Publicar serviços gerenciados sando o Private Service Connect

Como produtor de serviço, use o Private Service Connect para publicar serviços usando endereços IP internos na rede VPC. Os serviços publicados podem ser acessados pelos consumidores de serviços que usam endereços IP internos nas redes VPC.

Neste guia, descrevemos como usar o Private Service Connect para publicar um serviço hospedado em um balanceador de carga TCP/UDP interno ou em HTTP interno.

Se você quer publicar um serviço hospedado em um balanceador de carga TCP/UDP interno no Google Kubernetes Engine, consulteComo criar um balanceador de carga TCP/UDP interno com o Private Service Connect na documentação do GKE.

Para publicar um serviço, faça o seguinte:

  • Hospede o serviço usando um balanceador de carga TCP/UDP interno ou um balanceador de carga HTTP(S) interno na rede VPC do produtor de serviço.

  • Crie um anexo de serviço na mesma região que o balanceador de carga.

Há dois tipos de endpoints do Private Service Connect que podem se conectar a um serviço publicado:

Esses tipos de endpoints exigem configurações de produtor um pouco diferentes. Para mais informações, consulte Especificações.

Papéis

O papel do IAM a seguir fornece as permissões necessárias para executar as tarefas neste guia.

Antes de começar

Limitações

  • Não ative o espelhamento de pacotes em uma rede VPC que contenha um anexo de serviço do Private Service Connect. Se as duas configurações estiverem presentes, o tráfego poderá ser descartado.

  • Os endpoints do Private Service Connect com controles de serviço HTTP(S) do consumidor não aparecem na lista de clientes conectados.

  • Se você criar a sub-rede do Private Service Connect em um projeto host de VPC compartilhada e quiser gerar o anexo de serviço em um projeto de serviço, use a CLI do Google Cloud ou a API para criar esse documento.

  • Consulte problemas conhecidos para ver problemas e soluções alternativas.

Especificações

Os dois tipos de endpoint do Connect Service Connect que podem se conectar a serviços publicados têm requisitos de configuração diferentes. Esta tabela resume a configuração necessária para que um serviço publicado seja compatível com cada tipo de endpoint.

Configuração do produtor de serviços Endpoint do Private Service Connect (com base em uma regra de encaminhamento) Endpoint do Private Service Connect com controles de serviço HTTP(S) (baseado no balanceador de carga HTTP(S) externo global)
Balanceador de carga do produtor de serviços
Tipos de balanceador de carga compatíveis Balanceador de carga TCP/UDP interno ou HTTP(S) interno Somente balanceador de carga TCP/UDP interno
Protocolos compatíveis Qualquer tráfego compatível com o balanceador de carga O balanceador de carga TCP/UDP interno precisa veicular tráfego HTTPS
Configuração do balanceador de carga TCP/UDP interno
Acesso global Sem suporte Obrigatório
Várias regras de encaminhamento usando o mesmo endereço IP
Sem suporte Sem suporte
Subconfiguração Sem suporte Sem suporte
Afinidade da sessão definida como 2 ou 3 tuplas

Incompatível.

Configure a afinidade da sessão de cinco tuplas1.

Incompatível.

Configure a afinidade da sessão de cinco tuplas1.

Espelhamento de pacote Sem suporte Sem suporte
Anexos de serviço
Protocolo de proxy Compatível com serviços TCP hospedados por um balanceador de carga TCP/UDP interno.

Não compatível com as seguintes configurações:
  • Serviços UDP hospedados por um balanceador de carga TCP/UDP interno. No entanto, você não está impedido de criar esta configuração.
  • Serviços hospedados por um balanceador de carga HTTP(S) interno
Sem suporte
Modo de publicação
Aprovação automática de projetos Os endpoints de qualquer projeto podem se conectar Os endpoints de qualquer projeto podem se conectar
Aprovação explícita Os projetos do consumidor podem ser aceitos antes ou depois da criação do endpoint Os projetos do consumidor precisam ser aceitos antes da criação do endpoint
1 Defina a afinidade da sessão como Nenhuma ou IP, porta e protocolo do cliente usando o Console do Google Cloud ou então NONE ou CLIENT_IP_PORT_PROTO usando a Google Cloud CLI ou a API.

Configuração do DNS

Ao publicar um serviço (criar um anexo), é possível configurar um nome de domínio DNS.

Você precisa ser o proprietário do nome de domínio que está configurando. Se você especificar um nome de domínio, mas não for o proprietário do domínio, a publicação do serviço falhará. Para verificar a propriedade, acesse o Google Search Console. Para mais informações sobre como verificar domínios, consulte Adicionar uma propriedade do site. O nome de domínio especificado no anexo do serviço pode ser um subdomínio do domínio verificado. Por exemplo, é possível registrar example.com e, em seguida, criar um anexo de serviço com um nome de domínio de us-west1.p.example.com.

