Private Service Connect permite que los consumidores accedan a los servicios administrados de forma privada desde su red de nube privada virtual (VPC). Del mismo modo, permite a los productores de servicios administrados alojar estos servicios en sus propias redes de VPC independientes y proyectos, y ofrecer una conexión privada a sus consumidores. Las conexiones de Private Service Connect no son transitivas entre los radios de VPC. La propagación de los servicios de Private Service Connect a través del concentrador de Network Connectivity Center permite que cualquier otra VPC de radio en el mismo concentrador pueda acceder a estos servicios a través de la tabla de enrutamiento.
Network Connectivity Center también admite la propagación de extremos regionales. Para obtener más información sobre los extremos regionales, consulta Información sobre el acceso a extremos regionales a través de extremos de Private Service Connect.
La función de propagación de conexiones de Private Service Connect de Network Connectivity Center beneficia los siguientes casos de uso:
Puedes usar una red de VPC de servicios comunes para crear varios extremos del consumidor de Private Service Connect. Cuando se agrega una sola red de VPC de servicios comunes al concentrador de Network Connectivity Center, todos los extremos del consumidor de Private Service Connect en la red de VPC se vuelven accesibles de forma transitiva para otros radios de VPC a través del concentrador de Network Connectivity Center. Esta conectividad elimina la necesidad de administrar de forma individual cada extremo de Private Service Connect en cada red de VPC.
Puedes acceder a los servicios administrados en una red de radio de VPC desde redes locales a las que pueden acceder radios híbridos.
Cuando conectas un radio de VPC a un concentrador que tiene habilitadas las conexiones, Network Connectivity Center se crean conexiones propagadas en ese radio para cualquier extremo conectado al mismo concentrador, a menos que se excluya la subred del extremo de la exportación. Después de agregar una red de VPC a un concentrador de Network Connectivity Center como un radio de VPC, los extremos nuevos de Private Service Connect también se propagan, a menos que la subred del extremo se excluya de la exportación.
Para configurar un concentrador con una conexión propagada de Private Service Connect habilitada, el administrador del concentrador debe crear un concentrador con la propagación de Private Service Connect o actualizar la configuración de propagación mediante la marca --export-psc. Luego, el administrador del concentrador debe agregar las redes de VPC como radios al concentrador. El propietario del radio puede usar las marcas --exclude-export-ranges y --include-export-ranges para excluir subredes específicas asignadas de Private Service Connect del enrutamiento de Network Connectivity Center para que no se pueda acceder a las subredes especificadas desde otras redes de VPC, lo que las mantiene privadas para la red de VPC local.
Para obtener información sobre las conexiones propagadas de Private Service Connect, consulta Acerca de las conexiones propagadas.
Para obtener información sobre las marcas --exclude-export-ranges y --include-export-ranges, consulta Conectividad de VPC con filtros de exportación.
Si deseas obtener información detallada sobre cómo configurar un concentrador para una conexión propagada de Private Service Connect, consulta Configura un concentrador.
Límite de propagación de conexiones
Para obtener más información sobre los límites de las conexiones propagadas, consulta Límite de conexiones propagadas.
Consideraciones
Ten en cuenta lo siguiente antes de habilitar una conexión propagada de Private Service Connect:
Una conexión propagada de Private Service Connect solo funciona con radios de VPC.
Si necesitas que las conexiones propagadas de Private Service Connect estén disponibles para las redes locales conectadas a radios híbridos, haz lo siguiente:
Tu concentrador de Network Connectivity Center debe tener solo una red de VPC de enrutamiento que contenga todos sus radios híbridos.
La única red de VPC de enrutamiento del concentrador también debe ser un radio de VPC.
Si un concentrador tiene dos o más redes de VPC de enrutamiento, ninguna de las redes de VPC de enrutamiento también puede ser un radio de VPC. En consecuencia, los concentradores con dos o más redes de VPC de enrutamiento no pueden hacer que las conexiones propagadas de Private Service Connect estén disponibles para las redes locales.
Para que la propagación de Private Service Connect funcione con radios híbridos, la red de VPC de enrutamiento también se debe agregar como un radio de VPC.
La propagación de la conexión de Private Service Connect puede retrasarse y las notificaciones controladas por eventos pueden ser asíncronas. Es decir, la notificación de entrega puede ocurrir un tiempo después de la conexión propagada.
