Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Publicar serviços gerenciados usando o Private Service Connect

Como produtor de serviço, use o Private Service Connect para publicar serviços usando endereços IP internos na rede VPC. Os serviços publicados podem ser acessados pelos consumidores de serviços que usam endereços IP internos nas redes VPC.

Este guia descreve como usar o Private Service Connect para publicar um serviço. Para publicar um serviço, faça o seguinte:

Há dois tipos de endpoints do Private Service Connect que podem se conectar a um serviço publicado:

Esses tipos de endpoints exigem configurações de produtor um pouco diferentes. Para mais informações, consulte Configurações compatíveis.

Papéis

O papel do IAM a seguir fornece as permissões necessárias para executar as tarefas neste guia.

Antes de começar

Limitações

  • O Espelhamento de pacotes não pode espelhar pacotes para o tráfego de serviços publicados do Private Service Connect.

  • Os endpoints do Private Service Connect com controles de serviço HTTP(S) do consumidor não aparecem na lista de clientes conectados.

  • Se você criar a sub-rede do Private Service Connect em um projeto host de VPC compartilhada e quiser gerar o anexo de serviço em um projeto de serviço, use a CLI do Google Cloud ou a API para criar esse documento.

  • Para criar um anexo de serviço que aponte para uma regra de encaminhamento usada para encaminhamento de protocolo interno, use a CLI do Google Cloud ou a API.

  • Consulte problemas conhecidos para ver problemas e soluções alternativas.

Especificações

As seções a seguir descrevem o seguinte:

  • Tipos de balanceador de carga compatíveis

  • Configurações de balanceador de carga e anexo de serviço compatíveis necessárias para oferecer suporte a cada tipo de endpoint do Private Service Connect

Tipos de balanceador de carga compatíveis

Hospede o serviço usando os seguintes balanceadores de carga:

Para informações sobre as configurações compatíveis para cada tipo de balanceador de carga, consulte Configurações de balanceador de carga compatíveis.

Também é possível publicar um serviço hospedado em um balanceador de carga TCP/UDP interno no Google Kubernetes Engine. Esta configuração, incluindo a configuração do balanceador de carga e do anexo de serviço, é descrita em Criar um balanceador de carga TCP/UDP interno com o Private Service Connect na documentação do GKE.

Configurações compatíveis

Os dois tipos de endpoint do Connect Service Connect que podem se conectar a serviços publicados têm requisitos de configuração diferentes. Esta tabela resume a configuração necessária para que um serviço publicado seja compatível com cada tipo de endpoint.

Configuração do produtor de serviços Endpoint do Private Service Connect (com base em uma regra de encaminhamento) Endpoint do Private Service Connect com controles de serviço HTTP(S) (baseado no balanceador de carga HTTP(S) externo global)
Balanceador de carga do produtor de serviços
Tipos de balanceador de carga compatíveis
  • Balanceador de carga TCP/UDP interno
  • Balanceador de carga HTTP(S) interno
  • Encaminhamento de protocolos internos
  • Balanceador de carga do proxy TCP regional interno
Somente balanceador de carga TCP/UDP interno
Protocolos compatíveis Qualquer tráfego compatível com o balanceador de carga O balanceador de carga TCP/UDP interno precisa veicular tráfego HTTPS
Configuração do balanceador de carga
Acesso global

Compatível

Todos os endpoints do Private Service Connect que se conectam a esse serviço publicado precisam estar na mesma região do serviço publicado

Obrigatória
Várias regras de encaminhamento usando um endereço IP compartilhado (a finalidade do endereço IP definida como SHARED_LOADBALANCER_VIP). Sem suporte Sem suporte
Subconfiguração Sem suporte Sem suporte
Afinidade da sessão definida como 2 ou 3 tuplas

Incompatível.

Configure a afinidade da sessão de cinco tuplas1.

Incompatível.

Configure a afinidade da sessão de cinco tuplas1.

Espelhamento de pacote Sem suporte Sem suporte
Anexos de serviço
Protocolo de proxy Compatível com serviços TCP hospedados nos seguintes balanceadores de carga:
  • Balanceador de carga TCP/UDP interno
  • Encaminhamento de protocolos internos

Não compatível com as seguintes configurações:
  • Serviços UDP hospedados em um balanceador de carga TCP/UDP interno. No entanto, você não está impedido de criar esta configuração.
  • Serviços hospedados em um balanceador de carga HTTP(S) interno
  • Serviços hospedados em um balanceador de carga de proxy TCP regional interno
Sem suporte
Modo de publicação
Aprovação automática de projetos Os endpoints de qualquer projeto podem se conectar Os endpoints de qualquer projeto podem se conectar
Aprovação explícita Os projetos do consumidor podem ser aceitos antes ou depois da criação do endpoint Os projetos do consumidor precisam ser aceitos antes da criação do endpoint
1 Defina a afinidade da sessão como Nenhuma ou IP, porta e protocolo do cliente usando o Console do Google Cloud ou então NONE ou CLIENT_IP_PORT_PROTO usando a Google Cloud CLI ou a API.

