התחברות לשירות פרטי

במסמך הזה מפורטת סקירה כללית על Private Service Connect.

‫Private Service Connect היא יכולת של Google Cloud רשתות שמאפשרת לצרכנים לגשת לשירותים מנוהלים באופן פרטי מתוך רשת ה-VPC שלהם. באופן דומה, היא מאפשרת לספקי שירותים מנוהלים לארח את השירותים האלה ברשתות VPC נפרדות משלהם ולהציע חיבור פרטי לצרכנים שלהם. לדוגמה, כשמשתמשים ב-Private Service Connect כדי לגשת ל-Cloud SQL, אתם צרכני השירות ו-Google היא בעלים של שירות מנוהל.

באמצעות Private Service Connect, צרכנים יכולים להשתמש בכתובות ה-IP הפנימיות שלהם כדי לגשת לשירותים בלי לצאת מרשתות ה-VPC שלהם. התנועה נשארת כולה בתוך Google Cloud. ‫Private Service Connect מספק גישה ממוקדת שירותים בין צרכנים לבין ספקים, עם שליטה מדויקת באופן הגישה לשירותים.

‫Private Service Connect מאפשר לשלוח תנועה לנקודות קצה ולשרתי קצה עורפיים שמעבירים את התנועה לשירותים מנוהלים, כולל Google APIs ושירותים שפורסמו. ממשקי Private Service Connect מאפשרים לשירותים מנוהלים ליזום חיבורים לרשתות VPC של צרכנים.

בחירת תכונה של Private Service Connect

בטבלה הבאה מפורטות התכונות של Private Service Connect שמתאימות לתרחישי שימוש שונים.

תרחיש לדוגמה	תכונת Private Service Connect
שימוש בשירותים	נקודות קצה מספקות קישוריות בשכבה 4 לשירותים. אם אתם צריכים תכונות של מאזן עומסים, כמו כתובות URL מותאמות אישית או ניהול מתקדם של תנועה, אתם יכולים להשתמש בבק-אנד.
שירותי הפקה	שירותים שפורסמו מאפשרים לצרכנים לשלוח בקשות לשירות שלכם. אם אתם צריכים ליצור קשר עם צרכנים, אתם יכולים להשתמש בממשקים.

סוגים של Private Service Connect

‫Private Service Connect זמין בסוגים שונים שמספקים יכולות שונות ואופני תקשורת שונים.

בעלי שירותים מנוהלים מפרסמים את האפליקציות שלהם לצרכנים על ידי יצירת שירותים של Private Service Connect. צרכני השירותים ניגשים לשירותים האלה של Private Service Connect ישירות דרך אחד מהסוגים הבאים של Private Service Connect:

נקודות קצה של Private Service Connect. נקודות הקצה נפרסות באמצעות כללי העברה שמספקים לצרכן כתובת IP שממופה לשירות Private Service Connect.
בקצה העורפי של Private Service Connect. הקצה העורפי נפרס באמצעות קבוצות של נקודות קצה ברשת (NEGs) שמאפשרות לצרכנים להפנות תנועה למאזן העומסים שלהם לפני שהיא מגיעה לשירות Private Service Connect.

בעלי השירותים יכולים ליזום חיבורים לצרכני השירותים באמצעות ממשקי Private Service Connect. ממשקי Private Service Connect מספקים תקשורת דו-כיוונית, ואפשר להשתמש בהם באותה רשת VPC כמו נקודות קצה ועורפיים.

נקודות קצה

נקודות קצה של Private Service Connect הן כתובות IP פנימיות ברשת VPC של צרכן, שלקוחות ברשת הזו יכולים לגשת אליהן ישירות. נקודות קצה נוצרות כשפורסים כלל העברה שמפנה אל קובץ מצורף של שירות, אל חבילה של ממשקי Google API או אל ממשק API אזורי יחיד.

