Sobre a migração de serviços baseados em peering para o Private Service Connect
Muitos produtores de serviços gerenciados usam o peering de rede VPC para oferecer conectividade a consumidores de serviços em outra rede de nuvem privada virtual (VPC). Uma solução alternativa é usar o Private Service Connect.
Este documento apresenta uma visão geral de como os produtores de serviços podem migrar seus serviços baseados em peering para o Private Service Connect e preservar o endereço IP usado para acessar o serviço. Esse processo de migração exige que todos os recursos conectados a uma determinada sub-rede sejam migrados ao mesmo tempo.
Cada produtor de serviços determina se e quando vai migrar para o Private Service Connect. Para saber se um produtor de serviços está migrando do peering de rede VPC para o Private Service Connect, consulte a documentação do serviço ou entre em contato com o produtor.
Como migrar serviços baseados em peering
Neste exemplo de serviço baseado em peering, o cliente vm1 envia tráfego para o balanceador de carga 10.10.10.10 do serviço na rede VPC do produtor. A rede do consumidor tem uma rota de sub-rede de peering para a sub-rede do produtor porque as redes estão conectadas pelo peering de rede VPC.
Figura 1. Em um serviço baseado em peering, a rede VPC do consumidor e a rede VPC do produtor podem acessar uma à outra pelo peering de rede VPC (clique para ampliar).
Durante a migração, as seguintes tarefas são concluídas:
- O produtor implanta o serviço em uma nova sub-rede
producer-subnet-2em uma nova rede VPC e publica o serviço pelo Private Service Connect. - O produtor cria um intervalo interno para reservar o intervalo CIDR da
sub-rede do produtor,
10.10.10.0/24. - O produtor exclui a sub-rede original
producer-subnet-1e todos os recursos dela. - Uma sub-rede de migração
consumer-subnet-2é criada na rede VPC do consumidor, configurada com o mesmo intervalo de CIDR da sub-rede do produtor. - Um endpoint do Private Service Connect é criado na sub-rede de migração, configurado com o mesmo endereço IP que foi usado anteriormente pela regra de encaminhamento do balanceador de carga do produtor.
Depois que a migração é concluída, o cliente vm1 ainda pode acessar o serviço
em 10.10.10.10, mas esse endereço IP agora está associado ao
endpoint do Private Service Connect na rede VPC
do consumidor.
Figura 2. Após a migração, os clientes na rede VPC do consumidor enviam solicitações para o endpoint do Private Service Connect, que encaminha o tráfego para a rede VPC do produtor (clique para ampliar).
Tarefas de migração
A migração inclui tarefas que são realizadas nas redes VPC do produtor e do consumidor. O produtor pode coordenar com o consumidor para realizar a migração ou, no caso de serviços gerenciados pelo Google, o produtor de serviços pode automatizar as tarefas do consumidor usando um agente de serviço.
| Tarefa | Produtor | Consumidor |
|---|---|---|
| Implantar um serviço do Private Service Connect | ||
| Implante o serviço em uma nova sub-rede em uma nova rede VPC no projeto do produtor e publique-o usando o Private Service Connect | Realizada pelo produtor | |
| Desativar o serviço baseado em peering | ||
| Reserve o intervalo CIDR da sub-rede do produtor criando um intervalo interno no projeto do produtor | Realizado pelo produtor | O consumidor fornece o nome da sub-rede a ser usado para o destino da migração |
| Exclua todos os recursos na sub-rede do produtor e, em seguida, exclua a sub-rede | Realizado pelo produtor | O consumidor não consegue mais acessar o serviço |
| Crie um endpoint do Private Service Connect na rede do consumidor | ||
| Crie uma sub-rede de migração na rede consumidora | Se o consumidor não escolher o nome da sub-rede, o produtor vai fornecer o nome da sub-rede para o consumidor | Realizado pelo consumidor (ou pelo produtor por meio de um agente de serviço) |
| Crie um endpoint do Private Service Connect na rede do consumidor | O produtor fornece o URI do anexo de serviço ao consumidor | Realizada pelo consumidor (ou pelo produtor por meio de um agente de serviço) O consumidor pode acessar o serviço |
| Validar o acesso pelo endpoint do Private Service Connect | Realizada pelo consumidor | |
| Finalizar a migração | ||
| Excluir o intervalo interno | Realizado pelo produtor | |
| Atualizar a sub-rede de migração do consumidor para convertê-la em uma sub-rede normal | Realizada pelo consumidor (ou pelo produtor por meio de um agente de serviço) | |
| Se não for necessário para outros serviços, exclua a conexão de peering nas redes de produtor e consumidor | Realizado pelo produtor | Realizada pelo consumidor (ou pelo produtor por meio de um agente de serviço) |
Considerações
Se você é um produtor de serviços que quer migrar seu serviço baseado em peering para o Private Service Connect, considere o seguinte:
- A implementação do Private Service Connect do serviço precisa oferecer os mesmos recursos do serviço baseado em peering.
