Criar um back-end do Private Service Connect

É possível usar back-ends do Private Service Connect para se conectar a Serviços com suporte, usando o balanceador de carga para a aplicação de políticas. Você se conecta ao serviço por meio de uma regra de encaminhamento que é mapeada para um back-end que contém um grupo de endpoints de rede (NEG, na sigla em inglês) do Private Service Connect.

Para mais informações sobre serviços e configurações compatíveis, consulte Sobre back-ends do Private Service Connect.

Neste guia, mostramos como adicionar um NEG do Private Service Connect a um balanceador de carga para acessar as APIs do Google ou um serviço publicado. Este guia não inclui a configuração completa do balanceador de carga.

Para instruções que incluem a criação de um balanceador de carga com um back-end do Private Service Connect, consulte:

Papéis

O papel Administrador do balanceador de carga do Compute (roles/compute.loadBalancerAdmin) contém a permissão necessária para executar as tarefas descritas neste guia.

Antes de começar

Determine a que API ou serviço você quer se conectar:
- Para APIs do Google:
  - Escolha um endpoint de serviço de localização.
- Para serviços publicados:
  - Se você quiser publicar seu próprio serviço, consulte Publicar serviços gerenciados.
  - Se você estiver se conectando a um serviço publicado do Google Cloud ou de terceiros, solicite as seguintes informações ao produtor:
    - O URI do anexo de serviço ao qual você quer se conectar.
    - Quaisquer requisitos para quais nomes de DNS você usa para enviar solicitações. Talvez seja necessário usar nomes DNS específicos na sua configuração do mapa de URL.
Determine qual tipo de balanceador de carga oferece suporte ao serviço ao qual você quer se conectar e verifique se você está familiarizado com o balanceador de carga que está atualizando. Neste guia, descrevemos como adicionar um NEG do Private Service Connect a um balanceador de carga, mas convém executar outras etapas de configuração.

Para obter mais informações, consulte Balanceadores de carga e destinos compatíveis.

Criar um NEG do Private Service Connect

Ao criar um NEG, você escolhe a que tipo de destino ele se conecta:

Um serviço publicado
Uma API de localização do Google
Uma API global do Google

Criar um NEG para se conectar a um serviço publicado

Ao criar um NEG do Private Service Connect que aponta para um serviço publicado, você precisa do URI do anexo de serviço para o serviço. O anexo de serviço tem este formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Para mais informações sobre os balanceadores de carga com suporte para essa configuração, consulte Destinos de serviço publicados.

Console

No console do Google Cloud, acesse a página Grupos de endpoints da rede.

Acessar grupos de endpoints da rede
Clique em Criar grupo de endpoints de rede.
Inserir um nome para o grupo de endpoints da rede.
Em Tipo de grupo de endpoints de rede, selecione NEG do Private Service Connect (regional).
Configure o destino:
1. Em Destino, selecione Serviço publicado.
2. Em Serviço de destino, digite o URI do anexo de serviço.
3. Selecione a Rede e a Sub-rede para criar o grupo de endpoints da rede.
  
  A sub-rede precisa estar na mesma região do serviço publicado.
Clique em Criar.

gcloud

Use o comando gcloud compute network-endpoint-groups create:

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION \
    --network=NETWORK \
    --subnet=SUBNET

Substitua:

NEG_NAME: um nome para o grupo de endpoints da rede.
TARGET_SERVICE: o URI do anexo de serviço.
REGION: a região em que o grupo de endpoints da rede será criado. A região precisa ser igual à do serviço de destino.
NETWORK: a rede em que o grupo de endpoints da rede será criado. Se omitida, a rede padrão será usada.
SUBNET: a sub-rede em que o grupo de endpoints da rede será criado. A sub-rede precisa estar na mesma região do serviço de destino. Uma sub-rede precisa ser informada se você fornecer a rede. Se a rede e a sub-rede forem omitidas, a rede padrão e a sub-rede padrão na REGION especificada vão ser usadas.

Criar um NEG para se conectar a uma API local do Google

É possível criar um NEG para se conectar a uma API local do Google.

Para mais informações sobre os balanceadores de carga com suporte para essa configuração, consulte Destinos de APIs locais do Google.

