Información acerca de la automatización de la conectividad de servicios

La automatización de la conectividad de servicios permite que los consumidores del servicio automaticen la implementación de la conectividad a los servicios administrados.

Considera un administrador de bases de datos que implementa una instancia de base de datos y desea permitir que los consumidores de servicios accedan a esa base de datos a través de un extremo de Private Service Connect. Es posible que el administrador de la base de datos no tenga las credenciales ni la experiencia necesarias de Identity and Access Management (IAM) para implementar los recursos de red.

Si un servicio administrado admite la automatización de la conectividad del servicio, la configuración de la instancia de servicio y la configuración de red se pueden delegar a los administradores adecuados:

  • Los administradores de instancias de servicio pueden controlar qué redes pueden acceder a sus servicios.

  • Los administradores de red pueden controlar a qué servicios desean permitir conexiones.

Cuando estas configuraciones coinciden, la automatización de la conectividad del servicio crea un extremo en las redes adecuadas, lo que proporciona conectividad a la instancia del servicio administrada.

Descripción general de la automatización de la conectividad de servicios

En la siguiente sección, se describe una configuración básica en una sola red de VPC que usa la automatización de la conectividad de servicios. Para obtener información sobre otras configuraciones, consulta VPC compartida y Servicios de Google con alcance de instancia de servicio personalizado.

La implementación de una instancia de un servicio administrado que admita la automatización de la conectividad del servicio implica los siguientes pasos:

  1. Un administrador de red crea una política de conexión de servicio para la red de VPC.

    La política de conexión de servicio hace referencia a una clase de servicio, un recurso único a nivel global que identifica un servicio de productor específico. Una sola política de conexión de servicio tiene alcance en una sola clase de servicio y una sola red de VPC del consumidor, que delega la capacidad de configurar la conectividad dentro de ese alcance.

  2. Un administrador de instancias de servicio implementa una instancia de servicio administrado a través de la API o la IU administrativa del servicio. La configuración de la instancia de servicio especifica qué redes pueden acceder al servicio a través de la automatización de la conectividad del servicio.

  3. La automatización de la conectividad de servicios crea un extremo en la red de VPC del consumidor. Este extremo se puede usar para enviar solicitudes a la instancia del servicio.

La automatización de la conectividad de los servicios permite a los consumidores de servicios automatizar la implementación de la conectividad a los servicios administrados (haz clic para ampliar).

Configuración del productor

En las siguientes secciones, se describen los recursos que usan los productores de servicios para configurar la automatización de la conectividad de servicios.

Clases de servicio

Una clase de servicio es una representación global única de un tipo de servicio administrado. Cada productor es el exclusivo propietario de una clase de servicio. Los consumidores hacen referencia a la clase de servicio en sus políticas de conexión de servicio, que autoriza la implementación y delega la conectividad al productor.

Las políticas de conexión de servicio solo se pueden crear para los servicios que tienen una clase de servicio.

Las clases de servicio están disponibles para los servicios publicados por Google. Las clases de servicio también están disponibles en una versión preliminar limitada para servicios de terceros y servicios administrados internos autoalojados. Para obtener más información, consulta Servicios compatibles.

Mapas de conexiones de servicios

Un mapa de conexiones de servicios es un recurso administrado por el productor que almacena detalles para autorizar y establecer conexiones de Private Service Connect entre redes de VPC de consumidores y instancias de servicios administrados por el productor. Este mapa define las relaciones permitidas entre las instancias de servicio del productor (representadas por adjuntos de servicio) y los proyectos del consumidor y las redes de VPC que están autorizadas para conectarse a las instancias de servicio.

Modelo de autorización

Las políticas de conexión de servicio permiten que los consumidores deleguen la implementación de la conectividad a los servicios administrados. El productor del servicio no tiene acceso directo ni privilegios de IAM para el proyecto del consumidor. y configura un mapa de conexiones de servicios en su propio proyecto.

Cuando se crea o se actualiza el mapa de conexiones de servicios, por lo general, en respuesta a una solicitud de un administrador de servicios de consumidor a la API o la IU administrativa del servicio administrado, la automatización de la conectividad de servicios realiza una serie de verificaciones de autorización. Si se aprueban todas las verificaciones, los extremos de Private Service Connect se crean como se especifica en la solicitud.

  • Configuración de red (política de conexión de servicio):

    • Autorización de red. La red de VPC del consumidor debe tener una política de conexión de servicio válida que autorice la red de VPC, la región y la clase de servicio que especifica la solicitud. Esta comprobación ayuda a garantizar que un administrador de red de consumidor con permisos de IAM en la red de VPC delegue de forma explícita la capacidad de crear extremos de Private Service Connect para el tipo de servicio especificado.
    • Permiso de la instancia de servicio. Si la instancia de servicio administrada es un servicio de Google y la política de conexión de servicios especifica un permiso de instancia de servicio personalizado (custom-resource-hierarchy-levels), la automatización de conectividad de servicios verifica la lista de nodos del Administrador de recursos que se proporcionan (--allowed-google-producers-resource-hierarchy-level). El proyecto que el administrador de la instancia de servicio especificó en la IU o la API del servicio administrado para implementar y administrar la instancia de servicio debe estar dentro del permiso permitido que define esta lista. El alcance puede ser una combinación de organizaciones, carpetas y proyectos.
    • Validación del proyecto de extremo: El proyecto en el que se crea la política de conexión debe estar asociado con la red de VPC en la que se creará el extremo. El proyecto debe contener la red de VPC o ser un proyecto de servicio conectado a la red de VPC compartida.
  • Configuración de la instancia de servicio:

    • Autorización de IAM del administrador del servicio El administrador del servicio consumidor debe tener los permisos de IAM necesarios para crear o actualizar la instancia del servicio de productor. Estos permisos varían según el servicio que se implementa.

