Sobre as interfaces do Private Service Connect
Nesta página, você encontra uma visão geral das interfaces do Private Service Connect.
A interface do Private Service Connect é um recurso que permite que uma rede de nuvem privada virtual (VPC, na sigla em inglês) do produtor inicie conexões com vários destinos em uma rede VPC do consumidor. As redes de produtores e consumidores podem estar em diferentes projetos e organizações.
Ao criar uma interface do Private Service Connect, você cria uma instância de máquina virtual (VM) com pelo menos duas interfaces de rede. A primeira interface se conecta a uma sub-rede em uma rede VPC do produtor. A segunda é uma interface do Private Service Connect que solicita uma conexão com um anexo de rede em uma rede de consumidor. Se a conexão for aceita, o Google Cloud atribuirá à interface do Private Service Connect um endereço IP interno da sub-rede do consumidor especificado pelo anexo de rede.
Essa conexão de interface do Private Service Connect permite que as organizações de produtores e consumidores configurem as redes VPC para que as duas redes sejam conectadas e possam se comunicar por endereços IP internos. Por exemplo, a organização produtora pode atualizar a rede VPC do produtor para adicionar rotas para sub-redes de consumidor.
Uma conexão entre uma interface do Private Service Connect e um anexo de rede é semelhante à conexão entre um Private Service Connectendpoint e umanexo de serviço, mas há duas diferenças principais:
- Uma interface do Private Service Connect permite que uma rede VPC do produtor inicie conexões com uma rede VPC do consumidor (saída de serviço gerenciado). Um endpoint funciona na direção inversa, permitindo que uma rede VPC do consumidor inicie conexões com uma rede VPC do produtor (entrada de serviço gerenciado).
- Uma conexão de interface do Private Service Connect é transitiva. Isso significa que as cargas de trabalho em uma rede do produtor podem iniciar conexões com outras cargas de trabalho conectadas à rede VPC do consumidor. Os endpoints do Private Service Connect só podem iniciar conexões com a rede VPC do produtor.
Como se conectar a cargas de trabalho em outras redes
Como as conexões de interface do Private Service Connect são transitivas, se a configuração da rede VPC do consumidor permitir, os recursos nas redes VPC do produtor poderão se comunicar com as cargas de trabalho conectadas à rede do consumidor. Isso inclui o seguinte:
- cargas de trabalho em redes conectadas à rede VPC do consumidor por meio de túneis do Cloud VPN, Cloud Interconnect ou VPC; Peering de rede.
- Cargas de trabalho que têm endereços IP externos que podem ser acessados pela rede VPC do consumidor por meio do Cloud NAT.
- APIs e serviços do Google que podem ser acessados na rede VPC do consumidor por meio do Acesso privado do Google ou do VPC Service Controls Uma configuração extra é necessária para usar o VPC Service Controls com interfaces do Private Service Connect.
- Serviços publicados e APIs do Google que podem ser acessados pela rede VPC do consumidor por meio de endpoints e back-ends do Private Service Connect.
- Cargas de trabalho em spokes VPC que estão conectados à rede VPC do consumidor.
Exemplos de casos de uso
Um exemplo de caso de uso para interfaces do Private Service Connect é um serviço gerenciado que precisa iniciar conexões com uma rede VPC do consumidor para acessar dados do consumidor. O serviço também pode precisar de acesso a dados ou serviços disponíveis na rede local de um consumidor, por meio de uma conexão VPN ou do Cloud Interconnect, ou de um serviço de terceiros. Uma conexão de interface do Private Service Connect pode atender a todos esses requisitos.
Outro caso de uso é um serviço gerenciado que fornece um gateway de API. Como o serviço recebe chamadas para diferentes APIs, ele usa interfaces do Private Service Connect para iniciar conexões com redes VPC do consumidor. O serviço de gateway envia solicitações de API para destinos de back-end que processam as solicitações.
As interfaces e os endpoints do Private Service Connect são complementares e podem ser usados juntos na mesma rede VPC.
Por exemplo, a figura 3 descreve a configuração de rede de um serviço gerenciado que fornece análises. O serviço de análise pode iniciar conexões com a rede VPC do consumidor usando uma interface do Private Service Connect. Um endpoint do Private Service Connect na rede do consumidor permite que o serviço de análise inicie conexões com um serviço de banco de dados em outra rede VPC. O tráfego do serviço de análise para o serviço de banco de dados passa pela rede do consumidor, o que permite ao consumidor monitorar e fornecer segurança para o tráfego entre os dois serviços.
Especificações
- A interface do Private Service Connect é um tipo especial de interface de rede que se conecta a um anexo de rede. As especificações da interface de rede também se aplicam às interfaces do Private Service Connect.
- Ao criar uma VM para interfaces do Private Service Connect, você cria pelo menos duas interfaces de rede. A primeira interface de rede é
sempre a interface de rede padrão, chamada
nic0
. Essa interface se conecta a uma sub-rede de produtor. A segunda é uma interface do Private Service Connect que solicita uma conexão a uma sub-rede do consumidor. É possível incluir até sete interfaces do Private Service Connect em uma única VM. - Quando um projeto de consumidor aceita uma conexão
de uma interface do Private Service Connect, o Google Cloud
configura a interface com endereços IP da sub-rede do
anexo de rede:
- Um endereço IPv4 interno é atribuído do intervalo de endereços IP principal da sub-rede.
- Se a sub-rede do anexo de rede for de pilha dupla e a interface do Private Service Connect for de pilha dupla, um endereço IPv6 interno será atribuído do intervalo IPv6 da sub-rede.
- As interfaces do Private Service Connect são compatíveis com intervalos de IP de alias. Os intervalos de IP do alias precisam vir do intervalo de endereços IPv4 principal da sub-rede do anexo de rede.
- O Google Cloud garante que os endereços IP alocados a uma interface do Private Service Connect não se sobreponham aos intervalos de endereços de sub-redes conectadas às outras interfaces de rede da VM. Se não houver endereços suficientes disponíveis, a criação da VM falhará.
- Uma interface do Private Service Connect se comunica da mesma maneira que uma interface de rede.
- Uma conexão entre um anexo de rede e uma interface do Private Service Connect é bidirecional e transitiva. As cargas de trabalho na rede VPC do produtor podem iniciar conexões com cargas de trabalho conectadas à rede VPC do consumidor.
Limitações
Uma conexão de interface do Private Service Connect só pode ser encerrada das seguintes maneiras:
- Um produtor exclui a VM da interface.
- Um consumidor exclui um projeto conectado a uma interface do Private Service Connect. Essa ação interrompe a VM da interface.
- Um consumidor desativa a API Compute Engine em um projeto conectado a uma interface do Private Service Connect. Essa ação interrompe a VM da interface.
As interfaces do Private Service Connect não aceitam endereços IP externos.
Uma interface do Private Service Connect não pode ser o próximo salto de uma regra de encaminhamento interno.
Não é possível associar diretamente interfaces do Private Service Connect a nós ou pods do Google Kubernetes Engine (GKE). No entanto, a saída de serviço é possível com o GKE por meio de interfaces do Private Service Connect configuradas em VMs de proxy.
Preços
Os preços do Private Service Connect são descritos na página de preços da VPC.
A seguir
- Saiba como criar e gerenciar interfaces do Private Service Connect.
- Conclua o codelab de serviços gerenciados da interface do Private Service Connect.