Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Acerca de los servicios publicados

En este documento, se proporciona una descripción general del uso de Private Service Connect para que un servicio esté disponible para los consumidores de servicios.

Como productor de servicios, puedes usar Private Service Connect para publicar servicios mediante direcciones IP internas en tu red de VPC. Los consumidores de servicios pueden acceder a los servicios publicados mediante direcciones IP internas en sus redes de VPC.

Para que un servicio esté disponible para los consumidores, debes crear una o más subredes dedicadas. Luego, debes crear un adjunto de servicio que haga referencia a esas subredes. El adjunto del servicio puede tener preferencias de conexión diferentes.

Tipos de consumidores de servicios

Existen dos tipos de consumidores que pueden conectarse a un servicio de Private Service Connect:

Los extremos se basan en una regla de reenvío:

Figura 1. Un extremo de Private Service Connect basado en una regla de reenvío permite que los consumidores de servicios envíen tráfico desde la red de VPC del consumidor a servicios en la red de VPC del productor de servicios (haz clic para ampliar).

Los extremos con controles de HTTP(S) de consumidor se basan en un balanceador de cargas:

Figura 2. El uso de un balanceador de cargas HTTP(S) externo global permite que los consumidores de servicios con acceso a Internet envíen tráfico a los servicios en la red de VPC del productor de servicios (haz clic para ampliar).

Configuración del servicio de Private Service Connect

Cuando creas un servicio de Private Service Connect, configuras una subred, un adjunto de servicio y una preferencia de conexión. De forma opcional, también puedes configurar un dominio DNS para el servicio. Estas opciones se describen en la siguiente sección.

Subredes NAT

Los adjuntos del servicio de Private Service Connect se configuran con una o más subredes NAT (también conocidas como subredes de Private Service Connect). Los paquetes de la red de VPC del consumidor se traducen mediante NAT de origen (SNAT) para que sus direcciones IP de origen originales se conviertan en direcciones IP de origen de la subred NAT en la red de VPC del productor.

Los adjuntos de servicio pueden tener varias subredes NAT. Se pueden agregar subredes NAT al adjunto de servicio en cualquier momento sin interrumpir el tráfico.

Si bien un adjunto de servicio puede tener varias subredes NAT configuradas, no se puede usar una subred NAT en más de un adjunto de servicio.

Las subredes NAT de Private Service Connect no se pueden usar para recursos como instancias de VM o reglas de reenvío. Las subredes se usan solo a fin de proporcionar direcciones IP para la SNAT de las conexiones entrantes de consumidores.

Tamaño de subred NAT

Cuando publicas un servicio, debes crear una subred NAT y elegir un rango de direcciones IP. El tamaño de la subred determina cuántas conexiones TCP y UDP de consumidor simultáneas pueden usar la conexión de Private Service Connect. Las direcciones IP se consumen desde la subred NAT según el uso y la implementación de la conexión de Private Service Connect. Si se consumen todas las direcciones IP en la subred NAT, cualquier conexión TCP o UDP adicional que se realice al extremo o backend de Private Service Connect del consumidor falla. Por esta razón, es importante dimensionar correctamente la subred de NAT.

Cuando elijas el tamaño de una subred, ten en cuenta lo siguiente:

  • Hay cuatro direcciones IP reservadas en una subred NAT, por lo que la cantidad de direcciones IP disponibles es de 2(32 - PREFIX_LENGTH) - 4. Por ejemplo, si creas una subred de NAT con una longitud de prefijo de /24, Private Service Connect puede usar 252 de las direcciones IP para SNAT. Una subred /29 con 4 direcciones IP disponibles es el tamaño de subred más pequeño compatible con las redes de VPC.

  • Si el adjunto de servicio se creó el 1 de marzo de 2023 o después de esa fecha, se aplica lo siguiente:

    • Se consume una dirección IP desde la subred NAT para cada extremo de Private Service Connect (de acuerdo con una regla de reenvío o un balanceador de cargas) que está conectado al adjunto de servicio.

    • La cantidad de conexiones TCP o UDP, clientes o redes de VPC del consumidor no afecta el consumo de direcciones IP de la subred NAT.

    • Por ejemplo, si hay dos extremos conectados a un solo adjunto de servicio, se consumen dos direcciones IP desde la subred NAT. Si la cantidad de extremos no cambia, puedes usar una subred /29 con 4 direcciones IP utilizables para este adjunto de servicio.

  • Si el adjunto de servicio se creó antes del 1 de marzo de 2023, se aplica lo siguiente:

    • La cantidad de direcciones IP consumidas desde la subred de NAT depende de la cantidad de VMs y túneles de Cloud VPN en la red de VPC del consumidor. Cada dirección IP de NAT es compatible con 64,512 puertos de origen de TCP y 64,512 puertos de origen de UDP. TCP y UDP admiten 65,536 puertos por dirección IP, pero se excluyen los primeros 1,024 puertos conocidos (privilegiados). Las direcciones IP de NAT se dividen en rangos de puertos de origen que se asignan a todos los clientes en la red de VPC de consumidor.

    • A cada VM de la red de VPC del consumidor se le asigna un mínimo de 256 puertos de origen de NAT. Se pueden asignar más puertos de origen a la VM de consumidor si esa VM abrió más de 256 conexiones TCP o UDP a un extremo o backend de Private Service Connect determinado. A una VM se le asigna un máximo de 8,192 puertos de origen desde una dirección IP de NAT si esa VM abre esa cantidad de conexiones.

