Información sobre el acceso a los servicios publicados a través de extremos

En este documento, se proporciona una descripción general de la conexión a servicios en otra red de VPC mediante extremos de Private Service Connect. Puedes conectarte a tus propios servicios o a los que proporcionan otros productores de servicios, incluido Google.

Los clientes se conectan al extremo mediante direcciones IP internas. Private Service Connect realiza la traducción de direcciones de red (NAT) para enrutar la solicitud al productor de servicios.

Para obtener más información sobre los servicios publicados, consulta Acerca de los servicios publicados.

Un extremo de Private Service Connect permite que los consumidores de servicios envíen tráfico desde la red de VPC del consumidor hacia servicios en la red de VPC del productor de servicios. El consumidor, el extremo y el servicio deben estar en la misma región. (haz clic para agrandar).

Características y compatibilidad

En las siguientes tablas, una marca de verificación indica que una función es compatible y un símbolo no que la función no es compatible.

Configuración del consumidor

En esta tabla, se resumen las opciones de configuración y las capacidades compatibles de los extremos que acceden a los servicios publicados.

Configuración del consumidor (extremo) Balanceador de cargas del productor
Balanceador de cargas de red de transferencia interno Balanceador de cargas de aplicaciones interno regional Balanceador de cargas de red del proxy interno regional Reenvío de protocolo interno (instancia de destino)
Acceso global al consumidor

Independientemente de la configuración de acceso global en el balanceador de cargas

Solo si el acceso global está habilitado en el balanceador de cargas antes de que se cree el adjunto de servicio

Solo si el acceso global está habilitado en el balanceador de cargas antes de que se cree el adjunto de servicio

Independientemente de la configuración de acceso global en el balanceador de cargas

Tráfico interconectado

Tráfico de Cloud VPN
Configuración de DNS automática Solo IPv4 Solo IPv4 Solo IPv4 Solo IPv4
Propagación de conexiones Solo IPv4 Solo IPv4 Solo IPv4 Solo IPv4
Extremos IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
Extremos IPv6
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv6
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv6

Configuración del productor

En esta tabla, se resumen las opciones de configuración y las capacidades de los servicios publicados a los que se accede mediante extremos.

Configuración del productor (servicio publicado) Balanceador de cargas del productor
Balanceador de cargas de red de transferencia interno Balanceador de cargas de aplicaciones interno regional Balanceador de cargas de red del proxy interno regional Reenvío de protocolo interno (instancia de destino)

Backends de productores compatibles:

  • NEG zonales de GCE_VM_IP
  • Grupos de instancias
  • NEGs de asignación de puertos
  • NEG zonales GCE_VM_IP_PORT
  • NEG híbridos
  • NEG sin servidores
  • NEG de Private Service Connect
  • Grupos de instancias
  • NEG zonales GCE_VM_IP_PORT
  • NEG híbridos
  • NEG sin servidores
  • NEG de Private Service Connect
  • Grupos de instancias
No aplicable
Protocolo PROXY Solo el tráfico de TCP Solo el tráfico de TCP
Modos de afinidad de sesión NINGUNO (5 tuplas)
CLIENT_IP_PORT_PROTO
No aplicable No aplicable No aplicable
Versión de IP
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv6
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv6

Los diferentes balanceadores de cargas admiten diferentes configuraciones de puertos; algunos balanceadores de cargas admiten un solo puerto, otros admiten un rango de puertos y otros admiten todos los puertos. Para obtener más información, consulta Especificaciones de puertos.

Limitaciones

Los extremos que acceden a un servicio publicado tienen las siguientes limitaciones:

Acceso local

Se puede acceder a los extremos que usas para acceder a las APIs de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Accede a extremos desde redes híbridas.

Especificaciones

  • Los extremos de Private Service Connect deben crearse en la misma región que el servicio publicado que es el destino del extremo.
  • El extremo debe crearse en una red de VPC diferente de la red de VPC que contiene el servicio de destino.
  • Si usas una VPC compartida, puedes crear el extremo en el proyecto host o en un proyecto de servicio.
  • De forma predeterminada, solo los clientes que se encuentran en la misma región y la misma red de VPC (o red de VPC compartida) que el extremo pueden acceder al extremo. Para obtener información sobre cómo hacer que los extremos estén disponibles en otras regiones, consulta Acceso global.
  • La dirección IP que asignas al extremo debe ser de una subred regular.
  • Cuando creas un extremo para conectarte a un servicio, si el servicio tiene configurado un nombre de dominio DNS, las entradas de DNS privadas se crean automáticamente en tu red de VPC para el extremo.
  • Cada extremo tiene su propia dirección IP única y, opcionalmente, su propio nombre de DNS único.

