Acerca de la migración de servicios basados en el enrutamiento de peering a Private Service Connect

Muchos productores de servicios administrados usan el intercambio de tráfico entre redes de VPC para ofrecer conectividad a los consumidores de servicios que se encuentran en otra red de nube privada virtual (VPC). Una solución alternativa es usar Private Service Connect.

En este documento, se proporciona una descripción general de cómo los productores de servicios pueden migrar sus servicios basados en el intercambio de información a Private Service Connect y conservar la dirección IP que se usa para acceder al servicio. Este proceso de migración requiere que todos los recursos que están conectados a una subred determinada se migren al mismo tiempo.

Cada productor de servicios determina si migrará a Private Service Connect y cuándo lo hará. Para saber si un productor de servicios está realizando la migración del intercambio de tráfico de redes de VPC a Private Service Connect, consulta la documentación del servicio o comunícate con el productor de servicios.

Cómo migrar servicios basados en el enrutamiento de parejos

En este ejemplo de servicio basado en el emparejamiento, el cliente vm1 envía tráfico al balanceador de cargas 10.10.10.10 del servicio en la red de VPC del productor. La red del consumidor tiene una ruta de subred de intercambio de tráfico para la subred del productor porque las redes están conectadas a través del intercambio de tráfico entre redes de VPC.

Figura 1. En un servicio basado en el intercambio de tráfico entre redes, la red de VPC del consumidor y la red de VPC del productor pueden acceder entre sí a través del intercambio de tráfico entre redes de VPC (haz clic para agrandar).

Durante la migración, se completan las siguientes tareas:

  • El productor implementa el servicio en una subred nueva producer-subnet-2 en una red de VPC nueva y lo publica a través de Private Service Connect.
  • El productor crea un rango interno para reservar el rango de CIDR de la subred del productor, 10.10.10.0/24.
  • El productor borra la subred original producer-subnet-1 y todos los recursos que contiene.
  • Se crea una subred de migración consumer-subnet-2 en la red de VPC del consumidor, configurada con el mismo rango de CIDR que la subred del productor.
  • Se crea un extremo de Private Service Connect en la subred de migración, configurado con la misma dirección IP que usaba anteriormente la regla de reenvío del balanceador de cargas del productor.

Una vez que se completa la migración, el cliente vm1 aún puede llegar al servicio en 10.10.10.10, pero esta dirección IP ahora está asociada con el extremo de Private Service Connect en la red de VPC del consumidor.

Figura 2. Después de la migración, los clientes de la red de VPC del consumidor envían solicitudes al extremo de Private Service Connect, que reenvía el tráfico a la red de VPC del productor (haz clic para ampliar).

Tareas de migración

La migración incluye tareas que se realizan en las redes de VPC del productor y del consumidor. El productor puede coordinarse con el consumidor para realizar la migración o, en el caso de los servicios administrados por Google, el productor del servicio puede automatizar las tareas del consumidor a través de un agente de servicio.

Tarea Productor Consumidor
Implementa un servicio de Private Service Connect
Implementa el servicio en una subred nueva en una red de VPC nueva en el proyecto del productor y publícalo con Private Service Connect Interpretada por el productor
Cómo cerrar el servicio basado en el intercambio de información
Reserva el rango CIDR de la subred del productor creando un rango interno en el proyecto del productor Interpretada por el productor El consumidor proporciona el nombre de la subred que se usará para el destino de migración.
Borra todos los recursos de la subred de productor y, luego, borra la subred. Interpretada por el productor El consumidor ya no puede acceder al servicio
Crea un extremo de Private Service Connect en la red del consumidor
Crea una subred de migración en la red del consumidor Si el consumidor no eligió el nombre de la subred, el productor se lo proporciona. Lo realiza el consumidor (o el productor a través de un agente de servicio).
Crea un extremo de Private Service Connect en la red del consumidor El productor proporciona el URI del adjunto de servicio al consumidor

La realiza el consumidor (o el productor a través de un agente de servicio).

El consumidor puede acceder al servicio.

