Sobre como acessar os serviços publicados por endpoints

Neste documento, apresentamos uma visão geral de como se conectar a serviços de outra rede VPC usando endpoints do Private Service Connect. É possível se conectar aos seus próprios serviços ou aos fornecidos por outros produtores de serviços, incluindo o Google.

Os clientes se conectam ao endpoint por endereços IP internos. O Private Service Connect realiza a conversão de endereços de rede (NAT, na sigla em inglês) para rotear a solicitação para o serviço.

Para mais informações sobre serviços publicados, consulte Sobre serviços publicados.

Um endpoint do Private Service Connect permite que os consumidores de serviço enviem tráfego da rede VPC do consumidor para os serviços na rede VPC do fornecedor de serviços. O consumidor, o endpoint e o serviço precisam estar na mesma região. Clique para ampliar

Recursos e compatibilidade

Nas tabelas a seguir, um símbolo de verificação indica que um recurso é compatível, e nenhum símbolo indica que um recurso é incompatível.

Configuração do consumidor

Veja nesta tabela um resumo das opções de configuração e dos recursos compatíveis dos endpoints que acessam serviços publicados.

Configuração do consumidor (endpoint) Balanceador de carga do produtor
Balanceador de carga de rede de passagem interna Balanceador de carga de aplicativo interno regional Balanceador de carga de rede de proxy interno regional Encaminhamento de protocolo interno (instância de destino)
Acesso global do consumidor

Independente da configuração de acesso global no balanceador de carga

Somente se o acesso global seja ativado no balanceador de carga antes da criação do anexo de serviço.

Somente se o acesso global seja ativado no balanceador de carga antes da criação do anexo de serviço.

Independente da configuração de acesso global no balanceador de carga

Interconectar tráfego

Tráfego do Cloud VPN
Configuração automática de DNS Somente IPv4 Somente IPv4 Somente IPv4 Somente IPv4
Propagação da conexão Somente IPv4 Somente IPv4 Somente IPv4 Somente IPv4
Endpoints IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
Endpoints IPv6
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv6
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv6

Configuração do produtor

Veja nesta tabela um resumo das opções de configuração e dos recursos compatíveis dos serviços publicados que são acessados por endpoints.

Configuração do produtor (serviço publicado) Balanceador de carga do produtor
Balanceador de carga de rede de passagem interna Balanceador de carga de aplicativo interno regional Balanceador de carga de rede de proxy interno regional Encaminhamento de protocolo interno (instância de destino)

Back-ends de produtor compatíveis

  • NEGs zonais GCE_VM_IP
  • Grupos de instâncias
  • NEGs para mapeamento de portas
  • NEGs zonais GCE_VM_IP_PORT
  • NEGs híbridos
  • NEGs sem servidor
  • NEGs do Private Service Connect
  • Grupos de instâncias
  • NEGs zonais GCE_VM_IP_PORT
  • NEGs híbridos
  • NEGs sem servidor
  • NEGs do Private Service Connect
  • Grupos de instâncias
Não aplicável
Protocolo de proxy Somente tráfego TCP Somente tráfego TCP
Modos de afinidade de sessão NONE (5 tuplas)
CLIENT_IP_PORT_PROTO
Não aplicável Não aplicável Não aplicável
Versão IP
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv6
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv4
  • Regras de encaminhamento do produtor IPv6

Diferentes balanceadores de carga oferecem suporte a diversas configurações de porta; alguns balanceadores de carga aceitam uma única porta, alguns aceitam uma variedade de portas e alguns aceitam todas as portas. Para mais informações, consulte Especificações de porta.

Limitações

Os endpoints que acessam um serviço publicado têm as seguintes limitações:

Acesso no local

Os endpoints usados para acessar as APIs do Google podem ser acessados de hosts locais conectados e compatíveis. Para mais informações, consulte Acessar endpoints de redes híbridas.

Especificações

  • Os endpoints do Private Service Connect precisam ser criados na mesma região do serviço publicado que é o destino do endpoint.
  • O endpoint precisa ser criado em uma rede VPC diferente da rede VPC que contém o serviço de destino.
  • Se você usa a VPC compartilhada, pode criar o endpoint o projeto host ou um projeto de serviço.
  • Por padrão, os endpoints podem ser acessados apenas por clientes que estão no mesmo e a mesma rede VPC, ou VPC compartilhada rede) como endpoint. Para informações sobre como disponibilizar endpoints em outras regiões, consulte Acesso global.
  • O endereço IP atribuído ao endpoint precisa ser de uma sub-rede normal.
  • Quando você cria um endpoint para se conectar a um serviço, se o serviço tiver um nome de domínio DNS configurado, as entradas DNS particulares serão criadas automaticamente na sua rede VPC para o endpoint.
  • Cada endpoint tem o próprio endereço IP exclusivo e, opcionalmente, o próprio nome DNS exclusivo.

