Información sobre el acceso a los servicios publicados a través de extremos
En este documento, se proporciona una descripción general de la conexión a servicios en otra red de VPC mediante extremos de Private Service Connect. Puedes conectarte a tus propios servicios o a los que proporcionan otros productores de servicios, incluido Google.
Los clientes se conectan al extremo mediante direcciones IP internas. Private Service Connect realiza la traducción de direcciones de red (NAT) para enrutar la solicitud al productor de servicios.
Para obtener más información sobre los servicios publicados, consulta Acerca de los servicios publicados.
Características y compatibilidad
En las siguientes tablas, una marca de verificación indica que una función es compatible y un símbolo no que la función no es compatible.
Configuración del consumidor
En esta tabla, se resumen las opciones de configuración y las capacidades compatibles de los extremos que acceden a los servicios publicados.
Configuración del consumidor (extremo) | Balanceador de cargas del productor | |||
---|---|---|---|---|
Balanceador de cargas de red de transferencia interno | Balanceador de cargas de aplicaciones interno regional | Balanceador de cargas de red del proxy interno regional | Reenvío de protocolo interno (instancia de destino) | |
Acceso global al consumidor |
Independientemente de la configuración de acceso global en el balanceador de cargas |
Solo si el acceso global está habilitado en el balanceador de cargas antes de que se cree el adjunto de servicio |
Solo si el acceso global está habilitado en el balanceador de cargas antes de que se cree el adjunto de servicio |
Independientemente de la configuración de acceso global en el balanceador de cargas |
Tráfico de Cloud VPN | ||||
Configuración de DNS automática | Solo IPv4 | Solo IPv4 | Solo IPv4 | Solo IPv4 |
Propagación de conexiones | Solo IPv4 | Solo IPv4 | Solo IPv4 | Solo IPv4 |
Extremos IPv4 |
|
|
|
|
Extremos IPv6 |
|
|
|
|
Configuración del productor
En esta tabla, se resumen las opciones de configuración y las capacidades de los servicios publicados a los que se accede mediante extremos.
Configuración del productor (servicio publicado) | Balanceador de cargas del productor | |||
---|---|---|---|---|
Balanceador de cargas de red de transferencia interno | Balanceador de cargas de aplicaciones interno regional | Balanceador de cargas de red del proxy interno regional | Reenvío de protocolo interno (instancia de destino) | |
Backends de productores compatibles: |
|
|
|
No aplicable |
Protocolo PROXY | Solo el tráfico de TCP | Solo el tráfico de TCP | ||
Modos de afinidad de sesión | NINGUNO (5 tuplas) CLIENT_IP_PORT_PROTO |
No aplicable | No aplicable | No aplicable |
Versión de IP |
|
|
|
|
Los diferentes balanceadores de cargas admiten diferentes configuraciones de puertos; algunos balanceadores de cargas admiten un solo puerto, otros admiten un rango de puertos y otros admiten todos los puertos. Para obtener más información, consulta Especificaciones de puertos.
Limitaciones
Los extremos que acceden a un servicio publicado tienen las siguientes limitaciones:
No puedes crear un extremo en la misma red de VPC que el servicio publicado al que accedes.
No se puede acceder a los extremos desde redes de VPC con intercambio de tráfico.
Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
No todas las rutas estáticas con siguientes saltos del balanceador de cargas son compatibles con Private Service Connect. Para obtener más información, consulta Rutas estáticas con siguientes saltos del balanceador de cargas.
Las pruebas de conectividad no pueden probar la conectividad entre un extremo IPv6 y un servicio publicado.
Acceso local
Se puede acceder a los extremos que usas para acceder a las APIs de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Accede a extremos desde redes híbridas.
Especificaciones
- Los extremos de Private Service Connect deben crearse en la misma región que el servicio publicado que es el destino del extremo.
- El extremo debe crearse en una red de VPC diferente de la red de VPC que contiene el servicio de destino.
- Si usas una VPC compartida, puedes crear el extremo en el proyecto host o en un proyecto de servicio.
- De forma predeterminada, solo los clientes que se encuentran en la misma región y la misma red de VPC (o red de VPC compartida) que el extremo pueden acceder al extremo. Para obtener información sobre cómo hacer que los extremos estén disponibles en otras regiones, consulta Acceso global.
-
La dirección IP que asignas al extremo debe ser de una subred regular.
- Puedes usar una dirección IPv4 de una subred solo IPv4 o de una subred de pila doble.
- Puedes usar una dirección IPv6 de una subred de pila doble si esta tiene un rango de direcciones IPv6 interno.
- La versión de IP de la dirección IP afecta a los servicios publicados a los que se puede conectar el extremo. Para obtener más información, consulta Traducción de versiones de IP.
- La dirección IP se considera dentro de la cuota del proyecto para las direcciones IPv4 internas estáticas o las direcciones IPv6 internas estáticas.