בתרשים הבא מוצגת נקודת קצה של Private Service Connect שמכוונת לשירות שפורסם ופועל ברשת VPC ובארגון נפרדים. נקודות קצה של Private Service Connect ושירותים שפורסמו מאפשרים לשתי חברות נפרדות לתקשר זו עם זו באמצעות כתובות IP פנימיות. מידע נוסף זמין במאמר גישה לשירותים שפורסמו דרך נקודות קצה.

באמצעות Private Service Connect אפשר לשלוח תעבורה לנקודות קצה שמעבירות את התעבורה לשירותים שפורסמו ברשת VPC אחרת.

באופן דומה, אפשר להשתמש בנקודת קצה של Private Service Connect כדי לגשת ל-Google APIs כמו Cloud Storage או BigQuery. הפונקציונליות הזו דומה לגישה פרטית ל-Google, אבל אפשר להשתמש בכתובות IP פנימיות משלכם לנקודות קצה. ‫Private Service Connect מאפשר לכם לשלוט בניתוב בצורה ישירה יותר וליצור כמה נקודות קצה שדרושות לרשת שלכם. מידע נוסף זמין במאמר גישה לממשקי Google API דרך נקודות קצה.

‫Private Service Connect מאפשר לכם לשלוח תנועה לנקודות קצה שמעבירות את התנועה ל-Google APIs.

בק-אנד

קצוות עורפיים מסוג Private Service Connect מאפשרים למאזני עומסים לשלוח תנועה דרך Private Service Connect כדי להגיע לשירותים שפורסמו או לממשקי API של Google. Google Cloud השרתים העורפיים נפרסים באמצעות קבוצות של נקודות קצה ברשת (NEGs) של Private Service Connect, שמפנות לצירוף של שירות של ספק או ל-Google API נתמך. הצבת מאזן עומסים לפני שירות מנוהל מספקת לצרכן יותר נראות ושליטה מאשר נקודת קצה של Private Service Connect. באמצעות ה-Backends, אפשר ליצור הגדרות כמו:

דומיינים ואישורים בבעלות הלקוח לפני שירותים מנוהלים
מעבר לגיבוי בשליטת הצרכן בין שירותים מנוהלים באזורים שונים
הגדרת אבטחה מרכזית ובקרת גישה לשירותים מנוהלים

בתרשים הבא מוצג מאזן עומסים של אפליקציות (ALB) פנימי שנפרס עם קצוות עורפיים של Private Service Connect שמפנים לשירות שפורסם. יש שני מאזני עומסים בהגדרה:

מאזן העומסים של הצרכן שמספק בקרה, שקיפות ואבטחה של תעבורת הנתונים לשירות.
מאזן העומסים של הבעלים של השירות המנוהל שמבצע איזון עומסים של תעבורת הנתונים בין הקצוות העורפיים של השירות.

‫Private Service Connect מאפשר לכם לשלוח תעבורה אל שרתי קצה עורפיים שמעבירים את התעבורה לשירותים שפורסמו.

בדומה לנקודות קצה של Private Service Connect, גם שרתי קצה תומכים בטירגוט של Google APIs. בתרשים הבא מוצג מאזן עומסים של אפליקציות (ALB) פנימי שמכוון לקטגוריה של Cloud Storage ומסיים את התעבורה באמצעות דומיין בבעלות הלקוח.

‫Private Service Connect מאפשר לכם לשלוח תנועה אל שרתים עורפיים שמעבירים את התנועה אל Google API אזורי.

ממשקים

ממשק Private Service Connect הוא סוג מיוחד של ממשק רשת שמפנה אל קובץ מצורף עם הרשת.

בעלים של שירות מנוהל יכולים ליצור ממשק Private Service Connect ולבקש חיבור לקובץ מצורף עם הרשת. אם צרכן השירות מאשר את החיבור, Google Cloud מוקצית לחיבור כתובת IP מרשת משנה ברשת ה-VPC של הצרכן, שמוגדרת על ידי קובץ הרשת המצורף. למכונה הווירטואלית של ממשק Private Service Connect יש ממשק רשת רגיל שני שמתחבר לרשת ה-VPC של ספק השירות.