Estados de conexión

Los extremos, los backends y los adjuntos de servicio de Private Service Connect tienen un estado de conexión que describe el estado de su conexión. Los recursos del consumidor y del productor que forman los dos lados de una conexión siempre tienen el mismo estado. Puedes ver los estados de conexión cuando ves detalles del extremo, describes un backend o ves detalles de un servicio publicado.

En la siguiente tabla se describen los estados posibles.

Estado de conexión Descripción
Aceptado Se establece la conexión de Private Service Connect. Las dos redes de VPC tienen conectividad y la conexión funciona con normalidad.
Pendiente

No se estableció la conexión de Private Service Connect, y el tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado para los siguientes motivos:

Las conexiones que se bloquean por estos motivos permanecen en estado pendiente indefinidamente hasta que se resuelva el problema subyacente.

Rechazado

No se establece la conexión de Private Service Connect. El tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado para los siguientes motivos:

Requiere atención o No se especificó Hay un problema con la conexión del lado del productor. Es posible que parte del tráfico fluya entre las dos redes, pero que algunas conexiones no funcionen. Por ejemplo, es posible que se agote la subred NAT del productor y no se puedan asignar direcciones IP para conexiones nuevas.
Cerrado

Se borró el adjunto de servicio y la conexión de Private Service Connect está cerrada. El tráfico de red no puede viajar entre las dos redes.

Una conexión cerrada es un estado terminal. Para restablecer la conexión, debes volver a crear tanto el adjunto de servicio como el extremo o el backend.

Traducción de la versión de IP

Para las conexiones entre los extremos de Private Service Connect para servicios publicados y adjuntos de servicios, la versión de IP de la dirección IP de la regla de reenvío del consumidor determina la versión IP del extremo y el tráfico que sale del extremo. La versión de IP del extremo puede ser IPv4 o IPv6, pero no ambas. Los consumidores pueden usar una dirección IPv4 si la subred de la dirección es de pila única. Los consumidores pueden usar una dirección IPv4 o IPv6 si la subred de la dirección es de pila doble. Los consumidores pueden conectar tanto extremos IPv4 como IPv6 al mismo adjunto de servicio, lo que puede ser útil para migrar servicios a IPv6.

Para las conexiones entre los extremos de Private Service Connect para servicios publicados y adjuntos de servicio, la versión de IP de la regla de reenvío del productor determina la versión de IP del adjunto de servicio y el tráfico que sale del adjunto de servicio. La versión de IP del adjunto de servicio puede ser IPv4 o IPv6, pero no ambas. Los productores pueden usar una dirección IPv4 si la subred de la dirección es de pila única. Los productores pueden usar una dirección IPv4 o IPv6 si la subred de la dirección es de pila doble.

La versión de IP de la dirección IP de la regla de reenvío del productor debe ser compatible con el tipo de pila de la subred NAT del adjunto de servicio. Si la regla de reenvío del productor es IPv4, la subred NAT puede ser de pila única o doble. Si la regla de reenvío del productor es IPv6, la subred NAT debe ser de pila doble.

Private Service Connect no admite la conexión de un extremo IPv4 con un adjunto de servicio IPv6. En este caso, la creación del extremo falla con el siguiente mensaje de error:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

Las siguientes combinaciones son posibles para las configuraciones compatibles:

  • Extremo de IPv4 al adjunto de servicio IPv4
  • Extremo de IPv6 al adjunto de servicio IPv6
  • Extremo de IPv6 al adjunto de servicio IPv4

    En esta configuración, Private Service Connect traduce automáticamente entre las dos versiones de IP.

Propagación de conexiones

Con conexiones propagadas, los otros radios de VPC de consumidor conectados al mismo concentrador de Network Connectivity Center pueden acceder a un radio de VPC de consumidor a través de extremos de Private Service Connect.

Para obtener más información, consulta Acerca de las conexiones propagadas.

Acceso global

Los extremos de Private Service Connect que se usan para acceder a los servicios son recursos regionales. Sin embargo, puedes hacer que un extremo esté disponible en otras regiones si configuras el acceso global.

El acceso global permite que los recursos de cualquier región envíen tráfico a los extremos de Private Service Connect. Puedes usar el acceso global para proporcionar alta disponibilidad en los servicios alojados en varias regiones o permitir que los clientes accedan a un servicio que no está en la misma región que el cliente.

En el siguiente diagrama, se ilustran los clientes en diferentes regiones que acceden al mismo extremo:

  • El extremo está en us-west1 y tiene configurado el acceso global.

  • La VM en us-west1 puede enviar tráfico al extremo, y el tráfico permanece dentro de la misma región.

  • La VM en us-east1 y la VM de la red local también pueden conectar el extremo en us-west1, aunque estén en regiones diferentes. Las líneas de puntos representan la ruta de tráfico interregional.

