Información sobre el acceso a los servicios publicados a través de extremos

En este documento, se proporciona una descripción general de la conexión a servicios en otra red de VPC mediante extremos de Private Service Connect. Puedes conectarte a tus propios servicios o a los que proporcionan otros productores de servicios, incluido Google.

Los clientes se conectan al extremo mediante direcciones IP internas. Private Service Connect realiza la traducción de direcciones de red (NAT) para enrutar la solicitud al productor de servicios.

Para obtener más información sobre los servicios publicados, consulta Acerca de los servicios publicados.

Un extremo de Private Service Connect permite que los consumidores de servicios envíen tráfico desde la red de VPC del consumidor hacia servicios en la red de VPC del productor de servicios. El consumidor, el extremo y el servicio deben estar en la misma región. (haz clic para agrandar).

Características y compatibilidad

En esta tabla, se resumen las opciones de configuración y las capacidades compatibles de los extremos que acceden a los servicios publicados.

En las siguientes tablas, una marca de verificación indica que una función es compatible, y un símbolo no indica que la función no es compatible.

Configuración del consumidor (extremo)	Balanceador de cargas del productor
Configuración del consumidor (extremo)	Balanceador de cargas de red de transferencia interno	Balanceador de cargas de aplicaciones interno regional	Balanceador de cargas de red del proxy interno regional	Reenvío de protocolo interno (instancia de destino)
Acceso global al consumidor	Independientemente de la configuración de acceso global en el balanceador de cargas	Solo si el acceso global está habilitado en el balanceador de cargas	Solo si el acceso global está habilitado en el balanceador de cargas	Independientemente de la configuración de acceso global en el balanceador de cargas
Tráfico interconectado
Tráfico de Cloud VPN
Configuración de DNS automática
Pila de IP	IPv4	IPv4	IPv4	IPv4

En esta tabla, se resumen las opciones de configuración y las capacidades de los servicios publicados a los que se accede mediante extremos.

Configuración del productor (servicio publicado)	Balanceador de cargas del productor
Configuración del productor (servicio publicado)	Balanceador de cargas de red de transferencia interno	Balanceador de cargas de aplicaciones interno regional	Balanceador de cargas de red del proxy interno regional	Reenvío de protocolo interno (instancia de destino)
Backends de productores compatibles	NEG de GCE_VM_IP Grupos de instancias	NEG de GCE_VM_IP_PORT NEG híbridos NEG sin servidores NEG de Private Service Connect Grupos de instancias	NEG de GCE_VM_IP_PORT NEG híbridos NEG sin servidores NEG de Private Service Connect Grupos de instancias	No aplicable
Protocolo PROXY	Solo el tráfico de TCP			Solo el tráfico de TCP
Modos de afinidad de sesión	NINGUNO (5 tuplas) CLIENT_IP_PORT_PROTO	No aplicable	No aplicable	No aplicable

Los diferentes balanceadores de cargas admiten diferentes configuraciones de puertos; algunos balanceadores de cargas admiten un solo puerto, otros admiten un rango de puertos y otros admiten todos los puertos. Para obtener más información, consulta Especificaciones de puertos.

Limitaciones

Los extremos que acceden a un servicio publicado tienen las siguientes limitaciones:

No puedes crear un extremo en la misma red de VPC que el servicio publicado al que accedes.
No se puede acceder a los extremos desde redes de VPC con intercambio de tráfico.
Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
No todas las rutas estáticas con siguientes saltos del balanceador de cargas son compatibles con Private Service Connect. Para obtener más información, consulta Rutas estáticas con siguientes saltos del balanceador de cargas.

Acceso local

Se puede acceder a los extremos que usas para acceder a las APIs de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Accede a extremos desde redes híbridas.

Especificaciones

Los extremos de Private Service Connect deben crearse en la misma región que el servicio publicado que es el destino del extremo.
El extremo debe crearse en una red de VPC diferente de la red de VPC que contiene el servicio de destino.
De forma predeterminada, solo los clientes que se encuentran en la misma región y la misma red de VPC pueden acceder al extremo. Para obtener información sobre cómo hacer que los extremos estén disponibles en otras regiones, consulta Acceso global.
La dirección IP que asignas al extremo debe ser de una subred regular.
Cuando creas un extremo para conectarte a un servicio, si el servicio tiene configurado un nombre de dominio DNS, las entradas de DNS privadas se crean automáticamente en tu red de VPC para el extremo.
Cada extremo tiene su propia dirección IP única y, opcionalmente, su propio nombre de DNS único.

