Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Sobre os serviços publicados

Neste documento, apresentamos uma visão geral de como usar o Private Service Connect para disponibilizar um serviço para os consumidores de serviço.

Como produtor de serviço, use o Private Service Connect para publicar serviços usando endereços IP internos na rede VPC. Os serviços publicados podem ser acessados pelos consumidores de serviços que usam endereços IP internos nas redes VPC.

Para disponibilizar um serviço aos consumidores, crie uma ou mais sub-redes dedicadas. Em seguida, crie um anexo de serviço que se refere a essas sub-redes. O anexo de serviço pode ter diferentes preferências de conexão.

Tipos de consumidor de serviço

Dois tipos de consumidor podem se conectar a um serviço do Private Service Connect:

Os endpoints são baseados em uma regra de encaminhamento:

Figura 1. Um endpoint do Private Service Connect com base em uma regra de encaminhamento permite que os consumidores de serviço enviem tráfego da rede VPC do consumidor para serviços da rede VPC do produtor de serviços (clique para ampliar).

Os endpoints com controles HTTP(S) do consumidor são baseados em um balanceador de carga:

Figura 2. O uso de um balanceador de carga HTTP(S) externo e global permite que os consumidores de serviços com acesso à Internet enviem tráfego para serviços na rede VPC do fornecedor de serviços (clique para ampliar).

Configuração do serviço do Private Service Connect

Ao criar um serviço do Private Service Connect, você configura uma sub-rede, um anexo de serviço e uma preferência de conexão. Também é possível configurar opcionalmente um domínio DNS para o serviço. Essas configurações são descritas nas seções a seguir.

Sub-redes NAT

Os anexos de serviço do Private Service Connect são configurados com uma ou mais sub-redes NAT, também conhecidas como sub-redes do Private Service Connect. Os pacotes da rede VPC do consumidor são convertidos usando a NAT de origem (SNAT) para que os endereços IP de origem sejam convertidos em endereços IP de origem da sub-rede NAT na rede VPC do produtor.

Os anexos de serviço podem ter várias sub-redes NAT. É possível adicionar sub-redes NAT extras ao anexo de serviço a qualquer momento sem interromper o tráfego.

Um anexo de serviço pode ter várias sub-redes NAT configuradas, mas uma sub-rede NAT não pode ser usada em mais de um anexo de serviço.

Não é possível usar as sub-redes do Private Service Connect para recursos como instâncias de VM ou regras de encaminhamento. As sub-redes são usadas apenas para fornecer endereços IP para SNAT de conexões de consumidor recebidas.

Dimensionamento de sub-rede NAT

Ao publicar um serviço, você cria uma sub-rede NAT e escolhe um intervalo de endereços IP. O tamanho da sub-rede determina quantas conexões TCP e UDP de consumidor simultâneas podem usar a conexão do Private Service Connect. Os endereços IP são consumidos na sub-rede NAT de acordo com o uso e a implantação da conexão do Private Service Connect. Se todos os endereços IP na sub-rede NAT forem consumidos, todas as conexões TCP ou UDP adicionais feitas para o endpoint ou back-end do Private Service Connect do consumidor vão falhar. Por isso, é importante dimensionar a sub-rede NAT adequadamente.

Ao escolher um tamanho de sub-rede, considere o seguinte:

  • Existem quatro endereços IP reservados em uma sub-rede NAT, portanto, o número de endereços IP disponíveis é 2 2(32 - PREFIX_LENGTH) - 4. Por exemplo, se você criar uma sub-rede NAT com tamanho de prefixo /24, o Private Service Connect poderá usar 252 dos endereços IP para SNAT. Uma sub-rede /29 com quatro endereços IP disponíveis é o menor tamanho de sub-rede compatível com redes VPC.

  • Se o anexo de serviço foi criado a partir de 1º de março de 2023, as seguintes condições são válidas:

    • Um endereço IP é consumido a partir da sub-rede NAT para cada endpoint do Private Service Connect (com base em uma regra de encaminhamento ou um balanceador de carga) que está conectado ao anexo de serviço.

    • O número de conexões TCP ou UDP, clientes ou redes VPC de consumidor não afeta o consumo de endereços IP da sub-rede NAT

    • Por exemplo, se houver dois endpoints conectados a um único anexo de serviço, dois endereços IP serão consumidos na sub-rede NAT. Se o número de endpoints não mudar, será possível usar uma sub-rede /29 com quatro endereços IP utilizáveis para este anexo de serviço.

  • Se o anexo de serviço foi criado antes de 1º de março de 2023, vale o seguinte:

    • O número de endereços IP consumidos na sub-rede NAT depende do número de VMs e de túneis do Cloud VPN na rede VPC do consumidor. Cada endereço IP NAT é compatível com 64.512 portas de origem TCP e 64.512 portas UDP. Cada porta TCP e UDP aceita 65.536 portas por endereço IP, mas as primeiras 1.024 portas conhecidas (com privilégios) são excluídas. Os endereços IP NAT são divididos em intervalos de portas de origem alocadas em todos os clientes na rede VPC do consumidor.

    • A cada VM da rede VPC consumidora é alocada um mínimo de 256 portas de origem NAT. Mais portas de origem podem ser alocadas para a VM de consumidor se ela tiver aberto mais de 256 conexões TCP ou UDP para um determinado endpoint ou back-end do Private Service Connect. Se uma VM estiver abrindo esse número de portas, uma VM receberá, no máximo, 8.192 portas de origem de um endereço IP NAT.

