Vista geral do Private Service Connect

Esta página descreve os conceitos associados ao Private Service Connect. Pode usar o Private Service Connect para os seguintes fins:

  • Estabeleça ligação a uma instância do Cloud SQL a partir de várias redes VPC pertencentes a diferentes grupos, equipas, projetos ou organizações
  • Estabelecer ligação a uma instância principal ou a qualquer uma das respetivas réplicas de leitura

Ponto final do Private Service Connect

Pode usar pontos finais do Private Service Connect para aceder a instâncias do Cloud SQL de forma privada a partir das suas redes VPC do consumidor. Estes pontos finais são endereços IP internos associados a uma regra de encaminhamento que faz referência a uma associação de serviço de uma instância do Cloud SQL.

Pode fazer com que o Cloud SQL crie o ponto final automaticamente ou pode criá-lo manualmente.

Para que o Cloud SQL crie o ponto final automaticamente, faça o seguinte:

  1. Crie uma política de ligação de serviço nas suas redes VPC.

  2. Crie uma instância do Cloud SQL com o Private Service Connect ativado para a instância e configure a instância para criar um ponto final automaticamente. Ao criar a instância, especifique parâmetros de ligação automática, como redes VPC e projetos.

    O Cloud SQL localiza a política de ligação de serviço nestas redes e cria um ponto final do Private Service Connect que aponta para a associação de serviço da instância.

    Depois de criar a instância e o Cloud SQL criar o ponto final, os clientes nas redes VPC correspondentes podem estabelecer ligação à instância a partir do ponto final, através de um endereço IP ou de um registo DNS.

Para criar o ponto final manualmente, faça o seguinte:

  1. Crie uma instância do Cloud SQL com o Private Service Connect ativado para a instância.
  2. Obtenha o URI do anexo de serviço necessário para criar o ponto final manualmente.

  3. Reserve um endereço IP interno na sua rede VPC para o ponto final e crie um ponto final com esse endereço.

    Depois de criar a instância e o Cloud SQL criar o ponto final, os clientes nas redes VPC correspondentes podem estabelecer ligação à instância a partir do ponto final, através de um endereço IP ou de um registo DNS.

Política de ligação ao serviço

Uma política de ligação de serviço permite-lhe autorizar uma classe de serviço especificada a criar uma ligação do Private Service Connect entre redes da VPC. Como resultado, pode aprovisionar pontos finais do Private Service Connect automaticamente.

Pode criar um máximo de uma política para cada combinação de classe de serviço, região e rede VPC. Uma política determina a automatização da conetividade do serviço para essa combinação específica. Quando configura uma política, seleciona uma sub-rede. A sub-rede é usada para atribuir endereços IP aos pontos finais que cria através da política. Se várias políticas de ligação de serviços partilharem a mesma região, pode reutilizar a mesma sub-rede para todas as políticas.

Por exemplo, se quiser usar a automatização da conetividade de serviços com dois serviços em três regiões diferentes, crie seis políticas. Pode usar um mínimo de três sub-redes: uma para cada região.

Depois de criar uma política de ligação do serviço, só pode atualizar as sub-redes e o limite de ligações da política. Se precisar de atualizar outros campos, faça o seguinte:

  1. Remova todas as associações que usam a política.
  2. Elimine a política.
  3. Crie uma nova política.

Associação do serviço

Quando cria uma instância do Cloud SQL e configura a instância para usar o Private Service Connect, o Cloud SQL cria automaticamente uma associação do serviço para a instância. Uma associação de serviço é um ponto de associação que as redes VPC usam para aceder à instância.

Cria um ponto final do Private Service Connect que a rede VPC usa para se ligar à associação de serviços. Isto permite que a rede aceda à instância.

Cada instância do Cloud SQL tem uma associação de serviço à qual o ponto final do Private Service Connect pode estabelecer ligação através da rede VPC. Se existirem várias redes, cada rede tem o seu próprio ponto final.

Nomes e registos de DNS

Para instâncias com o Private Service Connect ativado, recomendamos que use o nome DNS, uma vez que diferentes redes podem estabelecer ligação à mesma instância e os pontos finais do Private Service Connect em cada rede podem ter endereços IP diferentes. Além disso, o proxy Auth do Cloud SQL requer nomes de DNS para estabelecer ligação a estas instâncias.

O Cloud SQL não cria registos de DNS automaticamente. Em alternativa, é fornecido um nome DNS sugerido a partir da resposta da API de procura de instâncias. Recomendamos que crie o registo DNS numa zona DNS privada na rede VPC correspondente. Isto oferece uma forma consistente de estabelecer ligação a partir de diferentes redes.

Projetos do Private Service Connect permitidos

Os projetos permitidos estão associados a redes da VPC e são específicos de cada instância do Cloud SQL. Se uma instância não estiver contida em nenhum projeto permitido, não pode ativar o Private Service Connect para a instância.

Para estes projetos, pode criar pontos finais do Private Service Connect para cada instância. Se um projeto não for permitido explicitamente, pode continuar a criar um ponto final para as instâncias no projeto, mas o ponto final permanece no estado PENDING.