Se você configurar um nome de domínio para um serviço, quando um endpoint do Private Service Connect for criado e se conectar a esse serviço, as configurações a seguir serão feitas na rede VPC do consumidor de serviço:

O formato recomendado para o nome de domínio é REGION.p.DOMAIN. Como esse nome de domínio é usado para criar entradas de DNS na rede VPC do consumidor de serviço, é importante usar um nome que não entre em conflito com nomes de domínio DNS atuais. O uso desse formato reduz o risco de conflitos.

Por exemplo, se o serviço estiver configurado com o nome de domínio.us-west1.p.example.com e o consumidor de serviço cria um endpoint do Private Service Connect com o nomeanalytics , um registro DNS paraanalytics.us-west1.p.example.com é criada automaticamente.

O balanceador de carga que hospeda o serviço precisa ser capaz de aceitar solicitações direcionadas para esse nome de domínio. Se você estiver usando um balanceador de carga HTTP(S) interno, talvez precise atualizar a configuração do balanceador de carga para refletir os nomes de domínio que você quer que os consumidores de serviço usem. Por exemplo, atualize certificados ou mapas de URL.

Criar uma sub-rede para o Private Service Connect

Crie uma ou mais sub-redes dedicadas para usar com o Private Service Connect. Se você estiver usando o Console do Google Cloud para publicar um serviço, poderá criar as sub-redes durante esse procedimento.

Se você precisar disponibilizar mais endereços IP para um serviço atual, consulte Adicionar ou remover sub-redes de um serviço publicado.

É possível criar uma sub-rede do Private Service Connect em um projeto host da VPC compartilhada. Mas se você quiser usar a sub-rede de um projeto host para criar um anexo de serviço em um projeto de serviço, precisará usar a CLI do Google Cloud ou a API para criar o anexo de serviço.

Console

  1. Acesse a página Redes VPC
    Acesse Redes VPC
  2. Clique no nome de uma rede VPC para mostrar a página Detalhes da rede VPC.
  3. Clique em Add subnet. No painel que aparecerá, faça o seguinte:
    1. Forneça um Nome.
    2. Selecione uma Região.
    3. Na seção Finalidade, selecione Private Service Connect.
    4. Digite um Intervalo de endereço IP. Por exemplo, 10.10.10.0/24.
    5. Clique em Add.

gcloud

gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME --region=REGION \
    --range=SUBNET_RANGE --purpose=PRIVATE_SERVICE_CONNECT

Substitua:

  • SUBNET_NAME: o nome a ser atribuído à subrede.

  • NETWORK_NAME: o nome da VPC para a nova sub-rede.

  • REGION: a região da nova sub-rede. Precisa ser a mesma região do serviço que você está publicando.

  • SUBNET_RANGE: o intervalo de endereços IP a ser usado para a sub-rede. Por exemplo, 10.10.10.0/24.

API

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

{
  "ipCidrRange": "SUBNET_RANGE",
  "name": "SUBNET_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "purpose": "PRIVATE_SERVICE_CONNECT",
}

Substitua:

  • PROJECT_ID: o projeto da sub-rede.

  • SUBNET_NAME: o nome a ser atribuído à subrede.

  • NETWORK_NAME: o nome da rede VPC da nova sub-rede.

  • REGION: a região da nova sub-rede. Precisa ser a mesma região do serviço que você está publicando.

  • SUBNET_RANGE: o intervalo de endereços IP a ser usado para a sub-rede. Por exemplo, 10.10.10.0/24.

Configurar regras de firewall

Configure regras de firewall para permitir o tráfego entre os endpoints do Private Service Connect e o anexo de serviço. As solicitações do cliente vêm de locais diferentes, dependendo do tipo de endpoint do Private Service Connect.

Tipo de endpoint Intervalos de endereços IP para o tráfego do cliente Detalhes
Endpoint do Private Service Connect (com base em uma regra de encaminhamento) Os intervalos de endereços IP das sub-redes do Private Service Connect associados a esse serviço. Se você estiver usando a rede padrão, a regra default-allow-internal pré-preenchida permitirá esse tráfego, a menos que haja uma regra de prioridade mais alta que a bloqueie.
Endpoints do Private Service Connect com controles de serviço HTTP(S) do consumidor (com base em um balanceador de carga HTTP(S) externo global)
  • 130.211.0.0/22
  • 35.191.0.0/16
Os balanceadores de carga HTTP(S) externos globais são implementados no Google Front Ends (GFEs), que usam esses intervalos de endereços IP.

Se sua configuração de firewall ainda não permitir tráfego do tipo de endpoint apropriado, configure regras de firewall para permitir a configuração.

Este exemplo de configuração permite criar regras de firewall da VPC para permitir o tráfego de intervalos de endereços IP do cliente para as VMs de back-end no balanceador de carga de serviço do produtor. Essa configuração presume que as VMs de back-end tenham sido configuradas com uma tag de rede.

Exemplo de regra de entrada:

gcloud compute firewall-rules create NAME \
  --network=NETWORK_NAME \
  --direction=ingress \
  --action=allow \
  --target-tags=TAG \
  --source-ranges=CLIENT_IP_RANGES_LIST \
  --rules=RULES

Substitua:

  • NETWORK_NAME: a rede que contém o serviço e a sub-rede do Private Service Connect.

