Conectividad privada para proveedores de servicios en la nube locales o para otros proveedores

En esta página, se describe cómo configurar la conectividad privada desde los conectores de integración a tu servicio de backend, como MySQL, Postgres y SQL Server, alojado en tu centro de datos local o en otros proveedores de servicios en la nube.

En la siguiente imagen, se muestra la configuración de conectividad de red privada de Integration Connectors a tu servicio de backend alojado en tu red local.

En esta página, se supone que estás familiarizado con los siguientes conceptos:

• Adjuntos de extremos
• Zonas administradas
• Private Service Connect (PSC)
• Balanceador de cargas de Google Cloud

Consideraciones

Cuando crees un archivo adjunto de servicio de PSC, ten en cuenta los siguientes puntos clave:

• Como productor de servicios, debes configurar un adjunto de servicio de PSC que Integration Connectors pueda usar para consumir el servicio. Una vez que el archivo adjunto de servicio esté listo, puedes configurar la conexión para que lo consuma con un archivo adjunto de extremo.
• El adjunto de servicio de PSC y el balanceador de cargas deben estar en subredes diferentes dentro de la misma VPC. En particular, el adjunto del servicio debe estar en una subred NAT.
• El software que se ejecuta en las VMs de backend debe responder al tráfico con balanceo de cargas y a los sondeos de verificación de estado enviados a la dirección IP de cada regla de reenvío (el software debe escuchar en 0.0.0.0:<port> y no en una dirección IP específica asignada a una interfaz de red). Para obtener más información, consulta Verificación de estado:
• Configurar las reglas de firewall para facilitar el flujo de tráfico

  Reglas de entrada

  • El tráfico de la subred del adjunto de servicio de PSC debe llegar a la subred del ILB.
  • Dentro de la subred del ILB, el ILB debe poder enviar tráfico a tu sistema de backend.
  • El sondeo de verificación de estado debe poder acceder a tu sistema de backend. Los sondeos de verificación de estado de Google Cloud tienen un rango de IP fijo (35.191.0.0/16, 130.211.0.0/22). Por lo tanto, se puede permitir que estas IP envíen tráfico a tu servidor de backend.

  Reglas de salida

  El tráfico de salida está habilitado de forma predeterminada en un proyecto de Google Cloud, a menos que sea específico se configuren las reglas de denegación.

• Todos tus componentes de Google Cloud, como el adjunto del servicio de PSC y el balanceador de cargas, deben estar en la misma región.

• Tu sistema de backend no debe estar abierto a la red pública, ya que esto puede representar un problema de seguridad. Sin embargo, asegúrate de que tu sistema de backend acepte tráfico en la siguiente situación:

  Balanceadores de cargas basados en proxy/HTTP(s) (ILB de proxy L4, ILB L7): Todas las solicitudes nuevas se originan en el balanceador de cargas. Por lo tanto, tu backend debe aceptar solicitudes del subred de proxy de tu red de VPC. Si deseas obtener más información, consulta Subredes de solo proxy para balanceadores de cargas basados en Envoy.

Configura la conectividad privada

Para configurar la conectividad privada, haz lo siguiente:

1. Crea un adjunto de servicio de PSC.
2. Crea un adjunto de extremo para consumir el adjunto de servicio de PSC.
3. Configura tu conexión para usar el archivo adjunto del extremo.

Crea un adjunto de servicio de PSC

Para establecer conectividad privada desde Integration Connectors, debes exponer el servicio a Integration Connectors con un adjunto de servicio de PSC. Un adjunto de servicio siempre tiene como objetivo un balanceador de cargas. Por lo tanto, si tu servicio no se encuentra detrás de un balanceador de cargas, se debe configurar uno.

Para crear un adjunto de servicio de PSC, haz lo siguiente:

1. Crea un sondeo de verificación de estado y, luego, un balanceador de cargas. Para obtener información sobre cómo configurar un balanceador de cargas de red de proxy interno regional, consulta Configura un balanceador de cargas de red del proxy interno regional con conectividad híbrida.
2. Crea un adjunto de servicio en la misma región que el balanceador de cargas del servicio. Para obtener información sobre cómo crear un adjunto de servicio, consulta Publica un servicio.

Crea un adjunto de extremo

Adjunto de extremo como dirección IP

Si necesitas instrucciones para crear un adjunto de extremo como una dirección IP, consulta Crea un adjunto de extremo como una dirección IP.

Adjunto de extremo como nombre de host

En algunos casos, como los backends habilitados con TLS, el destino requiere que uses de host en lugar de IP privadas para realizar la validación de TLS. En los casos en los que se usa un DNS privado en lugar de una dirección IP para el destino del host, además de crear un archivo adjunto de extremo como una dirección IP, también debes configurar zonas administradas. Si deseas obtener instrucciones para crear un archivo adjunto de extremo como nombre de host, consulta Crea un archivo adjunto de extremo como nombre de host.

Más adelante, cuando configures tu conexión para usar el archivo adjunto del extremo, podrás seleccionarlo.

Configura una conexión para usar el adjunto de extremo

Ahora que creaste un adjunto de extremo, úsalo en tu conexión. Cuando crees una conexión nueva o actualices una existente, en la sección Destinos, selecciona Adjunto de extremo como Tipo de destino y selecciona el archivo adjunto de extremo que creaste en la lista Adjunto de extremo.

Si creaste una zona administrada, selecciona Dirección de host como el Tipo de destino y usa el registro A que creaste cuando creaste la zona administrada.

Sugerencias para solucionar problemas

Si tienes problemas con la conectividad privada, sigue los lineamientos que se indican en esta sección para evitar problemas comunes.

• Para verificar que el archivo adjunto del extremo esté configurado correctamente y que se haya establecido la conexión de PSC, verifica el estado de la conexión. Para obtener más información, consulta Cómo verificar la conexión del archivo adjunto del extremo.
• Asegúrate de que las reglas de firewall tengan la siguiente configuración:
  • Se debe permitir que el tráfico de la subred del adjunto de servicio de PSC llegue a tu servicio de backend.
  • El balanceador de cargas debe poder enviar tráfico a tu sistema de backend. Los NEG híbridos son compatible solo con balanceadores de cargas de proxy. Las solicitudes de un balanceador de cargas de proxy provienen de la subred de solo proxy de la región. Por lo tanto, tus reglas de firewall deben configurarse para permitir que las solicitudes de los rangos de subred de solo proxy lleguen a tu backend.
  • El sondeo de verificación de estado debe poder acceder a tu sistema de backend. Google Cloud los sondeos de verificación de estado tienen un rango de IP fijo (35.191.0.0/16, 130.211.0.0/22). De esta manera, estas direcciones IP deben tener permiso para enviar tráfico a tu servidor de backend.
• Prueba de conectividad de Google Cloud se puede usar para identificar brechas en tu configuración de red. Para obtener más información, consulta Crea y ejecuta pruebas de conectividad.
• Asegúrate de que las reglas de firewall se actualicen en los entornos locales o en otros entornos de nube para permitir el tráfico desde la subred de solo proxy de la región de Google Cloud.