Configuração do DNS

Ao publicar um serviço (criar um anexo), é possível configurar um nome de domínio DNS.

Você precisa ser o proprietário do nome de domínio que está configurando. Se você especificar um nome de domínio, mas não for o proprietário do domínio, a publicação do serviço falhará. Para verificar a propriedade, acesse o Google Search Console. Para mais informações sobre como verificar domínios, consulte Adicionar uma propriedade do site. O nome de domínio especificado no anexo do serviço pode ser um subdomínio do domínio verificado. Por exemplo, é possível registrar example.com e, em seguida, criar um anexo de serviço com um nome de domínio de us-west1.p.example.com.

Se você configurar um nome de domínio para um serviço, quando um endpoint do Private Service Connect for criado e se conectar a esse serviço, as configurações a seguir serão feitas na rede VPC do consumidor de serviço:

O formato recomendado para o nome de domínio é REGION.p.DOMAIN. Como esse nome de domínio é usado para criar entradas de DNS na rede VPC do consumidor de serviço, é importante usar um nome que não entre em conflito com nomes de domínio DNS atuais. O uso desse formato reduz o risco de conflitos.

Por exemplo, se o serviço estiver configurado com o nome de domínio.us-west1.p.example.com e o consumidor de serviço cria um endpoint do Private Service Connect com o nomeanalytics , um registro DNS paraanalytics.us-west1.p.example.com é criada automaticamente.

O balanceador de carga que hospeda o serviço precisa ser capaz de aceitar solicitações direcionadas para esse nome de domínio. Se você estiver usando um balanceador de carga HTTP(S) interno, talvez precise atualizar a configuração do balanceador de carga para refletir os nomes de domínio que você quer que os consumidores de serviço usem. Por exemplo, atualize certificados ou mapas de URL.

Criar uma sub-rede para o Private Service Connect

Crie uma ou mais sub-redes dedicadas para usar com o Private Service Connect. Se você estiver usando o Console do Google Cloud para publicar um serviço, poderá criar as sub-redes durante esse procedimento.

Se você precisar disponibilizar mais endereços IP para um serviço atual, consulte Adicionar ou remover sub-redes de um serviço publicado.

É possível criar uma sub-rede do Private Service Connect em um projeto host da VPC compartilhada. Mas se você quiser usar a sub-rede de um projeto host para criar um anexo de serviço em um projeto de serviço, precisará usar a CLI do Google Cloud ou a API para criar o anexo de serviço.

Crie a sub-rede na mesma região do balanceador de carga do serviço.

Não é possível converter uma sub-rede regular em uma sub-rede do Private Service Connect.

Console

  1. Acesse a página Redes VPC
    Acesse Redes VPC
  2. Clique no nome de uma rede VPC para mostrar a página Detalhes da rede VPC.
  3. Clique em Add subnet. No painel que aparecerá, faça o seguinte:
    1. Forneça um Nome.
    2. Selecione uma Região.
    3. Na seção Finalidade, selecione Private Service Connect.
    4. Digite um Intervalo de endereço IP. Por exemplo, 10.10.10.0/24.
    5. Clique em Add.

gcloud

gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME --region=REGION \
    --range=SUBNET_RANGE --purpose=PRIVATE_SERVICE_CONNECT

Substitua:

  • SUBNET_NAME: o nome a ser atribuído à subrede.

  • NETWORK_NAME: o nome da VPC para a nova sub-rede.

  • REGION: a região da nova sub-rede. Precisa ser a mesma região do serviço que você está publicando.

  • SUBNET_RANGE: o intervalo de endereços IP a ser usado para a sub-rede. Por exemplo, 10.10.10.0/24.

API

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

{
  "ipCidrRange": "SUBNET_RANGE",
  "name": "SUBNET_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "purpose": "PRIVATE_SERVICE_CONNECT",
}

Substitua:

  • PROJECT_ID: o projeto da sub-rede.

  • SUBNET_NAME: o nome a ser atribuído à subrede.

  • NETWORK_NAME: o nome da rede VPC da nova sub-rede.

  • REGION: a região da nova sub-rede. Precisa ser a mesma região do serviço que você está publicando.

  • SUBNET_RANGE: o intervalo de endereços IP a ser usado para a sub-rede. Por exemplo, 10.10.10.0/24.

Configurar regras de firewall

Configure regras de firewall para permitir o tráfego entre os endpoints do Private Service Connect e o anexo de serviço. As solicitações do cliente vêm de locais diferentes, dependendo do tipo de endpoint do Private Service Connect.

Tipo de endpoint Intervalos de endereços IP para o tráfego do cliente Detalhes
Endpoint do Private Service Connect (com base em uma regra de encaminhamento) Os intervalos de endereços IP das sub-redes do Private Service Connect associados a esse serviço. Se você estiver usando a rede padrão, a regra default-allow-internal pré-preenchida permitirá esse tráfego, a menos que haja uma regra de prioridade mais alta que a bloqueie.
Endpoints do Private Service Connect com controles de serviço HTTP(S) do consumidor (com base em um balanceador de carga HTTP(S) externo global)
  • 130.211.0.0/22
  • 35.191.0.0/16
Os balanceadores de carga HTTP(S) externos globais são implementados no Google Front Ends (GFEs), que usam esses intervalos de endereços IP.

