Private Service Connect
Este documento oferece uma vista geral do Private Service Connect.
O Private Service Connect é uma capacidade de Google Cloud rede que permite que os consumidores acedam de forma privada aos serviços geridos a partir da respetiva rede VPC. Da mesma forma, permite que os produtores de serviços geridos alojem estes serviços nas suas próprias redes VPC separadas e ofereçam uma ligação privada aos respetivos consumidores. Por exemplo, quando usa o Private Service Connect para aceder ao Cloud SQL, é o consumidor do serviço e a Google é o produtor do serviço.
Com o Private Service Connect, os consumidores podem usar os seus próprios endereços IP internos para aceder a serviços sem sair das respetivas redes VPC. O tráfego permanece totalmente dentro de Google Cloud. O Private Service Connect oferece acesso orientado para serviços entre consumidores e produtores com controlo detalhado sobre a forma como os serviços são acedidos.
Figura 1. O Private Service Connect permite-lhe enviar tráfego para pontos finais e back-ends que encaminham o tráfego para serviços geridos, incluindo APIs Google e serviços publicados. As interfaces do Private Service Connect permitem que os serviços geridos iniciem ligações a redes VPC do consumidor.
Escolher uma funcionalidade do Private Service Connect
A tabela seguinte resume as funcionalidades do Private Service Connect a usar para diferentes exemplos de utilização.
Exemplo de utilização | Funcionalidade do Private Service Connect |
---|---|
Consumir serviços |
|
Serviços de produção |
|
Tipos de Private Service Connect
O Private Service Connect está disponível em diferentes tipos que oferecem diferentes capacidades e modos de comunicação.
Os produtores de serviços publicam as respetivas aplicações para os consumidores através da criação de serviços do Private Service Connect. Os consumidores de serviços acedem diretamente a esses serviços do Private Service Connect através de um dos seguintes tipos do Private Service Connect:
- Pontos finais do Private Service Connect: os pontos finais são implementados através de regras de encaminhamento que fornecem ao consumidor um endereço IP mapeado para o serviço Private Service Connect.
- Back-ends do Private Service Connect: os back-ends são implementados através de grupos de pontos finais da rede (NEGs) que permitem aos consumidores direcionar o tráfego para o respetivo balanceador de carga antes de chegar a um serviço do Private Service Connect.
Os produtores de serviços podem iniciar ligações a consumidores de serviços através de interfaces do Private Service Connect. As interfaces do Private Service Connect oferecem comunicação bidirecional e podem ser usadas na mesma rede VPC que os pontos finais e os back-ends.
Pontos finais
Os pontos finais do Private Service Connect são endereços IP internos numa rede VPC do consumidor que os clientes nessa rede podem aceder diretamente. Os pontos finais são criados implementando uma regra de encaminhamento que faz referência a uma associação de serviços ou a um pacote de APIs Google.
O diagrama seguinte mostra um ponto final do Private Service Connect que segmenta um serviço publicado que está a ser executado numa rede VPC e numa organização separadas. Os pontos finais do Private Service Connect e os serviços publicados permitem que duas empresas independentes comuniquem entre si através de endereços IP internos. Para mais informações, consulte o artigo Acerca do acesso a serviços publicados através de pontos finais.
Figura 2. O Private Service Connect permite-lhe enviar tráfego para pontos finais que encaminham o tráfego para serviços publicados noutra rede VPC.
Da mesma forma, pode usar um ponto final do Private Service Connect para aceder a APIs Google, como o Cloud Storage ou o BigQuery. Esta funcionalidade é semelhante ao acesso privado da Google, exceto que pode usar os seus próprios endereços IP internos para pontos finais. O Private Service Connect permite-lhe controlar o encaminhamento de forma mais direta e criar tantos pontos finais quantos forem necessários para a sua rede. Para mais informações, consulte o artigo Acerca do acesso às APIs Google através de pontos finais.
Figura 3. O Private Service Connect permite-lhe enviar tráfego para pontos finais que encaminham o tráfego para as APIs Google.
