Sobre a migração de serviços baseados em peering para o Private Service Connect

Muitos produtores de serviços gerenciados usam o peering de rede VPC para oferecer conectividade a consumidores de serviços em outra rede de nuvem privada virtual (VPC). Uma solução alternativa é usar o Private Service Connect.

Este documento apresenta uma visão geral de como os produtores de serviços podem migrar seus serviços baseados em peering para o Private Service Connect e preservar o endereço IP usado para acessar o serviço. Esse processo de migração exige que todos os recursos conectados a uma determinada sub-rede sejam migrados ao mesmo tempo.

Cada produtor de serviços determina se e quando vai migrar para o Private Service Connect. Para saber se um produtor de serviços está migrando do peering de rede VPC para o Private Service Connect, consulte a documentação do serviço ou entre em contato com o produtor.

Como migrar serviços baseados em peering

Neste exemplo de serviço baseado em peering, o cliente vm1 envia tráfego para o balanceador de carga 10.10.10.10 do serviço na rede VPC do produtor. A rede do consumidor tem uma rota de sub-rede de peering para a sub-rede do produtor porque as redes estão conectadas pelo peering de rede VPC.

Figura 1. Em um serviço baseado em peering, a rede VPC do consumidor e a rede VPC do produtor podem acessar uma à outra pelo peering de rede VPC (clique para ampliar).

Durante a migração, as seguintes tarefas são concluídas:

  • O produtor implanta o serviço em uma nova sub-rede producer-subnet-2 em uma nova rede VPC e publica o serviço pelo Private Service Connect.
  • O produtor cria um intervalo interno para reservar o intervalo CIDR da sub-rede do produtor, 10.10.10.0/24.
  • O produtor exclui a sub-rede original producer-subnet-1 e todos os recursos dela.
  • Uma sub-rede de migração consumer-subnet-2 é criada na rede VPC do consumidor, configurada com o mesmo intervalo de CIDR da sub-rede do produtor.
  • Um endpoint do Private Service Connect é criado na sub-rede de migração, configurado com o mesmo endereço IP que foi usado anteriormente pela regra de encaminhamento do balanceador de carga do produtor.

Depois que a migração é concluída, o cliente vm1 ainda pode acessar o serviço em 10.10.10.10, mas esse endereço IP agora está associado ao endpoint do Private Service Connect na rede VPC do consumidor.

Figura 2. Após a migração, os clientes na rede VPC do consumidor enviam solicitações para o endpoint do Private Service Connect, que encaminha o tráfego para a rede VPC do produtor (clique para ampliar).

Tarefas de migração

A migração inclui tarefas que são realizadas nas redes VPC do produtor e do consumidor. O produtor pode coordenar com o consumidor para realizar a migração ou, no caso de serviços gerenciados pelo Google, o produtor de serviços pode automatizar as tarefas do consumidor usando um agente de serviço.

Tarefa Produtor Consumidor
Implantar um serviço do Private Service Connect
Implante o serviço em uma nova sub-rede em uma nova rede VPC no projeto do produtor e publique-o usando o Private Service Connect Realizada pelo produtor
Desativar o serviço baseado em peering
Reserve o intervalo CIDR da sub-rede do produtor criando um intervalo interno no projeto do produtor Realizado pelo produtor O consumidor fornece o nome da sub-rede a ser usado para o destino da migração
Exclua todos os recursos na sub-rede do produtor e, em seguida, exclua a sub-rede Realizado pelo produtor O consumidor não consegue mais acessar o serviço
Crie um endpoint do Private Service Connect na rede do consumidor
Crie uma sub-rede de migração na rede consumidora Se o consumidor não escolher o nome da sub-rede, o produtor vai fornecer o nome da sub-rede para o consumidor Realizado pelo consumidor (ou pelo produtor por meio de um agente de serviço)
Crie um endpoint do Private Service Connect na rede do consumidor O produtor fornece o URI do anexo de serviço ao consumidor

Realizada pelo consumidor (ou pelo produtor por meio de um agente de serviço)

O consumidor pode acessar o serviço

Validar o acesso pelo endpoint do Private Service Connect Realizada pelo consumidor
Finalizar a migração
Excluir o intervalo interno Realizado pelo produtor
Atualizar a sub-rede de migração do consumidor para convertê-la em uma sub-rede normal Realizada pelo consumidor (ou pelo produtor por meio de um agente de serviço)
Se não for necessário para outros serviços, exclua a conexão de peering nas redes de produtor e consumidor Realizado pelo produtor Realizada pelo consumidor (ou pelo produtor por meio de um agente de serviço)

