Acerca de las políticas de conexión de servicios
En esta página, se proporciona una descripción general de las políticas de conexión de servicio.
Los consumidores de servicios pueden crear políticas de conexión de servicio que automaticen la implementación y la conectividad para instancias de servicio administradas aptas. Este proceso se llama automatización de la conectividad del servicio de Private Service Connect.
Por ejemplo, un administrador de servicios de consumidor puede ser un administrador de base de datos que implementa una base de datos y, luego, configura Private Service Connect para llegar a esa base de datos. Sin embargo, es posible que el administrador de la base de datos no tenga las credenciales de Identity and Access Management (IAM) requeridas o conocimiento sobre cómo implementar los recursos de la red. Si existe una política de conexión de servicios y el servicio del productor está configurado para la automatización de servicios, el administrador de la base de datos puede solicitar que se implemente una instancia del servicio de productor y se conecte a su red a través de la automatización de la conectividad del servicio.
Las políticas de conexión de servicio son útiles para los siguientes roles:
- Los administradores de servicios de consumidor pueden implementar instancias de servicios de productor administrados y configurar su conectividad a través de la API o la IU administrativa del servicio de productor. No hay pasos adicionales para configurar Private Service Connect.
- Los administradores de red pueden crear un solo conjunto de políticas que controlen qué servicios y subredes se usan para la conectividad.
- Los productores de servicios pueden simplificar el proceso de compartir adjuntos de servicio y guiar a los consumidores a través de la implementación de la conectividad. Los consumidores con políticas de conexión de servicio pueden configurar un servicio de productor a través de la API o la IU administrativa del productor.
Implementación de instancia de servicio
La implementación de una instancia de un servicio administrado a través de las políticas de conexión de servicio implica los siguientes pasos, que se muestran en la figura 1:
Un administrador de red del consumidor crea una política de conexión de servicio para la red de VPC. De forma opcional, esta red puede ser una red de VPC compartida.
La política de conexión de servicio permite que Google implemente automáticamente los extremos de Private Service Connect en nombre del administrador de servicios de consumidor. La política de conexión de servicio hace referencia a una clase de servicio, un recurso único a nivel global que identifica un servicio de productor específico. Una sola política de conexión de servicio tiene alcance en una sola clase de servicio y una sola red de VPC del consumidor, que delega la capacidad de configurar la conectividad dentro de ese alcance.
Un administrador de servicios de consumidor implementa una instancia de servicio administrado y configura la conectividad a esa instancia a través de la API o la UI administrativa del servicio.
Si creaste la política de conexión de servicio en una red de VPC compartida, puedes implementar la instancia de servicio administrado en un proyecto de servicio adjunto.
El productor recibe la configuración de conectividad del consumidor y pasa esta información a un mapa de conexiones de servicios.
La cuenta de servicio de Conectividad de red crea un extremo en la red de VPC del consumidor. Este extremo se conecta a un adjunto de servicio en la red de VPC del productor.
Servicios compatibles
Para averiguar si un servicio administrado admite políticas de conexión de servicios, comunícate con el proveedor de servicios. Si un servicio admite políticas de conexión de servicios, el proveedor de servicios puede proporcionarte la clase de servicio asociada.
Las clases de servicio, que permiten a los productores automatizar sus servicios en nombre de los consumidores, están disponibles para los productores en la vista previa limitada. Si deseas obtener información para automatizar la conectividad para tus propios servicios administrados a través de clases de servicio, comunícate con tu representante de ventas de Google Cloud.
Políticas de conexión de servicios
Una política de conexión de servicios es un recurso regional de Google Cloud. Permite que un administrador de red especifique qué servicios de productor se pueden implementar y conectar a través de la automatización de la conectividad del servicio. Si existe una política de conexión de servicio para un servicio administrado, un administrador de servicios de consumidor puede implementar ese servicio.
Las políticas de conexión de servicio tienen las siguientes especificaciones:
- Clase de servicio: especifica el tipo de servicio administrado para el que se crea la política. Cada productor que admite políticas de conexión de servicio tiene su propia clase de servicio única a nivel global.
- Red de VPC: especifica la red de VPC para la que se aplica la política.
- Subredes: especifica las subredes desde las que se asignan las direcciones IP para los extremos de Private Service Connect.
- Límite de conexiones: Especifica la cantidad máxima de conexiones de Private Service Connect que un productor puede crear en la red de VPC y en la región de la política.
Especificaciones
Las políticas de conexión de servicio tienen las siguientes especificaciones:
- Puedes crear una sola política de conexión de servicio por una combinación de red, región y clase de servicio. Esto garantiza que solo una política rija la creación de cualquier extremo de Private Service Connect.
- Si existe una política de conexión de servicios para una clase de servicio determinada, los administradores de servicios de consumidores pueden usar la IU o la API de servicio del administrativa para implementar ese servicio y configurar la conectividad a través de la automatización de conectividad de servicios.