Se sua configuração de firewall ainda não permitir tráfego do tipo de endpoint apropriado, configure regras de firewall para permitir a configuração.

Este exemplo de configuração permite criar regras de firewall da VPC para permitir o tráfego de intervalos de endereços IP do cliente para as VMs de back-end no balanceador de carga de serviço do produtor. Essa configuração presume que as VMs de back-end tenham sido configuradas com uma tag de rede.

Exemplo de regra de entrada:

gcloud compute firewall-rules create NAME \
  --network=NETWORK_NAME \
  --direction=ingress \
  --action=allow \
  --target-tags=TAG \
  --source-ranges=CLIENT_IP_RANGES_LIST \
  --rules=RULES

Substitua:

  • NETWORK_NAME: a rede que contém o serviço e a sub-rede do Private Service Connect.

  • TAG: a tag de destino aplicada às VMs de back-end no balanceador de carga de serviço do produtor.

  • CLIENT_IP_RANGES_LIST: os intervalos de endereços IP de origem do tráfego do cliente. Para saber mais, consulte a tabela anterior.

  • RULES_LIST: uma lista separada por vírgulas de protocolos e portas às quais uma regra se aplica. Por exemplo, tcp,udp.

Exemplo de regra de saída:

gcloud compute firewall-rules create NAME \
  --network=NETWORK_NAME \
  --direction=egress \
  --action=allow \
  --target-tags=TAG \
  --destination-ranges=CLIENT_IP_RANGES_LIST \
  --rules=RULES

Substitua:

  • NETWORK_NAME: a rede que contém o serviço e a sub-rede do Private Service Connect.

  • TAG: a tag de destino aplicada às VMs de back-end no balanceador de carga de serviço do produtor.

  • CLIENT_IP_RANGES_LIST: os intervalos de endereços IP de origem do tráfego do cliente. Para saber mais, consulte a tabela anterior.

  • RULES_LIST: uma lista separada por vírgulas de protocolos e portas às quais uma regra se aplica. Por exemplo, tcp,udp.

Para mais informações sobre como configurar regras de firewall da VPC, consulte a Visão geral das regras de firewall da VPC. Se você quiser configurar regras hierárquicas de firewall para permitir esse tráfego, consulte Visão geral das políticas hierárquicas de firewall.

Publicar um serviço

Para publicar um serviço, crie um anexo. É possível disponibilizar o serviço de duas maneiras:

Crie o anexo do serviço na mesma região que o balanceador de carga do serviço.

Publique um serviço com aprovação automática de projeto

Use estas instruções para publicar um serviço e permitir que qualquer consumidor se conecte automaticamente a ele. Se você quiser aprovar as conexões dos consumidores explicitamente, consulte Como publicar um serviço com aprovação explícita do projeto.

Ao publicar um serviço, você cria um anexo de serviço. Os consumidores de serviços usam os detalhes do anexo de serviço para se conectar ao seu serviço.

Se você quiser visualizar as informações de conexão do consumidor, ative o protocolo PROXY nos serviços compatíveis. Para informações sobre serviços compatíveis, consulte Configurações compatíveis. Para mais informações sobre o protocolo PROXY, consulte Como visualizar informações de conexão do consumidor.

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique em Publicar serviço.

  4. Selecione o Tipo de balanceador de carga para o serviço que você quer publicar:

    • Balanceador de carga TCP/UDP interno
    • Balanceador de carga de proxy TCP interno
    • Balanceador de carga HTTP(S) interno
  5. Selecione o Balanceador de carga interno que hospeda o serviço que você quer publicar.

    Os campos de rede e região são preenchidos com os detalhes do balanceador de carga interno selecionado.

  6. Se solicitado, selecione a Regra de encaminhamento associada ao serviço que você quer publicar.

  7. Em Nome do serviço, insira um nome para o anexo de serviço.

  8. Selecione uma ou mais sub-redes para o serviço. Se quiser adicionar uma nova sub-rede, crie uma:

    1. Clique em Reservar nova sub-rede.
    2. Insira um Nome e uma Descrição opcional para a sub-rede.
    3. Selecione uma Região para a sub-rede.
    4. Digite o Intervalo de IP a ser usado para a sub-rede e clique em Adicionar.
  9. Se você quiser visualizar informações de conexão do consumidor, selecione Usar protocolo de proxy.

  10. Se você quiser configurar um nome de domínio, digite um Nome de domínio, incluindo um ponto final.

    O formato recomendado para o nome de domínio é REGION.p.DOMAIN.

    É preciso ser proprietário do nome de domínio. Para mais informações, consulte Configuração de DNS.

