Criar um back-end do Private Service Connect
É possível usar back-ends do Private Service Connect para se conectar a Serviços com suporte, usando o balanceador de carga para a aplicação de políticas. Você se conecta ao serviço por meio de uma regra de encaminhamento que é mapeada para um back-end que contém um grupo de endpoints de rede (NEG, na sigla em inglês) do Private Service Connect.
Para mais informações sobre serviços e configurações compatíveis, consulte Sobre back-ends do Private Service Connect.
Neste guia, mostramos como adicionar um NEG do Private Service Connect a um balanceador de carga para acessar as APIs do Google ou um serviço publicado. Este guia não inclui a configuração completa do balanceador de carga.
Para instruções que incluem a criação de um balanceador de carga com um back-end do Private Service Connect, consulte:
- Criar um balanceador de carga de aplicativo interno para acessar as APIs do Google
- Criar um balanceador de carga de aplicativo externo global para acessar um serviço publicado
Papéis
O papel Administrador do balanceador de carga do Compute (roles/compute.loadBalancerAdmin
) contém a permissão necessária para executar as tarefas descritas neste guia.
Antes de começar
Determine a que API ou serviço você quer se conectar:
Para APIs do Google, siga um destes procedimentos:
- Escolha um endpoint de serviço regional.
- Escolha um endpoint de serviço global.
Para serviços publicados:
Se você quiser publicar seu próprio serviço, consulte Publicar serviços gerenciados.
Se você estiver se conectando a um serviço publicado do Google Cloud ou de terceiros, solicite as seguintes informações ao produtor:
O URI do anexo de serviço ao qual você quer se conectar.
Quaisquer requisitos para quais nomes de DNS você usa para enviar solicitações. Talvez seja necessário usar nomes DNS específicos na sua configuração do mapa de URL.
Determine qual tipo de balanceador de carga oferece suporte ao serviço ao qual você quer se conectar e verifique se você está familiarizado com o balanceador de carga que está atualizando. Neste guia, descrevemos como adicionar um NEG do Private Service Connect a um balanceador de carga, mas convém executar outras etapas de configuração.
Para obter mais informações, consulte Balanceadores de carga e destinos compatíveis.
Criar um NEG do Private Service Connect
Ao criar um NEG, você escolhe a que tipo de destino ele se conecta:
- Um serviço publicado
- Uma API regional do Google
- Uma API global do Google
Criar um NEG para se conectar a um serviço publicado
Ao criar um NEG do Private Service Connect que aponta para um
serviço publicado, você precisa do URI do anexo de serviço para o serviço. O
anexo de serviço tem este formato:
projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
Para mais informações sobre os balanceadores de carga com suporte para essa configuração, consulte Destinos de serviço publicados.
Console
No console do Google Cloud, acesse a página Grupos de endpoints da rede.
Clique em Criar grupo de endpoints de rede.
Inserir um nome para o grupo de endpoints da rede.
Em Tipo de grupo de endpoints de rede, selecione NEG do Private Service Connect (regional).
Configure o destino:
- Em Destino, selecione Serviço publicado.
- Em Serviço de destino, digite o URI do anexo de serviço.
Selecione a Rede e a Sub-rede para criar o grupo de endpoints da rede.
A sub-rede precisa estar na mesma região do serviço publicado.
Clique em Criar.
gcloud
Use o comando gcloud compute network-endpoint-groups create
:
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=REGION \ --network=NETWORK \ --subnet=SUBNET
Substitua:
NEG_NAME
: um nome para o grupo de endpoints da rede.TARGET_SERVICE
: o URI do anexo de serviço.REGION
: a região em que o grupo de endpoints da rede será criado. A região precisa ser igual à do serviço de destino.NETWORK
: a rede em que o grupo de endpoints da rede será criado. Se omitida, a rede padrão será usada.SUBNET
: a sub-rede em que o grupo de endpoints da rede será criado. A sub-rede precisa estar na mesma região do serviço de destino. Uma sub-rede precisa ser informada se você fornecer a rede. Se a rede e a sub-rede forem omitidas, a rede padrão e a sub-rede padrão naREGION
especificada vão ser usadas.
Criar um NEG para se conectar a uma API regional do Google
É possível criar um NEG para se conectar a uma API regional do Google.
Para mais informações sobre os balanceadores de carga com suporte para essa configuração, consulte Destinos regionais de APIs do Google.
