Sobre o mapeamento de portas do Private Service Connect

Nesta página, você encontra uma visão geral do mapeamento de portas do Private Service Connect.

O mapeamento de portas do Private Service Connect permite que as instâncias de máquina virtual (VM) do consumidor se comuniquem de maneira particular com portas de serviço específicas em VMs de produtores específicos por meio de um único endpoint do Private Service Connect.

Um consumidor de serviço envia tráfego para várias portas de destino do cliente do endpoint. O Private Service Connect usa mapeamentos definidos pelo produtor para encaminhar tráfego à porta de serviço e ao produtor de VM. Em alguns contextos de rede, essa abordagem também é conhecida como encaminhamento de portas.

Comparação entre mapeamento de portas e Private Service Connect normal

Os serviços gerenciados geralmente são projetados como clusters de VMs, em que VMs diferentes representam instâncias separadas do mesmo serviço. Toda VM expõe as mesmas operações nas mesmas portas. Por exemplo, um serviço de banco de dados pode usar a porta 1000 para operações de leitura de banco de dados e a porta 2000 para operações de gravação de banco de dados. As VMs do consumidor se comunicam com instâncias de serviço específicas visando as portas nas VMs associadas à instância de serviço.

Uma conexão regular (com balanceamento de carga) entre um endpoint do Private Service Connect e um anexo de serviço não é ideal para essa situação. Com uma conexão normal do Private Service Connect, as VMs do consumidor enviam tráfego para uma ou mais portas do endereço IP do endpoint. Todo o tráfego é balanceado por carga e enviado para qualquer VM de produtor íntegra configurada como back-end da porta que recebe o tráfego.

Por outro lado, o mapeamento de portas do Private Service Connect elimina o balanceamento de carga. Essa abordagem permite que as VMs do consumidor segmentem portas de serviço específicas de VMs de produtores específicas com base na porta de destino do cliente que recebe o tráfego.

Private Service Connect port mapping forwards traffic from client destination ports of an endpoint to service ports of producer VMs based on mapping that is configured for a port mapping NEG (click to enlarge).

O mapeamento de portas do Private Service Connect permite que as VMs de consumidor se comuniquem com VMs de produtores específicas por meio deste processo:

  1. A VM do consumidor envia pacotes ao endereço IP do endpoint usando uma porta de destino do cliente designada. A porta de destino do cliente atua como um identificador exclusivo da VM e da porta de destino pretendidas do pacote.
  2. O Private Service Connect usa o mapeamento da porta de destino do cliente que recebe o tráfego para determinar o destino do pacote.
  3. O Private Service Connect encaminha o tráfego para a VM de destino e a porta de serviço.

Por exemplo, na figura 1, os pacotes são encaminhados da seguinte forma:

  • Os pacotes enviados para a porta de destino do cliente 1001 do endpoint são encaminhados para a porta de serviço 1000 de vm-1.
  • Os pacotes enviados para a porta de destino do cliente 1002 do endpoint são encaminhados para a porta de serviço 2000 de vm-1.
  • Os pacotes enviados para a porta de destino do cliente 1003 do endpoint são encaminhados para a porta de serviço 1000 de vm-2.
  • Os pacotes enviados para a porta de destino do cliente 1004 do endpoint são encaminhados para a porta de serviço 2000 de vm-2.

Implantação

A implantação de uma conexão de mapeamento de porta do Private Service Connect é diferente da implantação de uma conexão de endpoint normal do Private Service Connect para serviços publicados das seguintes maneiras:

  1. O produtor de serviços cria um serviço de mapeamento de portas. Os serviços de mapeamento de portas usam grupos de endpoints de rede (NEGs, na sigla em inglês) para mapeamento de portas. Essa configuração é semelhante a um balanceador de carga de rede de passagem interna, mas o tráfego não tem balanceamento de carga.
  2. O produtor de serviços configura os endpoints de rede do mapeamento de portas do NEG para especificar mapeamentos de portas de destino do cliente de um endpoint do Private Service Connect para portas de serviço de VMs de produtores específicos.
  3. O produtor de serviços cria um anexo de serviço associado à regra de encaminhamento do serviço de mapeamento de portas.
  4. O produtor de serviços compartilha as portas de destino do cliente e os respectivos mapeamentos com o consumidor do serviço. Isso não é gerenciado automaticamente pelo Google Cloud.
  5. O consumidor de serviço configura cargas de trabalho para se comunicarem com serviços gerenciados usando mapeamentos de porta definidos pelo produtor.