  11. Selecione Aceitar conexões automaticamente para todos os projetos.

  12. Clique em Adicionar serviço.

gcloud

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --producer-forwarding-rule=RULE_NAME  \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --enable-proxy-protocol ] \
    [ --domain-names=DOMAIN_NAME ]

Substitua:

  • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

  • REGION: a região do novo anexo de serviço. Precisa ser a mesma região do serviço que você está publicando.

  • RULE_NAME: o nome da regra de encaminhamento associada ao serviço que você está publicando.

  • PSC_SUBNET_LIST: uma lista separada por vírgulas de uma ou mais sub-redes a serem usadas com esse anexo de serviço.

  • DOMAIN_NAME: um nome de domínio DNS para o serviço, incluindo um ponto final. Formato recomendado: REGION.p.DOMAIN.

    Para mais informações, consulte Configuração de DNS.

API

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "targetService": "RULE_URI",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI",
  ],
  "domainNames": [
    "DOMAIN_NAME",
  ],
}

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

  • REGION: a região do novo anexo de serviço. Precisa ser a mesma região do serviço que você está publicando.

  • RULE_URI: o nome da regra de encaminhamento associada ao serviço que você está publicando.

  • PSC_SUBNET_1_URI e PSC_SUBNET_2_URI: os URIs de sub-rede a serem usados para este anexo de serviço. É possível especificar uma ou mais sub-redes por URI.

  • DOMAIN_NAME: um nome de domínio DNS para o serviço, incluindo um ponto final. Formato recomendado: REGION.p.DOMAIN.

    Para mais informações, consulte Configuração de DNS.

Publicar um serviço com aprovação explícita de projeto

Use estas instruções para publicar um serviço que você precisa aprovar explicitamente os consumidores que quiserem se conectar a ele. Se você quiser aprovar as conexões de consumidores automaticamente, consulte Como publicar um serviço com aprovação automática de projetos.

Ao publicar um serviço, você cria um anexo de serviço. Os consumidores de serviços usam os detalhes do anexo de serviço para se conectar ao seu serviço.

Se você adicionar um projeto às listas de aceitação e negação, as solicitações de conexão desse projeto serão rejeitadas.

Se você quiser visualizar as informações de conexão do consumidor, ative o protocolo PROXY nos serviços compatíveis. Para informações sobre serviços compatíveis, consulte Configurações compatíveis. Para mais informações sobre o protocolo PROXY, consulte Como visualizar informações de conexão do consumidor.

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique em Publicar serviço.

  4. Selecione o Tipo de balanceador de carga: Balanceador de carga TCP/UDP interno ou Balanceador de carga HTTP(S) interno.

  5. Selecione o Balanceador de carga interno que hospeda o serviço que você quer publicar.

    Os campos de rede e região são preenchidos com os detalhes do balanceador de carga interno selecionado.

  6. Se solicitado, selecione a Regra de encaminhamento associada ao serviço que você quer publicar.

  7. Em Nome do serviço, insira um nome para o anexo de serviço.

  8. Selecione uma ou mais sub-redes para o serviço.

    Se quiser adicionar uma nova sub-rede, crie uma:

    1. Clique em Reservar nova sub-rede.
    2. Insira um Nome e uma Descrição opcional para a sub-rede.
    3. Selecione uma Região para a sub-rede.
    4. Digite o Intervalo de IP a ser usado para a sub-rede e clique em Adicionar.
  9. Se você quiser visualizar informações de conexão do consumidor, selecione a caixa de seleção Protocolos.

  10. Se você quiser configurar um nome de domínio, digite um Nome de domínio, incluindo um ponto final.

    O formato recomendado para o nome de domínio é REGION.p.DOMAIN.

    É preciso ser proprietário do nome de domínio. Para mais informações, consulte Configuração de DNS.

  11. Selecione Aceitar conexões para projetos selecionados.

  12. Clique em Adicionar projeto aceito e insira os detalhes dos projetos que você quer permitir que se conectem a este serviço:

    • Nome do projeto: nome do projeto para permitir conexões.
    • Limite de conexão: o número de endpoints do Private Service Connect da rede VPC do consumidor que podem se conectar ao anexo de serviço da rede VPC do produtor.
  13. Clique em Adicionar serviço.

gcloud

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --producer-forwarding-rule=RULE_NAME  \
    --connection-preference=ACCEPT_MANUAL \
    --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2 \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --enable-proxy-protocol ] \
    [--domain-names=DOMAIN_NAME]

Substitua:

  • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

  • REGION: a região do novo anexo de serviço. Precisa ser a mesma região do serviço que você está publicando.

  • RULE_NAME: o nome da regra de encaminhamento associada ao serviço que você está publicando.

  • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os projetos a serem aceitos. --consumer-accept-list é opcional e pode conter um ou mais projetos.

  • LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do Private Service Connect do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.

  • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os projetos a serem rejeitados. --consumer-reject-list é opcional e pode conter um ou mais projetos.

  • PSC_SUBNET_LIST: uma lista separada por vírgulas de uma ou mais sub-redes a serem usadas com esse anexo de serviço.

  • DOMAIN_NAME: um nome de domínio DNS para o serviço, incluindo um ponto final. Formato recomendado: REGION.p.DOMAIN.

