Crea un backend de Private Service Connect
Puedes usar backends de Private Service Connect a fin de conectarte a servicios compatibles mediante un balanceador de cargas para la aplicación de políticas. Debes conectarte al servicio a través de una regla de reenvío asignada a un backend que contiene un grupo de extremos de red (NEG) de Private Service Connect.
Para obtener más información sobre los servicios y parámetros de configuración compatibles, consulta Acerca de backends de Private Service Connect.
En esta guía, se muestra cómo agregar un NEG de Private Service Connect a un balanceador de cargas para acceder a las APIs de Google o a un servicio publicado. Esta no incluye la configuración completa del balanceador de cargas.
Para obtener instrucciones que incluyan la creación de un balanceador de cargas con un backend de Private Service Connect, consulta lo siguiente:
- Crea un balanceador de cargas de aplicaciones interno para acceder a las APIs de Google
- Crea un balanceador de cargas de aplicaciones externo global para acceder a un servicio publicado
Funciones
El rol de administrador de balanceadores de cargas de Compute (roles/compute.loadBalancerAdmin
) contiene el permiso necesario para hacer las tareas descritas en esta guía.
Antes de comenzar
Determina a qué API o servicio deseas conectarte:
Para las APIs de Google, realiza una de las siguientes acciones:
- Elige un extremo de servicio regional.
- Elige un extremo de servicio global.
Para servicios publicados:
Si deseas publicar tu propio servicio, consulta Publica servicios administrados.
Si te conectas a Google Cloud o a un servicio administrado de terceros, pídele al productor la siguiente información:
El URI del adjunto del servicio para el servicio al que deseas conectarte.
Todos los requisitos sobre qué nombres de DNS usar a fin de enviar solicitudes. Es posible que debas usar nombres de DNS específicos en la configuración de mapa de URL.
Determina qué tipo de balanceador de cargas admite el servicio al que deseas conectarte y asegúrate de estar familiarizado con el balanceador de cargas que actualizas. En esta guía, se describe cómo agregar un NEG de Private Service Connect a un balanceador de cargas, pero si lo deseas puedes realizar pasos de configuración adicionales.
Para obtener más información, consulta Balanceadores de cargas y destinos admitidos.
Crea un NEG de Private Service Connect
Cuando creas un NEG, debes elegir a qué tipo de destino se conecta:
- Un servicio publicado
- Una API de Google regional
- Una API de Google global
Crea un NEG para conectarte a un servicio publicado
Cuando creas un NEG de Private Service Connect que apunta a un servicio publicado, necesitas el URI del adjunto de servicio para el servicio. El adjunto de servicio tiene este formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
Para obtener información sobre los balanceadores de cargas compatibles con esta configuración, consulta Destinos del servicio publicados.
Console
En la consola de Google Cloud, ve a la página Grupos de extremos de red.
Haz clic en Crear un grupo de extremos de red.
Ingresa un nombre para el grupo de extremos de red.
En Tipo de grupo de extremos de red, selecciona NEG de Private Service Connect (regional).
Configura el destino:
- En Destino, selecciona Servicio publicado.
- En Servicio de destino, ingresa el URI del adjunto del servicio.
Selecciona la Red y Subred para crear el grupo de extremos de red.
La subred debe estar en la misma región que el servicio publicado.
Haz clic en Crear.
gcloud
Usa el comando gcloud compute network-endpoint-groups create
:
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=REGION \ --network=NETWORK \ --subnet=SUBNET
Reemplaza lo siguiente:
NEG_NAME
: un nombre para el grupo de extremos de red.TARGET_SERVICE
: El URI del adjunto del servicio.REGION
: la región en la que se creará el grupo de extremos de red. La región debe ser la misma que la del servicio de destino.NETWORK
: la red en la que se creará el grupo de extremos de red. Si se omite, se usa la red predeterminada.SUBNET
: la subred en la que se creará el grupo de extremos de red. La subred debe estar en la misma región que el servicio de destino. Se proporciona una subred si proporcionas la red. Si se omiten la red y la subred, se usa la red predeterminada, y se usa la subred predeterminada en elREGION
especificado.
Crea un NEG para conectarte a una API de Google regional
Puedes crear un NEG para conectarte a una API de Google regional.
Para obtener información sobre los balanceadores de cargas compatibles con esta configuración, consulta Destinos de la API de Google regionales.
Console
En la consola de Google Cloud, ve a la página Grupos de extremos de red.
Haz clic en Crear un grupo de extremos de red.