Especificações

O mapeamento de portas do Private Service Connect tem as seguintes especificações:

  • Uma conexão de mapeamento de portas do Private Service Connect requer um endpoint do Private Service Connect em uma rede VPC do consumidor que se conecta a um anexo de serviço em uma rede VPC de produtor.
  • O anexo de serviço está associado a um serviço de mapeamento de portas. Os serviços de mapeamento de portas são configurados de maneira semelhante aos balanceadores de carga de rede de passagem interna, mas o tráfego não tem a carga balanceada. Os serviços de mapeamento de portas são compostos do seguinte:
    • uma regra de encaminhamento que se conecta a um serviço de back-end A regra de encaminhamento precisa ser configurada para o tráfego TCP ou UDP. A regra de encaminhamento precisa ser configurada para encaminhar tráfego para todas as portas de destino do cliente, por exemplo, especificando --ports=ALL na CLI do Google Cloud. No entanto, você só precisa definir mapeamentos no NEG de mapeamento de portas para as portas de destino do cliente que planeja usar.
    • Um serviço de back-end configurado para usar um grupo de endpoints de rede (NEG) de mapeamento de portas. Os produtores de serviços usam os endpoints de rede do NEG de mapeamento de portas para definir mapeamentos exclusivos das portas de destino do cliente do endpoint do Private Service Connect para uma combinação de porta de serviço e VM do produtor.
  • Em vez de fazer o balanceamento de carga do tráfego, o serviço de mapeamento de portas encaminha o tráfego com base apenas nos mapeamentos configurados no NEG de mapeamento de portas.
  • O serviço do produtor precisa compartilhar as portas de destino do cliente válidas e os respectivos mapeamentos com o consumidor. O Private Service Connect não compartilha essas informações com o consumidor.
  • O consumidor precisa configurar as cargas de trabalho para se comunicar com serviços gerenciados usando os mapeamentos de porta definidos pelo produtor.
  • O mapeamento de portas do Private Service Connect é compatível com endpoints do Private Service Connect, independentemente de eles estarem configurados para usar o acesso global.
  • O mapeamento de portas do Private Service Connect oferece suporte ao acesso híbrido. A carga de trabalho local de um consumidor pode alcançar as VMs do produtor acessando o endpoint do Private Service Connect por meio de conexões do Cloud Interconnect ou do Cloud VPN do Google.

Limitações

  • O mapeamento de portas do Private Service Connect não oferece suporte ao tráfego IPv6.
  • As verificações de integridade não são compatíveis com serviços de back-end com NEGs de mapeamento de porta anexados a eles. A validação bloqueia a configuração de uma verificação de integridade se o serviço de back-end tiver um NEG de mapeamento de portas.
  • O mapeamento de portas do Private Service Connect não tem suporte conectar vários anexos de serviço ou regras de encaminhamento à mesma porta; serviço de back-end de mapeamento.

Usar o balanceamento de carga com o mapeamento de portas do Private Service Connect

O mapeamento de portas do Private Service Connect encaminha o tráfego com base apenas na porta de destino do cliente que o recebe. Se você quiser usar o balanceamento de carga com o mapeamento de portas do Private Service Connect, faça o seguinte:

  • Peça ao consumidor para implementar o balanceamento de carga no lado do consumidor. O software executado em VMs de consumidor pode enviar tráfego para portas de destino de cliente alternativas.
  • Crie um segundo anexo de serviço na rede VPC do produtor que se conecte a um balanceador de carga em vez de um serviço de mapeamento de portas. Use as mesmas VMs que estão no NEG de mapeamento de portas como back-ends no serviço de back-end do balanceador de carga. O consumidor pode enviar o tráfego que precisa ter a carga balanceada para um endpoint associado ao segundo anexo de serviço.

Cotas

Para informações sobre cotas e limites relacionados ao mapeamento de portas do Private Service Connect, consulte Cotas e limites.

Preços

Os preços do Private Service Connect são descritos na página de preços da VPC.

A seguir