Información sobre el acceso a los servicios publicados a través de extremos
En este documento, se proporciona una descripción general de la conexión a servicios en otra red de VPC mediante extremos de Private Service Connect. Puedes conectarte a tus propios servicios o a los que proporcionan otros productores de servicios, incluido Google.
Los clientes se conectan al extremo mediante direcciones IP internas. Private Service Connect realiza la traducción de direcciones de red (NAT) para enrutar la solicitud al productor de servicios.
Para obtener más información sobre los servicios publicados, consulta Acerca de los servicios publicados.
Figura 1. Un extremo de Private Service Connect basado en una regla de reenvío permite que los consumidores de servicios envíen tráfico desde la red de VPC del consumidor a servicios en la red de VPC del productor de servicios (haz clic para ampliar).
Configuración de DNS automática
Cuando creas un extremo para conectarte a un servicio, si el servicio tiene configurado un nombre de dominio DNS, Private Service Connect y el Directorio de servicios crearán de forma automática entradas de DNS en tu red de VPC para el extremo.
Si deseas obtener más información, consulta Configuración de DNS para servicios.
Registros
Puedes habilitar los registros de flujo de VPC en las subredes que contengan VM que accedan a servicios en otra red de VPC mediante extremos de Private Service Connect. Los registros muestran los flujos entre las VM y el extremo de Private Service Connect.
Puedes ver los cambios en el estado de la conexión para los extremos de Private Service Connect mediante registros de auditoría. Los cambios en el estado de conexión del extremo se capturan en los metadatos del evento del sistema del tipo de recurso Regla de reenvío de GCE. Puedes filtrar por
pscConnectionStatuspara ver estas entradas.Por ejemplo, cuando un productor de servicios permite conexiones desde tu proyecto, el estado de conexión del extremo cambia de
PENDINGaACCEPTEDy este cambio se refleja en los registros de auditoría.- Para ver los registros de auditoría, consulta Visualiza registros.
- Para configurar alertas basadas en registros de auditoría, consulta Administra alertas basadas en registros.
Controles del servicio de VPC
Los Controles del servicio de VPC y Private Service Connect son compatibles entre sí. Si la red de VPC en la que se implementa el extremo de Private Service Connect está en un perímetro de Controles del servicio de VPC, el extremo de Private Service Connect forma parte del mismo perímetro. Cualquier servicio admitido por los Controles del servicio de VPC a los que se accede a través del extremo de Private Service Connect está sujeto a las políticas de ese perímetro de los Controles del servicio de VPC.
Cuando creas un extremo de Private Service Connect, las llamadas a la API del plano de control se realizan entre los proyectos del consumidor y del productor para establecer una conexión de Private Service Connect. Establecer una conexión de Private Service Connect entre los proyectos del consumidor y del productor que no están en el mismo perímetro de los Controles del servicio de VPC no requiere una autorización explícita con políticas de salida. La comunicación con los servicios compatibles con los Controles del servicio de VPC a través del extremo de Private Service Connect está protegida por el perímetro de los Controles del servicio de VPC.
Precios
Los precios de Private Service Connect se describen en la página de precios de VPC.
Cuotas
La cuota de PSC Internal LB Forwarding Rules controla la cantidad de extremos de Private Service Connect que puedes crear para acceder a los servicios publicados.
Para obtener más información, consulta Cuotas.
Limitaciones de las políticas de la organización
Un administrador de políticas de la organización puede usar la restricción constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir el conjunto de tipos de extremos de Private Service Connect para los usuarios no puede crear reglas de reenvío. La restricción se aplica a las opciones de configuración nuevas del intercambio de tráfico y no afecta a las conexiones existentes.
Acceso local
Se puede acceder a los extremos de Private Service Connect que usas para acceder a las API de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Accede a extremos desde redes híbridas.
Limitaciones
No puedes crear un extremo de Private Service Connect en la misma red de VPC que el servicio publicado al que accedes.
No se puede acceder a los extremos de Private Service Connect desde redes de VPC con intercambio de tráfico.
Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.