  • TAG: a tag de destino aplicada às VMs de back-end no balanceador de carga de serviço do produtor.

  • CLIENT_IP_RANGES_LIST: os intervalos de endereços IP de origem do tráfego do cliente. Para saber mais, consulte a tabela anterior.

  • RULES_LIST: uma lista separada por vírgulas de protocolos e portas às quais uma regra se aplica. Por exemplo, tcp,udp.

Exemplo de regra de saída:

gcloud compute firewall-rules create NAME \
  --network=NETWORK_NAME \
  --direction=egress \
  --action=allow \
  --target-tags=TAG \
  --destination-ranges=CLIENT_IP_RANGES_LIST \
  --rules=RULES

Substitua:

  • NETWORK_NAME: a rede que contém o serviço e a sub-rede do Private Service Connect.

  • TAG: a tag de destino aplicada às VMs de back-end no balanceador de carga de serviço do produtor.

  • CLIENT_IP_RANGES_LIST: os intervalos de endereços IP de origem do tráfego do cliente. Para saber mais, consulte a tabela anterior.

  • RULES_LIST: uma lista separada por vírgulas de protocolos e portas às quais uma regra se aplica. Por exemplo, tcp,udp.

Para mais informações sobre como configurar regras de firewall da VPC, consulte a Visão geral das regras de firewall da VPC. Se você quiser configurar regras hierárquicas de firewall para permitir esse tráfego, consulte Visão geral das políticas hierárquicas de firewall.

Publique um serviço com aprovação automática de projeto

Use estas instruções para publicar um serviço e permitir que qualquer consumidor se conecte automaticamente a ele. Se você quiser aprovar as conexões dos consumidores explicitamente, consulte Como publicar um serviço com aprovação explícita do projeto.

Ao publicar um serviço, você cria um anexo de serviço. Os consumidores de serviços usam os detalhes do anexo de serviço para se conectar ao seu serviço.

Se você quiser visualizar as informações de conexão do consumidor, ative o protocolo PROXY nos serviços compatíveis. Para informações sobre os serviços compatíveis, consulte Especificações. Para mais informações sobre o protocolo PROXY, consulte Como visualizar informações de conexão do consumidor.

Se você criar um anexo de serviço em um projeto protegido por um perímetro do VPC Service Controls que restrinja compute.googleapis.com, servicedirectory.googleapis.com ou dns.googleapis.com, outra configuração será necessária. Para mais informações, consulte Como configurar regras de entrada e saída para o VPC Service Controls.

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique em Publicar serviço.

  4. Selecione o Tipo de balanceador de carga: Balanceador de carga TCP/UDP interno ou Balanceador de carga HTTP(S) interno.

  5. Selecione o Balanceador de carga interno que hospeda o serviço que você quer publicar.

    Os campos de rede e região são preenchidos com os detalhes do balanceador de carga interno selecionado.

  6. Se solicitado, selecione a Regra de encaminhamento associada ao serviço que você quer publicar.

  7. Em Nome do serviço, insira um nome para o anexo de serviço.

  8. Selecione uma ou mais sub-redes para o serviço. Se quiser adicionar uma nova sub-rede, crie uma:

    1. Clique em Reservar nova sub-rede.
    2. Insira um Nome e uma Descrição opcional para a sub-rede.
    3. Selecione uma Região para a sub-rede.
    4. Digite o Intervalo de IP a ser usado para a sub-rede e clique em Adicionar.
  9. Se você quiser visualizar informações de conexão do consumidor, selecione Usar protocolo de proxy.

  10. Se você quiser configurar um nome de domínio, digite um Nome de domínio, incluindo um ponto final.

    O formato recomendado para o nome de domínio é REGION.p.DOMAIN.

    É preciso ser proprietário do nome de domínio. Para mais informações, consulte Configuração de DNS.

  11. Selecione Aceitar conexões automaticamente para todos os projetos.

  12. Clique em Adicionar serviço.

gcloud

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --producer-forwarding-rule=RULE_NAME  \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --enable-proxy-protocol ] \
    [ --domain-names=DOMAIN_NAME ]

Substitua:

  • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

  • REGION: a região do novo anexo de serviço. Precisa ser a mesma região do serviço que você está publicando.

  • RULE_NAME: o nome da regra de encaminhamento associada ao serviço que você está publicando.

  • PSC_SUBNET_LIST: uma lista separada por vírgulas de uma ou mais sub-redes a serem usadas com esse anexo de serviço.

  • DOMAIN_NAME: um nome de domínio DNS para o serviço, incluindo um ponto final. Formato recomendado:REGION.p.DOMAIN.

    Para mais informações, consulte Configuração de DNS.

API

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "targetService": "RULE_URI",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI",
  ],
  "domainNames": [
    "DOMAIN_NAME",
  ],
}

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

  • REGION: a região do novo anexo de serviço. Precisa ser a mesma região do serviço que você está publicando.