- É necessário excluir todos os recursos na sub-rede que contém a instância do serviço durante a migração. Se várias instâncias de serviço usarem a mesma sub-rede, todas as instâncias precisarão migrar ao mesmo tempo.
O endpoint do Private Service Connect do consumidor e o anexo de serviço e a regra de encaminhamento do produtor precisam estar na mesma região.
Para permitir que o endpoint seja acessado de qualquer região, ative o acesso global.
Se o serviço salvar o estado, você precisa ter um método para migrar o estado para as novas instâncias de serviço.
Não é possível excluir a conexão de peering até que todas as instâncias de serviço na rede VPC do produtor tenham migrado.
O serviço tem um tempo de inatividade durante a migração.
A migração para o Private Service Connect tem um impacto nos preços para produtores e consumidores. Informe aos consumidores sobre essa mudança antes de fazer a migração.
O Private Service Connect converte o endereço IP de origem do cliente em um endereço IP em uma sub-rede NAT. Se o serviço precisar de informações de endereço IP sobre o cliente, use o protocolo PROXY para receber o endereço IP do cliente e processar os pacotes de maneira adequada entre as VMs de back-end e o aplicativo.
Intervalos internos para migração
O intervalo interno é usado para reservar o intervalo CIDR usado na sub-rede do produtor. Assim, quando a sub-rede do produtor é excluída, o intervalo CIDR não pode ser usado para outra finalidade.
Ao criar um intervalo interno para a migração de pares, defina o uso como
FOR_MIGRATION e especifique as sub-redes de origem e de destino. A sub-rede de origem é
a sub-rede do produtor, e a sub-rede de destino é a nova sub-rede de migração de peer que
será criada mais tarde na rede do consumidor.
A criação do intervalo interno impede que uma sub-rede seja criada que corresponda ao nome da sub-rede de destino e ao intervalo CIDR. No entanto, outra sub-rede pode ser criada na rede de consumo com o mesmo nome se ela usar um intervalo CIDR diferente. Se isso acontecer, a migração não poderá continuar até que a sub-rede de consumidor com o nome correspondente seja excluída ou o intervalo interno seja excluído.
Sub-redes de migração de peering
A sub-rede criada na rede consumidora para migração tem o propósito
definido como PEER_MIGRATION. As sub-redes de migração de pares podem conter apenas endereços IP
e endpoints do Private Service Connect.
Depois que a migração é concluída e verificada, a sub-rede é atualizada para se tornar uma
sub-rede regular definindo o propósito como PRIVATE, e outros recursos podem ser
criados na sub-rede. Uma sub-rede regular não pode ser convertida de volta em uma sub-rede de migração
de pares.
Você precisa ter a permissão compute.subnetworks.usePeerMigration do Identity and Access Management (IAM)
para criar ou usar uma sub-rede de migração de peer. A permissão não está
incluída em nenhum papel predefinido. Para usá-la, crie um papel
personalizado.
Somente os principais que têm a permissão compute.subnetworks.usePeerMigration podem
fazer o seguinte:
- Crie e exclua recursos de endereço IP em sub-redes de migração de pares.
- Crie e exclua endpoints do Private Service Connect (regras de encaminhamento) em sub-redes de migração de pares.
Os principais que têm a função de administrador da rede do Compute (roles/compute.networkAdmin) mas
não têm a permissão compute.subnetworks.usePeerMigration não podem realizar as
tarefas anteriores, mas podem fazer o seguinte:
- Crie uma sub-rede com a finalidade definida como
PEER_MIGRATION. - Atualize a sub-rede, por exemplo, para expandir o intervalo CIDR ou ativar o Acesso privado do Google.
- Atualize a finalidade da sub-rede para
PRIVATE. - Exclua a sub-rede.
Preços
Para informações sobre preços, consulte:
Produtores de serviços: preços para publicar um serviço.
Consumidores de serviços: preço para acessar um serviço publicado por um endpoint.
A seguir
- Migrar uma sub-rede de serviço do peering para o Private Service Connect
- Publicar um serviço pelo Private Service Connect