Crea un backend de Private Service Connect

Puedes usar backends de Private Service Connect a fin de conectarte a servicios compatibles mediante un balanceador de cargas para la aplicación de políticas. Debes conectarte al servicio a través de una regla de reenvío asignada a un backend que contiene un grupo de extremos de red (NEG) de Private Service Connect.

Para obtener más información sobre los servicios y las configuraciones compatibles, consulta Acerca de los backends de Private Service Connect.

En esta guía, se muestra cómo agregar un NEG de Private Service Connect a un balanceador de cargas para acceder a las APIs de Google o a un servicio publicado. En esta guía, no se incluye la configuración completa del balanceador de cargas.

Para obtener instrucciones que incluyan la creación de un balanceador de cargas con un backend de Private Service Connect, consulta lo siguiente:

Funciones

El rol de administrador de balanceadores de cargas de Compute (roles/compute.loadBalancerAdmin) contiene el permiso necesario para hacer las tareas descritas en esta guía.

Antes de comenzar

  1. Determina a qué API o servicio deseas conectarte:

    • Para las APIs de Google:

    • Para servicios publicados:

      • Si deseas publicar tu propio servicio, consulta Publica servicios administrados.

      • Si te conectas a Google Cloud o a un servicio administrado de terceros, pídele al productor la siguiente información:

        • El URI del adjunto del servicio para el servicio al que deseas conectarte.

        • Todos los requisitos sobre qué nombres de DNS usar a fin de enviar solicitudes. Es posible que debas usar nombres de DNS específicos en la configuración de mapa de URL.

  2. Determina qué tipo de balanceador de cargas admite el servicio al que deseas conectarte y asegúrate de estar familiarizado con el balanceador de cargas que actualizas. En esta guía, se describe cómo agregar un NEG de Private Service Connect a un balanceador de cargas, pero es posible que desees realizar pasos de configuración adicionales.

    Para obtener más información, consulta Balanceadores de cargas y destinos admitidos.

Crea un NEG de Private Service Connect

Cuando creas un NEG, debes elegir a qué tipo de destino se conectará:

  • Un servicio publicado
  • Una API de Google de ubicación
  • Una API de Google global

Crea un NEG para conectarte a un servicio publicado

Cuando creas un NEG de Private Service Connect que apunta a un servicio publicado, necesitas el URI del adjunto de servicio para el servicio. El adjunto de servicio tiene este formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Para obtener información sobre los balanceadores de cargas compatibles con esta configuración, consulta Destinos del servicio publicado.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de extremos de red.

    Ir a Grupos de extremos de red

  2. Haz clic en Crear un grupo de extremos de red.

  3. Ingresa un nombre para el grupo de extremos de red.

  4. En Tipo de grupo de extremos de red, selecciona Private Service Connect NEG (Regional).

  5. Configura el destino:

    1. En Destino, selecciona Servicio publicado.
    2. En Servicio de destino, ingresa el URI del adjunto del servicio.

    3. Selecciona la Red y Subred para crear el grupo de extremos de red.

      La subred debe estar en la misma región que el servicio publicado.

  6. Haz clic en Crear.

gcloud

Usa el comando gcloud compute network-endpoint-groups create:

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION \
    --network=NETWORK \
    --subnet=SUBNET

Reemplaza lo siguiente:

  • NEG_NAME: un nombre para el grupo de extremos de red.

  • TARGET_SERVICE: El URI del adjunto del servicio.

  • REGION: la región en la que se creará el grupo de extremos de red. La región debe ser la misma que la del servicio de destino.

  • NETWORK: la red en la que se creará el grupo de extremos de red. Si se omite, se usa la red predeterminada.

  • SUBNET: la subred en la que se creará el grupo de extremos de red. La subred debe estar en la misma región que el servicio de destino. Se proporciona una subred si proporcionas la red. Si se omiten la red y la subred, se usa la red predeterminada, y se usa la subred predeterminada en el REGION especificado.

Crea un NEG para conectarte a una API de Google global

Puedes crear un NEG para conectarte a una API de Google de ubicación.

Para obtener información sobre los balanceadores de cargas compatibles con esta configuración, consulta Objetivos de la API de Google para ubicaciones.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de extremos de red.

