Acerca de las interfaces de Private Service Connect

En esta página, se proporciona una descripción general de las interfaces de Private Service Connect.

Una interfaz de Private Service Connect es un recurso que permite que una red de nube privada virtual (VPC) de productor inicie conexiones a varios destinos en una red de VPC de consumidor. Las redes de productores y consumidores pueden estar en diferentes proyectos y organizaciones.

Cuando creas una interfaz de Private Service Connect, creas una instancia de máquina virtual (VM) que tiene al menos dos interfaces de red. La primera interfaz se conecta a una subred en una red de VPC de productor. La segunda interfaz es una interfaz de Private Service Connect que solicita una conexión a un adjunto de red en una red del consumidor. Si se acepta la conexión, Google Cloud asigna a la interfaz de Private Service Connect una dirección IP interna de la subred del consumidor que especifica el adjunto de red.

Esta conexión de interfaz de Private Service Connect permite que las organizaciones de productores y consumidores configuren sus redes de VPC para que las dos redes estén conectadas y puedan comunicarse mediante direcciones IP internas. Por ejemplo, la organización del productor puede actualizar la red de VPC del productor para agregar rutas para las subredes del consumidor.

**Figura 1.** Vm-1 en una red de VPC de productor tiene dos interfaces de red. Una interfaz de red estándar se conecta a una subred en la red del productor, mientras que la otra es una interfaz de Private Service Connect que está conectada a un adjunto de red en una red del consumidor (haz clic para agrandar).

Una conexión entre una interfaz de Private Service Connect y un adjunto de red es similar a la conexión entre un extremo de Private Service Connect y un adjunto de servicio, pero tiene dos diferencias clave:

Una interfaz de Private Service Connect permite que una red de VPC del productor inicie conexiones con una red de VPC del consumidor (salida de servicio administrado). Un extremo funciona en la dirección inversa, lo que permite que una red de VPC del consumidor inicie conexiones con una red de VPC del productor (entrada de servicio administrado).
Una conexión de la interfaz de Private Service Connect es transitiva. Esto significa que las cargas de trabajo en una red del productor pueden iniciar conexiones con otras cargas de trabajo que están conectadas a la red de VPC del consumidor. Los extremos de Private Service Connect solo pueden iniciar conexiones con la red de VPC del productor.

**Figura 2.** Los extremos de Private Service Connect permiten a los consumidores de servicios iniciar conexiones con los productores de servicios, mientras que las interfaces de Private Service Connect permiten que los productores de servicios inicien conexiones con los consumidores de servicios (haz clic para agrandar).

Conéctate a cargas de trabajo en otras redes

Debido a que las conexiones de la interfaz de Private Service Connect son transitivas, si la configuración de la red de VPC del consumidor lo permite, los recursos en las redes de VPC del productor pueden comunicarse con las cargas de trabajo que están conectadas a la red del consumidor. Estos son algunos de ellos:

Cargas de trabajo en redes conectadas a la red de VPC del consumidor a través de túneles de Cloud VPN, Cloud Interconnect o intercambio de tráfico entre redes de VPC.
Cargas de trabajo que tienen direcciones IP externas a las que se puede acceder desde la red de VPC del consumidor a través de Cloud NAT.
Servicios y APIs de Google a los que se puede acceder desde la red de VPC del consumidor a través del Acceso privado a Google o los Controles del servicio de VPC. Se requiere una configuración adicional para usar los Controles del servicio de VPC con interfaces de Private Service Connect.
Servicios publicados y APIs de Google a los que se puede acceder desde la red de VPC del consumidor a través de los extremos y los backends de Private Service Connect.
Cargas de trabajo en radios de VPC que están conectadas a la red de VPC del consumidor.

**Figura 3.** Una red de VPC del productor que está conectada a una red de VPC del consumidor a través de una conexión de interfaz de Private Service Connect puede comunicarse con cargas de trabajo que están conectadas a la VPC del consumidor (haz clic para agrandar).

Ejemplos de casos de uso

Un caso de uso de ejemplo para las interfaces de Private Service Connect es un servicio administrado que necesita iniciar conexiones a una red de VPC del consumidor para acceder a los datos del consumidor. Es posible que el servicio también necesite acceso a datos o servicios disponibles en la red local de un consumidor, a través de una conexión de VPN o de Cloud Interconnect, o desde un servicio de terceros. Una conexión de interfaz de Private Service Connect puede cumplir con todos estos requisitos.