Console
No console do Google Cloud, acesse a página Grupos de endpoints da rede.
Clique em Criar grupo de endpoints de rede.
Inserir um nome para o grupo de endpoints da rede.
Em Tipo de grupo de endpoints de rede, selecione NEG do Private Service Connect (regional).
Configure o destino:
- Em Destino, selecione APIs do Google.
- Selecione uma Região e o Serviço de destino.
Clique em Criar.
gcloud
Use o comando gcloud compute network-endpoint-groups create
:
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=REGION
Substitua:
NEG_NAME
: um nome para o grupo de endpoints da rede.TARGET_SERVICE
: o endpoint de serviço regional que com o qual você quer se conectar.REGION
: a região em que o grupo de endpoints da rede será criado. A região precisa ser igual à do serviço de destino.
Criar um NEG para se conectar a uma API global do Google
É possível criar um NEG do Private Service Connect para se conectar a uma API global do Google. Os NEGs são regionais, mesmo quando estão se conectando a APIs globais. Nessa configuração, a região é ignorada.
Para mais informações sobre os balanceadores de carga com suporte para essa configuração, consulte Destinos de APIs globais do Google.
Para instruções completas sobre como criar um balanceador de carga de aplicativo interno entre regiões e um NEG do Private Service Connect para acessar APIs globais do Google, consulte Acessar APIs globais do Google.
Console
No console do Google Cloud, acesse a página Grupos de endpoints da rede.
Clique em Criar grupo de endpoints de rede.
Inserir um nome para o grupo de endpoints da rede.
Em Tipo de grupo de endpoints de rede, selecione NEG do Private Service Connect (regional).
Configure o destino:
- Em Destino, selecione APIs globais do Google.
- Selecione uma Região e o Serviço de destino.
Clique em Criar.
gcloud
Use o comando gcloud compute network-endpoint-groups create
:
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=REGION
Substitua:
NEG_NAME
: um nome para o grupo de endpoints da rede.TARGET_SERVICE
: a API global do Google a que você quer se conectar.REGION
: a região em que o grupo de endpoints da rede será criado.
Adicionar um back-end do Private Service Connect a um balanceador de carga
É possível configurar um balanceador de carga compatível para direcionar o tráfego para um back-end de NEG do Private Service Connect.
Para obter mais informações sobre configurações compatíveis, consulte Especificações.
Adicionar um back-end a um balanceador de carga de aplicativo
Adicione um NEG a um balanceador de carga de aplicativo externo global, um balanceador de carga de aplicativo interno, um balanceador de carga de aplicativo externo regional ou um balanceador de carga de aplicativo interno entre regiões.
Console
Editar o balanceador de carga
No Console do Google Cloud, acesse a página Balanceamento de carga.
Clique no balanceador de carga que você quer modificar.
Clique em Editar.
Atualizar a configuração de back-end
- Clique em Configuração de back-end.
- Expanda a lista de serviços de back-end e selecione Criar um serviço de back-end.
- Digite um Nome para o serviço de back-end.
- Defina o Tipo de back-end como Grupo de endpoints da rede do Private Service Connect.
- Na seção Back-ends, clique na lista Grupo de endpoints da rede do Private Service Connect e selecione o NEG do Private Service Connect que você criou. Clique em Concluído.
Se você estiver configurando um balanceador de carga de aplicativo externo global para se conectar a um serviço publicado em várias regiões e tiver criado mais de um NEG do Private Service Connect, clique em Adicionar back-end para selecionar outro NEG.
Repita essa etapa até que todos os NEGs do serviço gerenciado sejam adicionados ao serviço de back-end.
Clique em Criar.
Atualizar as regras de roteamento
- Clique em Regras de roteamento.
- Informe um Host e um Caminho para cada serviço de back-end adicionado.
- Para analisar a configuração, clique em Analisar e finalizar.
- Clique em Criar.
gcloud
Atualizar a configuração de back-end
Crie um serviço de back-end para o serviço de destino.
Se você estiver adicionando um serviço de back-end a um balanceador de carga regional, use a sinalização
--region
para especificar a mesma região do balanceador de carga.gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=SCHEME \ --protocol=HTTPS \ --region=REGION
Substitua:
BACKEND_SERVICE_NAME
: o nome do serviço de back-end.SCHEME
: o esquema de balanceamento de carga do balanceador de carga que você está modificando:- Para um balanceador de carga de aplicativo externo regional, use
EXTERNAL_MANAGED
. - Para um balanceador de carga de aplicativo interno, use
INTERNAL_MANAGED
.