    • Cada túnel de Cloud VPN en la red de VPC del consumidor tiene 65,536 puertos de origen asignados. La cantidad de puertos de origen asignados no cambia con el uso.

    • Por ejemplo, una subred NAT /24 con 252 direcciones IP utilizables tiene una capacidad de 252 * 64,512 = 16,257,024 puertos NAT de origen utilizables. Este tamaño de subred admite una red de VPC de consumidor con cuatro túneles de Cloud VPN (262,144 puertos NAT de origen) y hasta 62,480 VMs (15,994,880 puertos NAT de origen), si cada VM abre menos de 256 conexiones TCP o UDP al extremo de Private Service Connect (según una regla de reenvío o un balanceador de cargas).

Si es necesario, se pueden agregar subredes NAT al adjunto del servicio en cualquier momento sin interrumpir el tráfico.

Entre otras consideraciones para las subredes NAT, se incluyen las siguientes:

  • El tiempo de espera de inactividad de la asignación de UDP es de 30 segundos y no se puede configurar.

  • El tiempo de espera de inactividad de la conexión establecida de TCP es de 20 minutos y no se puede configurar.

  • El tiempo de espera de inactividad de la conexión transitoria de TCP es de 30 segundos y no se puede configurar.

  • Existe una demora de dos minutos antes de que se pueda volver a usar cualquier tupla de 5 tuplas (la dirección IP de origen de la subred NAT y el puerto de origen, el protocolo de destino, la dirección IP y el puerto de destino).

  • SNAT para Private Service Connect no admite fragmentos de IP.

Adjuntos de servicio

Los productores de servicios exponen sus servicios a través de un adjunto de servicio.

  • Para exponer un servicio, un productor de servicios crea un adjunto de servicio que haga referencia a la regla de reenvío del balanceador de cargas del servicio.

  • Para acceder a un servicio, un consumidor de servicios crea un extremo que hace referencia al adjunto del servicio.

El URI del adjunto de servicio tiene este formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Solo se puede hacer referencia a cada balanceador de cargas mediante un solo adjunto de servicio. No puedes configurar varios adjuntos de servicio que usen el mismo balanceador de cargas.

Preferencias de conexión

Cuando creas un servicio, eliges cómo ponerlo a disposición. Existen dos opciones:

  • Aceptar conexiones de forma automática en todos los proyectos: Cualquier consumidor de servicios puede configurar un extremo y conectarse al servicio de manera automática.

  • Aceptar conexiones para proyectos seleccionados: Los consumidores de servicios configuran un extremo para conectarse al servicio, y el productor de servicios acepta o rechaza las solicitudes de conexión.

Configuración de DNS

Si deseas obtener información sobre la configuración de DNS para los servicios publicados y los extremos que se conectan a los servicios publicados, consulta Configuración de DNS para servicios.

Registros

Puedes habilitar los registros de flujo de VPC en las subredes que contienen las VM de backend. Los registros muestran flujos entre las VM de backend y las direcciones IP en la subred de Private Service Connect.

Controles del servicio de VPC

Los Controles del servicio de VPC y Private Service Connect son compatibles entre sí. Si la red de VPC en la que se implementa el extremo de Private Service Connect está en un perímetro de Controles del servicio de VPC, el extremo de Private Service Connect forma parte del mismo perímetro. Cualquier servicio admitido por los Controles del servicio de VPC a los que se accede a través del extremo de Private Service Connect está sujeto a las políticas de ese perímetro de los Controles del servicio de VPC.

Cuando creas un extremo de Private Service Connect, las llamadas a la API del plano de control se realizan entre los proyectos del consumidor y del productor para establecer una conexión de Private Service Connect. Establecer una conexión de Private Service Connect entre los proyectos del consumidor y del productor que no están en el mismo perímetro de los Controles del servicio de VPC no requiere una autorización explícita con políticas de salida. La comunicación con los servicios compatibles con los Controles del servicio de VPC a través del extremo de Private Service Connect está protegida por el perímetro de los Controles del servicio de VPC.

Precios

Los precios de Private Service Connect se describen en la página de precios de VPC.

Cuotas

La cuota de PSC Internal LB Forwarding Rules controla la cantidad de extremos de Private Service Connect que puedes crear para acceder a los servicios publicados. Para obtener más información, consulta Cuotas.

Acceso local

Los servicios de Private Service Connect están disponibles mediante los extremos de Private Service Connect. Se puede acceder a estos extremos desde hosts locales conectados compatibles. Para obtener más información, consulta Accede al extremo desde hosts locales.

Limitaciones

  • Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.

  • Los extremos de Private Service Connect con controles de servicios HTTP(S) de consumidor no aparecen en la lista de clientes conectados.

  • Si creas la subred de Private Service Connect en un proyecto host de VPC compartida y deseas crear el adjunto de servicio en un proyecto de servicio, debes usar Google Cloud CLI o la API para crear el adjunto de servicio.

  • Si deseas crear un adjunto de servicio que apunte a una regla de reenvío que se usa para el reenvío de protocolos internos, debes usar Google Cloud CLI o la API.

  • Consulta la sección Problemas conocidos para revisar problemas y soluciones alternativas.