- Cuando creas un extremo para conectarte a un servicio, si el servicio tiene configurado un nombre de dominio DNS, las entradas de DNS privadas se crean automáticamente en tu red de VPC para el extremo.
- Cada extremo tiene su propia dirección IP única y, opcionalmente, su propio nombre de DNS único.
Estados de conexión
Los extremos, los backends y los adjuntos de servicio de Private Service Connect tienen un estado de conexión que describe el estado de su conexión. Los recursos del consumidor y del productor que forman los dos lados de una conexión siempre tienen el mismo estado. Puedes ver los estados de conexión cuando ves detalles del extremo, describes un backend o ves detalles de un servicio publicado.
En la siguiente tabla se describen los estados posibles.
Estado de conexión | Descripción |
---|---|
Aceptado | Se establece la conexión de Private Service Connect. Las dos redes de VPC tienen conectividad y la conexión funciona con normalidad. |
Pendiente | No se estableció la conexión de Private Service Connect, y el tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado para los siguientes motivos:
Las conexiones que se bloquean por estos motivos permanecen en estado pendiente indefinidamente hasta que se resuelva el problema subyacente. |
Rechazado | No se establece la conexión de Private Service Connect. El tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado para los siguientes motivos:
|
Requiere atención o No se especificó | Hay un problema con la conexión del lado del productor. Es posible que parte del tráfico fluya entre las dos redes, pero que algunas conexiones no funcionen. Por ejemplo, es posible que se agote la subred NAT del productor y no se puedan asignar direcciones IP para conexiones nuevas. |
Cerrado | Se borró el adjunto de servicio y la conexión de Private Service Connect está cerrada. El tráfico de red no puede viajar entre las dos redes. Una conexión cerrada es un estado terminal. Para restablecer la conexión, debes volver a crear tanto el adjunto de servicio como el extremo o el backend. |
Traducción de la versión de IP
Para las conexiones entre los extremos de Private Service Connect para servicios publicados y adjuntos de servicios, la versión de IP de la dirección IP de la regla de reenvío del consumidor determina la versión IP del extremo y el tráfico que sale del extremo. La versión de IP del extremo puede ser IPv4 o IPv6, pero no ambas. Los consumidores pueden usar una dirección IPv4 si la subred de la dirección es de pila única. Los consumidores pueden usar una dirección IPv4 o IPv6 si la subred de la dirección es de pila doble. Los consumidores pueden conectar tanto extremos IPv4 como IPv6 al mismo adjunto de servicio, lo que puede ser útil para migrar servicios a IPv6.
Para las conexiones entre los extremos de Private Service Connect para servicios publicados y adjuntos de servicio, la versión de IP de la regla de reenvío del productor determina la versión de IP del adjunto de servicio y el tráfico que sale del adjunto de servicio. La versión de IP del adjunto de servicio puede ser IPv4 o IPv6, pero no ambas. Los productores pueden usar una dirección IPv4 si la subred de la dirección es de pila única. Los productores pueden usar una dirección IPv4 o IPv6 si la subred de la dirección es de pila doble.
La versión de IP de la dirección IP de la regla de reenvío del productor debe ser compatible con el tipo de pila de la subred NAT del adjunto de servicio. Si la regla de reenvío del productor es IPv4, la subred NAT puede ser de pila única o doble. Si la regla de reenvío del productor es IPv6, la subred NAT debe ser de pila doble.
Private Service Connect no admite la conexión de un extremo IPv4 con un adjunto de servicio IPv6. En este caso, la creación del extremo falla con el siguiente mensaje de error:
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
Las siguientes combinaciones son posibles para las configuraciones compatibles:
- Extremo de IPv4 al adjunto de servicio IPv4
- Extremo de IPv6 al adjunto de servicio IPv6
-
Extremo de IPv6 al adjunto de servicio IPv4
En esta configuración, Private Service Connect traduce automáticamente entre las dos versiones de IP.
Propagación de conexiones
Con conexiones propagadas, los otros radios de VPC de consumidor conectados al mismo concentrador de Network Connectivity Center pueden acceder a un radio de VPC de consumidor a través de extremos de Private Service Connect.
Para obtener más información, consulta Acerca de las conexiones propagadas.
Acceso global
Los extremos de Private Service Connect que se usan para acceder a los servicios son recursos regionales. Sin embargo, puedes hacer que un extremo esté disponible en otras regiones si configuras el acceso global.
El acceso global permite que los recursos de cualquier región envíen tráfico a los extremos de Private Service Connect. Puedes usar el acceso global para proporcionar alta disponibilidad en los servicios alojados en varias regiones o permitir que los clientes accedan a un servicio que no está en la misma región que el cliente.