  • RULE_URI: o nome da regra de encaminhamento associada ao serviço que você está publicando.

  • PSC_SUBNET_1_URI e PSC_SUBNET_2_URI: os URIs de sub-rede a serem usados para este anexo de serviço. É possível especificar uma ou mais sub-redes por URI.

  • DOMAIN_NAME: um nome de domínio DNS para o serviço, incluindo um ponto final. Formato recomendado:REGION.p.DOMAIN.

    Para mais informações, consulte Configuração de DNS.

Publicar um serviço com aprovação explícita de projeto

Use estas instruções para publicar um serviço que você precisa aprovar explicitamente os consumidores que quiserem se conectar a ele. Se você quiser aprovar as conexões de consumidores automaticamente, consulte Como publicar um serviço com aprovação automática de projetos.

Ao publicar um serviço, você cria um anexo de serviço. Os consumidores de serviços usam os detalhes do anexo de serviço para se conectar ao seu serviço.

Se você adicionar um projeto às listas de aceitação e negação, as solicitações de conexão desse projeto serão rejeitadas.

Se você quiser visualizar as informações de conexão do consumidor, ative o protocolo PROXY nos serviços compatíveis. Para informações sobre os serviços compatíveis, consulte Especificações. Para mais informações sobre o protocolo PROXY, consulte Como visualizar informações de conexão do consumidor.

Se você criar um anexo de serviço em um projeto protegido por um perímetro do VPC Service Controls que restrinja compute.googleapis.com, servicedirectory.googleapis.com ou dns.googleapis.com, outra configuração será necessária. Para mais informações, consulte Como configurar regras de entrada e saída para o VPC Service Controls.

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique em Publicar serviço.

  4. Selecione o Tipo de balanceador de carga: Balanceador de carga TCP/UDP interno ou Balanceador de carga HTTP(S) interno.

  5. Selecione o Balanceador de carga interno que hospeda o serviço que você quer publicar.

    Os campos de rede e região são preenchidos com os detalhes do balanceador de carga interno selecionado.

  6. Se solicitado, selecione a Regra de encaminhamento associada ao serviço que você quer publicar.

  7. Em Nome do serviço, insira um nome para o anexo de serviço.

  8. Selecione uma ou mais sub-redes para o serviço.

    Se quiser adicionar uma nova sub-rede, crie uma:

    1. Clique em Reservar nova sub-rede.
    2. Insira um Nome e uma Descrição opcional para a sub-rede.
    3. Selecione uma Região para a sub-rede.
    4. Digite o Intervalo de IP a ser usado para a sub-rede e clique em Adicionar.
  9. Se você quiser visualizar informações de conexão do consumidor, selecione a caixa de seleção Protocolos.

  10. Se você quiser configurar um nome de domínio, digite um Nome de domínio, incluindo um ponto final.

    O formato recomendado para o nome de domínio é REGION.p.DOMAIN.

    É preciso ser proprietário do nome de domínio. Para mais informações, consulte Configuração de DNS.

  11. Selecione Aceitar conexões para projetos selecionados.

  12. Clique em Adicionar projeto aceito e insira os detalhes dos projetos que você quer permitir que se conectem a este serviço:

    • Nome do projeto: nome do projeto para permitir conexões.
    • Limite de conexão: o número de conexões a permitir neste projeto.
  13. Clique em Adicionar serviço.

gcloud

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --producer-forwarding-rule=RULE_NAME  \
    --connection-preference=ACCEPT_MANUAL \
    --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2 \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --enable-proxy-protocol ] \
    [--domain-names=DOMAIN_NAME]

Substitua:

  • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

  • REGION: a região do novo anexo de serviço. Precisa ser a mesma região do serviço que você está publicando.

  • RULE_NAME: o nome da regra de encaminhamento associada ao serviço que você está publicando.

  • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os projetos a serem aceitos. --consumer-accept-list é opcional e pode conter um ou mais projetos.

  • LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do Private Service Connect do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.

  • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os projetos a serem rejeitados. --consumer-reject-list é opcional e pode conter um ou mais projetos.

  • PSC_SUBNET_LIST: uma lista separada por vírgulas de uma ou mais sub-redes a serem usadas com esse anexo de serviço.

  • DOMAIN_NAME: um nome de domínio DNS para o serviço, incluindo um ponto final. Formato recomendado:REGION.p.DOMAIN.

    Para mais informações, consulte Configuração de DNS.

API

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "region": "REGION",
  "connectionPreference": "ACCEPT_MANUAL",
  "targetService": "RULE_URI",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI",
  ],
  "consumerRejectList": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "consumerAcceptList": [
    "consumerProjectLimit": {
      "projectId": "ACCEPTED_PROJECT_1",
      "connectionsLimit": "LIMIT_2",
    },
    "consumerProjectLimit": {
      "projectId": "ACCEPTED_PROJECT_2",
      "connectionsLimit": "LIMIT_2",
    },
  ],
  "domainNames": [
    "DOMAIN_NAME",
  ],
}

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • REGION: a região do anexo de serviço.

  • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

  • RULE_URI: o URI da regra de encaminhamento associada ao serviço que você está publicando.

  • PSC_SUBNET_1_URI e PSC_SUBNET_2_URI: os URIs de sub-rede a serem usados para este anexo de serviço. É possível especificar uma ou mais sub-redes por URI.

  • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os projetos a serem rejeitados. consumerRejectList é opcional e pode conter um ou mais projetos.

  • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os projetos a serem aceitos. consumerAcceptList é opcional e pode conter um ou mais projetos.

  • LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do Private Service Connect do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.

  • DOMAIN_NAME: um nome de domínio DNS para o serviço, incluindo um ponto final. Formato recomendado:REGION.p.DOMAIN.

    Para mais informações, consulte Configuração de DNS.

Configurar regras de entrada e saída para o VPC Service Controls

Se você criar um anexo de serviço em um projeto protegido por um perímetro do VPC Service Controls que restrinja compute.googleapis.com, servicedirectory.googleapis.com ou dns.googleapis.com, outra configuração será necessária.

Solicite as seguintes informações ao consumidor do serviço antes de criar um endpoint do Private Service Connect:

  • CONSUMER_PROJECT_NUMBER: o número do projeto em que ele criará o endpoint do Private Service Connect.

  • CONSUMER_SERVICE_ACCOUNT (opcional): a conta de serviço que será usada para criar o endpoint do Private Service Connect, se você quiser configurar uma regra de entrada que restrinja o acesso por conta.

Use essas informações para criar regras de entrada e saída que permitam a conexão entre o endpoint do Private Service Connect e o anexo de serviço.

Para informações sobre como configurar regras de entrada e saída, consulte Como configurar políticas de entrada e saída.

  1. Configure uma regra de saída que permita a saída do projeto produtor para o projeto do consumidor CONSUMER_PROJECT_NUMBER.

    - egressFrom:
        identityType: ANY_IDENTITY
      egressTo:
        operations:
        - serviceName: 'compute.googleapis.com'
          methodSelectors:
          - method: 'ServiceAttachmentsService.Insert'
          - method: 'ServiceAttachmentsService.Patch'
          - method: 'RegionForwardingRulesService.Insert'
        - serviceName: 'servicedirectory.googleapis.com'
          methodSelectors:
          - method: '*'
        - serviceName: 'dns.googleapis.com'
          methodSelectors:
          - method: '*'
        resources:
        - 'projects/CONSUMER_PROJECT_NUMBER'
    
  2. Configure uma das seguintes regras de entrada:

    • Este exemplo de regra de entrada permite que endpoints do consumidor criados por CONSUMER_SERVICE_ACCOUNT tentem se conectar ao anexo de serviço.

      - ingressFrom:
          sources:
          - accessLevel: '*' # All Sources
          identities: serviceAccount: CONSUMER_SERVICE_ACCOUNT
        ingressTo:
          operations:
          - serviceName: 'compute.googleapis.com'
            methodSelectors:
            - method: 'RegionForwardingRulesService.Insert'
          - serviceName: 'servicedirectory.googleapis.com'
            methodSelectors:
            - method: '*'
          - serviceName: 'dns.googleapis.com'
            methodSelectors:
            - method: '*'
          resources:
          - '*'
      
    • Este exemplo de regra de entrada permite que endpoints do consumidor criados por qualquer conta tentem se conectar ao anexo de serviço.

      - ingressFrom:
          sources:
          - accessLevel: '*' # All Sources
          identityType: ANY_IDENTITY
        ingressTo:
          operations:
          - serviceName: 'compute.googleapis.com'
            methodSelectors:
            - method: 'RegionForwardingRulesService.Insert'
          - serviceName: 'servicedirectory.googleapis.com'
            methodSelectors:
            - method: '*'
          - serviceName: 'dns.googleapis.com'
            methodSelectors:
            - method: '*'
          resources:
          - '*'
      

Depois que as regras de entrada e saída forem configuradas, informe ao consumidor de serviço que agora pode criar um endpoint do Private Service Connect no projeto CONSUMER_PROJECT_NUMBER que se conecta ao anexo de serviço.

Ver informações da conexão do consumidor

Por padrão, o Private Service Connect converte o endereço IP de origem do consumidor para um endereço em uma das sub-redes do Private Service Connect na rede VPC do fornecedor de serviços. Se você quiser ver o endereço IP original de origem do consumidor, ative o protocolo PROXY.

Nem todos os serviços são compatíveis com o protocolo PROXY. Para mais informações, consulte Especificações.

Se o protocolo PROXY estiver ativado, é possível conseguir o endereço IP de origem e o ID da conexão do PSC (pscConnectionId) do consumidor no cabeçalho do protocolo PROXY.

Se você ativar o protocolo PROXY, verifique a documentação do software do servidor da Web de back-end para ver informações sobre como analisar e processar cabeçalhos de protocolo PROXY recebidos nos payloads TCP de conexão do cliente. Se o protocolo PROXY estiver ativado no anexo do serviço, mas o servidor da Web de back-end não estiver configurado para processar cabeçalhos de protocolo PROXY, as solicitações da Web poderão estar malformadas. Se as solicitações estiverem incorretas, o servidor não poderá interpretá-las.

