Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על אוטומציה של קישוריות לשירותים

אוטומציה של קישוריות לשירותים מאפשרת לצרכני שירות לבצע אוטומציה של פריסת קישוריות לשירותים מנוהלים.

נניח שיש אדמין של מסד נתונים שפורס פריט מסד נתונים ורוצה לאפשר לצרכני שירות להגיע למסד הנתונים הזה דרך נקודת קצה של Private Service Connect. יכול להיות שלאדמין של מסד הנתונים אין את פרטי הכניסה הנדרשים לניהול זהויות והרשאות גישה (IAM) או את המומחיות הנדרשת לפריסת משאבי רשת.

אם שירות מנוהל תומך באוטומציה של קישוריות שירות, אפשר להעביר את ההגדרה של מופע השירות ואת הגדרת הרשת לאדמינים המתאימים:

אדמינים של מופעי שירות יכולים לקבוע אילו רשתות יכולות לגשת לשירותים שלהם.
אדמינים של רשתות יכולים לקבוע לאילו שירותים הם רוצים לאפשר חיבורים.

כשההגדרות האלה זהות, אוטומציה של קישוריות לשירותים יוצרת נקודת קצה ברשתות המתאימות, ומספקת קישוריות למופע של השירות המנוהל.

סקירה כללית על אוטומציה של קישוריות לשירותים

בקטע הבא מתוארת הגדרה בסיסית ברשת VPC יחידה שמשתמשת באוטומציה של קישוריות לשירותים. מידע על הגדרות אחרות זמין במאמרים בנושא VPC משותף ושירותי Google עם היקף מותאם אישית של מופע שירות.

פריסת מופע של שירות מנוהל שתומך באוטומציה של קישוריות שירותים כרוכה בשלבים הבאים:

אדמין רשת יוצר מדיניות של חיבור שירות לרשת ה-VPC שלו.

מדיניות חיבור השירות מפנה אל סוג שירות – משאב ייחודי גלובלי שמזהה שירות ספציפי של בעלים. מדיניות יחידה של חיבור שירות מוגבלת להיקף של סוג שירות יחיד ורשת VPC יחידה של צרכן, ומאצילה את היכולת להגדיר קישוריות במסגרת ההיקף הזה.
אדמין של מופע שירות פורס מופע של שירות מנוהל באמצעות ממשק ה-API או ממשק המשתמש של השירות. ההגדרה של מופע השירות מציינת לאילו רשתות יש גישה לשירות באמצעות אוטומציה של קישוריות לשירות.
אוטומציה של קישוריות לשירות יוצרת נקודת קצה ברשת ה-VPC של הצרכן. אפשר להשתמש בנקודת הקצה הזו כדי לשלוח בקשות למופע השירות.

אוטומציה של קישוריות לשירותים מאפשרת לצרכני שירותים להפוך את הפריסה של קישוריות לשירותים מנוהלים לאוטומטית (לחצו כדי להגדיל).

הגדרות אישיות של יוצר

בקטעים הבאים מתוארים משאבים שבעלים של שירותים מנוהלים משתמשים בהם כדי להגדיר אוטומציה של קישוריות לשירותים.

סוגי שירות

סוג שירות הוא ייצוג ייחודי בעולם של סוג שירות מנוהל. כל ספק הוא הבעלים הבלעדי של סוג השירות שלו. הצרכנים מפנים למחלקת השירות במדיניות חיבור השירות שלהם, שמאשרת פריסה ומעבירה את הקישוריות לבעלים.

אפשר ליצור מדיניות חיבור לשירותים רק לשירותים שיש להם מחלקת שירות.

סוגי שירות זמינים לשירותים ש-Google פרסמה. בנוסף, מחלקות שירות זמינות בגרסת Preview מוגבלת לשירותים של צד שלישי ולשירותים מנוהלים פנימיים שמתארחים באופן עצמאי. מידע נוסף זמין במאמר בנושא שירותים נתמכים.

מפות של חיבורים לשירותים

מפת חיבורי שירות היא משאב שמנוהל על ידי ספק השירות, שבו מאוחסנים פרטים לאישור וליצירה של חיבורי Private Service Connect בין רשתות VPC של צרכני השירות לבין מופעים של שירותים מנוהלים של ספק השירות. במפה הזו מוגדרים הקשרים המותרים בין מופעים של שירותים של בעלי השירות (שמיוצגים על ידי קבצים מצורפים לשירות) לבין פרויקטים של צרכני השירות ורשתות VPC שמורשים להתחבר למופעים של השירות.

מודל הרשאות

מדיניות חיבור לשירות מאפשרת לצרכנים להאציל את הפריסה של קישוריות לשירותים מנוהלים. לבעלים של השירות המנוהל אין גישה ישירה או הרשאות IAM לפרויקט של צרכן השירות. במקום זאת, הבעלים של השירות המנוהל מגדיר מיפוי של חיבורי שירות בפרויקט שלו.