Estados de conexión

Los extremos, los backends y los adjuntos de servicio de Private Service Connect tienen un estado de conexión que describe el estado de su conexión. Los recursos del consumidor y del productor que forman los dos lados de una conexión siempre tienen el mismo estado. Puedes ver los estados de conexión cuando ves detalles del extremo, describes un backend o ves detalles de un servicio publicado.

En la siguiente tabla se describen los estados posibles.

Estado de conexión	Descripción
Aceptado	Se establece la conexión de Private Service Connect. Las dos redes de VPC tienen conectividad y la conexión funciona con normalidad.
Pendiente	No se establece la conexión de Private Service Connect, y el tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado por los siguientes motivos: El adjunto de servicio requiere una aprobación explícita, y el consumidor no está en la lista de aceptación del consumidor. La cantidad de conexiones supera el límite de conexión del adjunto de servicio. Las conexiones que se bloquean por estos motivos permanecen en estado pendiente de forma indefinida hasta que se resuelva el problema subyacente.
Rechazado	No se establece la conexión de Private Service Connect. El tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado por los siguientes motivos: Una política de la organización de productor rechazó la conexión. Una lista de rechazo de consumidores rechazó la conexión.
Requiere atención	Hay un problema con el lado del productor de la conexión. Es posible que parte del tráfico fluya entre las dos redes, pero que algunas conexiones no funcionen. Por ejemplo, es posible que se agote la subred NAT del productor y no se puedan asignar direcciones IP para conexiones nuevas.
Cerrado	Se borró el adjunto de servicio y se cerró la conexión de Private Service Connect. El tráfico de red no puede viajar entre las dos redes. Una conexión cerrada es un estado terminal. Para restablecer la conexión, debes volver a crear tanto el adjunto de servicio como el extremo o el backend.

Acceso global

Los extremos de Private Service Connect que se usan para acceder a los servicios son recursos regionales. Sin embargo, puedes hacer que un extremo esté disponible en otras regiones si configuras el acceso global.

El acceso global permite que los recursos de cualquier región envíen tráfico a los extremos de Private Service Connect. Puedes usar el acceso global para proporcionar alta disponibilidad en los servicios alojados en varias regiones o permitir que los clientes accedan a un servicio que no está en la misma región que el cliente.

En el siguiente diagrama, se ilustran los clientes en diferentes regiones que acceden al mismo extremo:

El extremo está en us-west1 y tiene el acceso global configurado.
La VM en us-west1 puede enviar tráfico al extremo, y el tráfico permanece dentro de la misma región.
La VM en us-east1 y la VM de la red local también pueden conectar el extremo en us-west1, aunque estén en regiones diferentes. Las líneas de puntos representan la ruta de tráfico interregional.

Figura 2. Un extremo de Private Service Connect con acceso global permite que los consumidores de servicios envíen tráfico desde la red de VPC del consumidor a servicios en la red de VPC del productor de servicios. El cliente puede estar en la misma región o en una diferente que el extremo (haz clic para ampliar).

Especificaciones de acceso global

Puedes activar o desactivar el acceso global en cualquier momento para un extremo.
- Activar el acceso global no genera interrupciones en el tráfico para las conexiones existentes.
- Desactivar el acceso global finaliza las conexiones desde regiones distintas de la región en la que se encuentra el extremo.
Los extremos con acceso global se pueden crear en un proyecto host o de proyecto de VPC compartida. No es necesario que la VM del cliente, el túnel de Cloud VPN o el adjunto de VLAN para Cloud Interconnect estén en el mismo proyecto que el extremo.
No todos los servicios de Private Service Connect admiten extremos con acceso global. Consulta con tu productor de servicios para verificar si su servicio admite el acceso global. Para obtener más información, consulta Configuraciones compatibles.
El acceso global no proporciona una única dirección IP global o un nombre de DNS para varios extremos de acceso globales.