Back-ends
Os back-ends do Private Service Connect permitem que os balanceadores de carga enviem tráfego através do Private Service Connect para alcançar serviços publicados ou APIs Google. Google Cloud Os back-ends são implementados através de grupos de pontos finais da rede (NEGs) do Private Service Connect que fazem referência a uma associação de serviços do produtor ou a uma API Google suportada. Colocar um balanceador de carga à frente de um serviço gerido oferece ao consumidor mais visibilidade e controlo do que é possível através de um ponto final do Private Service Connect. Os back-ends permitem-lhe criar configurações como as seguintes:
- Domínios e certificados pertencentes ao cliente à frente dos serviços geridos
- Comutação por falha controlada pelo consumidor entre serviços geridos em diferentes regiões
- Configuração de segurança centralizada e controlo de acesso para serviços geridos
O diagrama seguinte mostra um Application Load Balancer interno implementado com back-ends do Private Service Connect que fazem referência a um serviço publicado. Existem dois equilibradores de carga na configuração:
- O equilibrador de carga do consumidor que oferece controlo, visibilidade e segurança do tráfego para o serviço.
- O balanceador de carga do produtor que equilibra a carga do tráfego nos back-ends do serviço.
Figura 4. O Private Service Connect permite-lhe enviar tráfego para back-ends que encaminham o tráfego para serviços publicados.
Tal como os pontos finais do Private Service Connect, os back-ends também suportam a segmentação de APIs Google. O diagrama seguinte mostra um Application Load Balancer interno que segmenta um contentor do Cloud Storage e termina o tráfego através de um domínio pertencente ao cliente.
Figura 5. O Private Service Connect permite-lhe enviar tráfego para back-ends que encaminham o tráfego para uma API Google regional.
Interfaces
Uma interface do Private Service Connect é um tipo especial de interface de rede que se refere a uma associação da rede.
Um produtor de serviços pode criar uma interface do Private Service Connect e pedir uma ligação a uma associação de rede. Se o consumidor de serviços aceitar a ligação, Google Cloud atribui um endereço IP à interface a partir de uma sub-rede na rede VPC do consumidor especificada pelo anexo de rede. A VM da interface do Private Service Connect tem uma segunda interface de rede padrão que se liga à rede da VPC do produtor.
Uma ligação entre uma interface do Private Service Connect e uma associação de rede é semelhante à ligação entre um ponto final do Private Service Connect e uma associação do serviço, mas tem duas diferenças principais:
- Uma interface do Private Service Connect permite que uma rede VPC do produtor inicie ligações a uma rede VPC do consumidor (saída do serviço gerido). Um ponto final funciona na direção inversa, permitindo que uma rede VPC do consumidor inicie ligações a uma rede VPC do produtor (entrada de serviço gerido).
- Uma ligação de interface do Private Service Connect é transitiva. Isto significa que as cargas de trabalho numa rede do produtor podem iniciar ligações a outras cargas de trabalho que estão ligadas à rede VPC do consumidor. Os pontos finais do Private Service Connect só podem iniciar ligações à rede VPC do produtor.
Figura 6. As interfaces do Private Service Connect permitem que os produtores de serviços iniciem ligações aos consumidores de serviços.
Serviços geridos do Private Service Connect
Os serviços geridos são serviços que são propriedade e geridos por alguém que não seja o consumidor do serviço. O Private Service Connect pode ser usado para aceder a serviços geridos que são propriedade da Google, de empresas de software como serviço (SaaS) de terceiros ou de outras equipas na própria empresa do consumidor. Os serviços publicados e as APIs Google podem ser alvos do Private Service Connect.
O Private Service Connect suporta o acesso aos seguintes tipos de serviços geridos:
- Serviços publicados alojados na VPC
- APIs Google
Serviços publicados
Os serviços publicados são serviços alojados na VPC que são implementados na rede VPC do produtor e aos quais se acede a partir da rede VPC do consumidor. A publicação de um serviço permite que o produtor do serviço seja proprietário e controle a implementação do serviço na sua própria rede VPC. Os serviços publicados podem incluir o seguinte:
- Serviços Google, como o GKE, o Apigee ou o Cloud Composer. Estes serviços são executados em projetos de inquilinos e redes VPC geridos pela Google.