כשנוצרת או מתעדכנת מפת חיבורי השירות, בדרך כלל בתגובה לבקשה מאדמין של שירות צרכן אל ממשק ה-API או ממשק המשתמש האדמיניסטרטיביים של השירות המנוהל, האוטומציה של קישוריות השירות מבצעת סדרה של בדיקות הרשאה. אם כל הבדיקות עוברות, נוצרות נקודות קצה של Private Service Connect בהתאם למפרט בבקשה.

הגדרת רשת (מדיניות חיבור לשירות):
- הרשאה לרשת. ברשת ה-VPC של הצרכן צריכה להיות מדיניות תקפה של חיבור שירות שמאשרת את רשת ה-VPC, האזור וסוג השירות שצוינו בבקשה. הבדיקה הזו עוזרת לוודא שאדמין ברשת צרכנים עם הרשאות IAM ברשת ה-VPC מעניק במפורש את היכולת ליצור נקודות קצה של Private Service Connect עבור סוג השירות שצוין.
- היקף מופע השירות. אם מופעלת מדיניות חיבור לשירות שמגדירה היקף מותאם אישית של מופע שירות (custom-resource-hierarchy-levels), ומדובר במופע של שירות Google מנוהל, האוטומציה של קישוריות השירות בודקת את רשימת צמתי מנהל המשאבים שסופקו (--allowed-google-producers-resource-hierarchy-level). הפרויקט שהאדמין של מופע השירות ציין בממשק המשתמש או ב-API של השירות המנוהל לצורך פריסה וניהול של מופע השירות חייב להיות בהיקף המותר שמוגדר ברשימה הזו. ההיקף יכול להיות שילוב של ארגונים, תיקיות ופרויקטים.
- אימות פרויקט של נקודת קצה. הפרויקט שבו נוצרת מדיניות החיבור צריך להיות משויך לרשת ה-VPC שבה תיצור את נקודת הקצה. הפרויקט צריך להכיל את רשת ה-VPC או להיות פרויקט שירות שמצורף לרשת ה-VPC המשותפת.
הגדרת מופע שירות:
- הרשאה באמצעות IAM לאדמין של שירות. לאדמין של שירות הצרכן צריכות להיות הרשאות IAM שנדרשות ליצירה או לעדכון של מופע שירות הבעלים. ההרשאות האלה משתנות בהתאם לשירות שפורס.
- הרשאת אדמין של מופע שירות. ב-API האדמיניסטרטיבי של השירות, האדמין של מופע השירות שיצר את מופע השירות צריך להגדיר את המופע כך שיאפשר חיבורים מרשת ה-VPC שמבקשת את החיבור.
הגדרות של Producer:
- הרשאות IAM של יצרן. לאדמין של שירות הבעלים שיוצר או מעדכן את מפת חיבורי השירות צריכות להיות הרשאות IAM בכיתת השירות המשויכת. הבדיקה הזו עוזרת למנוע הצגה כוזבת של שירות ציבורי.

אם כל התנאים מתקיימים, החשבון של Network Connectivity Service ‎ יוצר את נקודות הקצה המבוקשות ברשתות המורשות. חשבון השירות של Network Connectivity הוא סוכן שירות.

ניסיונות חוזרים אוטומטיים במקרה של כשלים בנקודת הקצה

אוטומציה של קישוריות לשירותים מנהלת באופן מלא את היצירה והמחיקה של נקודות הקצה של Private Service Connect.

אם האוטומציה של קישוריות השירות נכשלת ביצירה או במחיקה של נקודת קצה מורשית – למשל, בגלל מגבלות מכסה או בגלל שתת-הרשת של מדיניות קישוריות השירות לא כוללת כתובות IP – תהליך אוטומטי מנסה שוב את הפעולה באופן תקופתי עד שהבעיה שמונעת את הפעולה תיפתר. עם זאת, אם יצירה או מחיקה של נקודת קצה נכשלות בגלל בדיקות הרשאה, המערכת לא תנסה לבצע את הפעולה שוב.

כדי לראות שגיאות שמונעות יצירה של נקודת קצה, צריך לתאר את מדיניות חיבור השירות ולבדוק את השדה pscConnections. מידע על פתרון בעיות שקשורות ליצירה או למחיקה של נקודות קצה זמין במאמר פתרון בעיות.

VPC משותף

אפשר להשתמש באוטומציה של קישוריות לשירותים כדי ליצור באופן אוטומטי נקודות קצה של Private Service Connect ברשתות VPC משותפות. מכיוון שנקודת הקצה מוגדרת עם כתובת IP מרשת ה-VPC המשותפת, אפשר לגשת לנקודת הקצה מהפרויקט המארח ומכל פרויקטי השירות המצורפים.