VPC compartida

Los administradores de proyectos de servicio pueden crear extremos en proyectos de servicio de VPC compartida que usan direcciones IP de las redes de VPC compartidas. La configuración es la misma que para un extremo normal, pero el extremo usa una dirección IP que se reserva desde una subred compartida de la VPC compartida.

El recurso de dirección IP se puede reservar en el proyecto de servicio o en el proyecto host. La fuente de la dirección IP debe ser una subred que se comparta con el proyecto de servicio.

Para obtener más información, consulta Crea un extremo con una dirección IP desde una red de VPC compartida.

Controles del servicio de VPC

Los Controles del servicio de VPC y Private Service Connect son compatibles entre sí. Si la red de VPC en la que se implementa el extremo de Private Service Connect está en un perímetro de Controles del servicio de VPC, el extremo forma parte del mismo perímetro. Cualquier servicio admitido por los Controles del servicio de VPC a los que se accede a través del extremo de está sujeto a las políticas de ese perímetro de los Controles del servicio de VPC.

Cuando creas un extremo, las llamadas a la API del plano de control se realizan entre los proyectos del consumidor y del productor para establecer una conexión de Private Service Connect. Establecer una conexión de Private Service Connect entre los proyectos del consumidor y del productor que no están en el mismo perímetro de los Controles del servicio de VPC no requiere una autorización explícita con políticas de salida. La comunicación con los servicios compatibles con los Controles del servicio de VPC a través del extremo está protegida por el perímetro de los Controles del servicio de VPC.

Rutas estáticas con siguientes saltos del balanceador de cargas

Las rutas estáticas se pueden configurar para que usen la regla de reenvío de un balanceador de cargas de red de transferencia interno como el siguiente salto (--next-hop-ilb). No todas las rutas de este tipo son compatibles con Private Service Connect.

Las rutas estáticas que usan --next-hop-ilb para especificar el nombre de una regla de reenvío del balanceador de cargas de red de transferencia interno se pueden usar para enviar y recibir tráfico a un extremo de Private Service Connect cuando la ruta y el extremo están en la misma red de VPC y región.

Las siguientes configuraciones de enrutamiento no son compatibles con Private Service Connect:

Rutas estáticas que usan --next-hop-ilb para especificar la dirección IP de una regla de reenvío del balanceador de cargas de red de transferencia interno.
Rutas estáticas que usan --next-hop-ilb para especificar el nombre o la dirección IP de una regla de reenvío del extremo de Private Service Connect.

Registros

Puedes habilitar los registros de flujo de VPC en las subredes que contengan VM que accedan a servicios en otra red de VPC mediante extremos. Los registros muestran los flujos entre las VMs y el extremo.
Puedes ver los cambios en el estado de la conexión para los extremos mediante registros de auditoría. Los cambios en el estado de conexión del extremo se capturan en los metadatos del evento del sistema del tipo de recurso Regla de reenvío de GCE. Puedes filtrar por pscConnectionStatus para ver estas entradas.

Por ejemplo, cuando un productor de servicios permite conexiones desde tu proyecto, el estado de conexión del extremo cambia de PENDING a ACCEPTED y este cambio se refleja en los registros de auditoría.
- Para ver los registros de auditoría, consulta Visualiza registros.
- Para configurar alertas basadas en registros de auditoría, consulta Administra alertas basadas en registros.

Precios

Los precios de Private Service Connect se describen en la página de precios de VPC.

Cuotas

La cuota de PSC Internal LB Forwarding Rules controla la cantidad de extremos que puedes crear para acceder a los servicios publicados. Para obtener más información, consulta Cuotas.

Restricciones de las políticas de la organización

Un administrador de políticas de la organización puede usar la restricción constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir el conjunto de tipos de extremos para los usuarios no puede crear reglas de reenvío.

Para obtener información sobre cómo crear una política de la organización que use esta restricción, consulta Bloquea a los consumidores para que no implementen extremos por tipo de conexión.

¿Qué sigue?

Accede a los servicios publicados mediante extremos