    Para mais informações, consulte Configuração de DNS.

API

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "region": "REGION",
  "connectionPreference": "ACCEPT_MANUAL",
  "targetService": "RULE_URI",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI",
  ],
  "consumerRejectList": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "consumerAcceptList": [
    "consumerProjectLimit": {
      "projectId": "ACCEPTED_PROJECT_1",
      "connectionsLimit": "LIMIT_2",
    },
    "consumerProjectLimit": {
      "projectId": "ACCEPTED_PROJECT_2",
      "connectionsLimit": "LIMIT_2",
    },
  ],
  "domainNames": [
    "DOMAIN_NAME",
  ],
}

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • REGION: a região do anexo de serviço.

  • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

  • RULE_URI: o URI da regra de encaminhamento associada ao serviço que você está publicando.

  • PSC_SUBNET_1_URI e PSC_SUBNET_2_URI: os URIs de sub-rede a serem usados para este anexo de serviço. É possível especificar uma ou mais sub-redes por URI.

  • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os projetos a serem rejeitados. consumerRejectList é opcional e pode conter um ou mais projetos.

  • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os projetos a serem aceitos. consumerAcceptList é opcional e pode conter um ou mais projetos.

  • LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do Private Service Connect do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.

  • DOMAIN_NAME: um nome de domínio DNS para o serviço, incluindo um ponto final. Formato recomendado: REGION.p.DOMAIN.

    Para mais informações, consulte Configuração de DNS.

Ver informações da conexão do consumidor

Por padrão, o Private Service Connect converte o endereço IP de origem do consumidor para um endereço em uma das sub-redes do Private Service Connect na rede VPC do fornecedor de serviços. Se você quiser ver o endereço IP original de origem do consumidor, ative o protocolo PROXY.

Nem todos os serviços são compatíveis com o protocolo PROXY. Para mais informações, consulte Configurações compatíveis.

Se o protocolo PROXY estiver ativado, é possível conseguir o endereço IP de origem e o ID da conexão do PSC (pscConnectionId) do consumidor no cabeçalho do protocolo PROXY.

Se você ativar o protocolo PROXY, verifique a documentação do software do servidor da Web de back-end para ver informações sobre como analisar e processar cabeçalhos de protocolo PROXY recebidos nos payloads TCP de conexão do cliente. Se o protocolo PROXY estiver ativado no anexo do serviço, mas o servidor da Web de back-end não estiver configurado para processar cabeçalhos de protocolo PROXY, as solicitações da Web poderão estar malformadas. Se as solicitações estiverem incorretas, o servidor não poderá interpretá-las.

O pscConnectionId é codificado no cabeçalho do protocolo PROXY no formato Type-Length-Value (TLV, na sigla em inglês).

Campo Comprimento do campo Valor do campo
Tipo 1 byte 0xE0 (PP2_TYPE_GCP)
Duração 2 bytes 0x8 (8 bytes)
Valor 8 bytes O pscConnectionId de 8 bytes na ordem de rede

Visualize o pscConnectionId de 8 bytes da regra de encaminhamento do consumidor ou do anexo de serviço do produtor.

O pscConnectionId é globalmente exclusivo para todas as conexões ativas em um determinado momento. No entanto, com o tempo, é possível reutilizar um pscConnectionId nestes cenários:

  • Em uma determinada rede VPC, se você excluir um endpoint do Private Service Connect (regra de encaminhamento) e criar um novo endpoint usando o mesmo endereço IP, o mesmo pscConnectionId poderá ser usado.

  • Se você excluir uma rede VPC que continha endpoints do Private Service Connect (regras de encaminhamento), após um período de espera de sete dias, o pscConnectionId usado para esses endpoints poderá ser usado para outro endpoint em outra rede VPC.

Use pscConnectionId para depurar e rastrear a origem dos pacotes.

Além disso, um ID do anexo de PSC de 16 bytes está disponível no anexo de serviço do produtor. O ID do anexo do PSC é um ID exclusivo globalmente que identifica um anexo de serviço do Private Service Connect. É possível usar o ID do anexo do PSC para visualizar e depurar. O ID do anexo PSC não está incluído no cabeçalho do protocolo PROXY.

Gerenciar solicitações de acesso a um serviço publicado

Se você publicou um serviço com aprovação explícita do projeto, aceite ou rejeite as solicitações de conexão nos projetos do consumidor.

Se você adicionar um projeto às listas de aceitação e negação, as solicitações de conexão desse projeto serão rejeitadas.

Depois que uma conexão de endpoint do consumidor é aceita para um serviço, o endpoint pode se conectar ao serviço até que o anexo de serviço seja excluído. Isso se aplica se o projeto foi aceito explicitamente ou se o endpoint do consumidor se conectou quando a preferência de conexão foi definida para aceitar conexões automaticamente.

  • Se você remover um projeto da lista de aceitação, todos os endpoints do consumidor aceitos anteriormente nesse projeto poderão se conectar ao serviço. As conexões a partir de novos endpoints do consumidor nesse projeto precisam ser aceitas para que o endpoint possa se conectar.