Ingresa un nombre para el grupo de extremos de red.
En Tipo de grupo de extremos de red, selecciona NEG de Private Service Connect (regional).
Configura el destino:
- En Destino, selecciona APIs de Google.
- Selecciona una Región y el Servicio de destino.
Haz clic en Crear.
gcloud
Usa el comando gcloud compute network-endpoint-groups create
:
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=REGION
Reemplaza lo siguiente:
NEG_NAME
: un nombre para el grupo de extremos de red.TARGET_SERVICE
: El extremo regional del servicio a los que deseas conectarte.REGION
: La región en la que se creará el grupo de extremos de red. La región debe ser la misma que la del servicio de destino.
Crea un NEG para conectarte a una API de Google global
Puedes crear un NEG de Private Service Connect para conectarte a un la API global de Google. Los NEGs son regionales, incluso cuando se conectan a APIs globales. En esta configuración, se ignora la región.
Para obtener información sobre los balanceadores de cargas compatibles con esta configuración, consulta Destinos de la API de Google global.
Para obtener instrucciones completas sobre cómo crear un balanceador de cargas de aplicaciones interno entre regiones y un NEG de Private Service Connect para acceder a las APIs de Google globales, consulta Accede a las APIs de Google globales.
Console
En la consola de Google Cloud, ve a la página Grupos de extremos de red.
Haz clic en Crear un grupo de extremos de red.
Ingresa un nombre para el grupo de extremos de red.
En Tipo de grupo de extremos de red, selecciona NEG de Private Service Connect (regional).
Configura el destino:
- En Destino, selecciona APIs de Google globales.
- Selecciona una Región y el Servicio de destino.
Haz clic en Crear.
gcloud
Usa el comando gcloud compute network-endpoint-groups create
:
gcloud compute network-endpoint-groups create NEG_NAME \ --network-endpoint-type=private-service-connect \ --psc-target-service=TARGET_SERVICE \ --region=REGION
Reemplaza lo siguiente:
NEG_NAME
: un nombre para el grupo de extremos de red.TARGET_SERVICE
: la API de Google global que a la que deseas conectarte.REGION
: La región en la que se creará el grupo de extremos de red.
Agrega un backend de Private Service Connect a un balanceador de cargas
Puedes configurar un balanceador de cargas compatible para dirigir el tráfico a un backend de NEG de Private Service Connect.
Para obtener más información sobre los parámetros de configuración compatibles, consulta Especificaciones.
Agrega un backend a un balanceador de cargas de aplicaciones
Agrega un NEG a un balanceador de cargas de aplicaciones externo global, un balanceador de cargas de aplicaciones interno, un balanceador de cargas de aplicaciones externo regional o un balanceador de cargas de aplicaciones interno entre regiones.
Console
Edita el balanceador de cargas
En la consola de Google Cloud, ve a la página Balanceo de cargas.
Haz clic en el balanceador de cargas que deseas modificar.
Haz clic en Editar.
Actualiza la configuración del backend
- Haga clic en Configuración de backend.
- Expande la lista de servicios de backend y selecciona Crear un servicio de backend.
- Ingresa un nombre para el servicio de backend.
- Configura el Tipo de backend como Grupo de extremos de red de Private Service Connect.
- En la sección Backends, haz clic en la lista Grupo de extremos de red de Private Service Connect y elige el NEG de Private Service Connect que creaste. Haz clic en Listo.
Si configuras un balanceador de cargas de aplicaciones externo global para que se conecte a un servicio publicado en varias regiones y creaste más de un NEG de Private Service Connect, haz clic en Agregar backend para seleccionar otro NEG.
Repite este paso hasta que todos los NEG de este servicio administrado se agreguen al servicio de backend.
Haz clic en Crear.
Actualiza las reglas de enrutamiento
- Haga clic en Reglas de enrutamiento.
- Ingresa un Host y una Ruta de acceso para cada servicio de backend que hayas agregado.
- Para revisar la configuración, haz clic en Revisar y finalizar.
- Haz clic en Crear.
gcloud
Actualiza la configuración del backend
Crea un servicio de backend para el servicio de destino.
Si agregas un servicio de backend a un balanceador de cargas regional, usa la marca
--region
para especificar la misma región que el balanceador de cargas.gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=SCHEME \ --protocol=HTTPS \ --region=REGION
Reemplaza lo siguiente:
BACKEND_SERVICE_NAME
: el nombre del servicio de backend.SCHEME
: el esquema de balanceo de cargas del balanceador de cargas que modificas:- Para un balanceador de cargas de aplicaciones externo regional, usa
EXTERNAL_MANAGED
. - Para un balanceador de cargas de aplicaciones interno, usa
INTERNAL_MANAGED
.
