Acerca de la migración de servicios basados en el enrutamiento de peering a Private Service Connect
Muchos productores de servicios administrados usan el intercambio de tráfico entre redes de VPC para ofrecer conectividad a los consumidores de servicios que se encuentran en otra red de nube privada virtual (VPC). Una solución alternativa es usar Private Service Connect.
En este documento, se proporciona una descripción general de cómo los productores de servicios pueden migrar sus servicios basados en el intercambio de información a Private Service Connect y conservar la dirección IP que se usa para acceder al servicio. Este proceso de migración requiere que todos los recursos que están conectados a una subred determinada se migren al mismo tiempo.
Cada productor de servicios determina si migrará a Private Service Connect y cuándo lo hará. Para saber si un productor de servicios está realizando la migración del intercambio de tráfico de redes de VPC a Private Service Connect, consulta la documentación del servicio o comunícate con el productor de servicios.
Cómo migrar servicios basados en el enrutamiento de parejos
En este ejemplo de servicio basado en el emparejamiento, el cliente vm1
envía tráfico al balanceador de cargas 10.10.10.10
del servicio en la red de VPC del productor. La red del consumidor tiene una ruta de subred de intercambio de tráfico para la subred del productor porque las redes están conectadas a través del intercambio de tráfico entre redes de VPC.
Durante la migración, se completan las siguientes tareas:
- El productor implementa el servicio en una subred nueva
producer-subnet-2
en una red de VPC nueva y lo publica a través de Private Service Connect. - El productor crea un rango interno para reservar el rango de CIDR de la subred del productor,
10.10.10.0/24
. - El productor borra la subred original
producer-subnet-1
y todos los recursos que contiene. - Se crea una subred de migración
consumer-subnet-2
en la red de VPC del consumidor, configurada con el mismo rango de CIDR que la subred del productor. - Se crea un extremo de Private Service Connect en la subred de migración, configurado con la misma dirección IP que usaba anteriormente la regla de reenvío del balanceador de cargas del productor.
Una vez que se completa la migración, el cliente vm1
aún puede llegar al servicio en 10.10.10.10
, pero esta dirección IP ahora está asociada con el extremo de Private Service Connect en la red de VPC del consumidor.
Tareas de migración
La migración incluye tareas que se realizan en las redes de VPC del productor y del consumidor. El productor puede coordinarse con el consumidor para realizar la migración o, en el caso de los servicios administrados por Google, el productor del servicio puede automatizar las tareas del consumidor a través de un agente de servicio.
Tarea | Productor | Consumidor |
---|---|---|
Implementa un servicio de Private Service Connect | ||
Implementa el servicio en una subred nueva en una red de VPC nueva en el proyecto del productor y publícalo con Private Service Connect | Interpretada por el productor | |
Cómo cerrar el servicio basado en el intercambio de información | ||
Reserva el rango CIDR de la subred del productor creando un rango interno en el proyecto del productor | Interpretada por el productor | El consumidor proporciona el nombre de la subred que se usará para el destino de migración. |
Borra todos los recursos de la subred de productor y, luego, borra la subred. | Interpretada por el productor | El consumidor ya no puede acceder al servicio |
Crea un extremo de Private Service Connect en la red del consumidor | ||
Crea una subred de migración en la red del consumidor | Si el consumidor no eligió el nombre de la subred, el productor se lo proporciona. | Lo realiza el consumidor (o el productor a través de un agente de servicio). |
Crea un extremo de Private Service Connect en la red del consumidor | El productor proporciona el URI del adjunto de servicio al consumidor | La realiza el consumidor (o el productor a través de un agente de servicio). El consumidor puede acceder al servicio. |
Cómo validar el acceso a través del extremo de Private Service Connect | Realizada por el consumidor | |
Finaliza la migración | ||
Cómo borrar el rango interno | Interpretada por el productor | |
Actualiza la subred de migración del consumidor para convertirla en una subred normal. | La realiza el consumidor (o el productor a través de un agente de servicio). | |
Si no es necesario para otros servicios, borra la conexión de intercambio de tráfico entre redes en las redes de productor y consumidor. | Interpretada por el productor | La realiza el consumidor (o el productor a través de un agente de servicio). |
Consideraciones
Si eres un productor de servicios que desea migrar su servicio basado en el intercambio de datos a Private Service Connect, ten en cuenta lo siguiente:
- La implementación de Private Service Connect del servicio debe ofrecer las mismas funciones que el servicio basado en el intercambio de tráfico.