    Ir a Grupos de extremos de red

  2. Haz clic en Crear un grupo de extremos de red.

  3. Ingresa un nombre para el grupo de extremos de red.

  4. En Tipo de grupo de extremos de red, selecciona Private Service Connect NEG (Regional).

  5. Configura el destino:

    1. En Destino, selecciona APIs de Google.
    2. Selecciona una Región y el Servicio de destino.

  6. Haz clic en Crear.

gcloud

Usa el comando gcloud compute network-endpoint-groups create:

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION

Reemplaza lo siguiente:

  • NEG_NAME: un nombre para el grupo de extremos de red.

  • TARGET_SERVICE: Los extremos regionales del servicio a los que deseas conectarte.

  • REGION: La región en la que se creará el grupo de extremos de red. La región debe ser la misma que la del servicio de destino.

Crea un NEG para conectarte a una API de Google global

Puedes crear un NEG de Private Service Connect para conectarte a una API de Google global. Los NEG son regionales, incluso cuando se conectan a API globales. En esta configuración, se ignora la región.

Para obtener información sobre los balanceadores de cargas compatibles con esta configuración, consulta Destinos de la API de Google global.

Consola

  1. En la consola de Google Cloud, ve a la página Grupos de extremos de red.

    Ir a Grupos de extremos de red

  2. Haz clic en Crear un grupo de extremos de red.

  3. Ingresa un nombre para el grupo de extremos de red.

  4. En Tipo de grupo de extremos de red, selecciona Private Service Connect NEG (Regional).

  5. Configura el destino:

    1. En Destino, selecciona API globales de Google.
    2. Selecciona una Región y el Servicio de destino.

  6. Haz clic en Crear.

gcloud

Usa el comando gcloud compute network-endpoint-groups create:

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION

Reemplaza lo siguiente:

  • NEG_NAME: un nombre para el grupo de extremos de red.

  • TARGET_SERVICE: La API de Google global a la que deseas conectarte.

  • REGION: La región en la que se creará el grupo de extremos de red.

Agrega un backend de Private Service Connect a un balanceador de cargas

Puedes configurar un balanceador de cargas compatible para dirigir el tráfico a un backend de NEG de Private Service Connect.

Para obtener más información sobre los parámetros de configuración compatibles, consulta Especificaciones.

Agrega un backend a un balanceador de cargas de aplicaciones

Agrega un NEG a un balanceador de cargas de aplicaciones externo global, a un balanceador de cargas de aplicaciones interno o a un balanceador de cargas de aplicaciones externo regional.

Consola

Edita el balanceador de cargas

  1. En la consola de Google Cloud, ve a la página Balanceo de cargas.

    Ir a Balanceo de cargas

  2. Haz clic en el balanceador de cargas que deseas modificar.

  3. Haz clic en Edit.

Actualiza la configuración del backend

  1. Haga clic en Configuración de backend.
  2. Expande la lista de servicios de backend y selecciona Crear un servicio de backend.
  3. Ingresa un nombre para el servicio de backend.
  4. Configura el Tipo de backend como Grupo de extremos de red de Private Service Connect.
  5. En la sección Backends, haz clic en la lista Grupo de extremos de red de Private Service Connect y elige el NEG de Private Service Connect que creaste. Haz clic en Listo.

  6. Si configuras un balanceador de cargas de aplicaciones externo global para que se conecte a un servicio publicado en varias regiones y creaste más de un NEG de Private Service Connect, haz clic en Agregar backend para seleccionar otro NEG.

    Repite este paso hasta que todos los NEG de este servicio administrado se agreguen al servicio de backend.

  7. Haz clic en Crear.

Actualiza las reglas de enrutamiento

  1. Haga clic en Reglas de enrutamiento.
  2. Ingresa un Host y una Ruta de acceso para cada servicio de backend que hayas agregado.
  3. Para revisar la configuración, haz clic en Revisar y finalizar.
  4. Haz clic en Crear.

gcloud

Actualiza la configuración del backend

  1. Crea un servicio de backend para el servicio de destino.

    • Si agregas un servicio de backend a un balanceador de cargas regional, usa la marca --region para especificar la misma región que el balanceador de cargas.

      gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=SCHEME \
    --protocol=HTTPS \
    --region=REGION

      Reemplaza lo siguiente:

      • BACKEND_SERVICE_NAME: el nombre del servicio de backend.
      • SCHEME: el esquema de balanceo de cargas del balanceador de cargas que modificas:
        • Para un balanceador de cargas de aplicaciones externo regional, usa EXTERNAL_MANAGED.
        • Para un balanceador de cargas de aplicaciones interno, usa INTERNAL_MANAGED.
      • REGION: Es la región del servicio de backend. Usa la misma región que el NEG.