Console

No console do Google Cloud, acesse a página Grupos de endpoints da rede.

Acessar grupos de endpoints da rede
Clique em Criar grupo de endpoints de rede.
Inserir um nome para o grupo de endpoints da rede.
Em Tipo de grupo de endpoints de rede, selecione NEG do Private Service Connect (regional).
Configure o destino:
1. Em Destino, selecione APIs do Google.
2. Selecione uma Região e o Serviço de destino.
Clique em Criar.

gcloud

Use o comando gcloud compute network-endpoint-groups create:

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION

Substitua:

NEG_NAME: um nome para o grupo de endpoints da rede.
TARGET_SERVICE: os endpoints de serviços de localização a que você quer se conectar.
REGION: a região em que o grupo de endpoints da rede será criado. A região precisa ser igual à do serviço de destino.

Criar um NEG para se conectar a uma API global do Google

É possível criar um NEG do Private Service Connect para se conectar a uma API global do Google. Os NEGs são regionais, mesmo quando estão se conectando a APIs globais. Nessa configuração, a região é ignorada.

Para mais informações sobre os balanceadores de carga com suporte para essa configuração, consulte Destinos de APIs globais do Google.

gcloud

Use o comando gcloud compute network-endpoint-groups create:

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION

Substitua:

NEG_NAME: um nome para o grupo de endpoints da rede.
TARGET_SERVICE: a API global do Google a que você quer se conectar.
REGION: a região em que o grupo de endpoints da rede será criado.

Adicionar um back-end do Private Service Connect a um balanceador de carga

É possível configurar um balanceador de carga compatível para direcionar o tráfego para um back-end de NEG do Private Service Connect.

Para obter mais informações sobre configurações compatíveis, consulte Especificações.

Adicionar um back-end a um balanceador de carga de aplicativo

Adicione um NEG a um balanceador de carga de aplicativo externo, interno ou externo regional.

Console

Editar o balanceador de carga

No Console do Google Cloud, acesse a página Balanceamento de carga.

Acessar o "Balanceamento de carga"
Clique no balanceador de carga que você quer modificar.
Clique em Editar.

Atualizar a configuração de back-end

Clique em Configuração de back-end.
Expanda a lista de serviços de back-end e selecione Criar um serviço de back-end.
Digite um Nome para o serviço de back-end.
Defina o Tipo de back-end como Grupo de endpoints da rede do Private Service Connect.
Na seção Back-ends, clique na lista Grupo de endpoints da rede do Private Service Connect e selecione o NEG do Private Service Connect que você criou. Clique em Concluído.
Se você estiver configurando um balanceador de carga de aplicativo externo global para se conectar a um serviço publicado em várias regiões e tiver criado mais de um NEG do Private Service Connect, clique em Adicionar back-end para selecionar outro NEG.

Repita essa etapa até que todos os NEGs do serviço gerenciado sejam adicionados ao serviço de back-end.
Clique em Criar.

Atualizar as regras de roteamento

Clique em Regras de roteamento.
Informe um Host e um Caminho para cada serviço de back-end adicionado.
Para analisar a configuração, clique em Analisar e finalizar.
Clique em Criar.

gcloud

Atualizar a configuração de back-end

Crie um serviço de back-end para o serviço de destino.
- Se você estiver adicionando um serviço de back-end a um balanceador de carga regional, use a sinalização --region para especificar a mesma região do balanceador de carga.
```
gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=SCHEME \
    --protocol=HTTPS \
    --region=REGION
```
  Substitua:
  - BACKEND_SERVICE_NAME: o nome do serviço de back-end.
  - SCHEME: o esquema de balanceamento de carga do balanceador de carga que você está modificando:
    - Para um balanceador de carga de aplicativo externo regional, use EXTERNAL_MANAGED.
    - Para um balanceador de carga de aplicativo interno, use INTERNAL_MANAGED.
  - REGION: a região do serviço de back-end. Use a mesma região do NEG.
- Se você estiver adicionando o serviço de back-end a um balanceador de carga de aplicativo externo global, use a sinalização --global.
```
gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --protocol=HTTPS \
    --global
```
  Substitua BACKEND_SERVICE_NAME pelo nome do serviço de back-end.
Adicione o NEG do Private Service Connect que aponta para o serviço de destino.
- Se você estiver adicionando um serviço de back-end a um balanceador de carga regional, use a sinalização --region para especificar a mesma região do balanceador de carga.
```
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --region=REGION
```
  Substitua:
  - BACKEND_SERVICE_NAME: o nome do serviço de back-end.
  - NEG_NAME: o nome do grupo de endpoints da rede.
  - NEG_REGION: o nome do grupo de endpoints da rede.
  - REGION: a região do serviço de back-end.
- Se você estiver adicionando um serviço de back-end a um balanceador de carga de aplicativo externo global, use a sinalização --global.
  
