Información acerca de la automatización de la conectividad de servicios
La automatización de la conectividad de servicios permite que los consumidores del servicio automaticen la implementación de la conectividad a los servicios administrados.
Considera un administrador de bases de datos que implementa una instancia de base de datos y desea permitir que los consumidores de servicios accedan a esa base de datos a través de un extremo de Private Service Connect. Es posible que el administrador de la base de datos no tenga las credenciales ni la experiencia necesarias de Identity and Access Management (IAM) para implementar los recursos de red.
Si un servicio administrado admite la automatización de la conectividad del servicio, la configuración de la instancia de servicio y la configuración de red se pueden delegar a los administradores adecuados:
Los administradores de instancias de servicio pueden controlar qué redes pueden acceder a sus servicios.
Los administradores de red pueden controlar a qué servicios desean permitir conexiones.
Cuando estas configuraciones coinciden, la automatización de la conectividad del servicio crea un extremo en las redes adecuadas, lo que proporciona conectividad a la instancia del servicio administrada.
Descripción general de la automatización de la conectividad de servicios
En la siguiente sección, se describe una configuración básica en una sola red de VPC que usa la automatización de la conectividad de servicios. Para obtener información sobre otras configuraciones, consulta VPC compartida y Servicios de Google con alcance de instancia de servicio personalizado.
La implementación de una instancia de un servicio administrado que admita la automatización de la conectividad del servicio implica los siguientes pasos:
Un administrador de red crea una política de conexión de servicio para la red de VPC.
La política de conexión de servicio hace referencia a una clase de servicio, un recurso único a nivel global que identifica un servicio de productor específico. Una sola política de conexión de servicio tiene alcance en una sola clase de servicio y una sola red de VPC del consumidor, que delega la capacidad de configurar la conectividad dentro de ese alcance.
Un administrador de instancias de servicio implementa una instancia de servicio administrado a través de la API o la IU administrativa del servicio. La configuración de la instancia de servicio especifica qué redes pueden acceder al servicio a través de la automatización de la conectividad del servicio.
La automatización de la conectividad de servicios crea un extremo en la red de VPC del consumidor. Este extremo se puede usar para enviar solicitudes a la instancia del servicio.
Configuración del productor
En las siguientes secciones, se describen los recursos que usan los productores de servicios para configurar la automatización de la conectividad de servicios.
Clases de servicio
Una clase de servicio es una representación global única de un tipo de servicio administrado. Cada productor es el exclusivo propietario de una clase de servicio. Los consumidores hacen referencia a la clase de servicio en sus políticas de conexión de servicio, que autoriza la implementación y delega la conectividad al productor.
Las políticas de conexión de servicio solo se pueden crear para los servicios que tienen una clase de servicio.
Las clases de servicio están disponibles para los servicios publicados por Google. Las clases de servicio también están disponibles en una versión preliminar limitada para servicios de terceros y servicios administrados internos autoalojados. Para obtener más información, consulta Servicios compatibles.
Mapas de conexiones de servicios
Un mapa de conexiones de servicios es un recurso administrado por el productor que almacena detalles para autorizar y establecer conexiones de Private Service Connect entre redes de VPC de consumidores y instancias de servicios administrados por el productor. Este mapa define las relaciones permitidas entre las instancias de servicio del productor (representadas por adjuntos de servicio) y los proyectos del consumidor y las redes de VPC que están autorizadas para conectarse a las instancias de servicio.
Modelo de autorización
Las políticas de conexión de servicio permiten que los consumidores deleguen la implementación de la conectividad a los servicios administrados. El productor del servicio no tiene acceso directo ni privilegios de IAM para el proyecto del consumidor. y configura un mapa de conexiones de servicios en su propio proyecto.
Cuando se crea o se actualiza el mapa de conexiones de servicios, por lo general, en respuesta a una solicitud de un administrador de servicios de consumidor a la API o la IU administrativa del servicio administrado, la automatización de la conectividad de servicios realiza una serie de verificaciones de autorización. Si se aprueban todas las verificaciones, los extremos de Private Service Connect se crean como se especifica en la solicitud.
Configuración de red (política de conexión de servicio):
- Autorización de red. La red de VPC del consumidor debe tener una política de conexión de servicio válida que autorice la red de VPC, la región y la clase de servicio que especifica la solicitud. Esta comprobación ayuda a garantizar que un administrador de red de consumidor con permisos de IAM en la red de VPC delegue de forma explícita la capacidad de crear extremos de Private Service Connect para el tipo de servicio especificado.
- Permiso de la instancia de servicio. Si la instancia de servicio administrada es un servicio de Google
y la política de conexión de servicios especifica un permiso de instancia de servicio
personalizado (
custom-resource-hierarchy-levels
), la automatización de conectividad de servicios verifica la lista de nodos del Administrador de recursos que se proporcionan (--allowed-google-producers-resource-hierarchy-level
). El proyecto que el administrador de la instancia de servicio especificó en la IU o la API del servicio administrado para implementar y administrar la instancia de servicio debe estar dentro del permiso permitido que define esta lista. El alcance puede ser una combinación de organizaciones, carpetas y proyectos. - Validación del proyecto de extremo: El proyecto en el que se crea la política de conexión debe estar asociado con la red de VPC en la que se creará el extremo. El proyecto debe contener la red de VPC o ser un proyecto de servicio conectado a la red de VPC compartida.