חיבור בין ממשק Private Service Connect לבין קובץ מצורף עם הרשת דומה לחיבור בין נקודת קצה של Private Service Connect לבין קובץ מצורף עם השירות, אבל יש שני הבדלים עיקריים:

ממשק Private Service Connect מאפשר לרשת VPC של ספק ליזום חיבורים לרשת VPC של צרכן (יציאה משירות מנוהל). נקודת קצה פועלת בכיוון ההפוך, ומאפשרת לרשת VPC של צרכן ליזום חיבורים לרשת VPC של ספק (תעבורת נתונים נכנסת לשירות מנוהל).
חיבור ממשק Private Service Connect הוא טרנזיטיבי. המשמעות היא שעומסי עבודה ברשת של הספק יכולים ליזום חיבורים לעומסי עבודה אחרים שמחוברים לרשת ה-VPC של הצרכן. נקודות קצה של Private Service Connect יכולות ליזום חיבורים רק לרשת ה-VPC של ספק השירות.

ממשקי Private Service Connect מאפשרים לבעלי שירותים מנוהלים ליזום חיבורים לצרכני שירותים.

שירותים מנוהלים של Private Service Connect

שירותים מנוהלים הם שירותים שנמצאים בבעלות של מישהו אחר ולא של צרכן השירות, ומנוהלים על ידו. אפשר להשתמש ב-Private Service Connect כדי לגשת לשירותים מנוהלים שנמצאים בבעלות Google, לחברות תוכנה כשירות (SaaS) של צד שלישי או לצוותים אחרים בחברה של הצרכן. גם שירותים שפורסמו וגם ממשקי API של Google יכולים להיות יעדים של Private Service Connect.

‫Private Service Connect תומך בגישה לסוגים הבאים של שירותים מנוהלים:

שירותים שמתארחים ב-VPC ופורסמו
Google APIs

שירותים שפורסמו

שירותים שפורסמו הם שירותים שמארחים ב-VPC, שנפרסים ברשת ה-VPC של הספק ומתבצעת אליהם גישה מרשת ה-VPC של הצרכן. פרסום שירות מאפשר לבעלים של שירות מנוהל להיות הבעלים של פריסת השירות ברשת ה-VPC שלו ולשלוט בה. שירותים שפורסמו יכולים לכלול את הדברים הבאים:

שירותי Google, כמו GKE,‏ Apigee או Cloud Composer. השירותים האלה פועלים בפרויקטים של דיירים וברשתות VPC שמנוהלים על ידי Google.
שירותים של צד שלישי, שבהם צדדים שלישיים מציעים גישה פרטית לשירות שפורסם ב-Google Cloud.
שירותים בתוך הארגון, שבהם לחברה אחת יש לקוחות עם גישה לאפליקציות פנימיות ברשתות VPC שונות. יש ארגונים שמשתמשים ברשתות VPC נפרדות כדי לבצע פילוח פנימי. בהינתן ההגדרה הזו, צוות אחד יכול להציע שירות מנוהל לצוות אחר שפועל ברשת VPC נפרדת.

קבצים מצורפים לשירות

קבצים מצורפים לשירות הם משאבים שמשמשים ליצירת שירותים שפורסמו ב-Private Service Connect.

אפשר לגשת ל-Service attachments באמצעות נקודות קצה (endpoint) או שרתי קצה עורפיים (backend). יכולים להיות כמה קצוות עורפיים או נקודות קצה שמחוברים לאותו קובץ מצורף של שירות, וכך כמה רשתות VPC או כמה צרכנים יכולים לגשת לאותו מופע שירות.