Status da conexão

Os endpoints, back-ends e anexos de serviço do Private Service Connect têm um status de conexão que descreve o estado da conexão deles. Os recursos de consumidor e produtor que formam os dois lados de uma conexão sempre têm o mesmo status. É possível conferir o status da conexão ao conferir detalhes do endpoint, descrever um back-end ou consultar os detalhes de um serviço publicado.

A tabela a seguir descreve os status possíveis.

Status da conexão Descrição
Aceita em A conexão do Private Service Connect foi estabelecida. As duas redes VPC têm conectividade, e a conexão está funcionando normalmente.
Pendente

A conexão do Private Service Connect não foi estabelecida, e o tráfego de rede não pode transitar entre as duas redes. Uma conexão pode ter esse status pelos seguintes motivos:

As conexões bloqueadas por esses motivos permanecem no estado pendente indefinidamente até que o problema seja resolvido.

Rejeitada

A conexão do Private Service Connect não foi estabelecida. O tráfego de rede não pode viajar entre as duas redes. Uma conexão pode ter esse status pelos seguintes motivos:

Requer atenção Há um problema no lado do produtor da conexão. É possível que parte do tráfego passe pelas duas redes, mas algumas conexões não funcionem. Por exemplo, a sub-rede NAT do produtor pode estar esgotada e não é possível alocar endereços IP para novas conexões.
Ou você pode clicar em Fechada.

O anexo de serviço foi excluído, e a conexão do Private Service Connect foi encerrada. O tráfego de rede não pode viajar entre as duas redes.

Uma conexão fechada é um estado terminal. Para restaurar a conexão, recrie o anexo de serviço e o endpoint ou back-end.

Conversão de versão de IP

Para conexões entre endpoints do Private Service Connect para serviços e anexos de serviço publicados, a versão de IP do endereço IP da regra de encaminhamento do consumidor determina a versão de IP do endpoint e o tráfego que sai do endpoint. A versão IP do endpoint pode ser IPv4 ou IPv6, mas não as duas opções. Os consumidores podem usar um endereço IPv4 se a sub-rede do endereço for pilha única. Os consumidores podem usar um endereço IPv4 ou IPv6 se a sub-rede do endereço for de pilha dupla. Os consumidores podem conectar endpoints IPv4 e IPv6 ao mesmo anexo de serviço, o que pode ser útil para migrar serviços para o IPv6.

Para conexões entre endpoints do Private Service Connect para serviços publicados e anexos de serviço, a versão do IP da regra de encaminhamento do produtor determina a versão do IP do anexo de serviço e o tráfego que sai do anexo de serviço. A versão de IP do anexo de serviço pode ser IPv4 ou IPv6, mas não as duas opções. Os produtores podem usar um endereço IPv4 se a sub-rede do endereço for de pilha única. Os produtores podem usar um endereço IPv4 ou IPv6 se a sub-rede do endereço for de pilha dupla.

A versão IP do endereço IP da regra de encaminhamento do produtor precisa ser compatível com o tipo de pilha da sub-rede NAT do anexo de serviço. Se a regra de encaminhamento do produtor for IPv4, a sub-rede NAT poderá ser de pilha única ou dupla. Se a regra de encaminhamento do produtor for IPv6, a sub-rede NAT precisará ser de pilha dupla.

O Private Service Connect não oferece suporte à conexão de um endpoint IPv4 com um anexo de serviço IPv6. Nesse caso, a criação do endpoint falha e exibe a seguinte mensagem de erro:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

As seguintes combinações são possíveis para as configurações compatíveis:

  • Endpoint IPv4 para anexo de serviço IPv4
  • Endpoint IPv6 para anexo de serviço IPv6
  • Endpoint IPv6 para anexo de serviço IPv4

    Nessa configuração, o Private Service Connect faz a conversão automaticamente entre as duas versões de IP.

Propagação da conexão

Com as conexões propagadas, os serviços acessíveis em um Spoke de VPC do consumidor por meio de endpoints do Private Service Connect podem ser acessados de modo privado por outros spokes de VPC do consumidor que estejam conectados a no mesmo hub do Network Connectivity Center.

Para mais informações, consulte Sobre conexões propagadas.

Acesso global

Os endpoints do Private Service Connect usados para acessar serviços são recursos regionais. No entanto, é possível disponibilizar um endpoint em outras regiões configurando o acesso global.

O acesso global permite que recursos em qualquer região enviem tráfego para endpoints do Private Service Connect. Use o acesso global para fornecer alta disponibilidade em serviços hospedados em várias regiões ou para permitir que os clientes acessem um serviço que não esteja na mesma região do cliente.

O diagrama a seguir ilustra clientes em regiões diferentes que acessam o mesmo endpoint:

  • O endpoint está em us-west1 e tem acesso global configurado.

  • A VM em us-west1 pode enviar tráfego para o endpoint, e o tráfego permanece na mesma região.