    • Autorización de administrador de la instancia de servicio En la API administrativa del servicio, el administrador de la instancia del servicio que la creó debe haber configurado la instancia para permitir conexiones desde la red de VPC que solicita la conexión.

  • Configuración del productor:

    • Permisos de IAM del productor El administrador del servicio productor que crea o actualiza el mapa de conexiones de servicio debe tener permisos de IAM en la clase de servicio asociada. Esta verificación ayuda a evitar representaciones falsas de una clase de servicio público.

Si se cumple cada condición, la cuenta de servicio de conectividad de red creará los extremos solicitados en las redes autorizadas. La cuenta de servicio de conectividad de red es un agente de servicio.

VPC compartida

La automatización de la conectividad de servicios se puede usar para crear automáticamente extremos de Private Service Connect en redes de VPC compartidas. Como el extremo se configura con una dirección IP de la red de VPC compartida, se puede acceder a él desde el proyecto host y todos los proyectos de servicio adjuntos.

Para crear la configuración que se muestra en el siguiente diagrama, se completan las siguientes tareas:

  1. El administrador de red crea una política de conexión de servicio para la red vpc1 en el proyecto host project1 y permite la conectividad a las instancias de servicio que usan la clase de servicio google-cloud-sql. Las direcciones IP del extremo se asignan desde la subred endpoint-subnet.

  2. El administrador de instancias de servicio implementa dos instancias de servicio administradas: db-test en el proyecto service-project-test y db-prod en el proyecto service-project-prod. El administrador configura la instancia de servicio para permitir que la automatización de la conectividad del servicio implemente extremos en la red vpc1 en project1 que se conecten a las instancias de servicio.

  3. Debido a que todas las verificaciones de autorización se aprueban, la automatización de conectividad de servicios crea dos extremos que se conectan a endpoint-subnet, uno para cada instancia de servicio. Todas las VMs que están conectadas a la subred vm-subnet pueden acceder a los extremos porque están conectadas a la misma red de VPC compartida que los extremos.

Puedes usar una política de conexión de servicio en una red de VPC compartida para crear conectividad con instancias de servicio que se implementan en proyectos de servicio (haz clic para ampliar).

Servicios de Google con permiso de la instancia de servicio personalizada

De forma predeterminada, la automatización de la conectividad de servicios requiere que la instancia de servicio y los extremos que se conectan a ella deben estar en el mismo proyecto (o, en el caso de la VPC compartida, en proyectos conectados). En el caso de los servicios de Google compatibles, las instancias de servicio y los extremos de conexión pueden estar en proyectos o organizaciones diferentes.

Para crear la configuración que se muestra en el siguiente diagrama, se completan las siguientes tareas:

  1. Los administradores de red de vpc-1, vpc-2 y vpc-3 crean políticas de conexión de servicio en sus respectivas redes de VPC. Permiten la conectividad a instancias de servicio que usan la clase de servicio google-cloud-sql y se implementan en el proyecto project-1 en la organización org-1.

  2. El administrador de la instancia de servicio implementa una instancia de servicio administrado db-1 en project-1 a través de la API o la IU administrativa del servicio. El administrador configura la instancia de servicio para permitir que la automatización de la conectividad del servicio implemente extremos en vpc-1 y vpc-2 que se conecten a db-1.

  3. Para vpc-1 y vpc-2, las verificaciones de autorización son aprobadas y la automatización de la conectividad de servicios crea un extremo en cada red. Las VMs de esas redes pueden enviar tráfico a la instancia de servicio a través de los extremos.

    Sin embargo, no se crea un extremo en vpc-3 porque esa red no está configurada para la conectividad automática en la configuración de la instancia de servicio db-1.

    Si vpc-3 necesita acceder a la instancia del servicio db-1, el administrador de red puede comunicarse con el administrador de la base de datos y pedirle que agregue vpc-3 a la configuración de conectividad de db-1.

Puedes automatizar la conectividad a los servicios de Google compatibles desde diferentes proyectos, carpetas u organizaciones (haz clic para ampliar).

Servicios compatibles

Los siguientes servicios de Google admiten la automatización de la conectividad del servicio.

Servicio de Google Acceso proporcionado
Cloud SQL Te permite automatizar la creación de conexiones a instancias de Cloud SQL.
Memorystore for Redis Cluster Te permite automatizar la creación de conexiones a instancias de Memorystore for Redis Cluster.
Memorystore para Valkey Te permite automatizar la creación de conexiones a instancias de Memorystore para Valkey.
Vector Search de Vertex AI Te permite automatizar la creación de conexiones con los extremos de Vector Search.

Para determinar si un servicio administrado de terceros admite políticas de conexión de servicios, comunícate con el proveedor de servicios. Si un servicio admite políticas de conexión de servicios, el proveedor de servicios puede proporcionarte la clase de servicio asociada.

Los recursos de automatización del lado del productor están disponibles en la versión preliminar limitada. Si deseas automatizar la conectividad del consumidor para tu propio servicio administrado, comunícate con tu representante de ventas de Google Cloud.