Información sobre el acceso a los servicios publicados a través de extremos
En este documento, se proporciona una descripción general de la conexión a servicios en otra red de VPC mediante extremos de Private Service Connect. Puedes conectarte a tus propios servicios o a los que proporcionan otros productores de servicios, incluido Google.
Los clientes se conectan al extremo mediante direcciones IP internas. Private Service Connect realiza la traducción de direcciones de red (NAT) para enrutar la solicitud al productor de servicios.
Para obtener más información sobre los servicios publicados, consulta Acerca de los servicios publicados.
Características y compatibilidad
En esta tabla, se resumen las opciones de configuración y las capacidades compatibles de los extremos que acceden a los servicios publicados.
En las siguientes tablas, una marca de verificación indica que una función es compatible, y un símbolo no indica que la función no es compatible.
Configuración del consumidor (extremo) | Balanceador de cargas del productor | |||
---|---|---|---|---|
Balanceador de cargas de red de transferencia interno | Balanceador de cargas de aplicaciones interno regional | Balanceador de cargas de red del proxy interno regional | Reenvío de protocolo interno (instancia de destino) | |
Acceso global al consumidor |
Independientemente de la configuración de acceso global en el balanceador de cargas |
Solo si el acceso global está habilitado en el balanceador de cargas |
Solo si el acceso global está habilitado en el balanceador de cargas |
Independientemente de la configuración de acceso global en el balanceador de cargas |
Tráfico de Cloud VPN | ||||
Configuración de DNS automática | ||||
Pila de IP | IPv4 | IPv4 | IPv4 | IPv4 |
En esta tabla, se resumen las opciones de configuración y las capacidades de los servicios publicados a los que se accede mediante extremos.
Configuración del productor (servicio publicado) | Balanceador de cargas del productor | |||
---|---|---|---|---|
Balanceador de cargas de red de transferencia interno | Balanceador de cargas de aplicaciones interno regional | Balanceador de cargas de red del proxy interno regional | Reenvío de protocolo interno (instancia de destino) | |
Backends de productores compatibles |
|
|
|
No aplicable |
Protocolo PROXY | Solo el tráfico de TCP | Solo el tráfico de TCP | ||
Modos de afinidad de sesión | NINGUNO (5 tuplas) CLIENT_IP_PORT_PROTO |
No aplicable | No aplicable | No aplicable |
Los diferentes balanceadores de cargas admiten diferentes configuraciones de puertos; algunos balanceadores de cargas admiten un solo puerto, otros admiten un rango de puertos y otros admiten todos los puertos. Para obtener más información, consulta Especificaciones de puertos.
Limitaciones
Los extremos que acceden a un servicio publicado tienen las siguientes limitaciones:
No puedes crear un extremo en la misma red de VPC que el servicio publicado al que accedes.
No se puede acceder a los extremos desde redes de VPC con intercambio de tráfico.
Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
- No todas las rutas estáticas con siguientes saltos del balanceador de cargas son compatibles con Private Service Connect. Para obtener más información, consulta Rutas estáticas con siguientes saltos del balanceador de cargas.
Acceso local
Se puede acceder a los extremos que usas para acceder a las APIs de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Accede a extremos desde redes híbridas.
Especificaciones
- Los extremos de Private Service Connect deben crearse en la misma región que el servicio publicado que es el destino del extremo.
- El extremo debe crearse en una red de VPC diferente de la red de VPC que contiene el servicio de destino.
- De forma predeterminada, solo los clientes que se encuentran en la misma región y la misma red de VPC pueden acceder al extremo. Para obtener información sobre cómo hacer que los extremos estén disponibles en otras regiones, consulta Acceso global.
- La dirección IP que asignas al extremo debe ser de una subred regular.
- Cuando creas un extremo para conectarte a un servicio, si el servicio tiene configurado un nombre de dominio DNS, las entradas de DNS privadas se crean automáticamente en tu red de VPC para el extremo.
- Cada extremo tiene su propia dirección IP única y, opcionalmente, su propio nombre de DNS único.
Estados de conexión
Los extremos, los backends y los adjuntos de servicio de Private Service Connect tienen un estado de conexión que describe el estado de su conexión. Los recursos del consumidor y del productor que forman los dos lados de una conexión siempre tienen el mismo estado. Puedes ver los estados de conexión cuando ves detalles del extremo, describes un backend o ves detalles de un servicio publicado.
En la siguiente tabla se describen los estados posibles.
Estado de conexión | Descripción |
---|---|
Aceptado | Se establece la conexión de Private Service Connect. Las dos redes de VPC tienen conectividad y la conexión funciona con normalidad. |
Pendiente | No se establece la conexión de Private Service Connect, y el tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado por los siguientes motivos:
Las conexiones que se bloquean por estos motivos permanecen en estado pendiente de forma indefinida hasta que se resuelva el problema subyacente. |
Rechazado | No se establece la conexión de Private Service Connect. El tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado por los siguientes motivos:
|
Requiere atención | Hay un problema con el lado del productor de la conexión. Es posible que parte del tráfico fluya entre las dos redes, pero que algunas conexiones no funcionen. Por ejemplo, es posible que se agote la subred NAT del productor y no se puedan asignar direcciones IP para conexiones nuevas. |
Cerrado | Se borró el adjunto de servicio y se cerró la conexión de Private Service Connect. El tráfico de red no puede viajar entre las dos redes. Una conexión cerrada es un estado terminal. Para restablecer la conexión, debes volver a crear tanto el adjunto de servicio como el extremo o el backend. |
Acceso global
Los extremos de Private Service Connect que se usan para acceder a los servicios son recursos regionales. Sin embargo, puedes hacer que un extremo esté disponible en otras regiones si configuras el acceso global.