  • Se você adicionar um projeto à lista de rejeições, todos os endpoints do consumidor aceitos anteriormente nesse projeto poderão se conectar ao serviço. As conexões a partir de novos endpoints do consumidor nesse projeto são rejeitadas para se conectar ao serviço.

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique no serviço que você quer gerenciar.

  4. Na seção Projetos conectados, os projetos que tentaram se conectar a esse serviço são listados. Marque a caixa de seleção ao lado de um ou mais projetos e clique em Aceitar ou Rejeitar.

gcloud

  1. Descreva o anexo de serviço que você quer alterar.

    gcloud compute service-attachments describe \
        ATTACHMENT_NAME --region=REGION
    

    A resposta será semelhante a: Se houver conexões de consumidores pendentes, elas serão listadas com o status PENDING.

    Neste exemplo de saída, o projeto CONSUMER_PROJECT_1 está na lista de aceitação. Portanto, ENDPOINT_1 é aceito e pode se conectar ao serviço. O projeto CONSUMER_PROJECT_2 não está na lista de aceitação, portanto, ENDPOINT_2 está pendente. Depois que CONSUMER_PROJECT_2 é adicionado à lista de aceitação, o status de ENDPOINT_2 é alterado para ACCEPTED e o endpoint pode se conectar ao serviço.

    connectedEndpoints:
    - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
      pscConnectionId: 'ENDPOINT_1_ID'
      status: ACCEPTED
    - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
      pscConnectionId: 'ENDPOINT_2_ID'
      status: PENDING
    connectionPreference: ACCEPT_MANUAL
    consumerAcceptLists:
    - connectionLimit: LIMIT_1
      projectIdOrNum: CONSUMER_PROJECT_1
    creationTimestamp: 'TIMESTAMP'
    description: 'DESCRIPTION'
    enableProxyProtocol: false
    fingerprint: FINGERPRINT
    id: 'ID'
    kind: compute#serviceAttachment
    name: NAME
    natSubnets:
    - https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
    pscServiceAttachmentId:
      high: 'PSC_ATTACH_ID_HIGH'
      low: 'PSC_ATTACH_ID_LOW'
    region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
    selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE
    
  2. Aceitar ou rejeitar projetos do consumidor.

    É possível especificar --consumer-accept-list, --consumer-reject-list ou ambos. É possível especificar vários valores em --consumer-accept-list e --consumer-reject-list.

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2 \
        --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2
    

    Substitua:

    • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

    • REGION: a região em que o anexo de serviço está localizado.

    • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os projetos a serem aceitos. consumerAcceptList é opcional e pode conter um ou mais projetos.

    • LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do Private Service Connect do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.

    • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os projetos a serem rejeitados. --consumer-reject-list é opcional e pode conter um ou mais projetos.

API

  1. Descreva o anexo de serviço que você quer alterar.

    Se houver conexões de consumidores pendentes, elas serão listadas com o status PENDING.

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
  2. Aceite ou rejeite os projetos do consumidor.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
    {
      ...
      "consumerAcceptLists": [
        {
          "projectIdOrNum": "ACCEPTED_PROJECT_1"
          "connectionLimit": "LIMIT_1",
        },
        {
          "projectIdOrNum": "ACCEPTED_PROJECT_2"
          "connectionLimit": "LIMIT_2",
        }
      ],
      "consumerRejectLists": [
        "REJECTED_PROJECT_1",
        "REJECTED_PROJECT_2",
      ],
      ...
    }
    

    Substitua:

    • PROJECT_ID: o projeto do anexo de serviço.

    • REGION: a região do anexo de serviço.

    • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

    • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os projetos a serem rejeitados. consumerRejectList é opcional e pode conter um ou mais projetos.

    • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os projetos a serem aceitos. consumerAcceptList é opcional e pode conter um ou mais projetos.

    • LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do Private Service Connect do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.

Alterar a preferência de conexão de um serviço publicado

É possível alternar entre aceitação automática e explícita de projeto para um serviço publicado.

Alterar a aceitação automática para a aceitação explícita não afeta os endpoints do consumidor que se conectaram ao serviço antes dessa alteração. Os endpoints existentes do consumidor podem se conectar ao serviço publicado até que o anexo de serviço seja excluído. Novos endpoints de consumidor precisam ser aceitos antes de se conectarem ao serviço. Para mais informações, consulte Como gerenciar solicitações de acesso a um serviço publicado.

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique no serviço que você quer atualizar e em Editar.

  4. Selecione a preferência de conexão desejada:

    • Aceitar conexões para os projetos selecionados
    • Aceitar conexões automaticamente para todos os projetos
  5. Se você estiver mudando para Aceitar conexões para projetos selecionados, você pode informar detalhes dos projetos que quer permitir ou adicioná-las posteriormente.

    1. Clique em Adicionar projeto aceito.
    2. Insira o projeto e o limite de conexão.
  6. Clique em Save.

gcloud

  • Altere a preferência de conexão do anexo de serviço de ACCEPT_AUTOMATIC para ACCEPT_MANUAL.