    Un extremo de Private Service Connect con acceso global permite que los consumidores de servicios envíen tráfico desde la red de VPC del consumidor a servicios en la red de VPC del productor de servicios. El cliente puede estar en la misma región o en una diferente que el extremo (haz clic para ampliar).

Especificaciones de acceso global

  • Puedes activar o desactivar el acceso global en cualquier momento para un extremo.

    • Activar el acceso global no genera interrupciones en el tráfico para las conexiones existentes.
    • Desactivar el acceso global finaliza las conexiones desde regiones distintas de la región en la que se encuentra el extremo.
  • No todos los servicios de Private Service Connect admiten extremos con acceso global. Consulta con tu productor de servicios para verificar si su servicio admite el acceso global. Para obtener más información, consulta Configuraciones compatibles.

  • El acceso global no proporciona una única dirección IP global o un nombre de DNS para varios extremos de acceso globales.

VPC compartida

Los administradores de proyectos de servicio pueden crear extremos en proyectos de servicio de VPC compartida que usan direcciones IP de las redes de VPC compartidas. La configuración es la misma que para un extremo normal, pero el extremo usa una dirección IP que se reserva desde una subred compartida de la VPC compartida.

El recurso de dirección IP se puede reservar en el proyecto de servicio o en el proyecto host. La fuente de la dirección IP debe ser una subred que se comparta con el proyecto de servicio.

Para obtener más información, consulta Crea un extremo con una dirección IP desde una red de VPC compartida.

Controles del servicio de VPC

Los Controles del servicio de VPC y Private Service Connect son compatibles entre sí. Si la red de VPC en la que se implementa el extremo de Private Service Connect está en un perímetro de Controles del servicio de VPC, el extremo forma parte del mismo perímetro. Cualquier servicio admitido por los Controles del servicio de VPC a los que se accede a través del extremo de está sujeto a las políticas de ese perímetro de los Controles del servicio de VPC.

Cuando creas un extremo, las llamadas a la API del plano de control se realizan entre los proyectos del consumidor y del productor para establecer una conexión de Private Service Connect. Establecer una conexión de Private Service Connect entre los proyectos del consumidor y del productor que no están en el mismo perímetro de los Controles del servicio de VPC no requiere una autorización explícita con políticas de salida. La comunicación con los servicios compatibles con los Controles del servicio de VPC a través del extremo está protegida por el perímetro de los Controles del servicio de VPC.

Rutas estáticas con siguientes saltos del balanceador de cargas

Las rutas estáticas se pueden configurar para que usen la regla de reenvío de un balanceador de cargas de red de transferencia interno como el siguiente salto (--next-hop-ilb). No todas las rutas de este tipo son compatibles con Private Service Connect.

Las rutas estáticas que usan --next-hop-ilb para especificar el nombre de una regla de reenvío del balanceador de cargas de red de transferencia interno se pueden usar para enviar y recibir tráfico a un extremo de Private Service Connect cuando la ruta y el extremo están en la misma red de VPC y región.

Las siguientes configuraciones de enrutamiento no son compatibles con Private Service Connect:

  • Rutas estáticas que usan --next-hop-ilb para especificar la dirección IP de una regla de reenvío del balanceador de cargas de red de transferencia interno.
  • Rutas estáticas que usan --next-hop-ilb para especificar el nombre o la dirección IP de una regla de reenvío del extremo de Private Service Connect.

Logging

  • Puedes habilitar los registros de flujo de VPC en las subredes que contengan VM que accedan a servicios en otra red de VPC mediante extremos. Los registros muestran los flujos entre las VMs y el extremo.

  • Puedes ver los cambios en el estado de la conexión para los extremos mediante registros de auditoría. Los cambios en el estado de conexión del extremo se capturan en los metadatos del evento del sistema del tipo de recurso Regla de reenvío de GCE. Puedes filtrar por pscConnectionStatus para ver estas entradas.

    Por ejemplo, cuando un productor de servicios permite conexiones desde tu proyecto, el estado de conexión del extremo cambia de PENDING a ACCEPTED y este cambio se refleja en los registros de auditoría.

Precios

Los precios de Private Service Connect se describen en la página de precios de VPC.

Cuotas

La cuota de PSC Internal LB Forwarding Rules controla la cantidad de extremos que puedes crear para acceder a los servicios publicados. Para obtener más información, consulta Cuotas.

Restricciones de las políticas de la organización

Un administrador de políticas de la organización puede usar la restricción constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir el conjunto de tipos de extremos para los usuarios no puede crear reglas de reenvío.

Para obtener información sobre la creación de una política de la organización que use esta restricción, consulta Impedir que los consumidores implementen extremos por tipo de conexión.

¿Qué sigue?