Private Service Connect permite que los consumidores accedan de forma privada a servicios gestionados desde su red de nube privada virtual (VPC). Del mismo modo, permite a los productores de servicios gestionados alojar estos servicios en sus propias redes y proyectos de VPC independientes, así como ofrecer una conexión privada a sus consumidores. Las conexiones de Private Service Connect no son transitivas entre las VPCs de tipo spoke. La propagación de los servicios de Private Service Connect a través del centro de conectividad de redes permite que se pueda acceder a estos servicios desde cualquier otra VPC de radio del mismo centro a través de la tabla de rutas.
Network Connectivity Center también admite la propagación de endpoints regionales. Para obtener más información sobre los puntos finales regionales, consulta Acerca del acceso a puntos finales regionales a través de puntos finales de Private Service Connect.
La función de propagación de conexiones de Private Service Connect de Network Connectivity Center ofrece ventajas en los siguientes casos prácticos:
Puedes usar una red de VPC de servicios comunes para crear varios puntos finales de consumidor de Private Service Connect. Si añades una sola red de VPC de servicios comunes al hub de Network Connectivity Center, todos los puntos finales de consumidor de Private Service Connect de la red de VPC se podrán acceder de forma transitiva a otras VPCs de radio a través del hub de Network Connectivity Center. Esta conectividad elimina la necesidad de gestionar individualmente cada punto final de Private Service Connect en cada red de VPC.
Puedes acceder a los servicios gestionados de una red de VPC de tipo spoke desde redes locales a las que se puede acceder mediante spokes híbridos.
Cuando conectas una VPC de radio a un hub que tiene habilitadas las conexiones propagadas, Network Connectivity Center crea conexiones propagadas en esa VPC de radio para cualquier endpoint que esté conectado al mismo hub, a menos que la subred del endpoint se excluya de la exportación. Cuando se añade una red de VPC a un centro de conectividad de red como radio de VPC, también se propagan los nuevos puntos finales de Private Service Connect, a menos que la subred del punto final se excluya de la exportación.
Para configurar un centro de control con una conexión propagada de Private Service Connect habilitada, el administrador del centro de control debe crear un centro de control con la propagación de Private Service Connect o actualizar la configuración de propagación mediante la marca --export-psc. A continuación, el administrador del hub debe añadir las redes de VPC como radios al hub. El propietario del radio puede usar las marcas --exclude-export-ranges y --include-export-ranges para excluir subredes asignadas de Private Service Connect específicas del enrutamiento de Network Connectivity Center, de modo que no se pueda acceder a las subredes especificadas desde otras redes de VPC, lo que las mantiene privadas en la red de VPC local.
Para obtener información sobre las conexiones propagadas de Private Service Connect, consulta Acerca de las conexiones propagadas.
Para obtener información sobre las marcas --exclude-export-ranges y --include-export-ranges, consulta Conectividad de VPC con filtros de exportación.
Para obtener información detallada sobre cómo configurar un centro para una conexión propagada de Private Service Connect, consulta el artículo Configurar un centro.
Límite de propagación de conexiones
Para obtener más información sobre los límites de conexión propagados, consulta Límite de conexión propagado.
Cuestiones importantes
Ten en cuenta lo siguiente antes de habilitar una conexión propagada de Private Service Connect:
Una conexión propagada de Private Service Connect solo funciona con radios de VPC.
No se admiten las conexiones propagadas de IPv6 de Private Service Connect entre VPCs de tipo spoke.
Si necesitas que las conexiones de Private Service Connect propagadas estén disponibles para las redes on-premise conectadas a radios híbridos, sigue estos pasos:
Tu hub de Network Connectivity Center debe tener solo una red de VPC de enrutamiento que contenga todos sus radios híbridos.
La red de VPC de enrutamiento único del hub también debe ser una VPC de radio.
Si un centro de conectividad tiene dos o más redes de VPC de enrutamiento, ninguna de ellas puede ser una VPC de radio. Por lo tanto, los centros con dos o más redes de VPC de enrutamiento no pueden hacer que las conexiones de Private Service Connect propagadas estén disponibles para las redes on-premise.
Para que la propagación de Private Service Connect funcione con radios híbridos, la red de VPC de enrutamiento también debe añadirse como radio de VPC.