- Para um balanceador de carga de aplicativo externo regional, use
REGION
: a região do serviço de back-end. Use a mesma região do NEG.
Se você estiver adicionando o serviço de back-end a um balanceador de carga de aplicativo externo global, use a sinalização
--global
.gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=EXTERNAL_MANAGED \ --protocol=HTTPS \ --global
Substitua
BACKEND_SERVICE_NAME
pelo nome do serviço de back-end.
Adicione o NEG do Private Service Connect que aponta para o serviço de destino.
Se você estiver adicionando um serviço de back-end a um balanceador de carga regional, use a sinalização
--region
para especificar a mesma região do balanceador de carga.gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --region=REGION
Substitua:
BACKEND_SERVICE_NAME
: o nome do serviço de back-end.NEG_NAME
: o nome do grupo de endpoints da rede.NEG_REGION
: o nome do grupo de endpoints da rede.REGION
: a região do serviço de back-end.
Se você estiver adicionando um serviço de back-end a um balanceador de carga de aplicativo externo global, use a sinalização
--global
.Se você tiver criado vários NEGs em regiões diferentes para o mesmo serviço, repita essa etapa para adicionar todos os NEGs ao serviço de back-end.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --global
Substitua:
BACKEND_SERVICE_NAME
: o nome do serviço de back-end.NEG_NAME
: o nome do grupo de endpoints da rede.NEG_REGION
: o nome do grupo de endpoints da rede.
Atualizar as regras de roteamento
Para cada serviço de back-end criado, adicione uma correspondência de caminho ao mapa de URL do balanceador de carga.
Se o mapa de URL for regional, especifique a região com a sinalização
--region
.gcloud compute url-maps add-path-matcher URL_MAP_NAME \ --path-matcher-name=PATH_MATCHER \ --default-service=BACKEND_SERVICE_NAME \ --region=REGION
Substitua:
URL_MAP_NAME
: o nome do mapa de URL.PATH_MATCHER
: um nome para a correspondência de caminho.BACKEND_SERVICE_NAME
: o nome do serviço de back-end.REGION
: a região do mapa de URL.
Se o mapa de URL for global, especifique a sinalização
--global
.gcloud compute url-maps add-path-matcher URL_MAP_NAME \ --path-matcher-name=PATH_MATCHER \ --default-service=BACKEND_SERVICE_NAME \ --global
Substitua:
URL_MAP_NAME
: o nome do mapa de URL.PATH_MATCHER
: um nome para a correspondência de caminho.BACKEND_SERVICE_NAME
: o nome do serviço de back-end.
Para cada nome de host, adicione uma regra de host.
Cada regra de host pode referir-se apenas a uma correspondência de caminho, mas duas ou mais regras podem referenciar a mesma correspondência.
Se o mapa de URL for regional, especifique a região com a sinalização
--region
.gcloud compute url-maps add-host-rule URL_MAP_NAME \ --hosts=HOST \ --path-matcher-name=PATH_MATCHER \ --region=REGION
Substitua:
URL_MAP_NAME
: o nome do mapa de URL.HOST
: nome do host para o qual enviar solicitações para este serviço.PATH_MATCHER
: o nome da correspondência de caminho.REGION
: a região do mapa de URL.
Se o mapa de URL for global, especifique a sinalização
--global
.gcloud compute url-maps add-host-rule URL_MAP_NAME \ --hosts=HOST \ --path-matcher-name=PATH_MATCHER \ --global
Substitua:
URL_MAP_NAME
: o nome do mapa de URL.HOST
: nome do host para o qual enviar solicitações para este serviço.PATH_MATCHER
: o nome da correspondência de caminho.
Adicionar um back-end a um balanceador de carga de rede de proxy interno regional
É possível adicionar um back-end de NEG do Private Service Connect a um balanceador de carga de rede de proxy interno regional se o NEG apontar para um serviço publicado. Os balanceadores de carga de rede de proxy interno regional são compatíveis com apenas um serviço de back-end.