Propagação de pontos finais do Private Service Connect

Por predefinição, as ligações do Private Service Connect não são transitivas a partir de redes VPC em intercâmbio. Tem de criar um ponto final do Private Service Connect em cada rede VPC que precise de se ligar à sua instância do Cloud SQL. Por exemplo, se tiver três redes VPC que tenham de se ligar à sua instância, tem de criar três pontos finais do Private Service Connect, um ponto final para cada rede VPC.

No entanto, ao propagar pontos finais do Private Service Connect através do hub do Network Connectivity Center, estes pontos finais podem ser alcançáveis por qualquer outra rede da VPC spoke no mesmo hub. O hub fornece um modelo de gestão de conetividade centralizado para interligar redes da VPC spoke a pontos finais do Private Service Connect.

A funcionalidade de propagação de ligações no Network Connectivity Center beneficia o seguinte exemplo de utilização para implementações do Private Service Connect:

Pode usar uma rede VPC de serviços comuns para criar vários pontos finais do Private Service Connect. Ao adicionar uma única rede VPC de serviços comuns ao hub do Network Connectivity Center, todos os pontos finais do Private Service Connect na rede VPC tornam-se acessíveis transitivamente a outras redes VPC spoke através do hub. Esta conetividade elimina a necessidade de gerir cada ponto final do Private Service Connect em cada rede da VPC individualmente.

Para saber como usar o hub do Network Connectivity Center para propagar pontos finais do Private Service Connect para redes VPC spoke, consulte o codelab do Network Connectivity Center: propagação do Private Service Connect.

Back-end do Private Service Connect

Pode usar back-ends do Private Service Connect, como alternativa aos pontos finais do Private Service Connect, para aceder a instâncias do Cloud SQL. Para facilitar a utilização, recomendamos que se ligue às suas instâncias do Cloud SQL através de pontos finais do Private Service Connect. Para um controlo e uma visibilidade adicionais, pode estabelecer ligação através de back-ends do Private Service Connect.

Para usar back-ends do Private Service Connect, tem de configurar os seguintes recursos para cada porta de publicação na qual quer aceder a uma determinada instância do Cloud SQL:

As portas de publicação suportadas para o PostgreSQL são as seguintes:

  • Porta TCP 5432 para ligações diretas ao servidor de base de dados PostgreSQL.
  • Porta TCP 6432 para ligações diretas ao servidor PgBouncer quando usar a pool de ligações gerida.
  • Porta TCP 3307 para ligações através do proxy Auth do Cloud SQL.

Ligações de saída do Private Service Connect

Pode anexar uma interface do Private Service Connect às suas instâncias existentes do Cloud SQL com o Private Service Connect ativado através de uma associação de rede para permitir que a sua instância do Cloud SQL faça ligações de saída à sua rede. Para estabelecer ligação à interface do Private Service Connect da sua rede, precisa de uma associação de rede nova ou existente no seu projeto do Google Cloud .

Pode usar a conetividade de saída para migrar dados de um servidor externo na sua rede, usar extensões do PostgreSQL que requerem uma ligação de saída à sua instância do Cloud SQL ou fazer uma migração homogénea através do serviço de migração de bases de dados.

Quando usar uma interface do Private Service Connect com uma associação de rede para criar ligações de saída para a sua rede a partir da instância do Cloud SQL, tenha em atenção as seguintes limitações:

  • A ativação ou a desativação da conetividade de saída do Private Service Connect requer tempo de inatividade. Pode esperar que esta operação demore cerca de 8 minutos a ser concluída, com um tempo de inatividade aproximado de 3 minutos.
  • Se estiver a usar um nome de anfitrião ou um DNS para a sua ligação de saída, o nome de DNS tem de ser resolvível publicamente e resolvido para um intervalo de IP RFC-1918.
  • Os endereços IPv6 não são suportados.
  • Os endereços IP públicos não são suportados.
  • Não é possível ativar a conetividade de saída do Private Service Connect numa instância de réplica de leitura.
  • A comutação não é suportada para instâncias com conetividade de saída do Private Service Connect ativada.
  • Não pode ativar a conetividade de saída do Private Service Connect para uma instância que tenha uma réplica de recuperação de desastres.
  • Não é possível converter a réplica de uma instância com a conetividade de saída do Private Service Connect ativada numa réplica de DR.
  • Se o endereço IP de conetividade de saída entrar em conflito com o IP eth0 ou a regra de encaminhamento do Private Service Connect, o endereço IP pode não estabelecer ligação corretamente. Para mais informações, consulte o artigo Vista geral do Private Service Connect.
  • Se a sua instância estiver configurada para acesso privado ao serviço e Private Service Connect, não pode ativar a conetividade de saída do Private Service Connect para a sua instância.

Para mais informações sobre como configurar a conetividade de saída para a sua instância do Cloud SQL, consulte o artigo Configurar a conetividade de saída.

O que se segue?