Sobre como acessar os serviços publicados por endpoints
Neste documento, apresentamos uma visão geral de como se conectar a serviços de outra rede VPC usando endpoints do Private Service Connect. É possível se conectar aos seus próprios serviços ou aos fornecidos por outros produtores de serviços, incluindo o Google.
Os clientes se conectam ao endpoint por endereços IP internos. O Private Service Connect realiza a conversão de endereços de rede (NAT, na sigla em inglês) para rotear a solicitação para o serviço.
Para mais informações sobre serviços publicados, consulte Sobre serviços publicados.
Recursos e compatibilidade
Veja nesta tabela um resumo das opções de configuração e dos recursos compatíveis dos endpoints que acessam serviços publicados.
Nas tabelas abaixo, uma marca de seleção indica que um recurso é compatível, e nenhum símbolo indica que um recurso é incompatível.
| Configuração do consumidor (endpoint) | Balanceador de carga do produtor | |||
|---|---|---|---|---|
| Balanceador de carga de rede de passagem interna | Balanceador de carga de aplicativo interno regional | Balanceador de carga de rede de proxy interno regional | Encaminhamento de protocolo interno (instância de destino) | |
| Acesso global do consumidor |
Independentemente da configuração de acesso global no balanceador de carga |
Somente se o acesso global estiver ativado no balanceador de carga |
Somente se o acesso global estiver ativado no balanceador de carga |
Independente da configuração de acesso global no balanceador de carga |
| Tráfego do Cloud VPN | ||||
| Configuração automática de DNS | ||||
| Pilha de IP | IPv4 | IPv4 | IPv4 | IPv4 |
Veja nesta tabela um resumo das opções de configuração e dos recursos compatíveis dos serviços publicados que são acessados por endpoints.
| Configuração do produtor (serviço publicado) | Balanceador de carga do produtor | |||
|---|---|---|---|---|
| Balanceador de carga de rede de passagem interna | Balanceador de carga de aplicativo interno regional | Balanceador de carga de rede de proxy interno regional | Encaminhamento de protocolo interno (instância de destino) | |
| Back-ends de produtor compatíveis |
|
|
|
Não relevante |
| Protocolo de proxy | Somente tráfego TCP | Somente tráfego TCP | ||
| Modos de afinidade de sessão | NONE (5 tuplas) CLIENT_IP_PORT_PROTO |
Não relevante | Não relevante | Não relevante |
Diferentes balanceadores de carga oferecem suporte a diversas configurações de porta; alguns balanceadores de carga aceitam uma única porta, alguns aceitam uma variedade de portas e alguns aceitam todas as portas. Para mais informações, consulte Especificações de porta.
Limitações
Os endpoints que acessam um serviço publicado têm as seguintes limitações:
Não é possível criar um endpoint na mesma rede VPC que o serviço publicado que está acessando.
Os endpoints não podem ser acessados em redes VPC com peering.
O Espelhamento de pacotes não pode espelhar pacotes para o tráfego de serviços publicados do Private Service Connect.
- Nem todas as rotas estáticas com próximos saltos do balanceador de carga são compatíveis com o Private Service Connect. Para mais informações, consulte Rotas estáticas com próximos saltos do balanceador de carga.
Acesso no local
Os endpoints usados para acessar as APIs do Google podem ser acessados de hosts locais conectados e compatíveis. Para mais informações, consulte Acessar endpoints de redes híbridas.
Especificações
- Os endpoints do Private Service Connect precisam ser criados na mesma região do serviço publicado que é o destino do endpoint.
- O endpoint precisa ser criado em uma rede VPC diferente da rede VPC que contém o serviço de destino.
- Por padrão, o endpoint só pode ser acessado por clientes que estão na mesma região e na mesma rede VPC que o endpoint. Para informações sobre como disponibilizar endpoints em outras regiões, consulte Acesso global.
- O endereço IP atribuído ao endpoint precisa ser de uma sub-rede normal.
