Acerca da migração de serviços baseados em peering para o Private Service Connect
Muitos produtores de serviços geridos usam o intercâmbio da rede da VPC para oferecer conetividade aos consumidores de serviços que estão noutra rede da nuvem virtual privada (VPC). Uma solução alternativa é usar o Private Service Connect.
Este documento fornece uma vista geral de como os produtores de serviços podem migrar os respetivos serviços baseados em peering para o Private Service Connect e preservar os endereços IPv4 que são usados para aceder aos serviços. Este processo de migração requer que todos os recursos ligados a uma determinada sub-rede sejam migrados em simultâneo.
Cada produtor de serviços determina se e quando vai migrar para o Private Service Connect. Para saber se um produtor de serviços está a migrar do peering de redes VPC para o Private Service Connect, consulte a documentação do serviço ou contacte o produtor de serviços.
Migrar serviços baseados em peering
Neste exemplo de serviço baseado no intercâmbio, o cliente vm1 envia tráfego para o balanceador de carga do serviço 10.10.10.10 na rede VPC do produtor. A rede do consumidor tem uma rota de sub-rede de intercâmbiopara a sub-rede do produtor porque
as redes estão ligadas através do intercâmbio das redes da VPC.
Figura 1. Num serviço baseado em intercâmbio, a rede VPC do consumidor e a rede VPC do produtor podem aceder entre si através do intercâmbio da rede VPC (clique para aumentar).
Durante a migração, as seguintes tarefas são concluídas:
- O produtor implementa o serviço numa nova sub-rede
producer-subnet-2numa nova rede VPC e publica o serviço através do Private Service Connect. - O produtor cria um intervalo interno para reservar o intervalo CIDR da sub-rede do produtor,
10.10.10.0/24. - O produtor elimina a sub-rede original
producer-subnet-1e todos os recursos na mesma. - É criada uma sub-rede de migração
consumer-subnet-2na rede VPC do consumidor, configurada com o mesmo intervalo CIDR que a sub-rede do produtor. - É criado um ponto final do Private Service Connect na sub-rede de migração, configurado com o mesmo endereço IP que foi usado anteriormente pela regra de encaminhamento do balanceador de carga do produtor.
Após a conclusão da migração, o cliente vm1 continua a poder aceder ao serviço
em 10.10.10.10, mas este endereço IP está agora associado ao
ponto final do Private Service Connect na rede
VPC do consumidor.
Figura 2. Após a migração, os clientes na rede VPC do consumidor enviam pedidos para o ponto final do Private Service Connect, que encaminha o tráfego para a rede VPC do produtor (clique para aumentar).
Tarefas de migração
A migração inclui tarefas realizadas nas redes da VPC do produtor e do consumidor. O produtor pode coordenar-se com o consumidor para realizar a migração ou, no caso de serviços geridos pela Google, o produtor de serviços pode automatizar as tarefas do consumidor através de um agente de serviço.
| Tarefa | Produtor | Consumidor |
|---|---|---|
| Implemente um serviço do Private Service Connect | ||
| Implemente o serviço numa nova sub-rede numa nova rede VPC no projeto do produtor e publique-o através do Private Service Connect | Interpretada pelo produtor | |
| Encerre o serviço baseado em peering | ||
| Reserve o intervalo CIDR da sub-rede do produtor criando um intervalo interno no projeto do produtor | Interpretada pelo produtor | O consumidor indica o nome da sub-rede a usar para o destino da migração |
| Elimine todos os recursos na sub-rede do produtor e, em seguida, elimine a sub-rede | Interpretada pelo produtor | O consumidor já não pode aceder ao serviço |
| Crie um ponto final do Private Service Connect na rede do consumidor | ||
| Crie uma sub-rede de migração na rede do consumidor | Se o consumidor não escolheu o nome da sub-rede, o produtor fornece o nome da sub-rede ao consumidor | Realizada pelo consumidor (ou pelo produtor através de um agente de serviços) |
| Crie um ponto final do Private Service Connect na rede do consumidor | O produtor fornece o URI da associação do serviço ao consumidor | Realizada pelo consumidor (ou pelo produtor através de um agente de serviços) O consumidor pode aceder ao serviço |
| Valide o acesso através do ponto final do Private Service Connect | Realizada pelo consumidor | |
| Finalize a migração | ||
| Elimine o intervalo interno | Interpretada pelo produtor | |
| Atualize a sub-rede de migração do consumidor para a converter numa sub-rede normal | Realizada pelo consumidor (ou pelo produtor através de um agente de serviços) | |
| Se não for necessário para outros serviços, elimine a ligação de peering nas redes do produtor e do consumidor | Interpretada pelo produtor | Realizada pelo consumidor (ou pelo produtor através de um agente de serviços) |
Considerações
Se for um produtor de serviços que quer migrar o seu serviço baseado em peering para o Private Service Connect, considere o seguinte:
- A implementação do Private Service Connect do serviço tem de oferecer as mesmas funcionalidades que o serviço baseado em peering.
