Sobre os back-ends do Private Service Connect

Você pode acessar as APIs do Google e os serviços publicados criando um Endpoint do Private Service Connect (com base em uma regra de encaminhamento) ou um Back-end do Private Service Connect (baseado em um balanceador de carga). O foco deste guia são os back-ends do Private Service Connect.

Os back-ends do Private Service Connect usam um balanceador de carga configurado com back-ends de grupo de endpoints da rede (NEG, na sigla em inglês) do Private Service Connect. Anteriormente, essa configuração era chamada de endpoint do Private Service Connect com controles do serviço HTTP(S) do consumidor.

O acesso a APIs e serviços por meio de um balanceador de carga gerenciado pelo consumidor oferece vários benefícios. Os balanceadores de carga podem atuar como um ponto centralizado de aplicação de políticas, em que as políticas de segurança (como políticas do Google Cloud Armor e políticas de SSL) ou de roteamento (como mapas de URL do Google Cloud) são aplicadas. Eles fornecem métricas e geração de registros centralizados que um serviço publicado pode não fornecer e permitem que os consumidores controlem o próprio roteamento e failover.

A Figura 1 mostra um balanceador de carga com um NEG do Private Service Connect conectado a um serviço publicado. O tráfego do cliente vai para um balanceador de carga que processa o tráfego e o encaminha para um back-end do Private Service Connect, que é mapeado para um serviço publicado em execução em uma rede VPC diferente.

Figura 1. O uso de um balanceador de carga de aplicativo externo global permite que os consumidores de serviços com acesso à Internet enviem tráfego para serviços na rede VPC do fornecedor de serviços (clique para ampliar).

Visão geral da implantação

Para acessar APIs e serviços por meio de back-ends do Private Service Connect, faça o seguinte:

  1. Identifique a API ou o serviço ao qual você quer se conectar.

    Para APIs do Google: selecione um endpoint de serviço regional.

    Para serviços publicados: solicite o URI do anexo de serviço ao produtor de serviços.

  2. Implante um balanceador de carga para enviar tráfego ao serviço publicado. Escolha um balanceador de carga que atenda aos seus requisitos, incluindo se você tem clientes internos, de internet ou precisa de isolamento regional. Também é possível reutilizar um balanceador de carga.

  3. Implantar os NEGs do Private Service Connect e adicioná-los ao serviço de back-end do balanceador de carga. Crie NEGs do Private Service Connect que fazem referência ao serviço publicado. Em seguida, adicione os NEGs ao serviço de back-end do balanceador de carga para que ele possa enviar tráfego.

Balanceadores de carga e destinos compatíveis

É possível usar um back-end para acessar um serviço publicado ou uma API do Google compatível.

Consulte a documentação de balanceamento de carga para mais informações sobre o balanceador a que você quer adicionar um back-end do Private Service Connect.

Destinos de serviço publicados

Um back-end do Private Service Connect para serviços publicados requer dois balanceadores de carga: um do consumidor e um do produtor.

Configuração do consumidor

Nesta tabela, descrevemos os balanceadores de carga do consumidor compatíveis com os back-ends do Private Service Connect para serviços publicados, incluindo quais protocolos de serviço de back-end podem ser usados com cada balanceador de carga do consumidor. Os balanceadores de carga do consumidor podem acessar serviços publicados hospedados em balanceadores de carga de produtor compatíveis.

Balanceador de carga do consumidor Protocolos Versão IP

Balanceador de carga de aplicativo externo global (compatível com várias regiões)

Observação: o balanceador de carga de aplicativo clássico não é compatível.

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Balanceador de carga de aplicativo externo regional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Balanceador de carga de aplicativo interno regional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Balanceador de carga de aplicativo interno entre regiões

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Balanceador de carga de rede de proxy interno regional

  • TCP
IPv4

Balanceador de carga de rede de proxy interno entre regiões

  • TCP
IPv4

Balanceador de carga de rede de proxy externo regional

  • TCP
IPv4

Balanceador de carga de rede de proxy externo global

Para associar esse balanceador de carga a um NEG do Private Service Connect, use a CLI do Google Cloud ou envie uma solicitação de API.

Observação: o balanceador de carga de rede de proxy clássico não é compatível.

  • TCP/SSL
IPv4

Configuração do produtor

Nesta tabela, descrevemos a configuração dos balanceadores de carga do produtor que são compatíveis com os back-ends do Private Service Connect para serviços publicados.

Configuração Balanceador de carga do produtor
Balanceador de carga de rede de passagem interna Balanceador de carga de aplicativo interno regional Balanceador de carga de rede de proxy interno regional
Back-ends de produtor compatíveis
  • NEGs zonais GCE_VM_IP
  • Grupos de instâncias
  • NEGs zonais GCE_VM_IP_PORT
  • NEGs híbridos
  • NEGs sem servidor
  • NEGs do Private Service Connect
  • Grupos de instâncias
  • NEGs zonais GCE_VM_IP_PORT
  • NEGs híbridos
  • NEGs sem servidor
  • NEGs do Private Service Connect
  • Grupos de instâncias
Protocolos da regra de encaminhamento
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
Portas da regra de encaminhamento O uso de uma única porta é recomendado. Consulte Configuração da porta do produtor Oferece suporte a uma única porta Oferece suporte a uma única porta
Protocolo de proxy
Versão IP IPv4 IPv4 IPv4

Para ver um exemplo de configuração de back-end que usa um balanceador de carga de aplicativo externo global, consulte Acessar serviços publicados por meio de back-ends.