- Serviços de terceiros, em que terceiros oferecem acesso privado a um serviço publicado em Google Cloud.
- Serviços intraorganizacionais, em que uma única empresa tem clientes a aceder a aplicações internas em diferentes redes VPC. Algumas organizações usam redes VPC separadas para segmentação interna. Com essa configuração, uma equipa pode oferecer um serviço gerido a uma equipa diferente que opera numa rede VPC separada.
Anexos de serviços
As associações de serviços são recursos usados para criar serviços publicados do Private Service Connect.
Pode aceder às associações de serviços através de pontos finais ou servidores de back-end. Vários back-ends ou pontos finais podem ligar-se à mesma associação de serviços, o que permite que várias redes VPC ou vários consumidores acedam à mesma instância de serviço.
Uma associação de serviço segmenta um balanceador de carga do produtor e permite que os clientes numa rede VPC do consumidor acedam ao balanceador de carga. A configuração do anexo do serviço define o seguinte:
- Uma lista de aceitação de consumidores que define os consumidores que têm autorização para estabelecer ligação ao serviço.
- A sub-rede NAT de onde o tráfego traduzido é proveniente na rede VPC do produtor.
- Um domínio DNS opcional, se for fornecido, que é usado nas entradas DNS para pontos finais que são criados automaticamente na zona DNS do Google Cloud do consumidor.
APIs Google
A utilização do Private Service Connect para aceder às APIs Google é uma alternativa à utilização do acesso privado Google ou dos nomes de domínio públicos para APIs Google. Neste caso, o produtor é a Google.
Pode aceder às APIs Google através de pontos finais ou backends.
- Os pontos finais permitem-lhe segmentar um pacote de APIs Google globais ou uma única API Google regional.
- Os backends permitem-lhe segmentar uma única API Google global ou uma única API Google regional.
A utilização do Private Service Connect permite-lhe fazer o seguinte:
- Crie um ou mais endereços IP internos para aceder às APIs Google para diferentes exemplos de utilização.
- Direcione o tráfego no local para endereços IP e regiões específicos quando aceder às APIs Google.
- Centralize o tráfego da API Google através de um equilibrador de carga suportado para aplicar os seus próprios certificados, políticas de segurança ou observabilidade.
Características do Private Service Connect
O Private Service Connect oferece conetividade privada com as seguintes características:
- Design orientado para serviços: os serviços de produção são publicados através de balanceadores de carga que expõem um único endereço IP à rede VPC do consumidor. O tráfego de consumidores que acede aos serviços de produtores é unidirecional e só pode aceder ao endereço IP do serviço, em vez de ter acesso a uma rede VPC com peering completa.
- Autorização explícita: o Private Service Connect oferece um modelo de autorização que dá aos consumidores e produtores um controlo detalhado, garantindo que apenas os pontos finais de serviço pretendidos e nenhum outro recurso se podem ligar a um serviço.
- Sem dependências partilhadas: o tráfego entre o consumidor e os produtores usa NAT, pelo que não existem coordenação de endereços IP nem outras dependências de recursos partilhados entre as redes VPC do consumidor e do produtor. Esta independência ajuda a simplificar a implementação e o dimensionamento do serviço.
- Desempenho à velocidade da linha: o tráfego do Private Service Connect passa diretamente dos clientes consumidores para os back-ends produtores sem saltos ou proxies intermédios. A NAT é realizada diretamente nas máquinas anfitriãs físicas que alojam as VMs de consumidor e produtor, o que reduz a latência e aumenta a capacidade da largura de banda. A capacidade de largura de banda do Private Service Connect só é limitada pela capacidade de largura de banda dos computadores cliente e servidor que estão a comunicar diretamente.
Para saber mais sobre a conceção interna do Private Service Connect, consulte o artigo Arquitetura e desempenho do Private Service Connect.
O que se segue?
- Saiba como aceder a serviços publicados através de pontos finais.
- Saiba como aceder às APIs Google através de pontos finais.
- Saiba mais sobre os backends.
- Saiba mais sobre os serviços de publicação.
- Conclua um codelab para usar o Private Service Connect para publicar e consumir serviços com o GKE.