- Quando você cria um endpoint para se conectar a um serviço, se o serviço tiver um nome de domínio DNS configurado, as entradas DNS particulares serão criadas automaticamente na sua rede VPC para o endpoint.
- Cada endpoint tem o próprio endereço IP exclusivo e, opcionalmente, o próprio nome DNS exclusivo.
Status da conexão
Os endpoints, back-ends e anexos de serviço do Private Service Connect têm um status de conexão que descreve o estado da conexão deles. Os recursos de consumidor e produtor que formam os dois lados de uma conexão sempre têm o mesmo status. É possível conferir o status da conexão ao conferir detalhes do endpoint, descrever um back-end ou consultar os detalhes de um serviço publicado.
A tabela a seguir descreve os status possíveis.
| Status da conexão | Descrição |
|---|---|
| Aceita em | A conexão do Private Service Connect foi estabelecida. As duas redes VPC têm conectividade, e a conexão está funcionando normalmente. |
| Pendente | A conexão do Private Service Connect não foi estabelecida, e o tráfego de rede não pode transitar entre as duas redes. Uma conexão pode ter esse status pelos seguintes motivos:
As conexões bloqueadas por esses motivos permanecem no estado pendente indefinidamente até que o problema seja resolvido. |
| Rejeitada | A conexão do Private Service Connect não foi estabelecida. O tráfego de rede não pode viajar entre as duas redes. Uma conexão pode ter esse status pelos seguintes motivos:
|
| Requer atenção | Há um problema no lado do produtor da conexão. É possível que parte do tráfego passe pelas duas redes, mas algumas conexões não funcionem. Por exemplo, a sub-rede NAT do produtor pode estar esgotada e não é possível alocar endereços IP para novas conexões. |
| Ou você pode clicar em Fechada. | O anexo de serviço foi excluído, e a conexão do Private Service Connect foi encerrada. O tráfego de rede não pode viajar entre as duas redes. Uma conexão fechada é um estado terminal. Para restaurar a conexão, recrie o anexo de serviço e o endpoint ou back-end. |
Acesso global
Os endpoints do Private Service Connect usados para acessar serviços são recursos regionais. No entanto, é possível disponibilizar um endpoint em outras regiões configurando o acesso global.
O acesso global permite que recursos em qualquer região enviem tráfego para endpoints do Private Service Connect. Use o acesso global para fornecer alta disponibilidade em serviços hospedados em várias regiões ou para permitir que os clientes acessem um serviço que não esteja na mesma região do cliente.
O diagrama a seguir ilustra clientes em regiões diferentes que acessam o mesmo endpoint:
O endpoint está em
us-west1e tem acesso global configurado.A VM em
us-west1pode enviar tráfego para o endpoint, e o tráfego permanece na mesma região.A VM em
us-east1e a VM da rede local também podem conectar o endpoint emus-west1, mesmo que estejam em regiões diferentes. As linhas pontilhadas representam o caminho de tráfego inter-regional.
Figura 2. Um endpoint do Private Service Connect com acesso global permite que os consumidores de serviço enviem tráfego da rede VPC do consumidor para serviços na rede VPC do fornecedor de serviços. O cliente pode estar na mesma região ou em uma região diferente do endpoint (clique para ampliar).
Especificações de acesso global
- É possível ativar ou desativar o acesso global a um endpoint a qualquer momento.
- Ativar o acesso global não causa interrupção do tráfego para conexões atuais.
- Desativar o acesso global encerra todas as conexões de regiões diferentes da região em que o endpoint está localizado.
É possível criar endpoints com acesso global em um projeto host da VPC compartilhada ou em um projeto de serviço. A VM cliente, o túnel do Cloud VPN ou o anexo da VLAN do Cloud Interconnect não precisam estar no mesmo projeto que o endpoint.
Nem todos os serviços do Private Service Connect são compatíveis com endpoints com acesso global. Verifique com seu produtor de serviço se o serviço dele é compatível com acesso global. Para mais informações, consulte Configurações compatíveis.
O acesso global não fornece um único endereço IP global ou nome DNS para vários endpoints de acesso global.