Para configurar o balanceador de carga de rede de proxy interno regional, siga as instruções para configurar um balanceador de carga de rede de proxy interno regional com back-ends zonais, mas não conclua o " Crie as etapas de NEGs zonais ou configure verificações de integridade. Em vez de configurar um NEG zonal, use as instruções a seguir para adicionar o NEG do Private Service Connect criado a um back-end dele.
Console
- No balanceador de carga de rede do proxy interno regional que você está criando, clique em Configuração de back-end.
- Em Tipo de back-end, selecione Grupo de endpoints da rede do Private Service Connect.
- Em Novo back-end, selecione o NEG criado.
- Mantenha os valores padrão restantes e clique em Concluído.
- No Console do Google Cloud, verifique se há uma marca de seleção ao lado de Configuração do back-end. Se não houver, verifique se você concluiu todas as etapas.
gcloud
Crie um serviço de back-end para o serviço de destino.
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=INTERNAL_MANAGED \ --protocol=TCP \ --region=REGION
Substitua:
BACKEND_SERVICE_NAME
: o nome do serviço de back-end.REGION
: a região do serviço de back-end. Use a mesma região do NEG.
Adicione o NEG do Private Service Connect que aponta para o serviço de destino.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --region=REGION
Substitua:
BACKEND_SERVICE_NAME
: o nome do serviço de back-end.NEG_NAME
: o nome do grupo de endpoints da rede.NEG_REGION
: o nome do grupo de endpoints da rede.REGION
: a região do serviço de back-end.
Adicionar um back-end a um balanceador de carga de rede de proxy externo regional
É possível adicionar um back-end de NEG do Private Service Connect a um balanceador de carga de rede de proxy externo regional se o NEG apontar para um serviço publicado. Este balanceador de carga aceita apenas um serviço de back-end.
Para configurar o balanceador de carga, siga as instruções para configurar um balanceador de carga de rede de proxy externo regional com back-ends zonais, mas não conclua a etapa "Criar os NEGs zonais". ou configurar verificações de integridade. Em vez de configurar um NEG zonal, use as instruções a seguir para adicionar o NEG do Private Service Connect criado a um back-end dele.
Console
- No balanceador de carga de rede do proxy externo regional que você está criando, clique em Configuração de back-end.
- Em Tipo de back-end, selecione Grupo de endpoints da rede do Private Service Connect.
- Em Novo back-end, selecione o NEG criado.
- Mantenha os valores padrão restantes e clique em Concluído.
- No Console do Google Cloud, verifique se há uma marca de seleção ao lado de Configuração do back-end. Se não houver, verifique se você concluiu todas as etapas.
gcloud
Crie um serviço de back-end para o serviço de destino.
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=EXTERNAL_MANAGED \ --protocol=TCP \ --region=REGION
Substitua:
BACKEND_SERVICE_NAME
: o nome do serviço de back-end.REGION
: a região do serviço de back-end. Use a mesma região do NEG.
Adicione o NEG do Private Service Connect que aponta para o serviço de destino.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --region=REGION
Substitua:
BACKEND_SERVICE_NAME
: o nome do serviço de back-end.NEG_NAME
: o nome do grupo de endpoints da rede.NEG_REGION
: o nome do grupo de endpoints da rede.REGION
: a região do serviço de back-end.
Listar back-ends
É possível listar todos os back-ends do Private Service Connect configurados.
Console
No Console do Google Cloud, acesse a página do Private Service Connect.
Clique na guia Endpoints conectados.
Os back-ends do Private Service Connect são exibidos na seção Endpoints do balanceador de carga.
Descrever um back-end
É possível descrever um back-end do Private Service Connect para ver os detalhes, incluindo o status da conexão.
Console
- Liste os back-ends disponíveis.
- Clique no back-end que você quer descrever.
Solução de problemas
Erro ao acessar a regra de encaminhamento do balanceador de carga
Se você vir um erro 404
ao tentar acessar a regra de encaminhamento
do balanceador de carga, o erro poderá ter uma das seguintes causas:
O mapa de URL ainda não foi propagado.
Se você acabou de criar o balanceador de carga, aguarde alguns minutos.
O URL que você usa na solicitação não corresponde a um URL definido no mapa.
Verifique se o URL que você está testando corresponde à configuração do mapa de URL no seu balanceador de carga.
O back-end do produtor de serviços não é compatível com o URL que você está tentando acessar
Peça ao produtor de serviços para verificar qual URL usar para acessar o serviço dele.