Información general de Private Service Connect

En esta página se describen los conceptos asociados a Private Service Connect. Puedes usar Private Service Connect para lo siguiente:

• Conectarse a una instancia de Cloud SQL desde varias redes de VPC que pertenezcan a diferentes grupos, equipos, proyectos u organizaciones
• Conectarse a una instancia principal o a cualquiera de sus réplicas de lectura

Endpoint de Private Service Connect

Puedes usar endpoints de Private Service Connect para acceder a instancias de Cloud SQL de forma privada desde tus redes de VPC de consumidor. Estos endpoints son direcciones IP internas asociadas a una regla de reenvío que hace referencia a un adjunto de servicio de una instancia de Cloud SQL.

Puede dejar que Cloud SQL cree el endpoint automáticamente o crearlo manualmente.

Para que Cloud SQL cree el endpoint automáticamente, sigue estos pasos:

1. Crea una política de conexión de servicio en tus redes de VPC.

2. Crea una instancia de Cloud SQL con Private Service Connect habilitado y configúrala para que cree un endpoint automáticamente. Al crear la instancia, especifica los parámetros de conexión automática, como las redes VPC y los proyectos.

   Cloud SQL localiza la política de conexión de servicio en estas redes y crea un endpoint de Private Service Connect que apunta a la vinculación de servicio de la instancia.

   Una vez que hayas creado la instancia y Cloud SQL haya creado el endpoint, los clientes de las redes VPC correspondientes podrán conectarse a la instancia desde el endpoint mediante una dirección IP o un registro DNS.

Para crear el endpoint manualmente, sigue estos pasos:

1. Crea una instancia de Cloud SQL con Private Service Connect habilitado.
2. Obtén el URI del adjunto de servicio que necesitas para crear el endpoint manualmente.

3. Reserva una dirección IP interna en tu red de VPC para el endpoint y crea un endpoint con esa dirección.

   Después de crear la instancia y de que Cloud SQL cree el endpoint, los clientes de las redes de VPC correspondientes podrán conectarse a la instancia desde el endpoint, ya sea a través de una dirección IP o de un registro DNS.

Política de conexión de servicios

Una política de conexión de servicio te permite autorizar una clase de servicio específica para crear una conexión de Private Service Connect entre redes de VPC. Como resultado, puedes aprovisionar endpoints de Private Service Connect automáticamente.

Puede crear un máximo de una política por cada combinación de clase de servicio, región y red de VPC. Una política determina la automatización de la conectividad de servicios para esa combinación específica. Cuando configuras una política, seleccionas una subred. La subred se usa para asignar direcciones IP a los endpoints que crees a través de la política. Si varias políticas de conexión de servicio comparten la misma región, puedes reutilizar la misma subred en todas las políticas.

Por ejemplo, si quieres usar la automatización de la conectividad de servicios con dos servicios en tres regiones diferentes, crea seis políticas. Puedes usar un mínimo de tres subredes: una por cada región.

Una vez que hayas creado una política de conexión de servicio, solo podrás actualizar las subredes y el límite de conexión de la política. Si necesitas actualizar otros campos, haz lo siguiente:

1. Elimina todas las conexiones que usen la política.
2. Elimina la política.
3. Crea una política.

Vinculación de servicio

Cuando crea una instancia de Cloud SQL y la configura para que use Private Service Connect, Cloud SQL crea automáticamente una vinculación de servicio para la instancia. Una vinculación de servicio es un punto de vinculación que usan las redes de VPC para acceder a la instancia.

Crea un endpoint de Private Service Connect que la red de VPC usa para conectarse a la vinculación de servicio. De esta forma, la red podrá acceder a la instancia.

Cada instancia de Cloud SQL tiene un adjunto de servicio al que el endpoint de Private Service Connect puede conectarse a través de la red de VPC. Si hay varias redes, cada una tiene su propio endpoint.

Nombres y registros DNS

En el caso de las instancias con Private Service Connect habilitado, te recomendamos que uses el nombre DNS, ya que diferentes redes pueden conectarse a la misma instancia y los endpoints de Private Service Connect de cada red pueden tener direcciones IP diferentes. Además, el proxy de autenticación de Cloud SQL requiere nombres de DNS para conectarse a estas instancias.

Cloud SQL no crea registros DNS automáticamente. En su lugar, se proporciona un nombre de DNS sugerido a partir de la respuesta de la API de búsqueda de instancias. Te recomendamos que crees el registro DNS en una zona DNS privada de la red de VPC correspondiente. De esta forma, se puede conectar de forma coherente desde diferentes redes.

Proyectos de Private Service Connect permitidos

Los proyectos permitidos están asociados a redes de VPC y son específicos de cada instancia de Cloud SQL. Si una instancia no está incluida en ningún proyecto permitido, no podrás habilitar Private Service Connect para esa instancia.

En estos proyectos, puedes crear puntos finales de Private Service Connect para cada instancia. Si un proyecto no tiene permiso explícito, puedes crear un endpoint para las instancias del proyecto, pero el endpoint permanece en el estado PENDING.