    • Cada túnel do Cloud VPN na rede VPC consumidora recebe 65.536 portas de origem. O número de portas de origem alocadas não muda com o uso.

    • Por exemplo, uma sub-rede NAT /24 com 252 endereços IP utilizáveis tem uma capacidade de 252 * 64.512 = 16.257.024 portas NAT de origem utilizáveis. Esse tamanho de sub-rede oferece suporte a uma rede VPC do consumidor com quatro túneis do Cloud VPN (262.144 portas NAT de origem) e até 62.480 VMs (15.994.880 portas NAT de origem), se cada VM abrir menos que 256 conexões TCP ou UDP com o endpoint do Private Service Connect (com base em uma regra de encaminhamento ou um balanceador de carga).

Se necessário, sub-redes NAT podem ser adicionadas ao anexo de serviço a qualquer momento sem interromper o tráfego.

Veja outras considerações sobre sub-redes NAT:

  • O tempo limite de inatividade do mapeamento UDP é de 30 segundos e não pode ser configurado.

  • O tempo limite de inatividade da conexão estabelecida TCP é de 20 minutos e não pode ser configurado.

  • O tempo limite de inatividade da conexão TCP transitiva é de 30 segundos e não pode ser configurado.

  • Há um atraso de dois minutos antes que qualquer 5 tuplas (endereço IP de origem da sub-rede do Private Service Connect e porta de origem mais o protocolo de destino, endereço IP e porta de destino) possa ser reutilizada.

  • A SNAT do Private Service Connect não é compatível com fragmentos de IP.

Anexos de serviço

Os produtores de serviços expõem o serviço deles utilizando um anexo.

  • Para expor um serviço, um produtor de serviço cria um anexo de serviço que se refere à regra de encaminhamento do balanceador de carga do serviço.

  • Para acessar um serviço, um consumidor de serviço cria um endpoint que se refere ao anexo de serviço.

O URI do anexo de serviço tem este formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Cada balanceador de carga só pode ser referenciado por um anexo de serviço. Não é possível configurar vários anexos de serviço que usam o mesmo balanceador de carga.

Preferências de conexão

Ao criar um serviço, você escolhe como disponibilizá-lo. Há duas opções:

  • Aceitar conexões automaticamente para todos os projetos: qualquer consumidor de serviço pode configurar um endpoint e se conectar ao serviço automaticamente.

  • Aceitar conexões para projetos selecionados: os consumidores de serviço configuram um endpoint para se conectar ao serviço, e o produtor de serviço aceita ou rejeita as solicitações de conexão.

Configuração do DNS

Para informações sobre a configuração de DNS para serviços e endpoints publicados que se conectam a serviços publicados, consulte Configuração de DNS para serviços.

Geração de registros

É possível ativar os registros de fluxo de VPC nas sub-redes que contêm as VMs de back-end. Os registros mostram fluxos entre as VMs de back-end e os endereços IP na sub-rede do Private Service Connect.

VPC Service Controls

O VPC Service Controls e o Private Service Connect são compatíveis entre si. Se a rede VPC em que o endpoint do Private Service Connect estiver implantado estiver em um perímetro do VPC Service Controls, esse endpoint faz parte do mesmo perímetro. Todos os serviços compatíveis com o VPC Service Controls que são acessados pelo endpoint do Private Service Connect estão sujeitos às políticas desse perímetro do VPC Service Controls.

Ao criar um endpoint do Private Service Connect, as chamadas de API do plano de controle são feitas entre os projetos do consumidor e do produtor para estabelecer uma conexão do Private Service Connect. Estabelecer uma conexão do Private Service Connect entre projetos do consumidor e do produtor que não estão no mesmo perímetro do VPC Service Controls não exige autorização explícita com políticas de saída. A comunicação com os serviços compatíveis com o VPC Service Controls pelo endpoint do Private Service Connect é protegida pelo perímetro do VPC Service Controls.

Preços

Os preços do Private Service Connect são descritos na página de preços da VPC.

Cotas

O número de endpoints do Private Service Connect que pode ser criado para acesso aos serviços publicados é controlado pela cota PSC Internal LB Forwarding Rules. Para mais informações, consulte Cotas.

Acesso no local

Os serviços do Private Service Connect são disponibilizados por endpoints do Private Service Connect. Esses endpoints podem ser acessados de hosts locais conectados e compatíveis. Para mais informações, consulte Acessar o endpoint de hosts locais.

Limitações

  • O Espelhamento de pacotes não pode espelhar pacotes para o tráfego de serviços publicados do Private Service Connect.

  • Os endpoints do Private Service Connect com controles de serviço HTTP(S) do consumidor não aparecem na lista de clientes conectados.

  • Se você criar a sub-rede do Private Service Connect em um projeto host de VPC compartilhada e quiser gerar o anexo de serviço em um projeto de serviço, use a CLI do Google Cloud ou a API para criar esse documento.

  • Para criar um anexo de serviço que aponte para uma regra de encaminhamento usada para encaminhamento de protocolo interno, use a CLI do Google Cloud ou a API.

  • Consulte problemas conhecidos para ver problemas e soluções alternativas.