Patrones de implementación de Private Service Connect
En esta página se describen algunas formas habituales de implementar y acceder a Private Service Connect.
Servicios de un solo cliente
Los servicios de un solo cliente son servicios dedicados a un solo consumidor o cliente. La instancia de servicio suele alojarse en una red de VPC independiente dedicada a ese arrendatario para aislarla de otras redes de VPC de arrendatarios de la organización del productor. Cada servicio usa una lista de aceptación de consumidores para controlar qué proyectos pueden conectarse al servicio. Con la lista de permitidos, puedes limitar el acceso a un solo arrendatario. Aunque solo un inquilino puede conectarse al servicio, este puede crear varios endpoints o back-ends si se conecta desde varias redes de VPC.
Imagen 1. En un servicio gestionado de un solo arrendatario, el productor implementa un servicio en una red de VPC independiente que está dedicada a ese consumidor (haz clic para ampliar).
Servicios multicliente
Los servicios multi-tenant son servicios a los que pueden acceder varios consumidores o clientes. El productor configura la lista de aceptación de consumidores del servicio para que los consumidores de varios proyectos o de cualquier proyecto puedan conectarse al servicio. La lista de aceptación de consumidores también permite al productor controlar el número de conexiones de Private Service Connect que puede crear cada proyecto. Estos límites ayudan al productor a evitar que se agoten los recursos o la cuota. Si el productor necesita identificar qué arrendatario es la fuente del tráfico, puede habilitar el protocolo PROXY en el servicio.
Imagen 2. En un servicio gestionado multiinquilino, varios consumidores pueden acceder a un servicio de una red de VPC (haz clic para ampliar).
Acceso multipunto
El acceso multipunto se produce cuando varios puntos finales o backends de Private Service Connect se conectan a la misma vinculación de servicio. Private Service Connect multipunto es útil para los servicios multitenant porque permite que varios consumidores independientes se conecten al mismo servicio. También es útil para servicios de un solo inquilino en casos como la creación de conectividad de servicios en varias redes de VPC de un solo consumidor.
No todos los productores de servicios admiten el acceso multipunto en su servicio gestionado. Ponte en contacto con el productor del servicio para verificar si sus archivos adjuntos admiten el acceso multipunto.
Acceso multirregional
Los servicios gestionados multirregionales son servicios que se implementan o a los que se accede en varias regiones. Los clientes pueden acceder a servicios de otra región porque el servicio no está disponible en su región o para disfrutar de alta disponibilidad y conmutación por error multirregión. Como Google Cloud admite redes de VPC globales, el acceso global de Private Service Connect permite que los clientes accedan a los puntos finales de Private Service Connect desde cualquier región. El tráfico de clientes puede proceder de instancias de máquina virtual (VM) de Compute Engine, túneles de Cloud VPN y vinculaciones de VLAN para Cloud Interconnect.
Imagen 3. Se puede acceder a los puntos finales de Private Service Connect con acceso global desde cualquier región (haz clic para ampliar).
Acceso local e híbrido
Puedes conectar redes on-premise u otros proveedores de la nube a tu red de VPC mediante vinculaciones de VLAN para Cloud Interconnect y túneles de Cloud VPN. Como los puntos finales de las APIs de Google y los puntos finales de los servicios publicados son accesibles en todo el mundo, los clientes de las redes conectadas pueden enviar solicitudes a puntos finales de cualquier región. Sin embargo, puedes desplegar endpoints en varias regiones para controlar de forma más granular el enrutamiento desde redes híbridas. Puedes enrutar el tráfico híbrido de una región específica a un endpoint local, lo que optimiza la ruta más corta para la ruta del tráfico.
Imagen 4. Se puede acceder a los puntos finales y backends de Private Service Connect desde redes conectadas (haz clic para ampliar la imagen).
Conectividad bidireccional
Aunque los clientes suelen iniciar conexiones con servicios gestionados, a veces los servicios gestionados necesitan iniciar conexiones con servicios propiedad de los clientes.
Invertir la conectividad privada
La conectividad privada inversa se produce cuando un consumidor permite que las VMs y los clústeres de GKE de una red de VPC de un productor inicien tráfico hacia una red de VPC de un consumidor mediante la implementación de Private Service Connect de forma inversa. En este caso, el consumidor implementa un balanceador de carga interno y una vinculación de servicio, que publica su servicio para los productores. Los productores y los consumidores pueden usar Private Service Connect en ambas direcciones para crear una conectividad bidireccional entre ellos.
Imagen 5. La conectividad privada inversa permite a los consumidores y productores crear conectividad bidireccional entre sí (haz clic para ampliar).
Interfaces de Private Service Connect
Las interfaces de Private Service Connect crean conexiones bidireccionales y transitivas entre las redes de VPC de los consumidores y los productores. Los recursos de las redes de VPC del consumidor y del productor pueden iniciar conexiones a través de la interfaz de Private Service Connect. Además, como la conexión es transitiva, los recursos de la red VPC del productor pueden comunicarse con otras cargas de trabajo conectadas a la red VPC del consumidor. Por ejemplo, una VM de la red de VPC del productor puede acceder a cargas de trabajo de redes conectadas a la red de VPC del consumidor mediante Cloud Interconnect o el emparejamiento entre redes de VPC.
Servicios híbridos
Los servicios híbridos que no se encuentren en Google Cloud pueden estar en otras nubes, en un entorno local o en cualquier combinación de estas ubicaciones. Private Service Connect te permite hacer que un servicio híbrido sea accesible en otra red de VPC.
Se puede acceder a los servicios híbridos a través de NEG híbridos, que son compatibles con los balanceadores de carga admitidos.
Esta configuración se suele usar como una forma de conectividad privada inversa, en la que los productores de servicios se conectan a servicios de consumidores alojados en redes locales. Private Service Connect permite que el productor llegue a las redes híbridas del consumidor sin establecer una conexión directa con ellas.
Imagen 6. La conectividad privada inversa permite a los consumidores y productores crear conectividad bidireccional entre sí (haz clic para ampliar).
Para ver un ejemplo de configuración, consulta Publicar un servicio híbrido mediante Private Service Connect.
VPC compartida
Los recursos de Private Service Connect se pueden implementar en redes de VPC independientes o en redes de VPC compartida. Los puntos finales, los backends y las vinculaciones de servicio de Private Service Connect se pueden implementar en proyectos host o de servicio.
Por ejemplo, un administrador de servicios de consumidor puede desplegar puntos finales y back-ends de Private Service Connect en proyectos de servicio mediante direcciones IP de subredes del proyecto host. Con esta configuración, se puede acceder a los puntos finales y a los back-ends desde otros proyectos de servicio de la misma red de VPC compartida.
Todos los clientes de una red de VPC compartida tienen conectividad con un punto final de Private Service Connect, independientemente del proyecto en el que se haya implementado. Sin embargo, el proyecto que elijas sí afecta a la visibilidad, al acceso de gestión de identidades y accesos y al proyecto al que se le facturará el recurso por horas.
Imagen 7. Puedes hacer que los recursos de Private Service Connect estén disponibles en todos los proyectos de servicio asociados a una red de VPC compartida (haz clic para ampliar la imagen).
Siguientes pasos
- Consulta más información sobre Private Service Connect.
- Consulta la información sobre la compatibilidad con Private Service Connect.