  Se você tiver criado vários NEGs em regiões diferentes para o mesmo serviço, repita essa etapa para adicionar todos os NEGs ao serviço de back-end.
```
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --global
```
  Substitua:
  - BACKEND_SERVICE_NAME: o nome do serviço de back-end.
  - NEG_NAME: o nome do grupo de endpoints da rede.
  - NEG_REGION: o nome do grupo de endpoints da rede.

Atualizar as regras de roteamento

Para cada serviço de back-end criado, adicione uma correspondência de caminho ao mapa de URL do balanceador de carga.
- Se o mapa de URL for regional, especifique a região com a sinalização --region.
```
gcloud compute url-maps add-path-matcher URL_MAP_NAME \
    --path-matcher-name=PATH_MATCHER \
    --default-service=BACKEND_SERVICE_NAME \
    --region=REGION
```
  Substitua:
  - URL_MAP_NAME: o nome do mapa de URL.
  - PATH_MATCHER: um nome para a correspondência de caminho.
  - BACKEND_SERVICE_NAME: o nome do serviço de back-end.
  - REGION: a região do mapa de URL.
- Se o mapa de URL for global, especifique a sinalização --global.
```
gcloud compute url-maps add-path-matcher URL_MAP_NAME \
    --path-matcher-name=PATH_MATCHER \
    --default-service=BACKEND_SERVICE_NAME \
    --global
```
  Substitua:
  - URL_MAP_NAME: o nome do mapa de URL.
  - PATH_MATCHER: um nome para a correspondência de caminho.
  - BACKEND_SERVICE_NAME: o nome do serviço de back-end.
Para cada nome de host, adicione uma regra de host.

Cada regra de host pode referir-se apenas a uma correspondência de caminho, mas duas ou mais regras podem referenciar a mesma correspondência.
- Se o mapa de URL for regional, especifique a região com a sinalização --region.
```
gcloud compute url-maps add-host-rule URL_MAP_NAME \
    --hosts=HOST \
    --path-matcher-name=PATH_MATCHER \
    --region=REGION
```
  Substitua:
  - URL_MAP_NAME: o nome do mapa de URL.
  - HOST: nome do host para o qual enviar solicitações para este serviço.
  - PATH_MATCHER: o nome da correspondência de caminho.
  - REGION: a região do mapa de URL.
- Se o mapa de URL for global, especifique a sinalização --global.
```
gcloud compute url-maps add-host-rule URL_MAP_NAME \
    --hosts=HOST \
    --path-matcher-name=PATH_MATCHER \
    --global
```
  Substitua:
  - URL_MAP_NAME: o nome do mapa de URL.
  - HOST: nome do host para o qual enviar solicitações para este serviço.
  - PATH_MATCHER: o nome da correspondência de caminho.

Adicionar um back-end a um balanceador de carga de rede de proxy interno regional

É possível adicionar um back-end de NEG do Private Service Connect a um balanceador de carga de rede de proxy interno regional se o NEG apontar para um serviço publicado. Os balanceadores de carga de rede de proxy interno regional são compatíveis com apenas um serviço de back-end.

Para configurar o balanceador de carga de rede de proxy interno regional, siga as instruções para configurar um balanceador de carga de rede de proxy interno regional com back-ends zonais, mas não conclua o " Crie as etapas de NEGs zonais ou configure verificações de integridade. Em vez de configurar um NEG zonal, use as instruções a seguir para adicionar o NEG do Private Service Connect criado a um back-end dele.