Considerações

Se você é um produtor de serviços que quer migrar seu serviço baseado em peering para o Private Service Connect, considere o seguinte:

  • A implementação do Private Service Connect do serviço precisa oferecer os mesmos recursos do serviço baseado em peering.
  • É necessário excluir todos os recursos na sub-rede que contém a instância do serviço durante a migração. Se várias instâncias de serviço usarem a mesma sub-rede, todas as instâncias precisarão migrar ao mesmo tempo.
  • O endpoint do Private Service Connect do consumidor e o anexo de serviço e a regra de encaminhamento do produtor precisam estar na mesma região.

    Para permitir que o endpoint seja acessado de qualquer região, ative o acesso global.

  • Se o serviço salvar o estado, você precisa ter um método para migrar o estado para as novas instâncias de serviço.

  • Não é possível excluir a conexão de peering até que todas as instâncias de serviço na rede VPC do produtor tenham migrado.

  • O serviço tem um tempo de inatividade durante a migração.

  • A migração para o Private Service Connect tem um impacto nos preços para produtores e consumidores. Informe aos consumidores sobre essa mudança antes de fazer a migração.

  • O Private Service Connect converte o endereço IP de origem do cliente em um endereço IP em uma sub-rede NAT. Se o serviço precisar de informações de endereço IP sobre o cliente, use o protocolo PROXY para receber o endereço IP do cliente e processar os pacotes de maneira adequada entre as VMs de back-end e o aplicativo.

Intervalos internos para migração

O intervalo interno é usado para reservar o intervalo CIDR usado na sub-rede do produtor. Assim, quando a sub-rede do produtor é excluída, o intervalo CIDR não pode ser usado para outra finalidade.

Ao criar um intervalo interno para a migração de pares, defina o uso como FOR_MIGRATION e especifique as sub-redes de origem e de destino. A sub-rede de origem é a sub-rede do produtor, e a sub-rede de destino é a nova sub-rede de migração de peer que será criada mais tarde na rede do consumidor.

A criação do intervalo interno impede que uma sub-rede seja criada que corresponda ao nome da sub-rede de destino e ao intervalo CIDR. No entanto, outra sub-rede pode ser criada na rede de consumo com o mesmo nome se ela usar um intervalo CIDR diferente. Se isso acontecer, a migração não poderá continuar até que a sub-rede de consumidor com o nome correspondente seja excluída ou o intervalo interno seja excluído.

Sub-redes de migração de peering

A sub-rede criada na rede consumidora para migração tem o propósito definido como PEER_MIGRATION. As sub-redes de migração de pares podem conter apenas endereços IP e endpoints do Private Service Connect.

Depois que a migração é concluída e verificada, a sub-rede é atualizada para se tornar uma sub-rede regular definindo o propósito como PRIVATE, e outros recursos podem ser criados na sub-rede. Uma sub-rede regular não pode ser convertida de volta em uma sub-rede de migração de pares.

Você precisa ter a permissão compute.subnetworks.usePeerMigration do Identity and Access Management (IAM) para criar ou usar uma sub-rede de migração de peer. A permissão não está incluída em nenhum papel predefinido. Para usá-la, crie um papel personalizado.

Somente os principais que têm a permissão compute.subnetworks.usePeerMigration podem fazer o seguinte:

  • Crie e exclua recursos de endereço IP em sub-redes de migração de pares.
  • Crie e exclua endpoints do Private Service Connect (regras de encaminhamento) em sub-redes de migração de pares.

Os principais que têm a função de administrador da rede do Compute (roles/compute.networkAdmin) mas não têm a permissão compute.subnetworks.usePeerMigration não podem realizar as tarefas anteriores, mas podem fazer o seguinte:

  • Crie uma sub-rede com a finalidade definida como PEER_MIGRATION.
  • Atualize a sub-rede, por exemplo, para expandir o intervalo CIDR ou ativar o Acesso privado do Google.
  • Atualize a finalidade da sub-rede para PRIVATE.
  • Exclua a sub-rede.

Preços

Para informações sobre preços, consulte:

A seguir