Destinos regionais da API do Google

Esta tabela descreve quais balanceadores de carga podem usar um back-end do Private Service Connect para acessar as APIs regionais do Google.

Para ver um exemplo de configuração que usa um balanceador de carga de aplicativo interno, consulte Acessar APIs do Google por meio de back-ends.

Configuração Detalhes
Configuração do consumidor (back-end do Private Service Connect)
Balanceadores de carga de consumidores compatíveis
  • Balanceador de carga de aplicativo interno

    Protocolos: HTTPS

  • Balanceador de carga de aplicativo externo regional

    Protocolos: HTTPS

Versão IP IPv4
Produtor
Serviços compatíveis APIs regionais do Google compatíveis

Destinos globais de APIs do Google

Esta tabela descreve quais balanceadores de carga podem usar um back-end do Private Service Connect para acessar uma API global do Google.

Configuração Detalhes
Configuração do consumidor (back-end do Private Service Connect)
Balanceadores de carga de consumidores compatíveis
  • Balanceador de carga de aplicativo externo global

    Observação: o balanceador de carga de aplicativo clássico não é compatível.

  • Balanceador de carga de aplicativo interno entre regiões

Versão IP IPv4
Produtor
Serviços compatíveis

Status da conexão

Os endpoints, back-ends e anexos de serviço do Private Service Connect têm um status de conexão que descreve o estado da conexão deles. Os recursos de consumidor e produtor que formam os dois lados de uma conexão sempre têm o mesmo status. É possível conferir o status da conexão ao conferir detalhes do endpoint, descrever um back-end ou consultar os detalhes de um serviço publicado.

A tabela a seguir descreve os status possíveis.

Status da conexão Descrição
Aceita em A conexão do Private Service Connect foi estabelecida. As duas redes VPC têm conectividade, e a conexão está funcionando normalmente.
Pendente

A conexão do Private Service Connect não foi estabelecida, e o tráfego de rede não pode transitar entre as duas redes. Uma conexão pode ter esse status pelos seguintes motivos:

As conexões bloqueadas por esses motivos permanecem no estado pendente indefinidamente até que o problema seja resolvido.

Rejeitada

A conexão do Private Service Connect não foi estabelecida. O tráfego de rede não pode viajar entre as duas redes. Uma conexão pode ter esse status pelos seguintes motivos:

Requer atenção ou Não especificado Há um problema no lado do produtor da conexão. É possível que parte do tráfego passe pelas duas redes, mas algumas conexões não funcionem. Por exemplo, a sub-rede NAT do produtor pode estar esgotada e não é possível alocar endereços IP para novas conexões.
Ou você pode clicar em Fechada.

O anexo de serviço foi excluído, e a conexão do Private Service Connect foi encerrada. O tráfego de rede não pode viajar entre as duas redes.

Uma conexão fechada é um estado terminal. Para restaurar a conexão, recrie o anexo de serviço e o endpoint ou back-end.

Especificações

Todos os back-ends do Private Service Connect têm as seguintes especificações:

  • Somente os balanceadores de carga com suporte podem usar NEGs do Private Service Connect como back-ends.
  • Os NEGs do Private Service Connect não podem ser misturados com outros tipos de NEG no mesmo serviço de back-end. No entanto, apps auto-hospedados e serviços gerenciados podem ser back-ends do mesmo balanceador de carga, desde que façam parte de serviços de back-end separados.
  • Os serviços de back-end com NEGs do Private Service Connect não são compatíveis com verificações de integridade. Os recursos da verificação de integridade não estão configurados com serviços de back-end usados para o Private Service Connect.
  • Os serviços de back-end com NEGs do Private Service Connect não suporte afinidade da sessão.
  • Se um NEG do Private Service Connect se referir a um anexo de serviço, esse anexo precisará estar em uma rede VPC diferente do NEG e do balanceador de carga.
  • Os NEGs do Private Service Connect não podem fazer referência que estão configurados para serviços de mapeamento de portas.

Os back-ends do Private Service Connect usados em serviços de back-end globais têm outras especificações:

  • Vários NEGs do Private Service Connect podem ficar no mesmo serviço de back-end, desde que sejam de regiões diferentes. Não é possível adicionar vários NEGs do Private Service Connect da mesma região ao mesmo serviço de back-end.
  • Os NEGs do Private Service Connect são configurados automaticamente com a detecção de outlier. A detecção de outlier permite que o balanceador de carga detecte falhas nas respostas de serviço publicados e faça o failover para as regiões íntegras restantes. A política de detecção de outliers padrão pode ser substituída pela aplicação de sua própria configuração de detecção de outliers ao serviço de back-end.

Preços

Para obter informações sobre preços, consulte as seguintes seções da página de preços da VPC:

A seguir