Patrones de implementación de Private Service Connect

En esta página, se describen algunas formas comunes de implementar y acceder a Private Service Connect.

Servicios de usuario único

Los servicios de usuario único son servicios dedicados a un solo consumidor o usuario. Por lo general, la instancia de servicio se aloja en una red de VPC independiente dedicada a ese usuario para aislarla de otras redes de VPC de usuario en la organización del productor. Cada servicio usa una lista de aceptación del consumidor para controlar qué proyectos pueden conectarse al servicio. Con la lista de aceptación, puedes limitar el acceso a un solo usuario. Aunque solo un usuario puede conectarse al servicio, puede crear varios extremos o backends si se conecta desde varias redes de VPC.

**Figura 1.** En un servicio administrado de usuario único, el productor implementa un servicio en una red de VPC independiente dedicada a ese consumidor.

Servicios multiusuario

Los servicios multiusuario son aquellos a los que pueden acceder varios consumidores o usuarios. El productor configura la lista de aceptación del consumidor del servicio para que los consumidores en varios o cualquier proyecto puedan conectarse al servicio. La lista de aceptación del consumidor también permite que el productor controle la cantidad de conexiones de Private Service Connect que puede crear cada proyecto. Estos límites ayudan al productor a evitar el agotamiento de los recursos o las cuotas. Si el productor necesita identificar qué usuario es la fuente de tráfico, puede habilitar el protocolo PROXY en el servicio.

**Figura 2.** En un servicio administrado de multiusuario, varios consumidores pueden acceder a un servicio en una red de VPC.

Acceso multipunto

El acceso multipunto ocurre cuando varios extremos o backends de Private Service Connect se conectan al mismo adjunto de servicio. Private Service Connect multipunto es útil para los servicios multiusuario, ya que permite que varios consumidores independientes se conecten al mismo servicio. También es útil para servicios de usuario único para casos como la creación de conectividad de servicio en varias redes de VPC dentro de un solo consumidor.

No todos los productores de servicios eligen admitir el acceso multipunto en su servicio administrado. Comunícate con tu productor de servicios para verificar si sus adjuntos de servicio admiten el acceso multipunto.

Acceso multirregión

Los servicios administrados multirregión son servicios que se implementan o acceden a ellos en varias regiones. Los clientes pueden acceder a los servicios en una región diferente porque el servicio no existe en su región local o para una alta disponibilidad y conmutación por error multirregional. Debido a que Google Cloud admite redes de VPC globales, el acceso global de Private Service Connect permite que los clientes lleguen a los extremos de Private Service Connect desde cualquier región. El tráfico del cliente puede ser de instancias de máquina virtual (VM) de Compute Engine, túneles de Cloud VPN y adjuntos de VLAN para Cloud Interconnect.

**Figura 3.** Se puede acceder a los extremos de Private Service Connect con acceso global desde cualquier región.

Acceso híbrido y local

Puedes conectar redes locales o cualquier otro proveedor de servicios en la nube a tu red de VPC mediante adjuntos de VLAN para Cloud Interconnect y túneles de Cloud VPN. Debido a que los extremos para las APIs de Google y los extremos para los servicios publicados son accesibles de forma global, los clientes en redes conectadas pueden enviar solicitudes a extremos. en cualquier región. Sin embargo, puedes implementar extremos en varias regiones para controlar el enrutamiento con mayor detalle desde redes híbridas. Puedes enrutar el tráfico híbrido de una región específica a un extremo local que optimiza la ruta más corta para la ruta de tráfico.

**Figura 4.** Se puede acceder a los extremos y backends de Private Service Connect desde redes conectadas.

Conectividad bidireccional

Aunque los clientes consumidores por lo general inician conexiones a servicios administrados, a veces los servicios administrados necesitan iniciar conexiones con servicios del consumidor.

Revierte la conectividad privada

Revertir la conectividad privada es cuando un consumidor permite que las VMs y los clústeres de GKE de una red de VPC de productor inicien tráfico a una red de VPC del consumidor mediante la implementación de Private Service Connect de modo inverso. En este caso, el consumidor implementa un balanceador de cargas interno y un adjunto de servicio, que publica su servicio en los productores. Juntos, los productores y los consumidores pueden usar Private Service Connect en dirección inversa y hacia delante para crear conectividad bidireccional entre sí.

**Figura 5.** La conectividad privada inversa permite que los consumidores y productores creen conectividad bidireccional entre sí.

Interfaces de Private Service Connect

Las interfaces de Private Service Connect crean conexiones bidireccionales y transitivas entre las redes de VPC del consumidor y del productor. Los recursos en las redes de VPC del consumidor y del productor pueden iniciar conexiones a través de la interfaz de Private Service Connect. Además, debido a que la conexión es transitiva, los recursos en la red de VPC del productor pueden comunicarse con otras cargas de trabajo que están conectadas a la red de VPC del consumidor. Por ejemplo, una VM en la red de VPC del productor puede llegar a cargas de trabajo en redes que están conectadas a la red de VPC del consumidor a través de Cloud Interconnect o el intercambio de tráfico entre redes de VPC.

Servicios híbridos

Los servicios híbridos que no se encuentran en Google Cloud pueden estar en otras nubes, en un entorno local o cualquier combinación de estas ubicaciones. Private Service Connect te permite hacer que un servicio híbrido sea accesible en otra red de VPC.

Se puede acceder a los servicios híbridos a través de NEG híbridos que son compatibles con balanceadores de cargas compatibles.

A menudo, esta configuración se usa como una forma de conectividad privada inversa, con los productores de servicios que realizan conexiones a servicios para consumidores alojados en redes locales. Private Service Connect permite que el productor llegue a las redes híbridas del consumidor sin establecer conectividad directa con esas redes.

**Figura 6.** La conectividad privada inversa permite que los consumidores y productores creen conectividad bidireccional entre sí.

Para ver una configuración de ejemplo, consulta Publica un servicio híbrido mediante Private Service Connect.

VPC compartida

Los recursos de Private Service Connect se pueden implementar en redes de VPC independientes o en redes de VPC compartidas. Los extremos, los backends y los adjuntos de servicio de Private Service Connect se pueden implementar en proyectos host o de servicio.

Por ejemplo, un administrador de servicios de consumidor puede implementar extremos y backends de Private Service Connect en proyectos de servicio mediante direcciones IP de subredes en el proyecto host. Con esta configuración, se puede acceder a los extremos y los backends desde otros proyectos de servicio en la misma red de VPC compartida.

Todos los clientes dentro de una red de VPC compartida tienen conectividad con un extremo de Private Service Connect, sin importar en qué proyecto se implemente. Sin embargo, la elección del proyecto afecta la visibilidad, el acceso a IAM y a qué proyecto se cobra la facturación de recursos por hora.

**Figura 7.** Puedes hacer que los recursos de Private Service Connect estén disponibles en todos los proyectos de servicio asociados a una red de VPC compartida.

¿Qué sigue?

Más información sobre Private Service Connect
Consulta la información de compatibilidad de Private Service Connect.