    Controle quais projetos podem se conectar ao seu serviço usando --consumer-accept-list e --consumer-reject-list. É possível configurar as listas de aceitação e rejeição quando alterar a preferência de conexão ou atualizar as listas posteriormente.

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --connection-preference=ACCEPT_MANUAL \
        [ --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2] \
        [ --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2 ]
    
    • ATTACHMENT_NAME: o nome do anexo de serviço.

    • REGION: a região em que o anexo de serviço está localizado.

    • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os projetos a serem aceitos. --consumer-accept-list é opcional e pode conter um ou mais projetos.

    • LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do Private Service Connect do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.

    • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os projetos a serem rejeitados. --consumer-reject-list é opcional e pode conter um ou mais projetos.

  • Altere a preferência de conexão do anexo de serviço de ACCEPT_MANUAL para ACCEPT_AUTOMATIC.

    Se você tiver valores na lista de aceitação ou rejeição, defina-os como vazios quando alterar a preferência de conexão ("").

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --connection-preference=ACCEPT_AUTOMATIC \
         --consumer-accept-list="" \
         --consumer-reject-list=""
    
    • ATTACHMENT_NAME: o nome do anexo de serviço.

    • REGION: a região em que o anexo de serviço está localizado.

API

  • Altere a preferência de conexão do anexo de serviço de ACCEPT_AUTOMATIC para ACCEPT_MANUAL.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  ...
}

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • REGION: a região do anexo de serviço.

  • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

  • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os projetos a serem rejeitados. consumerRejectList é opcional e pode conter um ou mais projetos.

  • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os projetos a serem aceitos. consumerAcceptList é opcional e pode conter um ou mais projetos.

  • LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do Private Service Connect do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.

  • Altere a preferência de conexão do anexo de serviço de ACCEPT_MANUAL para ACCEPT_AUTOMATIC.

    Se os campos consumerAcceptLists ou consumerRejectLists especificarem algum projeto, defina-os como vazios quando você alterar a preferência de conexão para ACCEPT_AUTOMATIC.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  ...
}

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • REGION: a região do anexo de serviço.

  • ATTACHMENT_NAME: o nome do anexo de serviço.

Adicionar ou remover sub-redes de um serviço publicado

É possível editar um serviço publicado para adicionar ou remover sub-redes do Private Service Connect da configuração.

Por exemplo, talvez seja necessário disponibilizar mais endereços IP para um serviço atual. Para adicionar mais endereços, siga um destes procedimentos:

Se você remover uma sub-rede do Private Service Connect de um serviço publicado, os endereços IP na sub-rede não serão liberados. Os endereços IP são liberados apenas quando os endpoints do Private Service Connect do consumidor são excluídos ou as VMs do cliente que acessam os endpoints do Private Service Connect são excluídas.

Se você alterar a configuração da sub-rede, atualize as regras de firewall para permitir que as solicitações das novas sub-redes alcancem as VMs de back-end.

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique no serviço que você quer atualizar e em Editar.

  4. Modifique as sub-redes usadas para este serviço.

    Se quiser adicionar uma nova sub-rede, crie uma:

    1. Clique em Reservar nova sub-rede.
    2. Insira um Nome e uma Descrição opcional para a sub-rede.
    3. Selecione uma Região para a sub-rede.
    4. Digite o Intervalo de IP a ser usado para a sub-rede e clique em Adicionar.
  5. Clique em Save.

gcloud

Atualize as sub-redes do Private Service Connect usadas para este anexo de serviço.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Substitua:

  • ATTACHMENT_NAME: o nome do anexo de serviço.

  • REGION: a região em que o anexo de serviço está localizado.

  • PSC_SUBNET_LIST: uma lista separada por vírgulas de uma ou mais sub-redes a serem usadas com esse anexo de serviço.

API

Atualize as sub-redes do Private Service Connect usadas para este anexo de serviço.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "natSubnets": [
    "PSC_SUBNET1_URI",
    "PSC_SUBNET2_URI",
  ],
  ...
}

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • REGION: a região do anexo de serviço.

  • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

  • PSC_SUBNET1_URI e PSC_SUBNET2_URI: URIs das sub-redes que você quer usar com este anexo de serviço. Especifique uma ou mais subredes.

Listar serviços publicados

Você pode listar todos os serviços.

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

    Os anexos de serviço do Private Service Connect serão exibidos.

gcloud

  1. Listar anexos de serviços.

    gcloud compute service-attachments list [--regions=REGION_LIST]
    

    Substitua:

    • REGION_LIST: uma lista separada por vírgulas de uma ou mais regiões em que você quer visualizar anexos de serviço. Por exemplo, us-central1 ou us-west1,us-central1.

API

Você pode ver todos os anexos de serviço em uma determinada região ou em todas as regiões.

  • Veja todos os anexos de serviço em uma região:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
    
  • Veja todos os anexos de serviço em todas as regiões:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/serviceAttachments
    

    Substitua:

    • PROJECT_ID: o projeto do anexo de serviço.