O pscConnectionId é codificado no cabeçalho do protocolo PROXY no formato Type-Length-Value (TLV, na sigla em inglês).

Campo Comprimento do campo Valor do campo
Tipo 1 byte 0xE0 (PP2_TYPE_GCP)
Duração 2 bytes 0x8 (8 bytes)
Valor 8 bytes O pscConnectionId de 8 bytes na ordem de rede

Visualize o pscConnectionId de 8 bytes da regra de encaminhamento do consumidor ou do anexo de serviço do produtor.

O pscConnectionId é globalmente exclusivo para todas as conexões ativas em um determinado momento. No entanto, com o tempo, é possível reutilizar um pscConnectionId nestes cenários:

  • Em uma determinada rede VPC, se você excluir um endpoint do Private Service Connect (regra de encaminhamento) e criar um novo endpoint usando o mesmo endereço IP, o mesmo pscConnectionId poderá ser usado.

  • Se você excluir uma rede VPC que continha endpoints do Private Service Connect (regras de encaminhamento), após um período de espera de sete dias, o pscConnectionId usado para esses endpoints poderá ser usado para outro endpoint em outra rede VPC.

Use pscConnectionId para depurar e rastrear a origem dos pacotes.

Além disso, um ID do anexo de PSC de 16 bytes está disponível no anexo de serviço do produtor. O ID do anexo do PSC é um ID exclusivo globalmente que identifica um anexo de serviço do Private Service Connect. É possível usar o ID do anexo do PSC para visualizar e depurar. O ID do anexo PSC não está incluído no cabeçalho do protocolo PROXY.

Gerenciar solicitações de acesso a um serviço publicado

Se você publicou um serviço com aprovação explícita do projeto, aceite ou rejeite as solicitações de conexão nos projetos do consumidor.

Se você adicionar um projeto às listas de aceitação e negação, as solicitações de conexão desse projeto serão rejeitadas.

Depois que uma conexão de endpoint do consumidor é aceita para um serviço, o endpoint pode se conectar ao serviço até que o anexo de serviço seja excluído. Isso se aplica se o projeto foi aceito explicitamente ou se o endpoint do consumidor se conectou quando a preferência de conexão foi definida para aceitar conexões automaticamente.

  • Se você remover um projeto da lista de aceitação, todos os endpoints do consumidor aceitos anteriormente nesse projeto poderão se conectar ao serviço. As conexões a partir de novos endpoints do consumidor nesse projeto precisam ser aceitas para que o endpoint possa se conectar.

  • Se você adicionar um projeto à lista de rejeições, todos os endpoints do consumidor aceitos anteriormente nesse projeto poderão se conectar ao serviço. As conexões a partir de novos endpoints do consumidor nesse projeto são rejeitadas para se conectar ao serviço.

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique no serviço que você quer gerenciar.

  4. Na seção Projetos conectados, os projetos que tentaram se conectar a esse serviço são listados. Marque a caixa de seleção ao lado de um ou mais projetos e clique em Aceitar ou Rejeitar.

gcloud

  1. Descreva o anexo de serviço que você quer alterar.

    gcloud compute service-attachments describe \
        ATTACHMENT_NAME --region=REGION
    

    A resposta será semelhante a: Se houver conexões de consumidores pendentes, elas serão listadas com o status PENDING.

    Neste exemplo de saída, o projeto CONSUMER_PROJECT_1 está na lista de aceitação. Portanto, ENDPOINT_1 é aceito e pode se conectar ao serviço. O projeto CONSUMER_PROJECT_2 não está na lista de aceitação, portanto, ENDPOINT_2 está pendente. Depois que CONSUMER_PROJECT_2 é adicionado à lista de aceitação, o status de ENDPOINT_2 é alterado para ACCEPTED e o endpoint pode se conectar ao serviço.

    connectedEndpoints:
    - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
      pscConnectionId: 'ENDPOINT_1_ID'
      status: ACCEPTED
    - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
      pscConnectionId: 'ENDPOINT_2_ID'
      status: PENDING
    connectionPreference: ACCEPT_MANUAL
    consumerAcceptLists:
    - connectionLimit: LIMIT_1
      projectIdOrNum: CONSUMER_PROJECT_1
    creationTimestamp: 'TIMESTAMP'
    description: 'DESCRIPTION'
    enableProxyProtocol: false
    fingerprint: FINGERPRINT
    id: 'ID'
    kind: compute#serviceAttachment
    name: NAME
    natSubnets:
    - https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
    pscServiceAttachmentId:
      high: 'PSC_ATTACH_ID_HIGH'
      low: 'PSC_ATTACH_ID_LOW'
    region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
    selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE
    
  2. Aceitar ou rejeitar projetos do consumidor.

    É possível especificar --consumer-accept-list, --consumer-reject-list ou ambos. É possível especificar vários valores em --consumer-accept-list e --consumer-reject-list.