Debido a que el filtro
--exclude-export-rangesno es mutable para un radio después de crearlo, te recomendamos que crees dos subredes a fin de alojar extremos de Private Service Connect: una subred para la red de VPC, solo extremos de Private Service Connect y el otro para los extremos de Private Service Connect que se comparten con el concentrador. Cuando agregas la red de VPC a una como radio, agrega el rango de direcciones IP de la subred que aloja la red de VPC solo dentro de la red de VPC en el filtro--exclude-export-rangespara que no se comparta con el concentrador.Si una subred en un radio de VPC se configura con NAT privada para acceder al concentrador de Network Connectivity Center, se descarta el tráfico de la subred al servicio propagado de Private Service Connect. Si la puerta de enlace de NAT privada está configurada con
--nat-all-subnet-ip-ranges, la propagación de Private Service Connect a través de Network Connectivity Center no funciona para todas las subredes de esta VPC de radio. Para que funcione desde subredes que no se superponen de este spoke de VPC, usa--nat-custom-subnet-ip-rangespara la puerta de enlace NAT privada. No uses NAT para enrutar el tráfico de subredes que no se superponen al concentrador de Network Connectivity Center.El estado de propagación puede ser inexacto si creas, borras y vuelves a crear el extremo de Private Service Connect en un período breve. Sin embargo, después de un tiempo, el estado de propagación se vuelve preciso y refleja el estado real de la conexión propagada. Este proceso puede tardar hasta 15 minutos.
La propagación de la conexión de Private Service Connect es asíncrona después de la creación o eliminación de un radio. Cuando se quita un radio de VPC de un concentrador, puede tardar un poco en actualizarse las conexiones propagadas de Private Service Connect. Mientras la actualización de la conexión de propagación de Private Service Connect está en curso, el tráfico de la VM dentro de la red de VPC puede fluir al backend, incluso después de que se agrega el radio de VPC a un nuevo concentrador. Para evitar el flujo de tráfico al backend, antes de agregar el radio a otro concentrador, asegúrate de borrar todas las entradas de estado de propagación de la red de VPC en el concentrador anterior, ya sea como radio de origen o de destino.
Estado de la conexión de Private Service Connect
Network Connectivity Center te permite ver el estado de la propagación de la conexión de Private Service Connect dentro de un concentrador. Puedes ver un resumen de los estados o desglosar errores específicos para ver los detalles.
En la siguiente tabla, se enumeran los códigos de estado de propagación y su significado.
| Código | Mensaje |
|---|---|
| Ready | La conexión propagada de Private Service Connect está lista. |
| Propagación | La propagación de la conexión de Private Service Connect está pendiente. Este es un estado transitorio. |
| Error: Se superó el límite de conexiones propagadas del productor | La propagación de la conexión de Private Service Connect falló porque la red de VPC o el proyecto del radio de destino superaron el límite de conexiones de propagación establecido por el productor. Para solucionar este problema, consulta la documentación de tu productor o comunícate con su equipo de asistencia al cliente. |
| Error: Se agotó el espacio de IP de NAT del productor | No se pudo propagar la conexión de Private Service Connect porque se agotó el espacio de subred de IP de NAT. Es equivalente al estado Needs attention de la conexión de PSC. Para obtener más información, consulta Estados de conexión en la documentación de Private Service Connect.
|
| Error, se superó la cuota del productor | No se pudo propagar la conexión de Private Service Connect porque se superó la cuota de PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK en la red de VPC del productor.
|
| Error: Se superó la cuota del consumidor | No se pudo propagar la conexión de Private Service Connect porque se superó la cuota de PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK en la red de VPC del consumidor.
|
Para obtener información sobre cómo ver los estados de propagación de la conexión de Private Service Connect, consulta Cómo ver el estado de propagación de la conexión de Private Service Connect. Para obtener información sobre la solución de problemas de propagación de la conexión de Private Service Connect, consulta Cómo solucionar problemas de propagación de la conexión de Private Service Connect.
¿Qué sigue?
- Para crear concentradores y radios, consulta Trabaja con concentradores y radios.
- Para ver una lista de socios cuyas soluciones están integradas en Network Connectivity Center, consulta Socios de Network Connectivity Center.
- Para encontrar soluciones a problemas comunes, consulta Solución de problemas.
- Para obtener detalles sobre los comandos de la API y Google Cloud CLI, consulta APIs y referencia.