Console

No balanceador de carga de rede do proxy interno regional que você está criando, clique em Configuração de back-end.
Em Tipo de back-end, selecione Grupo de endpoints da rede do Private Service Connect.
Em Novo back-end, selecione o NEG criado.
Mantenha os valores padrão restantes e clique em Concluído.
No Console do Google Cloud, verifique se há uma marca de seleção ao lado de Configuração do back-end. Se não houver, verifique se você concluiu todas as etapas.

gcloud

Crie um serviço de back-end para o serviço de destino.
```
gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --protocol=TCP \
    --region=REGION
```
Substitua:
- BACKEND_SERVICE_NAME: o nome do serviço de back-end.
- REGION: a região do serviço de back-end. Use a mesma região do NEG.
Adicione o NEG do Private Service Connect que aponta para o serviço de destino.
```
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --region=REGION
```
Substitua:
- BACKEND_SERVICE_NAME: o nome do serviço de back-end.
- NEG_NAME: o nome do grupo de endpoints da rede.
- NEG_REGION: o nome do grupo de endpoints da rede.
- REGION: a região do serviço de back-end.

Adicionar um back-end a um balanceador de carga de rede de proxy externo regional

É possível adicionar um back-end de NEG do Private Service Connect a um balanceador de carga de rede de proxy externo regional se o NEG apontar para um serviço publicado. Este balanceador de carga aceita apenas um serviço de back-end.

Para configurar o balanceador de carga, siga as instruções para configurar um balanceador de carga de rede de proxy externo regional com back-ends zonais, mas não conclua a etapa "Criar os NEGs zonais". ou configurar verificações de integridade. Em vez de configurar um NEG zonal, use as instruções a seguir para adicionar o NEG do Private Service Connect criado a um back-end dele.

Console

No balanceador de carga de rede do proxy externo regional que você está criando, clique em Configuração de back-end.
Em Tipo de back-end, selecione Grupo de endpoints da rede do Private Service Connect.
Em Novo back-end, selecione o NEG criado.
Mantenha os valores padrão restantes e clique em Concluído.
No Console do Google Cloud, verifique se há uma marca de seleção ao lado de Configuração do back-end. Se não houver, verifique se você concluiu todas as etapas.

gcloud

Crie um serviço de back-end para o serviço de destino.
```
gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --protocol=TCP \
    --region=REGION
```
Substitua:
- BACKEND_SERVICE_NAME: o nome do serviço de back-end.
- REGION: a região do serviço de back-end. Use a mesma região do NEG.
Adicione o NEG do Private Service Connect que aponta para o serviço de destino.
```
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=NEG_REGION \
    --region=REGION
```
Substitua:
- BACKEND_SERVICE_NAME: o nome do serviço de back-end.
- NEG_NAME: o nome do grupo de endpoints da rede.
- NEG_REGION: o nome do grupo de endpoints da rede.
- REGION: a região do serviço de back-end.

Listar back-ends

É possível listar todos os back-ends do Private Service Connect configurados.

Console

No Console do Google Cloud, acesse a página do Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Endpoints conectados.

Os back-ends do Private Service Connect são exibidos na seção Endpoints do balanceador de carga.

Descrever um back-end

É possível descrever um back-end do Private Service Connect para ver os detalhes, incluindo o status da conexão.

Console

Liste os back-ends disponíveis.
Clique no back-end que você quer descrever.

Solução de problemas

Erro ao acessar a regra de encaminhamento do balanceador de carga

Se você vir um erro 404 ao tentar acessar a regra de encaminhamento do balanceador de carga, o erro poderá ter uma das seguintes causas:

O mapa de URL ainda não foi propagado.

Se você acabou de criar o balanceador de carga, aguarde alguns minutos.
O URL que você usa na solicitação não corresponde a um URL definido no mapa.

Verifique se o URL que você está testando corresponde à configuração do mapa de URL no seu balanceador de carga.
O back-end do produtor de serviços não é compatível com o URL que você está tentando acessar

Peça ao produtor de serviços para verificar qual URL usar para acessar o serviço dele.