדי לגשת לשירותים מנוהלים שנמצאים בבעלות Google, לחברות תוכנה כשירות (SaaS) של צד שלישי או לצוותים אחרים בחברה של הצרכן. גם שירותים שפורסמו וגם ממשקי Google APIs יכולים להיות יעדים של Private Service Connect.
Private Service Connect תומך בגישה לסוגים הבאים של שירותים מנוהלים:
- שירותים שמתארחים ב-VPC ופורסמו
- Google APIs
שירותים שפורסמו
שירותים שפורסמו הם שירותים שמארחים ב-VPC, שנפרסים ברשת ה-VPC של הספק ומתבצעת אליהם גישה מרשת ה-VPC של הצרכן. פרסום שירות מאפשר לבעלים של שירות מנוהל להיות הבעלים של פריסת השירות ברשת ה-VPC שלו ולשלוט בה. שירותים שפורסמו יכולים לכלול את הפריטים הבאים:
- שירותי Google כמו GKE, Apigee או Managed Service for Apache Airflow. השירותים האלה פועלים בפרויקטים של דיירים וברשתות VPC שמנוהלים על ידי Google.
- שירותים של צד שלישי שבהם צדדים שלישיים מציעים גישה פרטית לשירות שפורסם ב- Google Cloud.
- שירותים בתוך הארגון שבהם ללקוחות של חברה אחת יש גישה לאפליקציות פנימיות ברשתות VPC שונות. בארגונים מסוימים משתמשים ברשתות VPC נפרדות כדי לבצע פילוח פנימי. במצב כזה, צוות אחד יכול להציע שירות מנוהל לצוות אחר שפועל ברשת VPC נפרדת.
קבצים מצורפים לשירות
קבצים מצורפים לשירות הם משאבים שמשמשים ליצירת שירותים שפורסמו ב-Private Service Connect.
אפשר לגשת ל-Service attachments באמצעות endpoints או backends. יכולים להתחבר לאותו קובץ מצורף של שירות כמה קצוות עורפיים או נקודות קצה, וכך כמה רשתות VPC או כמה צרכנים יכולים לגשת לאותו מופע שירות.
קובץ מצורף של שירות מכוון למאזן עומסים של ספק ומאפשר ללקוחות ברשת VPC של צרכן לגשת למאזן העומסים. ההגדרות של קובץ השירות מגדירות את הפרטים הבאים:
- רשימת צרכנים שמגדירה אילו צרכנים מורשים להתחבר לשירות.
- רשת המשנה של ה-NAT שממנה מגיעה תעבורת הנתונים המתורגמת ברשת ה-VPC של הספק.
- דומיין DNS אופציונלי, אם הוא מסופק, שמשמש ברשומות DNS לנקודות קצה שנוצרות באופן אוטומטי באזור Cloud DNS של הלקוח.
Google APIs
שימוש ב-Private Service Connect כדי לגשת ל-Google APIs הוא חלופה לשימוש בגישה פרטית ל-Google או בשמות הדומיין הציבוריים של Google APIs. במקרה הזה, הספק הוא Google.
אפשר לגשת לממשקי Google APIs באמצעות נקודות קצה או בק-אנדים.
- נקודות קצה מאפשרות לכם לטרגט חבילה של Google APIs גלובליים או Google API אזורי יחיד.
- בק-אנדים מאפשרים לכם לטרגט Google API גלובלי יחיד או Google API אזורי יחיד.
השימוש ב-Private Service Connect מאפשר לכם לבצע את הפעולות הבאות:
- יוצרים כתובת IP פנימית אחת או יותר כדי לגשת לממשקי Google API לתרחישי שימוש שונים.
- הפניית תנועה ישירות משרתים מקומיים לכתובות IP ולאזורים ספציפיים כשניגשים אל Google APIs.
- מרכזים את התנועה של Google API דרך מאזן עומסים נתמך כדי להחיל אישורים, מדיניות אבטחה או יכולת צפייה משלכם.
מאפיינים של Private Service Connect
Private Service Connect מספק קישוריות פרטית עם המאפיינים הבאים:
- עיצוב מבוסס-שירותים. שירותים של בעלי תוכן משודרים דרך מאזני עומסים שחושפים כתובת IP יחידה לרשת ה-VPC של הצרכן. התנועה של הצרכן שמקבל גישה לשירותים של הספק היא חד-כיוונית, והגישה היא רק לכתובת ה-IP של השירות, ולא לרשת VPC שלמה שמקושרת לרשתות שכנות.
- הרשאה מפורשת. Private Service Connect מספק מודל הרשאות שנותן לצרכנים ולספקים שליטה מדויקת, כדי להבטיח שרק נקודות הקצה המיועדות של השירות ולא משאבים אחרים יוכלו להתחבר לשירות.
- אין תלויות משותפות. התעבורה בין הצרכן לבין היצרנים משתמשת ב-NAT, כך שלא מתקיימת תלות בתיאום כתובות IP או במשאבים משותפים אחרים בין רשתות ה-VPC של הצרכן והיצרן. העצמאות הזו עוזרת לפשט את הפריסה של השירות ואת ההתאמה שלו לעומס.
- ביצועים של קצב העברת נתונים. התנועה ב-Private Service Connect עוברת ישירות מהמכונה הפיזית שמארחת את מכונת ה-VM של לקוח הצרכן למכונה הפיזית שמארחת את מכונת ה-VM של מאזן העומסים של הספק. מכונות המארח הפיזיות מבצעות NAT ישירות, וכך מקצרות את זמן האחזור. קיבולת רוחב הפס של Private Service Connect מוגבלת רק על ידי קיבולת רוחב הפס של המכונות הפיזיות המארחות שמתקשרות ישירות.
מידע נוסף על העיצוב הפנימי של Private Service Connect זמין במאמר ארכיטקטורה וביצועים של Private Service Connect.
המאמרים הבאים
- מידע על גישה לשירותים שפורסמו דרך נקודות קצה
- מידע על גישה לממשקי Google API דרך נקודות קצה
- מידע נוסף על שרתי קצה עורפי
- מידע על פרסום שירותים
- כדאי להשלים Codelab כדי להשתמש ב-Private Service Connect כדי לפרסם ולצרוך שירותים ב-GKE.