    • Si agregas el servicio de backend a un balanceador de cargas de aplicaciones externo global, usa la marca --global.

      gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --protocol=HTTPS \
    --global

      Reemplaza BACKEND_SERVICE_NAME por el nombre del servicio de backend.

  2. Agrega el NEG de Private Service Connect que apunta al servicio de destino.

    • Si agregas un servicio de backend a un balanceador de cargas regional, usa la marca --region para especificar la misma región que el balanceador de cargas.

      gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --region=REGION

      Reemplaza lo siguiente:

      • BACKEND_SERVICE_NAME: el nombre del servicio de backend.
      • NEG_NAME: es el nombre del grupo de extremos de red.
      • NEG_REGION: la región del grupo de extremos de red
      • REGION: Es la región del servicio de backend.

    • Si agregas un servicio de backend a un balanceador de cargas de aplicaciones externo global, usa la marca --global.

      Si creaste varios NEG en diferentes regiones para el mismo servicio, repite este paso a fin de agregar todos los NEG al servicio de backend.

      gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --global

      Reemplaza lo siguiente:

      • BACKEND_SERVICE_NAME: el nombre del servicio de backend.
      • NEG_NAME: es el nombre del grupo de extremos de red.
      • NEG_REGION: la región del grupo de extremos de red

Actualiza las reglas de enrutamiento

  1. Para cada servicio de backend que hayas creado, agrega un comparador de rutas de acceso al mapa de URL del balanceador de cargas.

    • Si el mapa de URL es regional, especifica la región mediante la marca --region.

      gcloud compute url-maps add-path-matcher URL_MAP_NAME \
    --path-matcher-name=PATH_MATCHER \
    --default-service=BACKEND_SERVICE_NAME \
    --region=REGION

      Reemplaza lo siguiente:

      • URL_MAP_NAME: el nombre del mapa de URL.
      • PATH_MATCHER: un nombre para el comparador de rutas de acceso.
      • BACKEND_SERVICE_NAME: el nombre del servicio de backend.
      • REGION: la región del mapa de URL.

    • Si el mapa de URL es global, especifica la marca --global.

      gcloud compute url-maps add-path-matcher URL_MAP_NAME \
    --path-matcher-name=PATH_MATCHER \
    --default-service=BACKEND_SERVICE_NAME \
    --global

      Reemplaza lo siguiente:

      • URL_MAP_NAME: el nombre del mapa de URL.
      • PATH_MATCHER: un nombre para el comparador de rutas de acceso.
      • BACKEND_SERVICE_NAME: el nombre del servicio de backend.

  2. Para cada nombre de host, agrega una regla de host.

    Cada regla de host puede hacer referencia solo a un comparador de rutas de acceso, pero dos o más reglas de host pueden hacer referencia al mismo comparador de rutas de acceso.

    • Si el mapa de URL es regional, especifica la región mediante la marca --region.

      gcloud compute url-maps add-host-rule URL_MAP_NAME \
    --hosts=HOST \
    --path-matcher-name=PATH_MATCHER \
    --region=REGION

      Reemplaza lo siguiente:

      • URL_MAP_NAME: el nombre del mapa de URL.
      • HOST: el nombre de host al que se enviarán solicitudes para este servicio.
      • PATH_MATCHER: el nombre del comparador de rutas de acceso.
      • REGION: la región del mapa de URL.

    • Si el mapa de URL es global, especifica la marca --global.

      gcloud compute url-maps add-host-rule URL_MAP_NAME \
    --hosts=HOST \
    --path-matcher-name=PATH_MATCHER \
    --global

      Reemplaza lo siguiente:

      • URL_MAP_NAME: el nombre del mapa de URL.
      • HOST: el nombre de host al que se enviarán solicitudes para este servicio.
      • PATH_MATCHER: el nombre del comparador de rutas de acceso.

Agrega un backend a un balanceador de cargas de red de proxy interno regional

Puedes agregar un backend de NEG de Private Service Connect a un balanceador de cargas de red de proxy interno regional si el NEG apunta a un servicio publicado. Los balanceadores de cargas de red de proxy internos regionales admiten solo un servicio de backend.

Para configurar el balanceador de cargas de red de proxy interno regional, sigue las instrucciones para configurar un balanceador de cargas de red de proxy interno regional con backends zonales, pero no completes los pasos de “Crea los NEG zonales" o configures las verificaciones de estado. En lugar de configurar un NEG zonal, usa las siguientes instrucciones para agregar el NEG de Private Service Connect que creaste a un backend de Private Service Connect.