- Para un balanceador de cargas de aplicaciones externo regional, usa
REGION
: Es la región del servicio de backend. Usa la misma región que el NEG.
Si agregas el servicio de backend a un balanceador de cargas de aplicaciones externo global, usa la marca
--global
.gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=EXTERNAL_MANAGED \ --protocol=HTTPS \ --global
Reemplaza
BACKEND_SERVICE_NAME
por el nombre del servicio de backend.
Agrega el NEG de Private Service Connect que apunta al servicio de destino.
Si agregas un servicio de backend a un balanceador de cargas regional, usa la marca
--region
para especificar la misma región que el balanceador de cargas.gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --region=REGION
Reemplaza lo siguiente:
BACKEND_SERVICE_NAME
: el nombre del servicio de backend.NEG_NAME
: es el nombre del grupo de extremos de red.NEG_REGION
: la región del grupo de extremos de redREGION
: Es la región del servicio de backend.
Si agregas un servicio de backend a un balanceador de cargas de aplicaciones externo global, usa la marca
--global
.Si creaste varios NEG en diferentes regiones para el mismo servicio, repite este paso a fin de agregar todos los NEG al servicio de backend.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --global
Reemplaza lo siguiente:
BACKEND_SERVICE_NAME
: el nombre del servicio de backend.NEG_NAME
: es el nombre del grupo de extremos de red.NEG_REGION
: la región del grupo de extremos de red
Actualiza las reglas de enrutamiento
Para cada servicio de backend que hayas creado, agrega un comparador de rutas de acceso al mapa de URL del balanceador de cargas.
Si el mapa de URL es regional, especifica la región mediante la marca
--region
.gcloud compute url-maps add-path-matcher URL_MAP_NAME \ --path-matcher-name=PATH_MATCHER \ --default-service=BACKEND_SERVICE_NAME \ --region=REGION
Reemplaza lo siguiente:
URL_MAP_NAME
: el nombre del mapa de URL.PATH_MATCHER
: un nombre para el comparador de rutas de acceso.BACKEND_SERVICE_NAME
: el nombre del servicio de backend.REGION
: la región del mapa de URL.
Si el mapa de URL es global, especifica la marca
--global
.gcloud compute url-maps add-path-matcher URL_MAP_NAME \ --path-matcher-name=PATH_MATCHER \ --default-service=BACKEND_SERVICE_NAME \ --global
Reemplaza lo siguiente:
URL_MAP_NAME
: el nombre del mapa de URL.PATH_MATCHER
: un nombre para el comparador de rutas de acceso.BACKEND_SERVICE_NAME
: el nombre del servicio de backend.
Para cada nombre de host, agrega una regla de host.
Cada regla de host puede hacer referencia solo a un comparador de rutas de acceso, pero dos o más reglas de host pueden hacer referencia al mismo comparador de rutas de acceso.
Si el mapa de URL es regional, especifica la región mediante la marca
--region
.gcloud compute url-maps add-host-rule URL_MAP_NAME \ --hosts=HOST \ --path-matcher-name=PATH_MATCHER \ --region=REGION
Reemplaza lo siguiente:
URL_MAP_NAME
: el nombre del mapa de URL.HOST
: el nombre de host al que se enviarán solicitudes para este servicio.PATH_MATCHER
: el nombre del comparador de rutas de acceso.REGION
: la región del mapa de URL.
Si el mapa de URL es global, especifica la marca
--global
.gcloud compute url-maps add-host-rule URL_MAP_NAME \ --hosts=HOST \ --path-matcher-name=PATH_MATCHER \ --global
Reemplaza lo siguiente:
URL_MAP_NAME
: el nombre del mapa de URL.HOST
: el nombre de host al que se enviarán solicitudes para este servicio.PATH_MATCHER
: el nombre del comparador de rutas de acceso.
Agrega un backend a un balanceador de cargas de red de proxy interno regional
Puedes agregar un backend de NEG de Private Service Connect a un balanceador de cargas de red de proxy interno regional si el NEG apunta a un servicio publicado. Los balanceadores de cargas de red de proxy internos regionales admiten solo un servicio de backend.
Para configurar el balanceador de cargas de red de proxy interno regional, sigue las instrucciones para configurar un balanceador de cargas de red de proxy interno regional con backends zonales, pero no completes los pasos de “Crea los NEG zonales" o configures las verificaciones de estado. En lugar de configurar un NEG zonal, usa las siguientes instrucciones para agregar el NEG de Private Service Connect que creaste a un backend de Private Service Connect.