Otro caso práctico es un servicio administrado que proporciona una puerta de enlace de API. A medida que el servicio recibe llamadas para diferentes API, usa interfaces de Private Service Connect para iniciar conexiones con redes de VPC del consumidor. El servicio de puerta de enlace envía solicitudes a la API a destinos de backend que procesan las solicitudes.

Las interfaces de Private Service Connect y los extremos de Private Service Connect son complementarios y se pueden usar juntos en la misma red de VPC.

Por ejemplo, la figura 4 describe la configuración de red de un servicio administrado que proporciona estadísticas. El servicio de estadísticas puede iniciar conexiones con la red de VPC del consumidor mediante una interfaz de Private Service Connect. Un extremo de Private Service Connect en la red del consumidor permite que el servicio de estadísticas inicie conexiones a un servicio de base de datos en otra red de VPC. El tráfico del servicio de estadísticas al servicio de la base de datos pasa por la red del consumidor, lo que permite que el consumidor supervise y proporcione seguridad para el tráfico entre los dos servicios.

**Figura 4.** Las interfaces de Private Service Connect y los extremos de Private Service Connect son complementarios en esta configuración de ejemplo. La interfaz permite que el servicio de estadísticas inicie conexiones a la red de VPC del consumidor. El extremo permite que el servicio de estadísticas inicie conexiones desde la red de VPC del consumidor al servicio de base de datos (haz clic para agrandar).

Especificaciones

Una interfaz de Private Service Connect es un tipo especial de interfaz de red que se conecta a un adjunto de red. Las especificaciones de la interfaz de red también se aplican a las interfaces de Private Service Connect.
Cuando creas una VM para las interfaces de Private Service Connect, debes crear al menos dos interfaces de red. La primera interfaz de red siempre es la interfaz de red predeterminada, llamada nic0. Esta interfaz se conecta a una subred de productor. La segunda interfaz es una interfaz de Private Service Connect que solicita una conexión a una subred de consumidor. Puedes incluir hasta siete interfaces de Private Service Connect en una sola VM.
Cuando un proyecto de consumidor acepta una conexión desde una interfaz de Private Service Connect, se asigna una dirección IPv4 interna a la interfaz. Esta dirección se toma de la subred que especifica el adjunto de red. Si la subred es de pila doble, también puedes asignarle una dirección IPv6 interna.
Las interfaces de Private Service Connect admiten rangos de IP de alias. Los rangos de IP de alias deben provenir del rango de direcciones IPv4 principal de la subred del adjunto de red.
Google Cloud garantiza que las direcciones IP asignadas a una interfaz de Private Service Connect no se superpongan con los rangos de direcciones de las subredes conectadas a las otras interfaces de red de la VM. Si no hay suficientes direcciones disponibles, la creación de la VM falla.
Una interfaz de Private Service Connect se comunica de la misma manera que una interfaz de red.
Una conexión entre un adjunto de red y una interfaz de Private Service Connect es bidireccional y transitiva. Las cargas de trabajo en la red de VPC del productor pueden iniciar conexiones con cargas de trabajo que están conectadas a la red de VPC del consumidor.

Limitaciones

Una conexión de interfaz de Private Service Connect solo se puede finalizar de las siguientes maneras:
- Un productor borra la VM de la interfaz.
- Un consumidor borra un proyecto que está conectado a una interfaz de Private Service Connect. Esta acción detiene la VM de la interfaz.
- Un consumidor inhabilita la API de Compute Engine en un proyecto que está conectado a una interfaz de Private Service Connect. Esta acción detiene la VM de la interfaz.
Precaución: Google recomienda evitar las arquitecturas multiusuario, en las que varios proyectos de consumidor se conectan a la misma VM de interfaz de Private Service Connect. En una arquitectura multiusuario, si un consumidor finaliza su conexión de interfaz de Private Service Connect, otros consumidores que están conectados a la misma VM también pierden conectividad.
Las interfaces de Private Service Connect no admiten direcciones IP externas.
Una interfaz de Private Service Connect no puede ser el siguiente salto de una regla de reenvío interna.
No puedes asociar directamente interfaces de Private Service Connect con nodos o Pods de Google Kubernetes Engine (GKE). Sin embargo, la salida del servicio es posible con GKE a través de interfaces de Private Service Connect que se configuran en VMs del proxy.

Precios

Los precios de las interfaces de Private Service Connect se describen en la página de precios de VPC.

¿Qué sigue?

Obtén información para crear y administrar interfaces de Private Service Connect.
Completa el codelab de servicios administrados de la interfaz de Private Service Connect.