En esta página, se describen conceptos asociados con Private Service Connect. Puedes usar Private Service Connect para los siguientes fines:
- Conectarte a una instancia de Cloud SQL desde varias redes de VPC que pertenezcan a organizaciones, grupos, equipos o proyectos diferentes
- Conectarte a una instancia principal o a cualquiera de sus réplicas de lectura
Extremo de Private Service Connect
Puedes usar extremos de Private Service Connect para acceder a instancias de Cloud SQL de forma privada desde tus redes de VPC del consumidor. Estos extremos son direcciones IP internas asociadas con una regla de reenvío que hace referencia a un adjunto de servicio de una instancia de Cloud SQL.
Puedes hacer que Cloud SQL cree el extremo automáticamente o puedes crearlo de forma manual.
Para que Cloud SQL cree el extremo automáticamente, haz lo siguiente:
- Crea una política de conexión de servicio en tus redes de VPC.
Crea una instancia de Cloud SQL con Private Service Connect habilitado para la instancia y configúrala para que cree un extremo automáticamente. Cuando crees la instancia, especifica parámetros de conexión automática, como redes y proyectos de VPC.
Cloud SQL ubica la política de conexión de servicio en estas redes y crea un extremo de Private Service Connect que apunta al adjunto de servicio de la instancia.
Después de que crees la instancia y Cloud SQL cree el extremo, los clientes de las redes de VPC correspondientes podrán conectarse a la instancia desde el extremo, ya sea a través de una dirección IP o un registro DNS. Esta función para que Cloud SQL cree el extremo automáticamente está disponible en versión preliminar.
Para crear el extremo de forma manual, haz lo siguiente:
- Crea una instancia de Cloud SQL con Private Service Connect habilitado para la instancia.
- Obtén el URI del adjunto de servicio que necesitas para crear el extremo de forma manual.
Reserva una dirección IP interna en tu red de VPC para el extremo y crea un extremo con esa dirección.
Después de que crees la instancia y Cloud SQL cree el extremo, los clientes de las redes de VPC correspondientes podrán conectarse a la instancia desde el extremo, ya sea a través de una dirección IP o un registro DNS.
Política de conexión de servicios
Una política de conexión de servicio te permite autorizar una clase de servicio especificada para crear una conexión de Private Service Connect entre redes de VPC. Como resultado, puedes aprovisionar extremos de Private Service Connect automáticamente. Esta función está disponible en vista previa.
Puedes crear un máximo de una política para cada combinación de clase de servicio, región y red de VPC. Una política determina la automatización de la conectividad del servicio para esa combinación específica. Cuando configuras una política, seleccionas una subred. La subred se usa para asignar direcciones IP a los extremos que creas a través de la política. Si varias políticas de conexión de servicio comparten la misma región, puedes volver a usar la misma subred para todas las políticas.
Por ejemplo, si deseas usar la automatización de conectividad de servicio con dos servicios en tres regiones diferentes, crea seis políticas. Puedes usar un mínimo de tres subredes: una para cada región.
Después de crear una política de conexión de servicio, solo puedes actualizar las subredes y el límite de conexiones de la política. Si necesitas actualizar otros campos, haz lo siguiente:
- Quita todas las conexiones que usan la política.
- Borra la política.
- Crea una política nueva.
Adjunto de servicio
Cuando creas una instancia de Cloud SQL y la configuras para que use Private Service Connect, Cloud SQL crea un adjunto de servicio para la instancia de forma automática. Un adjunto de servicio es un punto de conexión que usan las redes de VPC para acceder a la instancia.
Crea un extremo de Private Service Connect que la red de VPC usará para conectarse al adjunto de servicio. Esto permite que la red acceda a la instancia.
Cada instancia de Cloud SQL tiene un adjunto de servicio al que el extremo de Private Service Connect puede conectarse a través de la red de VPC. Si hay varias redes, cada una de ellas tiene su propio extremo.
Nombres y registros DNS
En el caso de las instancias con Private Service Connect habilitado, te recomendamos que uses el nombre de DNS, ya que diferentes redes pueden conectarse a la misma instancia y los extremos de Private Service Connect en cada red pueden tener direcciones IP diferentes. Además, el proxy de autenticación de Cloud SQL requiere nombres de DNS para conectarse a estas instancias.
Cloud SQL no crea registros DNS de forma automática. En su lugar, se proporciona un nombre de DNS sugerido a partir de la respuesta de la API de búsqueda de instancias. Te recomendamos que crees el registro DNS en una zona del DNS privado en la red de VPC correspondiente. Esto proporciona una manera coherente de conectarse desde diferentes redes.
Proyectos de Private Service Connect permitidos
Los proyectos permitidos son proyectos asociados con redes de VPC y son específicos de cada instancia de Cloud SQL. Si una instancia no se encuentra en ningún proyecto permitido, no puedes habilitar Private Service Connect para la instancia.
En estos proyectos, puedes crear extremos de Private Service Connect para cada instancia. Si un proyecto no se permite de forma explícita, puedes crear un extremo para las instancias del proyecto, pero este permanece en un estado PENDING.