Console
- En el balanceador de cargas de red de proxy interno regional que estás creando, haz clic en Configuración de backend.
- En Tipo de backend, selecciona Grupo de extremos de red de Private Service Connect.
- En Nuevo backend, selecciona el NEG que creaste.
- Conserva los valores predeterminados restantes y haz clic en Listo.
- En la consola de Google Cloud, verifica que haya una marca de verificación junto a Configuración de backend. De lo contrario, verifica que hayas completado todos los pasos.
gcloud
Crea un servicio de backend para el servicio de destino.
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=INTERNAL_MANAGED \ --protocol=TCP \ --region=REGION
Reemplaza lo siguiente:
BACKEND_SERVICE_NAME
: el nombre del servicio de backend.REGION
: Es la región del servicio de backend. Usa la misma región que el NEG.
Agrega el NEG de Private Service Connect que apunta al servicio de destino.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --region=REGION
Reemplaza lo siguiente:
BACKEND_SERVICE_NAME
: el nombre del servicio de backend.NEG_NAME
: es el nombre del grupo de extremos de red.NEG_REGION
: la región del grupo de extremos de redREGION
: Es la región del servicio de backend.
Agrega un backend a un balanceador de cargas de red de proxy externo regional
Puedes agregar un backend de NEG de Private Service Connect a un balanceador de cargas de red de proxy externo regional si el NEG apunta a un servicio publicado. Este balanceador de cargas solo admite un servicio de backend.
Si deseas configurar el balanceador de cargas, sigue las instrucciones para configurar un balanceador de cargas de red de proxy externo regional con backends zonales, pero no completes los pasos de "Crea los NEG zonales" o configures las verificaciones de estado. En lugar de configurar un NEG zonal, usa las siguientes instrucciones para agregar el NEG de Private Service Connect que creaste a un backend de Private Service Connect.
Console
- En el balanceador de cargas de red de proxy externo regional que estás creando, haz clic en Configuración de backend.
- En Tipo de backend, selecciona Grupo de extremos de red de Private Service Connect.
- En Nuevo backend, selecciona el NEG que creaste.
- Conserva los valores predeterminados restantes y haz clic en Listo.
- En la consola de Google Cloud, verifica que haya una marca de verificación junto a Configuración de backend. De lo contrario, verifica que hayas completado todos los pasos.
gcloud
Crea un servicio de backend para el servicio de destino.
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=EXTERNAL_MANAGED \ --protocol=TCP \ --region=REGION
Reemplaza lo siguiente:
BACKEND_SERVICE_NAME
: el nombre del servicio de backend.REGION
: Es la región del servicio de backend. Usa la misma región que el NEG.
Agrega el NEG de Private Service Connect que apunta al servicio de destino.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=NEG_NAME \ --network-endpoint-group-region=NEG_REGION \ --region=REGION
Reemplaza lo siguiente:
BACKEND_SERVICE_NAME
: el nombre del servicio de backend.NEG_NAME
: es el nombre del grupo de extremos de red.NEG_REGION
: la región del grupo de extremos de redREGION
: Es la región del servicio de backend.
Enumera los backends
Puedes enumerar todos los backends configurados de Private Service Connect.
Console
En la consola de Google Cloud, ve a la página Private Service Connect.
Haz clic en la pestaña Extremos conectados.
Los backends de Private Service Connect se muestran en la sección Extremos del balanceador de cargas.
Describe un backend
Puedes describir un backend de Private Service Connect para ver sus detalles, incluido el estado de conexión.
Console
- Enumera los backends disponibles.
- Haz clic en el backend que deseas describir.
Soluciona problemas
Se produjo un error cuando se intentaba acceder a la regla de reenvío del balanceador de cargas
Si ves un error 404
cuando intentas acceder a la regla de reenvío de tu balanceador de cargas, el error podría tener una de las siguientes causas:
El mapa de URL aún no se propagó.
Si acabas de crear el balanceador de cargas, espera unos minutos.
La URL que usas en la solicitud no coincide con la URL definida en el mapa de URL.
Verifica que la URL que intentas coincida con la configuración del mapa de URL en tu balanceador de cargas HTTP(S) global externo.
El backend del productor del servicio no admite la URL a la que intentas acceder.
Solicita al productor del servicio que verifique qué URL debes usar para acceder a su servicio.