Propagación de endpoints de Private Service Connect

De forma predeterminada, las conexiones de Private Service Connect no son transitivas desde las redes de VPC emparejadas. Debes crear un endpoint de Private Service Connect en cada red de VPC que necesite conectarse a tu instancia de Cloud SQL. Por ejemplo, si tienes tres redes de VPC que deben conectarse a tu instancia, debes crear tres endpoints de Private Service Connect, uno por cada red de VPC.

Sin embargo, si se propagan los puntos finales de Private Service Connect a través del hub de Network Connectivity Center, se podrá acceder a ellos desde cualquier otra red de VPC de radio del mismo hub. El centro de conectividad proporciona un modelo de gestión de conectividad centralizado para interconectar redes de VPC de radio con endpoints de Private Service Connect.

La función de propagación de conexiones de Network Connectivity Center ofrece las siguientes ventajas en el caso práctico de las implementaciones de Private Service Connect:

Puedes usar una red de VPC de servicios comunes para crear varios puntos finales de Private Service Connect. Si añades una única red de VPC de servicios común al hub de Network Connectivity Center, todos los puntos finales de Private Service Connect de la red de VPC se podrán acceder de forma transitiva a otras redes de VPC de radio a través del hub. Esta conectividad elimina la necesidad de gestionar cada punto final de Private Service Connect en cada red de VPC de forma individual.

Para saber cómo usar el centro de conectividad de red para propagar los puntos finales de Private Service Connect a las redes de VPC de los radios, consulta el codelab de propagación de Private Service Connect de Network Connectivity Center.

Backend de Private Service Connect

Puedes usar backends de Private Service Connect, como alternativa a los puntos finales de Private Service Connect, para acceder a instancias de Cloud SQL. Para que te resulte más fácil, te recomendamos que te conectes a tus instancias de Cloud SQL mediante puntos finales de Private Service Connect. Para tener más control y visibilidad, puedes conectarte mediante backends de Private Service Connect.

Para usar back-ends de Private Service Connect, debes configurar los siguientes recursos para cada puerto de servicio en el que quieras acceder a una instancia de Cloud SQL determinada:

• Grupo de endpoints de red (NEG) de Private Service Connect, que debe hacer referencia al adjunto de servicio y a un puerto de servicio de la instancia de Cloud SQL.
• Balanceador de carga de red de proxy interno (que consta de un servicio de backend, un proxy TCP de destino y una regla de reenvío) cuyo backend es el NEG de Private Service Connect.

Los puertos de servicio admitidos para MySQL son los siguientes:

• Puerto TCP 3306 para conexiones directas al servidor de bases de datos MySQL (también cuando se usa agrupación de conexiones gestionada).
• Puerto TCP 3307 para conexiones a través del proxy de autenticación de Cloud SQL.

Conexiones salientes de Private Service Connect

Puedes asociar una interfaz de Private Service Connect a tus instancias de Cloud SQL que ya tengan habilitado Private Service Connect mediante una conexión de red para permitir que tu instancia de Cloud SQL establezca conexiones salientes con tu red. Para conectarte a la interfaz de Private Service Connect de tu red, necesitas un adjunto de red nuevo o ya creado en tu proyecto Google Cloud .

Puedes usar la conectividad saliente para migrar datos desde un servidor externo de tu red o hacer una migración homogénea con Database Migration Service.

Cuando se usa una interfaz de Private Service Connect con un adjunto de red para crear conexiones salientes a tu red desde tu instancia de Cloud SQL, ten en cuenta las siguientes limitaciones:

• Para habilitar o inhabilitar la conectividad saliente de Private Service Connect, es necesario un tiempo de inactividad. Esta operación tardará unos 8 minutos en completarse y el tiempo de inactividad será de aproximadamente 3 minutos.
• Si utilizas un nombre de host o un DNS para tu conexión saliente, el nombre de DNS debe poder resolverse públicamente y resolverse en un intervalo de direcciones IP RFC-1918.
• No se admiten direcciones IPv6.
• No se admiten direcciones IP públicas.
• La conectividad saliente de Private Service Connect no se puede habilitar en una instancia de réplica de lectura.
• No se admite el cambio en instancias con la conectividad saliente de Private Service Connect habilitada.
• No puedes habilitar la conectividad saliente de Private Service Connect en una instancia que tenga una réplica de recuperación ante desastres.
• No puedes convertir la réplica de una instancia que tenga habilitada la conectividad saliente de Private Service Connect en una réplica de recuperación ante desastres.
• Si la dirección IP de conectividad saliente entra en conflicto con la IP eth0 o con la regla de reenvío de Private Service Connect, es posible que la dirección IP no se conecte correctamente. Para obtener más información, consulta la información general de Private Service Connect.
• Si tu instancia está configurada para acceso a servicios privados y Private Service Connect, no puedes habilitar la conectividad saliente de Private Service Connect en tu instancia.

Para obtener más información sobre cómo configurar la conectividad saliente de tu instancia de Cloud SQL, consulta Configurar la conectividad saliente.

Siguientes pasos

• Más información sobre las IPs privadas
• Consulta más información sobre cómo conectarse a una instancia mediante Private Service Connect.