    • REGION: a região do anexo de serviço.

    • ATTACHMENT_NAME: o nome do anexo de serviço.

Ver detalhes de um serviço publicado

É possível ver os detalhes de configuração de um serviço publicado. É possível ver alguns detalhes de configuração no Console do Google Cloud, por exemplo, o URI de anexo do serviço que os consumidores de serviço precisam para se conectar ao serviço. Para ver todos os detalhes, incluindo os valores de pscConnectionId para os consumidores do anexo de serviço, use a Google Cloud CLI ou a API.

Console

É possível ver os detalhes de um serviço publicado. O campo Anexo de serviço contém o URI do anexo de serviço.

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique no serviço que você quer visualizar.

gcloud

É possível ver os detalhes de um serviço publicado. O campo selfLink contém o URI do anexo de serviço.

gcloud compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION

API

É possível ver os detalhes de um serviço publicado. O campo selfLink contém o URI do anexo de serviço.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • REGION: a região do anexo de serviço.

  • ATTACHMENT_NAME: o nome do anexo de serviço.

Excluir um serviço publicado

É possível excluir um serviço publicado, mesmo que haja conexões de consumidor com o anexo de serviço. A exclusão do serviço publicado remove apenas o anexo do serviço. O balanceador de carga associado não é excluído. Quando você exclui um serviço publicado, os seguintes itens se aplicam:

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique no serviço que você quer excluir.

  4. Clique em Excluir.

gcloud

gcloud compute service-attachments delete \
    ATTACHMENT_NAME --region=REGION

API

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • REGION: a região do anexo de serviço.

  • ATTACHMENT_NAME: o nome do anexo de serviço.

Logging

É possível ativar os registros de fluxo de VPC nas sub-redes que contêm as VMs de back-end. Os registros mostram fluxos entre as VMs de back-end e os endereços IP na sub-rede do Private Service Connect.

VPC Service Controls

O VPC Service Controls e o Private Service Connect são compatíveis entre si. Se a rede VPC em que o endpoint do Private Service Connect estiver implantado estiver em um perímetro do VPC Service Controls, esse endpoint faz parte do mesmo perímetro. Todos os serviços compatíveis com o VPC Service Controls que são acessados pelo endpoint do Private Service Connect estão sujeitos às políticas desse perímetro do VPC Service Controls.

Ao criar um endpoint do Private Service Connect, as chamadas de API do plano de controle são feitas entre os projetos do consumidor e do produtor para estabelecer uma conexão do Private Service Connect. Estabelecer uma conexão do Private Service Connect entre projetos do consumidor e do produtor que não estão no mesmo perímetro do VPC Service Controls não exige autorização explícita com políticas de saída. A comunicação com os serviços compatíveis com o VPC Service Controls pelo endpoint do Private Service Connect é protegida pelo perímetro do VPC Service Controls.

Problemas conhecidos

  • Ao atualizar um anexo de serviço usando a API PATCH, é necessário fornecer todos os campos do anexo de serviço no corpo da solicitação, não apenas os campos que você está atualizando. Use serviceAttachments.get para recuperar todos os campos.

Solução de problemas

Erro ao atualizar um anexo de serviço

Se você vir a seguinte mensagem de erro ao atualizar um anexo de serviço, a lista de aceitação ou de rejeição pode incluir projetos excluídos: The resource PROJECT was not found.

Remova os projetos excluídos da configuração do anexo do serviço para resolver o problema.

  1. Use o comando gcloud compute service-attachments describe para mostrar a configuração do anexo do serviço que você quer modificar.

    • Para gerar a lista de aceitação em um formato que você possa usar mais tarde para atualizar o anexo do serviço, faça o seguinte:

      gcloud compute service-attachments describe ATTACHMENT_NAME \
        --region=REGION --flatten="consumerAcceptLists[]" \
        --format="csv[no-heading,separator='='](consumerAcceptLists.projectIdOrNum,consumerAcceptLists.connectionLimit)" \
        | xargs | sed -e 's/ /,/g'
      

      A saída da lista de aceitação será parecida com esta:

      PROJECT_1=LIMIT_1,PROJECT_2=LIMIT_2,PROJECT_3=LIMIT_3
      
    • Para gerar a lista de rejeição em um formato que você possa usar mais tarde para atualizar o anexo do serviço, faça o seguinte:

      gcloud compute service-attachments describe ATTACHMENT_NAME \
        --region=REGION \
        --format="value[delimiter=','](consumerRejectLists[])"
      

      A saída da lista de rejeição é semelhante a esta:

      PROJECT_1,PROJECT_2,PROJECT_3
      
  2. Edite a resposta ao comando para remover os projetos excluídos da lista de aceitação e da lista de rejeição.

  3. Atualize o anexo do serviço para remover os projetos excluídos.

    • Para atualizar a lista de aceitação, faça o seguinte:

      gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --consumer-accept-list=UPDATED_ACCEPT_LIST
      
    • Para atualizar a lista de rejeição, faça o seguinte:

      gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --consumer-reject-list=UPDATED_REJECT_LIST