Configuración de la instancia de servicio:
Autorización de IAM del administrador del servicio El administrador del servicio consumidor debe tener los permisos de IAM necesarios para crear o actualizar la instancia del servicio de productor. Estos permisos varían según el servicio que se implementa.
Autorización de administrador de la instancia de servicio En la API administrativa del servicio, el administrador de la instancia del servicio que la creó debe haber configurado la instancia para permitir conexiones desde la red de VPC que solicita la conexión.
Configuración del productor:
- Permisos de IAM del productor El administrador del servicio productor que crea o actualiza el mapa de conexiones de servicio debe tener permisos de IAM en la clase de servicio asociada. Esta verificación ayuda a evitar representaciones falsas de una clase de servicio público.
Si se cumple cada condición, la cuenta de servicio de conectividad de red creará los extremos solicitados en las redes autorizadas. La cuenta de servicio de conectividad de red es un agente de servicio.
VPC compartida
La automatización de la conectividad de servicios se puede usar para crear automáticamente extremos de Private Service Connect en redes de VPC compartidas. Como el extremo se configura con una dirección IP de la red de VPC compartida, se puede acceder a él desde el proyecto host y todos los proyectos de servicio adjuntos.
Para crear la configuración que se muestra en el siguiente diagrama, se completan las siguientes tareas:
El administrador de red crea una política de conexión de servicio para la red
vpc1
en el proyecto hostproject1
y permite la conectividad a las instancias de servicio que usan la clase de serviciogoogle-cloud-sql
. Las direcciones IP del extremo se asignan desde la subredendpoint-subnet
.El administrador de instancias de servicio implementa dos instancias de servicio administradas:
db-test
en el proyectoservice-project-test
ydb-prod
en el proyectoservice-project-prod
. El administrador configura la instancia de servicio para permitir que la automatización de la conectividad del servicio implemente extremos en la redvpc1
enproject1
que se conecten a las instancias de servicio.Debido a que todas las verificaciones de autorización se aprueban, la automatización de conectividad de servicios crea dos extremos que se conectan a
endpoint-subnet
, uno para cada instancia de servicio. Todas las VMs que están conectadas a la subredvm-subnet
pueden acceder a los extremos porque están conectadas a la misma red de VPC compartida que los extremos.
Servicios de Google con permiso de la instancia de servicio personalizada
De forma predeterminada, la automatización de la conectividad de servicios requiere que la instancia de servicio y los extremos que se conectan a ella deben estar en el mismo proyecto (o, en el caso de la VPC compartida, en proyectos conectados). En el caso de los servicios de Google compatibles, las instancias de servicio y los extremos de conexión pueden estar en proyectos o organizaciones diferentes.
Para crear la configuración que se muestra en el siguiente diagrama, se completan las siguientes tareas:
Los administradores de red de
vpc-1
,vpc-2
yvpc-3
crean políticas de conexión de servicio en sus respectivas redes de VPC. Permiten la conectividad a instancias de servicio que usan la clase de serviciogoogle-cloud-sql
y se implementan en el proyectoproject-1
en la organizaciónorg-1
.El administrador de la instancia de servicio implementa una instancia de servicio administrado
db-1
enproject-1
a través de la API o la IU administrativa del servicio. El administrador configura la instancia de servicio para permitir que la automatización de la conectividad del servicio implemente extremos envpc-1
yvpc-2
que se conecten adb-1
.Para
vpc-1
yvpc-2
, las verificaciones de autorización son aprobadas y la automatización de la conectividad de servicios crea un extremo en cada red. Las VMs de esas redes pueden enviar tráfico a la instancia de servicio a través de los extremos.Sin embargo, no se crea un extremo en
vpc-3
porque esa red no está configurada para la conectividad automática en la configuración de la instancia de serviciodb-1
.Si
vpc-3
necesita acceder a la instancia del serviciodb-1
, el administrador de red puede comunicarse con el administrador de la base de datos y pedirle que agreguevpc-3
a la configuración de conectividad dedb-1
.
Servicios compatibles
Los siguientes servicios de Google admiten la automatización de la conectividad del servicio.
Para determinar si un servicio administrado de terceros admite políticas de conexión de servicios, comunícate con el proveedor de servicios. Si un servicio admite políticas de conexión de servicios, el proveedor de servicios puede proporcionarte la clase de servicio asociada.
Los recursos de automatización del lado del productor están disponibles en la versión preliminar limitada. Si deseas automatizar la conectividad del consumidor para tu propio servicio administrado, comunícate con tu representante de ventas de Google Cloud.