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2 \
        --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2
    

    Substitua:

    • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

    • REGION: a região em que o anexo de serviço está localizado.

    • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os projetos a serem aceitos. consumerAcceptList é opcional e pode conter um ou mais projetos.

    • LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do Private Service Connect do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.

    • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os projetos a serem rejeitados. --consumer-reject-list é opcional e pode conter um ou mais projetos.

API

  1. Descreva o anexo de serviço que você quer alterar.

    Se houver conexões de consumidores pendentes, elas serão listadas com o status PENDING.

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
  2. Aceite ou rejeite os projetos do consumidor.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
    {
      ...
      "consumerAcceptLists": [
        {
          "projectIdOrNum": "ACCEPTED_PROJECT_1"
          "connectionLimit": "LIMIT_1",
        },
        {
          "projectIdOrNum": "ACCEPTED_PROJECT_2"
          "connectionLimit": "LIMIT_2",
        }
      ],
      "consumerRejectLists": [
        "REJECTED_PROJECT_1",
        "REJECTED_PROJECT_2",
      ],
      ...
    }
    

    Substitua:

    • PROJECT_ID: o projeto do anexo de serviço.

    • REGION: a região do anexo de serviço.

    • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

    • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os projetos a serem rejeitados. consumerRejectList é opcional e pode conter um ou mais projetos.

    • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os projetos a serem aceitos. consumerAcceptList é opcional e pode conter um ou mais projetos.

    • LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do Private Service Connect do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.

Alterar a preferência de conexão de um serviço publicado

É possível alternar entre aceitação automática e explícita de projeto para um serviço publicado.

Alterar a aceitação automática para a aceitação explícita não afeta os endpoints do consumidor que se conectaram ao serviço antes dessa alteração. Os endpoints existentes do consumidor podem se conectar ao serviço publicado até que o anexo de serviço seja excluído. Novos endpoints de consumidor precisam ser aceitos antes de se conectarem ao serviço. Para mais informações, consulte Como gerenciar solicitações de acesso a um serviço publicado.

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique no serviço que você quer atualizar e em Editar.

  4. Selecione a preferência de conexão desejada:

    • Aceitar conexões para os projetos selecionados
    • Aceitar conexões automaticamente para todos os projetos
  5. Se você estiver mudando para Aceitar conexões para projetos selecionados, você pode informar detalhes dos projetos que quer permitir ou adicioná-las posteriormente.

    1. Clique em Adicionar projeto aceito.
    2. Insira o projeto e o limite de conexão.
  6. Clique em Save.

gcloud

  • Altere a preferência de conexão do anexo de serviço de ACCEPT_AUTOMATIC para ACCEPT_MANUAL.

    Controle quais projetos podem se conectar ao seu serviço usando --consumer-accept-list e --consumer-reject-list. É possível configurar as listas de aceitação e rejeição quando alterar a preferência de conexão ou atualizar as listas posteriormente.

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --connection-preference=ACCEPT_MANUAL \
        [ --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2] \
        [ --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2 ]
    
    • ATTACHMENT_NAME: o nome do anexo de serviço.

    • REGION: a região em que o anexo de serviço está localizado.

    • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os projetos a serem aceitos. --consumer-accept-list é opcional e pode conter um ou mais projetos.

    • LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do Private Service Connect do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.

    • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os projetos a serem rejeitados. --consumer-reject-list é opcional e pode conter um ou mais projetos.

  • Altere a preferência de conexão do anexo de serviço de ACCEPT_MANUAL para ACCEPT_AUTOMATIC.

    Se você tiver valores na lista de aceitação ou rejeição, defina-os como vazios quando alterar a preferência de conexão ("").

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --connection-preference=ACCEPT_AUTOMATIC \
         --consumer-accept-list="" \
         --consumer-reject-list=""
    
    • ATTACHMENT_NAME: o nome do anexo de serviço.

    • REGION: a região em que o anexo de serviço está localizado.

API

  • Altere a preferência de conexão do anexo de serviço de ACCEPT_AUTOMATIC para ACCEPT_MANUAL.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  ...
}

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • REGION: a região do anexo de serviço.

  • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

  • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os projetos a serem rejeitados. consumerRejectList é opcional e pode conter um ou mais projetos.

  • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os projetos a serem aceitos. consumerAcceptList é opcional e pode conter um ou mais projetos.

  • LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do Private Service Connect do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.

  • Altere a preferência de conexão do anexo de serviço de ACCEPT_MANUAL para ACCEPT_AUTOMATIC.

    Se os campos consumerAcceptLists ou consumerRejectLists especificarem algum projeto, defina-os como vazios quando você alterar a preferência de conexão para ACCEPT_AUTOMATIC.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  ...
}

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • REGION: a região do anexo de serviço.

  • ATTACHMENT_NAME: o nome do anexo de serviço.

Adicionar ou remover sub-redes de um serviço publicado

É possível editar um serviço publicado para adicionar ou remover sub-redes do Private Service Connect da configuração.

