Padrões de implantação do Private Service Connect
Nesta página, descrevemos algumas maneiras comuns de implantar e acessar o Private Service Connect.
Serviços de locatário único
Os serviços de locatário único são dedicados a um único consumidor ou locatário. A instância de serviço normalmente é hospedada em uma rede VPC separada que é dedicada a esse locatário, para isolá-la de outras redes VPC de locatário na organização de produtor. Cada serviço usa uma lista de aceitação de consumidor para controlar quais projetos podem se conectar ao serviço. Usando a lista de aceitação, você pode limitar o acesso a um único locatário. Embora apenas um locatário possa se conectar ao serviço, ele poderá criar vários endpoints ou back-ends se estiver conectado por meio de várias redes VPC.
Figura 1. Em um serviço gerenciado de locatário único, o produtor implanta um serviço em uma rede VPC separada que é dedicada a esse consumidor.
Serviços multilocatários
Os serviços multilocatários são serviços que vários consumidores ou locatários podem acessar. O produtor configura a lista de aceitação de consumidor do serviço para que os consumidores em vários projetos possam se conectar ao serviço. A lista de aceitação de consumidor também permite que o produtor controle o número de conexões do Private Service Connect que cada projeto pode criar. Esses limites ajudam o produtor a evitar o esgotamento de recursos ou cotas. Se o produtor precisar identificar qual locatário é a origem do tráfego, poderá ativar o protocolo PROXY no serviço.
Figura 2. Em um serviço gerenciado de vários locatários, um serviço em uma rede VPC pode ser acessado por vários consumidores.
Acesso multiponto
O acesso multiponto é quando vários endpoints ou back-ends do Private Service Connect se conectam ao mesmo anexo de serviço. O Private Service Connect de vários pontos é útil para serviços multilocatários porque permite que vários consumidores independentes se conectem ao mesmo serviço. Ele também é útil para serviços de locatário único em casos como a criação de conectividade de serviço em várias redes VPC em um único consumidor.
Nem todos os provedores de serviços optam por oferecer suporte ao acesso multiponto no serviço gerenciado. Entre em contato com o produtor de serviços para verificar se os anexos de serviço são compatíveis com o acesso multiponto.
Acesso multirregional
Os serviços gerenciados multirregionais são implantados ou acessados em várias regiões. Os clientes podem acessar serviços em uma região diferente porque o serviço não existe na região local ou para alta disponibilidade e failover multirregional. Como o Google Cloud é compatível com redes VPC globais, o acesso global do Private Service Connect permite que os clientes acessem endpoints do Private Service Connect em qualquer região. O tráfego do cliente pode ser de instâncias de máquina virtual (VM) do Compute Engine, túneis do Cloud VPN e anexos da VLAN para o Cloud Interconnect.
Figura 3. Os endpoints do Private Service Connect com acesso global podem ser acessados de qualquer região.
Acesso local e híbrido
É possível conectar redes locais ou outros provedores de nuvem à sua rede VPC usando anexos de VLAN para o Cloud Interconnect e os túneis do Cloud VPN. Como os endpoints para APIs Google e os endpoints para serviços publicados são acessíveis globalmente, os clientes em redes conectadas podem enviar solicitações para endpoints em qualquer região. No entanto, é possível implantar endpoints em várias regiões para controlar mais detalhadamente o roteamento de redes híbridas. É possível rotear o tráfego híbrido de uma região específica para um endpoint local, que otimiza a rota mais curta para o caminho do tráfego.
Figura 4 Os endpoints e back-ends do Private Service Connect podem ser acessados de redes conectadas.
Conectividade bidirecional
Os clientes consumidores geralmente iniciam conexões com serviços gerenciados, mas, às vezes, eles precisam iniciar conexões com serviços de propriedade do consumidor.
Conectividade particular inversa
A conectividade particular reversa é quando um consumidor permite que VMs e clusters do GKE em uma rede VPC do produtor iniciem o tráfego para uma rede VPC do consumidor implantando o Private Service Connect ao contrário. . Nesse caso, o consumidor implanta um balanceador de carga interno e um anexo de serviço, que publica o serviço para os produtores. Juntos, os produtores e consumidores podem usar o Private Service Connect em uma mesma direção ou em uma direção inversa para criar conectividade bidirecional entre si.
Figura 5. A conectividade particular inversa permite que os consumidores e produtores criem conectividade bidirecional entre si.
Interfaces do Private Service Connect
As interfaces do Private Service Connect criam conexões transitivas bidirecionais entre as redes VPC do consumidor e do produtor. Os recursos nas redes VPC do consumidor e do produtor podem iniciar conexões pela interface do Private Service Connect. Além disso, como a conexão é transitiva, os recursos na rede VPC do produtor podem se comunicar com outras cargas de trabalho conectadas à rede VPC do consumidor. Por exemplo, uma VM na rede VPC do produtor pode alcançar cargas de trabalho em redes conectadas à rede VPC do consumidor por meio do Cloud Interconnect ou do peering de rede VPC.
Serviços híbridos
Os serviços híbridos que não estão no Google Cloud podem estar em outras nuvens, em um ambiente local ou em qualquer combinação desses locais. O Private Service Connect permite que você torne um serviço híbrido acessível em outra rede VPC.
Os serviços híbridos podem ser acessados por meio de NEGs híbridos, que são compatíveis com balanceadores de carga compatíveis.
Muitas vezes, essa configuração é usada como uma forma de conectividade particular inversa, com os produtores de serviços fazendo conexões com serviços de consumidor hospedados em redes locais. O Private Service Connect permite que o produtor acesse as redes híbridas do consumidor sem estabelecer conectividade diretamente com elas.
Figura 6. A conectividade particular inversa permite que os consumidores e produtores criem conectividade bidirecional entre si.
Para ver um exemplo de configuração, consulte Publicar um serviço híbrido usando o Private Service Connect.
VPC compartilhada
Os recursos do Private Service Connect podem ser implantados em redes VPC autônomas ou compartilhadas. Os endpoints, back-ends e anexos de serviço do Private Service Connect podem ser implantados em projetos host ou de serviço.
Por exemplo, um administrador de serviço de consumidor pode implantar endpoints e back-ends do Private Service Connect em projetos de serviço usando endereços IP de sub-redes no projeto host. Com essa configuração, os endpoints e os back-ends podem ser acessados por outros projetos de serviço na mesma rede VPC compartilhada.
Todos os clientes em uma rede VPC compartilhada têm conectividade com um endpoint do Private Service Connect, independentemente do projeto em que estão implantados. No entanto, a escolha do projeto afeta a visibilidade, o acesso do IAM e o projeto que recebe o faturamento de recurso por hora.
Figura 7. É possível disponibilizar os recursos do Private Service Connect em todos os projetos de serviço associados a uma rede VPC compartilhada.
A seguir
- Saiba mais sobre o Private Service Connect.
- Veja Informações de compatibilidade do Private Service Connect.