Cómo validar el acceso a través del extremo de Private Service Connect Realizada por el consumidor
Finaliza la migración
Cómo borrar el rango interno Interpretada por el productor
Actualiza la subred de migración del consumidor para convertirla en una subred normal. La realiza el consumidor (o el productor a través de un agente de servicio).
Si no es necesario para otros servicios, borra la conexión de intercambio de tráfico entre redes en las redes de productor y consumidor. Interpretada por el productor La realiza el consumidor (o el productor a través de un agente de servicio).

Consideraciones

Si eres un productor de servicios que desea migrar su servicio basado en el intercambio de datos a Private Service Connect, ten en cuenta lo siguiente:

  • La implementación de Private Service Connect del servicio debe ofrecer las mismas funciones que el servicio basado en el intercambio de tráfico.
  • Debes poder borrar todos los recursos de la subred que contiene la instancia del servicio durante la migración. Si varias instancias de servicio usan la misma subred, todas las instancias deben migrar al mismo tiempo.
  • El extremo de Private Service Connect del consumidor y el archivo adjunto y la regla de reenvío del servicio del productor deben estar en la misma región.

    Para permitir que se acceda al extremo desde cualquier región, puedes habilitar el acceso global en el extremo.

  • Si el servicio guarda el estado, debes tener un método para migrar el estado a las instancias de servicio nuevas.

  • No puedes borrar la conexión de intercambio de tráfico hasta que se hayan migrado todas las instancias de servicio en la red de VPC del productor.

  • El servicio tiene un tiempo de inactividad durante la migración.

  • La migración a Private Service Connect tiene un impacto en los precios para productores y consumidores. Asegúrate de que tus consumidores conozcan este cambio antes de realizar la migración.

  • Private Service Connect traduce la dirección IP de origen del cliente a una dirección IP en una subred de NAT. Si el servicio necesita información de la dirección IP del cliente, debes usar el protocolo PROXY para obtener la dirección IP del cliente y controlar los paquetes de forma adecuada entre las VMs de backend y tu aplicación.

Rangos internos para la migración

El rango interno se usa para reservar el rango de CIDR que se usa en la subred del productor, de modo que, cuando se borre la subred del productor, el rango de CIDR no se pueda usar para otro fin.

Cuando creas un rango interno para la migración de pares, estableces el uso en FOR_MIGRATION y especificas las subredes de origen y destino. La subred de origen es la subred del productor, y la subred de destino es la nueva subred de migración de pares que se creará más adelante en la red del consumidor.

Crear el rango interno evita que se cree una subred que coincida con el nombre de la subred de destino y el rango de CIDR. Sin embargo, se puede crear otra subred en la red del consumidor que tenga el mismo nombre si usa un rango CIDR diferente. Si eso sucede, la migración no podrá continuar hasta que se borre la subred del consumidor con el nombre coincidente o el rango interno.

Subredes de migración por intercambio de tráfico

La subred que se crea en la red del consumidor para la migración tiene el propósito configurado en PEER_MIGRATION. Las subredes de migración de pares solo pueden contener direcciones IP y extremos de Private Service Connect.

Una vez que se complete y verifique la migración, la subred se actualizará para convertirse en una subred normal configurando el propósito como PRIVATE, y se podrán crear otros recursos en la subred. Una subred normal no se puede volver a convertir en una subred de migración de pares.

Debes tener el permiso de Identity and Access Management (IAM) compute.subnetworks.usePeerMigration para crear o usar una subred de migración de pares. El permiso no se incluye en ningún rol predefinido. Debes crear un rol personalizado para usarlo.

Solo las principales que tienen el permiso compute.subnetworks.usePeerMigration pueden hacer lo siguiente:

  • Crea y borra recursos de direcciones IP en subredes de migración de pares.
  • Crear y borrar extremos de Private Service Connect (reglas de reenvío) en subredes de migración de pares

Las principales que tienen el rol de administrador de red de Compute (roles/compute.networkAdmin) pero no tienen el permiso compute.subnetworks.usePeerMigration no pueden realizar las tareas anteriores, pero pueden hacer lo siguiente:

  • Crea una subred con el propósito establecido en PEER_MIGRATION.
  • Actualiza la subred, por ejemplo, para expandir el rango CIDR o habilitar el Acceso privado a Google.
  • Actualiza el propósito de la subred a PRIVATE.
  • Borra la subred.

Precios

Para obtener información sobre los precios, consulta lo siguiente:

¿Qué sigue?