Por exemplo, talvez seja necessário disponibilizar mais endereços IP para um serviço atual. Para adicionar mais endereços, siga um destes procedimentos:

Se você remover uma sub-rede do Private Service Connect de um serviço publicado, os endereços IP na sub-rede não serão liberados. Os endereços IP são liberados apenas quando os endpoints do Private Service Connect do consumidor são excluídos ou as VMs do cliente que acessam os endpoints do Private Service Connect são excluídas.

Se você alterar a configuração da sub-rede, atualize as regras de firewall para permitir que as solicitações das novas sub-redes alcancem as VMs de back-end.

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique no serviço que você quer atualizar e em Editar.

  4. Modifique as sub-redes usadas para este serviço.

    Se quiser adicionar uma nova sub-rede, crie uma:

    1. Clique em Reservar nova sub-rede.
    2. Insira um Nome e uma Descrição opcional para a sub-rede.
    3. Selecione uma Região para a sub-rede.
    4. Digite o Intervalo de IP a ser usado para a sub-rede e clique em Adicionar.
  5. Clique em Save.

gcloud

Atualize as sub-redes do Private Service Connect usadas para este anexo de serviço.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Substitua:

  • ATTACHMENT_NAME: o nome do anexo de serviço.

  • REGION: a região em que o anexo de serviço está localizado.

  • PSC_SUBNET_LIST: uma lista separada por vírgulas de uma ou mais sub-redes a serem usadas com esse anexo de serviço.

API

Atualize as sub-redes do Private Service Connect usadas para este anexo de serviço.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "natSubnets": [
    "PSC_SUBNET1_URI",
    "PSC_SUBNET2_URI",
  ],
  ...
}

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • REGION: a região do anexo de serviço.

  • ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.

  • PSC_SUBNET1_URI e PSC_SUBNET2_URI: URIs das sub-redes que você quer usar com este anexo de serviço. Especifique uma ou mais subredes.

Listar serviços publicados

Você pode listar todos os serviços.

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

    Os anexos de serviço do Private Service Connect serão exibidos.

gcloud

  1. Listar anexos de serviços.

    gcloud compute service-attachments list [--regions=REGION_LIST]
    

    Substitua:

    • REGION_LIST: uma lista separada por vírgulas de uma ou mais regiões em que você quer visualizar anexos de serviço. Por exemplo, us-central1 ou us-west1,us-central1.

API

Você pode ver todos os anexos de serviço em uma determinada região ou em todas as regiões.

  • Veja todos os anexos de serviço em uma região:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
    
  • Veja todos os anexos de serviço em todas as regiões:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/serviceAttachments
    

    Substitua:

    • PROJECT_ID: o projeto do anexo de serviço.

    • REGION: a região do anexo de serviço.

    • ATTACHMENT_NAME: o nome do anexo de serviço.

Ver detalhes de um serviço publicado

É possível ver os detalhes de configuração de um serviço publicado. Também é possível ver alguns detalhes de configuração no Console do Cloud, por exemplo, o URI do anexo de serviço que os consumidores precisam para se conectar ao seu serviço. Para ver todos os detalhes, incluindo os valores de pscConnectionId para os consumidores do anexo de serviço, use a Google Cloud CLI ou a API.

Console

É possível ver os detalhes de um serviço publicado. O campo Anexo de serviço contém o URI do anexo de serviço.

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique no serviço que você quer visualizar.

gcloud

É possível ver os detalhes de um serviço publicado. O campo selfLink contém o URI do anexo de serviço.

gcloud compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION

API

É possível ver os detalhes de um serviço publicado. O campo selfLink contém o URI do anexo de serviço.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • REGION: a região do anexo de serviço.

  • ATTACHMENT_NAME: o nome do anexo de serviço.

Excluir um serviço publicado

É possível excluir um serviço publicado, mesmo que haja conexões de consumidor com o anexo de serviço. A exclusão do serviço publicado remove apenas o anexo do serviço. O balanceador de carga associado não é excluído. Quando você exclui um serviço publicado, os seguintes itens se aplicam:

Console

  1. No Console do Google Cloud, acesse a página do Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique no serviço que você quer excluir.

  4. Clique em Excluir.

gcloud

gcloud compute service-attachments delete \
    ATTACHMENT_NAME --region=REGION

API

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Substitua:

  • PROJECT_ID: o projeto do anexo de serviço.

  • REGION: a região do anexo de serviço.

  • ATTACHMENT_NAME: o nome do anexo de serviço.

Logging

É possível ativar os registros de fluxo de VPC nas sub-redes que contêm as VMs de back-end. Os registros mostram fluxos entre as VMs de back-end e os endereços IP na sub-rede do Private Service Connect.

Problemas conhecidos

  • Ao atualizar um anexo de serviço usando a API PATCH, é necessário fornecer todos os campos do anexo de serviço no corpo da solicitação, não apenas os campos que você está atualizando. Use serviceAttachments.get para recuperar todos os campos.