כדי ליצור את ההגדרה שמוצגת בתרשים הבא, צריך לבצע את המשימות הבאות:

אדמין הרשת יוצר מדיניות חיבור לשירות עבור הרשת vpc1 בפרויקט המארח project1, ומאפשר קישוריות למופעי שירות שמשתמשים בסיווג השירות google-cloud-sql. כתובות ה-IP של נקודות הקצה מוקצות מתת-הרשת endpoint-subnet.
האדמין של מופע השירות פורס שני מופעים של שירות מנוהל: db-test בפרויקט service-project-test ו-db-prod בפרויקט service-project-prod. האדמין מגדיר את מופע השירות כך שאוטומציה של קישוריות לשירות תפרוס נקודות קצה ברשת vpc1 ב-project1 שמתחברות למופעי השירות.
מכיוון שכל בדיקות ההרשאה עוברות בהצלחה, אוטומציית הקישוריות לשירות יוצרת שתי נקודות קצה שמחוברות ל-endpoint-subnet, אחת לכל מופע של שירות. לכל המכונות הווירטואליות שמחוברות לרשת המשנה vm-subnet יש גישה לנקודות הקצה, כי הן מחוברות לאותה רשת VPC משותפת כמו נקודות הקצה.

אפשר להשתמש במדיניות חיבור לשירות ברשת VPC משותפת כדי ליצור קישוריות למופעי שירות שנפרסים בפרויקטים של שירותים (לחצו כדי להגדיל).

שירותי Google עם היקף מותאם אישית של מופע שירות

כברירת מחדל, אוטומציה של קישוריות לשירותים דורשת שמופע השירות ונקודות הקצה שמתחברות למופע השירות יהיו באותו פרויקט (או בפרויקטים מקושרים במקרה של VPC משותף). בשירותי Google נתמכים, מופעי שירות ונקודות קצה מקשרות יכולים להיות בפרויקטים או בארגונים שונים.

כדי ליצור את ההגדרה שמוצגת בתרשים הבא, צריך לבצע את המשימות הבאות:

אדמינים של רשתות ב-vpc-1, vpc-2 ו-vpc-3 יוצרים מדיניות של חיבור שירות ברשתות ה-VPC שלהם. הם מאפשרים קישוריות למופעי שירות שמשתמשים במחלקת השירות google-cloud-sql ומוצבים בפרויקט project-1 בארגון org-1.
האדמין של מופע השירות פורס מופע של שירות מנוהל db-1ב-project-1 באמצעות ממשק ה-API או ממשק המשתמש האדמיניסטרטיבי של השירות. האדמין מגדיר את מופע השירות כך שאוטומציה של קישוריות לשירות תפרוס נקודות קצה ב-vpc-1 וב-vpc-2 שמתחברות ל-db-1.
במקרה של vpc-1 ו-vpc-2, כל בדיקות ההרשאה עוברות בהצלחה, והאוטומציה של קישוריות השירות יוצרת נקודת קצה בכל רשת. מכונות וירטואליות ברשתות האלה יכולות לשלוח תנועה למופע השירות דרך נקודות הקצה.

עם זאת, נקודת קצה לא נוצרת ב-vpc-3 כי הרשת הזו לא מוגדרת לקישוריות אוטומטית בהגדרות של מופע השירות db-1.

אם vpc-3 צריך לגשת למופע של שירות db-1, אדמין הרשת יכול לפנות לאדמין מסד הנתונים ולבקש ממנו להוסיף את vpc-3 להגדרות הקישוריות של db-1.

אפשר להפוך את הקישור לשירותי Google נתמכים מפרויקטים, מתיקיות או מארגונים שונים לאוטומטי (לחצו כדי להגדיל).

שירותים נתמכים

שירותי Google הבאים תומכים באוטומציה של קישוריות שירותים.

Google service	הגישה ניתנה
‫AlloyDB ל-PostgreSQL	מאפשרת אוטומציה של יצירת חיבורים למכונות AlloyDB ל-PostgreSQL.
Cloud SQL	מאפשר ליצור חיבורים למכונות Cloud SQL באופן אוטומטי.
‫Memorystore for Redis Cluster	מאפשר ליצור חיבורים למכונות של Memorystore for Redis Cluster באופן אוטומטי.
‫Memorystore for Valkey	מאפשר ליצור באופן אוטומטי חיבורים למופעים של Memorystore for Valkey.
חיפוש וקטורי ב-Vertex AI	מאפשרת ליצור באופן אוטומטי חיבורים לנקודות קצה (endpoint) של חיפוש וקטורי.

כדי לדעת אם שירות מנוהל של צד שלישי תומך במדיניות של חיבור שירות, צריך ליצור קשר עם ספק השירות. אם שירות תומך במדיניות של חיבור שירותים, ספק השירות יכול לספק לכם את סיווג השירות המשויך.

משאבי אוטומציה בצד המפיק זמינים בתצוגה מקדימה מוגבלת. אם אתם רוצים להפוך את הקישוריות לצרכנים לאוטומטית בשירות המנוהל שלכם, אתם יכולים לפנות לנציג המכירות שלכם ב- Google Cloud.