קובץ מצורף של שירות מכוון למאזן עומסים של ספק ומאפשר ללקוחות ברשת VPC של צרכן לגשת למאזן העומסים. ההגדרות של קובץ השירות מגדירות את הפרטים הבאים:

רשימת צרכנים מותרים שמגדירה אילו צרכנים מורשים להתחבר לשירות.
תת-רשת ה-NAT שממנה מגיעה תעבורת הנתונים המתורגמת ברשת ה-VPC של הספק.
דומיין DNS אופציונלי, שאם הוא מסופק, נעשה בו שימוש ברשומות DNS לנקודות קצה שנוצרות באופן אוטומטי באזור Cloud DNS של הלקוח.

Google APIs

שימוש ב-Private Service Connect כדי לגשת ל-Google APIs הוא חלופה לשימוש בגישה פרטית ל-Google או בשמות הדומיין הציבוריים של Google APIs. במקרה הזה, הספק הוא Google.

אפשר לגשת לממשקי Google API באמצעות נקודות קצה או קצה עורפי.

נקודות קצה מאפשרות לכם לטרגט חבילה של Google APIs גלובליים או Google API אזורי יחיד.
בעזרת שרתים עורפיים אפשר לטרגט API גלובלי יחיד של Google או API אזורי יחיד של Google.

השימוש ב-Private Service Connect מאפשר לכם:

יוצרים כתובת IP פנימית אחת או יותר כדי לגשת לממשקי Google API לתרחישי שימוש שונים.
הפניית תנועה ישירה מקומית לכתובות IP ולאזורים ספציפיים כשניגשים לממשקי Google API.
מרכזים את התנועה של Google API דרך מאזן עומסים נתמך כדי להחיל אישורים, מדיניות אבטחה או יכולת מעקב משלכם.

מאפיינים של Private Service Connect

‫Private Service Connect מספק קישוריות פרטית עם המאפיינים הבאים:

עיצוב מבוסס-שירותים. שירותים של ספקי שירותים מתפרסמים דרך מאזני עומסים שחושפים כתובת IP יחידה לרשת ה-VPC של צרכן השירות. התנועה של צרכני השירותים שמקבלים גישה לשירותים של בעלי השירות היא חד-כיוונית, והגישה היא רק לכתובת ה-IP של השירות ולא לרשת VPC שלמה שמקושרת לרשתות שכנות.
הרשאה מפורשת. ‫Private Service Connect מספק מודל הרשאות שנותן לצרכנים ולספקים שליטה גרנולרית, כדי להבטיח שרק נקודות הקצה המיועדות של השירות ולא משאבים אחרים יוכלו להתחבר לשירות.
אין תלויות משותפות. התעבורה בין הצרכן לבין הספקים משתמשת ב-NAT, כך שלא מתקיימת תלות בתיאום כתובות IP או במשאבים משותפים אחרים בין רשתות ה-VPC של הצרכן והספקים. העצמאות הזו עוזרת לפשט את הפריסה וההתאמה לעומס של השירות.
ביצועים של קצב קו. תנועה ב-Private Service Connect עוברת ישירות מהמכונה הפיזית שמארחת את המכונה הווירטואלית של לקוח הצרכן אל המכונה הפיזית שמארחת את המכונה הווירטואלית של מאזן העומסים של ספק השירות. המכונות הפיזיות של המארח מבצעות NAT ישירות, וכך מקצרות את זמן האחזור. קיבולת רוחב הפס של Private Service Connect מוגבלת רק על ידי קיבולת רוחב הפס של המכונות הפיזיות המארחות שמתקשרות ישירות.

מידע נוסף על העיצוב הפנימי של Private Service Connect זמין במאמר הארכיטקטורה והביצועים של Private Service Connect.

המאמרים הבאים

מידע על גישה לשירותים שפורסמו דרך נקודות קצה
מידע על גישה לממשקי Google API דרך נקודות קצה
מידע נוסף על שרתי קצה עורפי
מידע על פרסום שירותים
אפשר להשלים הדרכה ממוקדת (codelab) בנושא שימוש ב-Private Service Connect כדי לפרסם שירותים ולצרוך אותם באמצעות GKE.