Console

  1. En el balanceador de cargas de red de proxy interno regional que estás creando, haz clic en Configuración de backend.
  2. En Tipo de backend, selecciona Grupo de extremos de red de Private Service Connect.
  3. En Backend nuevo, selecciona el NEG que creaste.
  4. Conserva los valores predeterminados restantes y haz clic en Listo.
  5. En la consola de Google Cloud, verifica que haya una marca de verificación junto a Configuración de backend. De lo contrario, verifica que hayas completado todos los pasos.

gcloud

  1. Crea un servicio de backend para el servicio de destino.

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --protocol=TCP \
    --region=REGION

    Reemplaza lo siguiente:

    • BACKEND_SERVICE_NAME: el nombre del servicio de backend.
    • REGION: Es la región del servicio de backend. Usa la misma región que el NEG.

  2. Agrega el NEG de Private Service Connect que apunta al servicio de destino.

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --region=REGION

    Reemplaza lo siguiente:

    • BACKEND_SERVICE_NAME: el nombre del servicio de backend.
    • NEG_NAME: es el nombre del grupo de extremos de red.
    • NEG_REGION: la región del grupo de extremos de red
    • REGION: Es la región del servicio de backend.

Agrega un backend a un balanceador de cargas de red de proxy externo regional

Puedes agregar un backend de NEG de Private Service Connect a un balanceador de cargas de red de proxy externo regional si el NEG apunta a un servicio publicado. Este balanceador de cargas solo admite un servicio de backend.

Si deseas configurar el balanceador de cargas, sigue las instrucciones para configurar un balanceador de cargas de red de proxy externo regional con backends zonales, pero no completes los pasos de "Crea los NEG zonales" o configures las verificaciones de estado. En lugar de configurar un NEG zonal, usa las siguientes instrucciones para agregar el NEG de Private Service Connect que creaste a un backend de Private Service Connect.

Console

  1. En el balanceador de cargas de red de proxy externo regional que estás creando, haz clic en Configuración de backend.
  2. En Tipo de backend, selecciona Grupo de extremos de red de Private Service Connect.
  3. En Backend nuevo, selecciona el NEG que creaste.
  4. Conserva los valores predeterminados restantes y haz clic en Listo.
  5. En la consola de Google Cloud, verifica que haya una marca de verificación junto a Configuración de backend. De lo contrario, verifica que hayas completado todos los pasos.

gcloud

  1. Crea un servicio de backend para el servicio de destino.

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --protocol=TCP \
    --region=REGION

    Reemplaza lo siguiente:

    • BACKEND_SERVICE_NAME: el nombre del servicio de backend.
    • REGION: Es la región del servicio de backend. Usa la misma región que el NEG.

  2. Agrega el NEG de Private Service Connect que apunta al servicio de destino.

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --region=REGION

    Reemplaza lo siguiente:

    • BACKEND_SERVICE_NAME: el nombre del servicio de backend.
    • NEG_NAME: es el nombre del grupo de extremos de red.
    • NEG_REGION: la región del grupo de extremos de red
    • REGION: Es la región del servicio de backend.

Enumera los backends

Puedes enumerar todos los backends configurados de Private Service Connect.

Console

  1. En la consola de Google Cloud, ve a la página Private Service Connect.

    Ir a Private Service Connect

  2. Haz clic en la pestaña Extremos conectados.

    Los backends de Private Service Connect se muestran en la sección Extremos del balanceador de cargas.

Describe un backend

Puedes describir un backend de Private Service Connect para ver sus detalles, incluido su estado de conexión.

Console

  1. Enumera los backends disponibles.
  2. Haz clic en el backend que deseas describir.

Soluciona problemas

Error al acceder a la regla de reenvío del balanceador de cargas

Si ves un error 404 cuando intentas acceder a la regla de reenvío del balanceador de cargas, el error puede tener una de las siguientes causas:

  • El mapa de URL aún no se propagó.

    Si acabas de crear el balanceador de cargas, intenta esperar unos minutos.

  • La URL que usas en la solicitud no coincide con la URL definida en el mapa de URL.

    Verifica que la URL que intentas usar coincida con la configuración del mapa de URL del balanceador de cargas.

  • El backend del productor del servicio no admite la URL a la que intentas acceder.

    Solicita al productor del servicio que verifique qué URL debes usar para acceder a su servicio.