Propagación del extremo de Private Service Connect
De forma predeterminada, las conexiones de Private Service Connect no son transitivas desde las redes de VPC con intercambio de tráfico. Debes crear un extremo de Private Service Connect en cada red de VPC que necesite conectarse a tu instancia de Cloud SQL. Por ejemplo, si tienes tres redes de VPC que deben conectarse a tu instancia, debes crear tres extremos de Private Service Connect, uno para cada red de VPC.
Sin embargo, si propagas los extremos de Private Service Connect a través del concentrador de Network Connectivity Center, cualquier otra red de VPC de radio en el mismo concentrador podrá acceder a estos extremos. El concentrador proporciona un modelo de administración de conectividad centralizado para interconectar las redes de VPC de radio con los extremos de Private Service Connect.
La función de propagación de conexiones en Network Connectivity Center beneficia el siguiente caso de uso para las implementaciones de Private Service Connect:
Puedes usar una red de VPC de servicios comunes para crear varios extremos de Private Service Connect. Al agregar una sola red de VPC de servicios comunes al concentrador de Network Connectivity Center, todos los extremos de Private Service Connect en la red de VPC se vuelven accesibles de forma transitiva para otras redes de VPC de radio a través del concentrador. Esta conectividad elimina la necesidad de administrar cada extremo de Private Service Connect en cada red de VPC de forma individual.
Para obtener información sobre cómo usar el concentrador de Network Connectivity Center para propagar extremos de Private Service Connect a redes de VPC de radio, consulta el codelab de propagación de Private Service Connect de Network Connectivity Center.
Backend de Private Service Connect
Puedes usar backends de Private Service Connect, como alternativa a los extremos de Private Service Connect, para acceder a instancias de Cloud SQL. Para facilitar el uso, te recomendamos que te conectes a tus instancias de Cloud SQL a través de extremos de Private Service Connect. Para obtener mayor control y visibilidad, puedes conectarte con backends de Private Service Connect.
Para usar backends de Private Service Connect, debes configurar los siguientes recursos para cada puerto de servicio en el que desees acceder a una instancia de Cloud SQL determinada:
- Grupo de extremos de red (NEG) de Private Service Connect, que debe hacer referencia al adjunto de servicio y a un puerto de entrega de la instancia de Cloud SQL
- Balanceador de cargas de red de proxy interno (que consta de un servicio de backend, un proxy TCP de destino y una regla de reenvío) cuyo backend es el NEG de Private Service Connect.
- Puerto TCP 5432 para conexiones directas al servidor de bases de datos de PostgreSQL
- Puerto TCP 6432 para conexiones directas al servidor de PgBouncer cuando se usa Managed Connection Pooling
- Puerto TCP 3307 para conexiones a través del proxy de autenticación de Cloud SQL
Conexiones salientes de Private Service Connect
Puedes adjuntar una interfaz de Private Service Connect a tus instancias existentes de Cloud SQL habilitadas para Private Service Connect con un adjunto de red para permitir que tu instancia de Cloud SQL realice conexiones salientes a tu red. Para conectarte a la interfaz de Private Service Connect de tu red, necesitas un adjunto de red nuevo o existente en tu proyecto de Google Cloud .
Puedes usar la conectividad saliente para migrar datos desde un servidor externo dentro de tu red, usar extensiones de PostgreSQL que requieren una conexión saliente a tu instancia de Cloud SQL o realizar una migración homogénea con Database Migration Service.
Cuando usas una interfaz de Private Service Connect con una conexión de red para crear conexiones salientes a tu red desde tu instancia de Cloud SQL, ten en cuenta las siguientes limitaciones:
- Habilitar o inhabilitar la conectividad saliente de Private Service Connect requiere tiempo de inactividad. Se espera que esta operación tarde alrededor de 8 minutos en completarse, con un tiempo de inactividad aproximado de 3 minutos.
- Si usas un nombre de host o DNS para tu conexión saliente, el nombre de DNS debe poder resolverse de forma pública y resolverse en un rango de IP de RFC-1918.
- No se admiten direcciones IPv6.
- No se admiten direcciones IP públicas.
- No se puede habilitar la conectividad saliente de Private Service Connect en una instancia de réplica de lectura.
- La conmutación no se admite en instancias con conectividad saliente de Private Service Connect habilitada.
- No puedes habilitar la conectividad saliente de Private Service Connect para una instancia que tenga una réplica de DR.
- No puedes convertir la réplica de una instancia que tiene habilitada la conectividad saliente de Private Service Connect en una réplica de DR.
- Si la dirección IP de conectividad saliente entra en conflicto con la IP de
eth0o la regla de reenvío de Private Service Connect, es posible que la dirección IP no se conecte correctamente. Para obtener más información, consulta la Descripción general de Private Service Connect. - Si tu instancia está configurada para el acceso privado a servicios y Private Service Connect, no puedes habilitar la conectividad saliente de Private Service Connect para tu instancia.
Para obtener más información sobre cómo configurar la conectividad saliente para tu instancia de Cloud SQL, consulta Configura la conectividad saliente.
¿Qué sigue?
- Obtén más información sobre IP privada.
- Obtén más información sobre cómo conectarte a una instancia mediante Private Service Connect.