En el siguiente diagrama, se ilustran los clientes en diferentes regiones que acceden al mismo extremo:
El extremo está en
us-west1
y tiene configurado el acceso global.La VM en
us-west1
puede enviar tráfico al extremo, y el tráfico permanece dentro de la misma región.La VM en
us-east1
y la VM de la red local también pueden conectar el extremo enus-west1
, aunque estén en regiones diferentes. Las líneas de puntos representan la ruta de tráfico interregional.
Especificaciones de acceso global
Puedes activar o desactivar el acceso global en cualquier momento para un extremo.
- Activar el acceso global no genera interrupciones en el tráfico para las conexiones existentes.
- Desactivar el acceso global finaliza las conexiones desde regiones distintas de la región en la que se encuentra el extremo.
No todos los servicios de Private Service Connect admiten extremos con acceso global. Consulta con tu productor de servicios para verificar si su servicio admite el acceso global. Para obtener más información, consulta Configuraciones compatibles.
El acceso global no proporciona una única dirección IP global o un nombre de DNS para varios extremos de acceso globales.
VPC compartida
Los administradores de proyectos de servicio pueden crear extremos en proyectos de servicio de VPC compartida que usan direcciones IP de las redes de VPC compartidas. La configuración es la misma que para un extremo normal, pero el extremo usa una dirección IP que se reserva desde una subred compartida de la VPC compartida.
El recurso de dirección IP se puede reservar en el proyecto de servicio o en el proyecto host. La fuente de la dirección IP debe ser una subred que se comparta con el proyecto de servicio.
Para obtener más información, consulta Crea un extremo con una dirección IP desde una red de VPC compartida.
Controles del servicio de VPC
Los Controles del servicio de VPC y Private Service Connect son compatibles entre sí. Si la red de VPC en la que se implementa el extremo de Private Service Connect está en un perímetro de Controles del servicio de VPC, el extremo forma parte del mismo perímetro. Cualquier servicio admitido por los Controles del servicio de VPC a los que se accede a través del extremo de está sujeto a las políticas de ese perímetro de los Controles del servicio de VPC.
Cuando creas un extremo, las llamadas a la API del plano de control se realizan entre los proyectos del consumidor y del productor para establecer una conexión de Private Service Connect. Establecer una conexión de Private Service Connect entre los proyectos del consumidor y del productor que no están en el mismo perímetro de los Controles del servicio de VPC no requiere una autorización explícita con políticas de salida. La comunicación con los servicios compatibles con los Controles del servicio de VPC a través del extremo está protegida por el perímetro de los Controles del servicio de VPC.
Rutas estáticas con siguientes saltos del balanceador de cargas
Las rutas estáticas se pueden configurar para que usen la regla de reenvío de un balanceador de cargas de red de transferencia interno como el siguiente salto (--next-hop-ilb
). No todas las rutas de este tipo son compatibles con Private Service Connect.
Las rutas estáticas que usan --next-hop-ilb
para especificar el nombre de una regla de reenvío del balanceador de cargas de red de transferencia interno se pueden usar para enviar y recibir tráfico a un extremo de Private Service Connect cuando la ruta y el extremo están en la misma red de VPC y región.
Las siguientes configuraciones de enrutamiento no son compatibles con Private Service Connect:
- Rutas estáticas que usan
--next-hop-ilb
para especificar la dirección IP de una regla de reenvío del balanceador de cargas de red de transferencia interno. - Rutas estáticas que usan
--next-hop-ilb
para especificar el nombre o la dirección IP de una regla de reenvío del extremo de Private Service Connect.
Logging
Puedes habilitar los registros de flujo de VPC en las subredes que contengan VM que accedan a servicios en otra red de VPC mediante extremos. Los registros muestran los flujos entre las VMs y el extremo.
Puedes ver los cambios en el estado de la conexión para los extremos mediante registros de auditoría. Los cambios en el estado de conexión del extremo se capturan en los metadatos del evento del sistema del tipo de recurso Regla de reenvío de GCE. Puedes filtrar por
pscConnectionStatus
para ver estas entradas.Por ejemplo, cuando un productor de servicios permite conexiones desde tu proyecto, el estado de conexión del extremo cambia de
PENDING
aACCEPTED
y este cambio se refleja en los registros de auditoría.- Para ver los registros de auditoría, consulta Visualiza registros.
- Para configurar alertas basadas en registros de auditoría, consulta Administra alertas basadas en registros.
Precios
Los precios de Private Service Connect se describen en la página de precios de VPC.
Cuotas
La cuota de PSC Internal LB Forwarding Rules
controla la cantidad de extremos que puedes crear para acceder a los servicios publicados.
Para obtener más información, consulta Cuotas.
Restricciones de las políticas de la organización
Un administrador de políticas de la organización puede usar la restricción constraints/compute.disablePrivateServiceConnectCreationForConsumers
para definir el conjunto de tipos de extremos para los usuarios no puede crear reglas de reenvío.
Para obtener información sobre la creación de una política de la organización que use esta restricción, consulta Impedir que los consumidores implementen extremos por tipo de conexión.