  • A VM em us-east1 e a VM da rede local também podem conectar o endpoint em us-west1, mesmo que estejam em regiões diferentes. As linhas pontilhadas representam o caminho de tráfego inter-regional.

    Um endpoint do Private Service Connect com acesso global permite que os consumidores de serviço enviem tráfego da rede VPC do consumidor para serviços na rede VPC do fornecedor de serviços. O cliente pode estar na mesma região ou em uma região diferente do endpoint (clique para ampliar).

Especificações de acesso global

  • É possível ativar ou desativar o acesso global a um endpoint a qualquer momento.

    • Ativar o acesso global não causa interrupção do tráfego para conexões atuais.
    • Desativar o acesso global encerra todas as conexões de regiões diferentes da região em que o endpoint está localizado.
  • Nem todos os serviços do Private Service Connect são compatíveis com endpoints com acesso global. Verifique com seu produtor de serviço se o serviço dele é compatível com acesso global. Para mais informações, consulte Configurações compatíveis.

  • O acesso global não fornece um único endereço IP global ou nome DNS para vários endpoints de acesso global.

VPC compartilhada

Os administradores de projetos de serviço podem criar endpoints em projetos de serviço de VPC compartilhada que usam endereços IP de redes VPC compartilhadas. A configuração é igual à de um endpoint normal, mas o endpoint usa um endereço IP reservado de uma sub-rede compartilhada da VPC compartilhada.

O recurso de endereço IP pode ser reservado no projeto de serviço ou no projeto host. A origem do endereço IP precisa ser uma sub-rede compartilhada com o projeto de serviço.

Para mais informações, consulte Criar um endpoint com um endereço IP de uma rede VPC compartilhada.

VPC Service Controls

O VPC Service Controls e o Private Service Connect são compatíveis entre si. Se a rede VPC em que o endpoint do Private Service Connect estiver implantado estiver em um perímetro do VPC Service Controls, esse endpoint faz parte do mesmo perímetro. Todos os Serviços com suporte com o VPC Service Controls que são acessados por meio do endpoint estão sujeitos às políticas desse perímetro do VPC Service Controls.

Quando você cria um endpoint, as chamadas de API do plano de controle são feitas entre os projetos do consumidor e do produtor para estabelecer uma conexão do Private Service Connect. Estabelecer uma conexão do Private Service Connect entre projetos do consumidor e do produtor que não estão no mesmo perímetro do VPC Service Controls não exige autorização explícita com políticas de saída. A comunicação com os Serviços com suporte com o VPC Service Controls por meio do endpoint é protegida pelo perímetro do VPC Service Controls.

Rotas estáticas com próximos saltos do balanceador de carga

É possível configurar rotas estáticas para usar a regra de encaminhamento de um balanceador de carga de rede de passagem interno como o próximo salto (--next-hop-ilb). Nem todas as rotas desse tipo são compatíveis com o Private Service Connect.

As rotas estáticas que usam --next-hop-ilb para especificar o nome de uma regra de encaminhamento do balanceador de carga de rede de passagem interno podem ser usadas para enviar e receber tráfego para um endpoint do Private Service Connect quando a rota e o endpoint estão na mesma rede e na mesma região da VPC.

As seguintes configurações de roteamento não são compatíveis com o Private Service Connect:

  • As rotas estáticas que usam --next-hop-ilb para especificar o endereço IP de uma regra de encaminhamento do balanceador de carga de rede de passagem interno.
  • Rotas estáticas que usam --next-hop-ilb para especificar o nome ou endereço IP de uma regra de encaminhamento de endpoint do Private Service Connect.

Geração de registros

  • É possível ativar os registros de fluxo de VPC em sub-redes que contêm VMs que estão acessando serviços em outra rede VPC usando endpoints. Os registros mostram fluxos entre as VMs e o endpoint.

  • Veja as alterações no status da conexão para endpoints usando registros de auditoria. As alterações no status da conexão do endpoint são capturadas nos metadados de evento do sistema para o tipo de recurso Regra de encaminhamento do GCE. É possível filtrar por pscConnectionStatus para visualizar essas entradas.

    Por exemplo, quando um produtor de serviço permite conexões do seu projeto, o status da conexão do endpoint muda de PENDING para ACCEPTED e essa alteração é refletida nos registros de auditoria.

Preços

Os preços do Private Service Connect são descritos na página de preços da VPC.

Cotas

O número de endpoints que podem ser criados para acessar serviços publicados é controlado pela cota PSC Internal LB Forwarding Rules. Para mais informações, consulte Cotas.

Restrições da política da organização

Um administrador de política da organização pode usar a restrição constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir o conjunto de tipos de endpoints para os quais os usuários não podem criar regras de encaminhamento.

Para informações sobre como criar uma política da organização que use essa restrição, consulte Impedir que os consumidores implantem endpoints por tipo de conexão.

A seguir