El acceso global permite que los recursos de cualquier región envíen tráfico a los extremos de Private Service Connect. Puedes usar el acceso global para proporcionar alta disponibilidad en los servicios alojados en varias regiones o permitir que los clientes accedan a un servicio que no está en la misma región que el cliente.
En el siguiente diagrama, se ilustran los clientes en diferentes regiones que acceden al mismo extremo:
El extremo está en
us-west1
y tiene el acceso global configurado.La VM en
us-west1
puede enviar tráfico al extremo, y el tráfico permanece dentro de la misma región.La VM en
us-east1
y la VM de la red local también pueden conectar el extremo enus-west1
, aunque estén en regiones diferentes. Las líneas de puntos representan la ruta de tráfico interregional.
Especificaciones de acceso global
- Puedes activar o desactivar el acceso global en cualquier momento para un extremo.
- Activar el acceso global no genera interrupciones en el tráfico para las conexiones existentes.
- Desactivar el acceso global finaliza las conexiones desde regiones distintas de la región en la que se encuentra el extremo.
Los extremos con acceso global se pueden crear en un proyecto host o de proyecto de VPC compartida. No es necesario que la VM del cliente, el túnel de Cloud VPN o el adjunto de VLAN para Cloud Interconnect estén en el mismo proyecto que el extremo.
No todos los servicios de Private Service Connect admiten extremos con acceso global. Consulta con tu productor de servicios para verificar si su servicio admite el acceso global. Para obtener más información, consulta Configuraciones compatibles.
El acceso global no proporciona una única dirección IP global o un nombre de DNS para varios extremos de acceso globales.
VPC compartida
Los administradores de proyectos de servicio pueden crear extremos en proyectos de servicio de VPC compartida que usan direcciones IP de las redes de VPC compartidas. La configuración es la misma que para un extremo normal, pero el extremo usa una dirección IP que se reserva desde una subred compartida de la VPC compartida.
El recurso de dirección IP se puede reservar en el proyecto de servicio o en el proyecto host. La fuente de la dirección IP debe ser una subred que se comparta con el proyecto de servicio.
Para obtener más información, consulta Crea un extremo con una dirección IP desde una red de VPC compartida.
Controles del servicio de VPC
Los Controles del servicio de VPC y Private Service Connect son compatibles entre sí. Si la red de VPC en la que se implementa el extremo de Private Service Connect está en un perímetro de Controles del servicio de VPC, el extremo forma parte del mismo perímetro. Cualquier servicio admitido por los Controles del servicio de VPC a los que se accede a través del extremo de está sujeto a las políticas de ese perímetro de los Controles del servicio de VPC.
Cuando creas un extremo, las llamadas a la API del plano de control se realizan entre los proyectos del consumidor y del productor para establecer una conexión de Private Service Connect. Establecer una conexión de Private Service Connect entre los proyectos del consumidor y del productor que no están en el mismo perímetro de los Controles del servicio de VPC no requiere una autorización explícita con políticas de salida. La comunicación con los servicios compatibles con los Controles del servicio de VPC a través del extremo está protegida por el perímetro de los Controles del servicio de VPC.
Rutas estáticas con siguientes saltos del balanceador de cargas
Las rutas estáticas se pueden configurar para que usen la regla de reenvío de un balanceador de cargas de red de transferencia interno como el siguiente salto (--next-hop-ilb
). No todas las rutas de este tipo son compatibles con Private Service Connect.
Las rutas estáticas que usan --next-hop-ilb
para especificar el nombre de una regla de reenvío del balanceador de cargas de red de transferencia interno se pueden usar para enviar y recibir tráfico a un extremo de Private Service Connect cuando la ruta y el extremo están en la misma red de VPC y región.
Las siguientes configuraciones de enrutamiento no son compatibles con Private Service Connect:
- Rutas estáticas que usan
--next-hop-ilb
para especificar la dirección IP de una regla de reenvío del balanceador de cargas de red de transferencia interno. - Rutas estáticas que usan
--next-hop-ilb
para especificar el nombre o la dirección IP de una regla de reenvío del extremo de Private Service Connect.
Registros
Puedes habilitar los registros de flujo de VPC en las subredes que contengan VM que accedan a servicios en otra red de VPC mediante extremos. Los registros muestran los flujos entre las VMs y el extremo.
Puedes ver los cambios en el estado de la conexión para los extremos mediante registros de auditoría. Los cambios en el estado de conexión del extremo se capturan en los metadatos del evento del sistema del tipo de recurso Regla de reenvío de GCE. Puedes filtrar por
pscConnectionStatus
para ver estas entradas.Por ejemplo, cuando un productor de servicios permite conexiones desde tu proyecto, el estado de conexión del extremo cambia de
PENDING
aACCEPTED
y este cambio se refleja en los registros de auditoría.- Para ver los registros de auditoría, consulta Visualiza registros.
- Para configurar alertas basadas en registros de auditoría, consulta Administra alertas basadas en registros.
Precios
Los precios de Private Service Connect se describen en la página de precios de VPC.
Cuotas
La cuota de PSC Internal LB Forwarding Rules
controla la cantidad de extremos que puedes crear para acceder a los servicios publicados.
Para obtener más información, consulta Cuotas.
Restricciones de las políticas de la organización
Un administrador de políticas de la organización puede usar la restricción constraints/compute.disablePrivateServiceConnectCreationForConsumers
para definir el conjunto de tipos de extremos para los usuarios no puede crear reglas de reenvío.
Para obtener información sobre cómo crear una política de la organización que use esta restricción, consulta Bloquea a los consumidores para que no implementen extremos por tipo de conexión.