- Las subredes que se incluyen en la configuración de la política de conexión de servicio proporcionan direcciones IP que se asignan a los extremos de Private Service Connect. Estas subredes deben ser subredes normales y deben estar en la misma región que la política de conexión de servicio. Las subredes regulares son diferentes de las subredes de Private Service Connect.
- Como práctica recomendada, Google recomienda usar subredes dedicadas con políticas de conexión de servicio. Esto ayuda a garantizar que las direcciones IP de las subredes no se vuelvan a usar para diferentes recursos.
- Las políticas de conexión de servicio solo se pueden crear en el mismo proyecto que la red de VPC a la que se aplica la política.
- Si deseas usar la automatización del servicio de Private Service Connect con varias redes de VPC que se encuentran en el mismo proyecto, crea una política de conexión de servicio para cada red.
- Puedes usar las políticas de conexión de servicio con la VPC compartida.
Configuración del productor
En las siguientes secciones, se describen los recursos que usan los productores de servicios para configurar la automatización de la conectividad del servicio.
Mapa de conexión de servicio
Un mapa de conexiones de servicio es un recurso del lado del productor que permite a un productor especificar una asignación entre los adjuntos de servicio y los extremos de Private Service Connect. Este mapa contiene una lista de combinaciones de redes de proyecto y red de VPC que se pueden asignar a una lista de adjuntos de servicio.
Los productores usan mapas de conexión de servicio para definir qué proyectos de consumidor y redes de Private Service Connect se usan cuando se crean extremos a través de la automatización del servicio.
Cuando un administrador del servicio consumidor realiza una solicitud para que una instancia de servicio se implemente a través de la automatización de la conectividad del servicio, especifica una red de VPC. El servicio administrado usa esta información para actualizar el mapa de conexión del servicio correspondiente y especificar a qué adjunto de servicio se conectará al consumidor.
Clase del servicio
Una clase de servicio es una representación única a nivel global de un tipo de servicio administrado. Cada productor es el propietario exclusivo de su clase de servicio. Los consumidores hacen referencia a la clase de servicio en sus políticas de conexión de servicio, autorizan la implementación y delega la conectividad al productor.
Puede haber clases de servicio publicadas por Google, servicios de terceros y servicios administrados internos que se alojan a sí mismos. Las políticas de conexión de servicios solo se pueden crear para los servicios que tienen una clase de servicio.
Modelo de autorización
Las políticas de conexión de servicios permiten que los consumidores deleguen la implementación de la conectividad a los productores. El productor no tiene acceso directo ni privilegios de IAM para el proyecto de consumidor. En su lugar, el productor configura un mapa de conexión de servicio en su propio proyecto. Esto permite que el productor especifique los proyectos de consumidor y las redes de VPC en las que se implementarán extremos.
Cuando un productor crea o actualiza un mapa de conexiones de servicios, Google Cloud realiza las siguientes comprobaciones de autorización:
- El usuario productor que crea o actualiza el mapa de conexión tiene la propiedad de IAM de la clase de servicio asociada. Esta comprobación ayuda a evitar representaciones falsas de una clase de servicio público.
- La red del consumidor tiene una política de conexión de servicio válida que autoriza la red de VPC, la región y la clase de servicio que especifica el mapa de conexión de servicio. Esta comprobación garantiza que un administrador con permisos de IAM a la red de VPC delegue de forma explícita la capacidad de crear extremos de Private Service Connect para el tipo de servicio especificado.
- El proyecto que el consumidor especificó para la conectividad en la IU o la API del servicio administrado está asociado con la instancia del servicio administrado. Esta comprobación ayuda a evitar la falsificación de identidad o engañar a un servicio administrado para que cree conectividad para proyectos no autorizados.
Si se cumple cada condición, la cuenta de servicio de Conectividad de red creará los extremos solicitados en la red del consumidor. La cuenta de servicio de Conectividad de red es una cuenta de servicio administrada por Google.
Limitaciones
- Las políticas de conexión del servicio solo admiten la automatización de los extremos de Private Service Connect dentro de una red de VPC del consumidor. No se admiten backends de servicio ni adjuntos de servicio de Private Service Connect.
- No puedes borrar de forma directa los extremos de Private Service Connect que se crean a través de la automatización de la conectividad del servicio. Para activar la eliminación de estos extremos, realiza el retiro de conectividad del servicio.
- Solo puedes actualizar las subredes y el límite de conexión para una política de conexión de servicio. Si deseas actualizar otros campos, borra la política y crea una nueva.
- Las políticas de conexión de servicio admiten la creación de extremos con direcciones IPv4. No se admite la creación de extremos que tengan direcciones IPv6.
Precios
Los precios de Private Service Connect se describen en la página de precios de VPC.