- Debes poder borrar todos los recursos de la subred que contiene la instancia del servicio durante la migración. Si varias instancias de servicio usan la misma subred, todas las instancias deben migrar al mismo tiempo.
El extremo de Private Service Connect del consumidor y el archivo adjunto y la regla de reenvío del servicio del productor deben estar en la misma región.
Para permitir que se acceda al extremo desde cualquier región, puedes habilitar el acceso global en el extremo.
Si el servicio guarda el estado, debes tener un método para migrar el estado a las instancias de servicio nuevas.
No puedes borrar la conexión de intercambio de tráfico hasta que se hayan migrado todas las instancias de servicio en la red de VPC del productor.
El servicio tiene un tiempo de inactividad durante la migración.
La migración a Private Service Connect tiene un impacto en los precios para productores y consumidores. Asegúrate de que tus consumidores conozcan este cambio antes de realizar la migración.
Private Service Connect traduce la dirección IP de origen del cliente a una dirección IP en una subred de NAT. Si el servicio necesita información de la dirección IP del cliente, debes usar el protocolo PROXY para obtener la dirección IP del cliente y controlar los paquetes de forma adecuada entre las VMs de backend y tu aplicación.
Rangos internos para la migración
El rango interno se usa para reservar el rango de CIDR que se usa en la subred del productor, de modo que, cuando se borre la subred del productor, el rango de CIDR no se pueda usar para otro fin.
Cuando creas un rango interno para la migración de pares, estableces el uso en FOR_MIGRATION
y especificas las subredes de origen y destino. La subred de origen es la subred del productor, y la subred de destino es la nueva subred de migración de pares que se creará más adelante en la red del consumidor.
Crear el rango interno evita que se cree una subred que coincida con el nombre de la subred de destino y el rango de CIDR. Sin embargo, se puede crear otra subred en la red del consumidor que tenga el mismo nombre si usa un rango CIDR diferente. Si eso sucede, la migración no podrá continuar hasta que se borre la subred del consumidor con el nombre coincidente o el rango interno.
Subredes de migración por intercambio de tráfico
La subred que se crea en la red del consumidor para la migración tiene el propósito configurado en PEER_MIGRATION
. Las subredes de migración de pares solo pueden contener direcciones IP
y extremos de Private Service Connect.
Una vez que se complete y verifique la migración, la subred se actualizará para convertirse en una subred normal configurando el propósito como PRIVATE
, y se podrán crear otros recursos en la subred. Una subred normal no se puede volver a convertir en una subred de migración de pares.
Debes tener el permiso de Identity and Access Management (IAM) compute.subnetworks.usePeerMigration
para crear o usar una subred de migración de pares. El permiso no se incluye en ningún rol predefinido. Debes crear un rol personalizado para usarlo.
Solo las principales que tienen el permiso compute.subnetworks.usePeerMigration
pueden hacer lo siguiente:
- Crea y borra recursos de direcciones IP en subredes de migración de pares.
- Crear y borrar extremos de Private Service Connect (reglas de reenvío) en subredes de migración de pares
Las principales que tienen el rol de administrador de red de Compute (roles/compute.networkAdmin
) pero
no tienen el permiso compute.subnetworks.usePeerMigration
no pueden realizar las tareas
anteriores, pero pueden hacer lo siguiente:
- Crea una subred con el propósito establecido en
PEER_MIGRATION
. - Actualiza la subred, por ejemplo, para expandir el rango CIDR o habilitar el Acceso privado a Google.
- Actualiza el propósito de la subred a
PRIVATE
. - Borra la subred.
Precios
Para obtener información sobre los precios, consulta lo siguiente:
Productores de servicios: precios para publicar un servicio
Consumidores de servicios: Precios para acceder a un servicio publicado a través de un extremo
¿Qué sigue?
- Cómo migrar una subred de servicio del vínculo a Private Service Connect
- Publica un servicio a través de Private Service Connect