- O processo de migração suporta a preservação de endereços IPv4 que acedem aos serviços. A preservação de endereços IPv6 não é suportada. No entanto, os serviços migrados podem ser acedidos por pontos finais do Private Service Connect IPv6.
- Tem de conseguir eliminar todos os recursos na sub-rede que contém a instância do serviço durante a migração. Se várias instâncias de serviço usarem a mesma sub-rede, todas as instâncias têm de ser migradas ao mesmo tempo.
O ponto final do Private Service Connect do consumidor, a regra de encaminhamento e a associação do serviço do produtor têm de estar todos na mesma região.
Para permitir o acesso ao ponto final a partir de qualquer região, pode ativar o acesso global no ponto final.
Se o serviço guardar o estado, tem de ter um método de migração do estado para as novas instâncias do serviço.
Não pode eliminar a ligação de peering até que todas as instâncias de serviço na rede VPC do produtor tenham sido migradas.
O serviço tem um período de inatividade durante a migração.
A migração para o Private Service Connect tem um impacto nos preços para os produtores e os consumidores. Certifique-se de que os seus consumidores têm conhecimento desta alteração antes de os migrar.
O Private Service Connect traduz o endereço IP de origem do cliente num endereço IP numa sub-rede NAT. Se o serviço precisar de informações do endereço IP sobre o cliente, tem de usar o protocolo PROXY para obter o endereço IP do cliente e processar os pacotes adequadamente entre as VMs de back-end e a sua aplicação.
Intervalos internos para migração
O intervalo interno é usado para reservar o intervalo CIDR que é usado na sub-rede do produtor, para que, quando a sub-rede do produtor for eliminada, o intervalo CIDR não possa ser usado para outro fim.
Quando cria um intervalo interno para a migração ponto a ponto, define a utilização como FOR_MIGRATION e especifica as sub-redes de origem e de destino. A sub-rede de origem é a sub-rede do produtor e a sub-rede de destino é a nova sub-rede de migração de pares que vai ser criada posteriormente na rede do consumidor.
A criação do intervalo interno impede a criação de uma sub-rede que corresponda ao nome da sub-rede de destino e ao intervalo CIDR. No entanto, pode ser criada outra sub-rede na rede do consumidor com o mesmo nome se usar um intervalo CIDR diferente. Se isso acontecer, a migração não pode continuar até que a sub-rede do consumidor com o nome correspondente seja eliminada ou o intervalo interno seja eliminado.
Sub-redes de migração de pares
A sub-rede criada na rede do consumidor para a migração tem o objetivo definido como PEER_MIGRATION. As sub-redes de migração de pares só podem conter endereços IP
e pontos finais do Private Service Connect.
Após a conclusão e a validação da migração, a sub-rede é atualizada para se tornar uma sub-rede normal definindo a finalidade como PRIVATE. Além disso, é possível criar outros recursos na sub-rede. Não é possível converter novamente uma sub-rede normal numa sub-rede de migração
de pares.
Apenas os responsáveis que têm a autorização compute.subnetworks.usePeerMigration podem
fazer o seguinte:
- Criar e eliminar recursos de endereços IP em sub-redes de migração por pares.
- Criar e eliminar pontos finais do Private Service Connect (regras de encaminhamento) em sub-redes de migração de pares.
A autorização compute.subnetworks.usePeerMigration está incluída nas seguintes funções:
- Compute Peer Subnet Migration
Admin
(
roles/compute.peerSubnetMigrationAdmin) - Administrador de rede de Calcular
(
roles/compute.networkAdmin)
Os principais com a função de administrador da migração de sub-rede de pares do Compute podem criar e eliminar endereços IP e pontos finais do Private Service Connect numa sub-rede de migração de pares, mas não podem criar, atualizar nem eliminar a sub-rede de migração.
Os diretores que têm a função de administrador de rede do Compute podem realizar todas as tarefas necessárias para a migração, incluindo as tarefas anteriores e também as seguintes:
- Crie uma sub-rede com a finalidade definida como
PEER_MIGRATION. - Atualize a sub-rede, por exemplo, para expandir o intervalo CIDR ou ativar o acesso privado à Google.
- Atualize a finalidade da sub-rede para
PRIVATE. - Elimine a sub-rede.
Preços
Para informações sobre preços, consulte o seguinte:
Produtores de serviços: preços para publicar um serviço.
Consumidores de serviços: preços para aceder a um serviço publicado através de um ponto final.
O que se segue?
- Migre uma sub-rede de serviço do peering para o Private Service Connect
- Publique um serviço através do Private Service Connect