Como el filtro
--exclude-export-rangesno se puede modificar en un spoke después de crearlo, te recomendamos que crees dos subredes para alojar los puntos finales de Private Service Connect: una subred para los puntos finales de Private Service Connect que solo se encuentran en la red de VPC y otra para los puntos finales de Private Service Connect compartidos con el centro de conectividad. Cuando añadas la red de VPC a un hub como una red de radio, añade el intervalo de direcciones IP de la subred que aloja la red de VPC solo dentro de la red de VPC al filtro--exclude-export-rangespara que no se comparta con el hub.Los puntos finales de Private Service Connect que usan intervalos de direcciones IP públicas usadas de forma privada no se propagan al centro de conectividad de redes.
Si una subred de un radio de VPC está configurada con Private NAT para acceder al hub de Network Connectivity Center, el tráfico de la subred al servicio de Private Service Connect propagado se descartará. Si la puerta de enlace Private NAT se configura con
--nat-all-subnet-ip-ranges, la propagación de Private Service Connect a través de Network Connectivity Center no funciona en todas las subredes de esta VPC de radio. Para que funcione desde subredes no superpuestas de este radio de VPC, usa--nat-custom-subnet-ip-rangespara la puerta de enlace Private NAT. No uses NAT para enrutar el tráfico de subredes que no se solapan al hub de Network Connectivity Center.El estado de propagación puede ser impreciso si creas, eliminas y vuelves a crear el endpoint de Private Service Connect en un breve periodo. Sin embargo, al cabo de un tiempo, el estado de propagación se vuelve preciso y refleja el estado real de la conexión propagada. Este proceso puede tardar hasta 15 minutos.
La propagación de la conexión de Private Service Connect es asíncrona después de crear o eliminar un spoke. Cuando se elimina una VPC de una concentradora, las conexiones de Private Service Connect propagadas pueden tardar un tiempo en actualizarse. Mientras se actualiza la conexión de propagación de Private Service Connect, el tráfico de la VM de la red de VPC puede fluir al backend, incluso después de que se añada la VPC de radio a un nuevo centro de conectividad. Para evitar que el tráfico llegue al backend, antes de añadir el spoke a otro centro de conectividad, asegúrate de que se hayan eliminado todas las entradas de estado de propagación de la red de VPC del centro de conectividad anterior, ya sea como spoke de origen o de destino.
Estado de propagación de la conexión de Private Service Connect
Network Connectivity Center te permite ver el estado de la propagación de la conexión de Private Service Connect en un hub de Network Connectivity Center. Puedes ver un resumen de los estados o desglosar errores específicos para ver sus detalles.
En la siguiente tabla se muestran los códigos de estado de propagación y su significado.
| Código | Mensaje |
|---|---|
| Listo | La conexión de Private Service Connect propagada está lista. |
| Propagación | La propagación de la conexión de Private Service Connect está pendiente. Este es un estado transitorio. |
| Error: se ha superado el límite de conexiones propagadas del productor | No se ha podido propagar la conexión de Private Service Connect porque la red de VPC o el proyecto del spoke de destino han superado el límite de conexiones de propagación establecido por el productor. Para solucionar este problema, consulta la documentación de tu productor o ponte en contacto con su equipo de Asistencia. |
| Error, espacio de IP de NAT del productor agotado | No se ha podido propagar la conexión de Private Service Connect porque se ha agotado el espacio de subred de la IP de NAT. Es equivalente al estado Needs attention de la conexión PSC. Para obtener más información, consulta la sección Estados de la conexión de la documentación de Private Service Connect.
|
| Error, se ha superado la cuota de productores | No se ha podido propagar la conexión de Private Service Connect porque se ha superado la cuota de PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK en la red de VPC del productor.
|
| Error: se ha superado la cuota de consumidor | No se ha podido propagar la conexión de Private Service Connect porque se ha superado la cuota de PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK en la red de VPC del consumidor.
|
Para obtener información sobre cómo ver los estados de propagación de las conexiones de Private Service Connect, consulta Ver el estado de propagación de las conexiones de Private Service Connect. Para obtener información sobre cómo solucionar problemas de propagación de conexiones de Private Service Connect, consulta el artículo Solucionar problemas de propagación de conexiones de Private Service Connect.
Siguientes pasos
- Para crear ejes y radios, consulta Trabajar con ejes y radios.
- Para ver una lista de los partners cuyas soluciones están integradas con Network Connectivity Center, consulta Partners de Network Connectivity Center.
- Para encontrar soluciones a problemas habituales, consulta la sección Solución de problemas.
- Para obtener información sobre los comandos de la API y de la CLI de Google Cloud, consulta APIs and reference (APIs y referencia).