VPC compartilhada
Os administradores de projetos de serviço podem criar endpoints em projetos de serviço de VPC compartilhada que usam endereços IP de redes VPC compartilhadas. A configuração é igual à de um endpoint normal, mas o endpoint usa um endereço IP reservado de uma sub-rede compartilhada da VPC compartilhada.
O recurso de endereço IP pode ser reservado no projeto de serviço ou no projeto host. A origem do endereço IP precisa ser uma sub-rede compartilhada com o projeto de serviço.
Para mais informações, consulte Criar um endpoint com um endereço IP de uma rede VPC compartilhada.
VPC Service Controls
O VPC Service Controls e o Private Service Connect são compatíveis entre si. Se a rede VPC em que o endpoint do Private Service Connect estiver implantado estiver em um perímetro do VPC Service Controls, esse endpoint faz parte do mesmo perímetro. Todos os Serviços com suporte com o VPC Service Controls que são acessados por meio do endpoint estão sujeitos às políticas desse perímetro do VPC Service Controls.
Quando você cria um endpoint, as chamadas de API do plano de controle são feitas entre os projetos do consumidor e do produtor para estabelecer uma conexão do Private Service Connect. Estabelecer uma conexão do Private Service Connect entre projetos do consumidor e do produtor que não estão no mesmo perímetro do VPC Service Controls não exige autorização explícita com políticas de saída. A comunicação com os Serviços com suporte com o VPC Service Controls por meio do endpoint é protegida pelo perímetro do VPC Service Controls.
Rotas estáticas com próximos saltos do balanceador de carga
É possível configurar rotas estáticas para usar a regra de encaminhamento de um
balanceador de carga de rede de passagem interno como o próximo
salto
(--next-hop-ilb). Nem todas as rotas desse tipo são compatíveis com o
Private Service Connect.
As rotas estáticas que usam --next-hop-ilb para especificar o nome de uma
regra de encaminhamento do balanceador de carga de rede de passagem interno podem ser usadas para enviar e receber tráfego para um
endpoint do Private Service Connect quando a rota e o endpoint
estão na mesma rede e na mesma região da VPC.
As seguintes configurações de roteamento não são compatíveis com o Private Service Connect:
- As rotas estáticas que usam
--next-hop-ilbpara especificar o endereço IP de uma regra de encaminhamento do balanceador de carga de rede de passagem interno. - Rotas estáticas que usam
--next-hop-ilbpara especificar o nome ou endereço IP de uma regra de encaminhamento de endpoint do Private Service Connect.
Geração de registros
É possível ativar os registros de fluxo de VPC em sub-redes que contêm VMs que estão acessando serviços em outra rede VPC usando endpoints. Os registros mostram fluxos entre as VMs e o endpoint.
Veja as alterações no status da conexão para endpoints usando registros de auditoria. As alterações no status da conexão do endpoint são capturadas nos metadados de evento do sistema para o tipo de recurso Regra de encaminhamento do GCE. É possível filtrar por
pscConnectionStatuspara visualizar essas entradas.Por exemplo, quando um produtor de serviço permite conexões do seu projeto, o status da conexão do endpoint muda de
PENDINGparaACCEPTEDe essa alteração é refletida nos registros de auditoria.- Para ver os registros de auditoria, consulte Ver registros.
- Para definir alertas com base em registros de auditoria, consulte Como gerenciar alertas com base em registros.
Preços
Os preços do Private Service Connect são descritos na página de preços da VPC.
Cotas
O número de
endpoints que podem ser criados para acessar serviços publicados
é controlado pela cota PSC Internal LB Forwarding Rules.
Para mais informações, consulte Cotas.
Restrições da política da organização
Um administrador de política da organização pode usar a restrição constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir o conjunto de tipos de endpoints para os quais os usuários não podem criar regras de encaminhamento.
Para informações sobre como criar uma política da organização que use essa restrição, consulte Impedir que os consumidores implantem endpoints por tipo de conexão.