Private Service Connect

Neste documento, apresentamos uma visão geral do Private Service Connect.

O Private Service Connect é um recurso da rede do Google Cloud que permite que consumidores acessem serviços gerenciados de maneira particular na rede VPC deles. Da mesma forma, ele permite que produtores de serviços gerenciados hospedem esses serviços em redes VPC separadas e ofereçam uma conexão particular aos consumidores. Por exemplo, quando você usa o Private Service Connect para acessar o Cloud SQL, você é o consumidor do serviço, e o Google é o produtor.

Com o Private Service Connect, os consumidores podem usar os próprios endereços IP internos para acessar serviços sem sair das redes VPC. O tráfego permanece inteiramente dentro do Google Cloud. O Private Service Connect fornece acesso orientado ao serviço entre consumidores e produtores com controle granular sobre o acesso.

Como escolher um recurso do Private Service Connect

A tabela a seguir mostra quais recursos do Private Service Connect usar para diferentes casos de uso.

Caso de uso	Recurso do Private Service Connect
Consumir serviços	Os endpoints oferecem conectividade da camada 4 aos serviços. Se você precisar de recursos de balanceador de carga, como URLs personalizados ou gerenciamento de tráfego avançado, use back-ends.
Produzir serviços	Com os serviços publicados, os consumidores podem enviar solicitações ao seu serviço. Se você precisar iniciar conexões com consumidores, use interfaces.

Tipos do Private Service Connect

O Private Service Connect está disponível em diferentes tipos, que oferecem diferentes recursos e modos de comunicação.

Os produtores de serviço publicam aplicativos para os consumidores criando serviços do Private Service Connect. Os consumidores de serviço acessam os serviços do Private Service Connect diretamente por meio de um destes tipos:

• Endpoints do Private Service Connect: os endpoints são implantados usando regras de encaminhamento que fornecem ao consumidor um endereço IP, que é associado ao serviço do Private Service Connect.
• Back-ends do Private Service Connect: os back-ends são implantados usando grupos de endpoint da rede (NEGs, na sigla em inglês) que permitem aos consumidores direcionar o tráfego ao balanceador de carga antes de alcançar um serviço do Private Service Connect.

Para iniciar conexões com os consumidores de serviço, os produtores usam as interfaces do Private Service Connect. As interfaces realizam comunicação bidirecional e podem ser usadas na mesma rede VPC que os endpoints e back-ends.

Endpoints

Os endpoints do Private Service Connect são endereços IP internos em uma rede VPC do consumidor que podem ser acessados diretamente pelos clientes dessa rede. Para criar endpoints, implantamos uma regra de encaminhamento que faz referência a um anexo de serviço ou a um pacote de APIs do Google.

O diagrama a seguir mostra um endpoint do Private Service Connect que visa um serviço publicado em execução em uma rede VPC e organização separadas. Os endpoints e os serviços publicados do Private Service Connect permitem que duas empresas independentes se comuniquem usando endereços IP internos. Saiba mais em Sobre como acessar serviços publicados por meio de endpoints.

Da mesma forma, é possível usar um endpoint do Private Service Connect para acessar APIs do Google, como o Cloud Storage ou o BigQuery. Essa funcionalidade é semelhante ao Acesso Privado do Google, mas é possível usar seus próprios endereços IP internos para endpoints. O Private Service Connect permite controlar mais diretamente o roteamento e criar quantos endpoints forem necessários para uma rede. Saiba mais em Sobre como acessar APIs do Google por endpoints.

Back-ends

Com os back-ends do Private Service Connect, os balanceadores de carga do Google Cloud enviam tráfego pelo Private Service Connect para alcançar serviços publicados ou APIs do Google. Os back-ends são implantados por meio de grupos de endpoints da rede (NEGs, na sigla em inglês) do Private Service Connect, que fazem referência a um anexo de serviço do produtor ou a uma API compatível do Google. Colocar um balanceador de carga na frente de um serviço gerenciado dá ao consumidor mais visibilidade e controle do que é possível por meio de um endpoint do Private Service Connect. Os back-ends permitem criar configurações como as seguintes:

• Domínios e certificados do cliente na frente de serviços gerenciados
• Failover controlado pelo consumidor entre serviços gerenciados em diferentes regiões
• Configuração centralizada de segurança e controle de acesso para serviços gerenciados

O diagrama a seguir mostra um balanceador de carga de aplicativo interno implantado com back-ends do Private Service Connect que fazem referência a um serviço publicado. Há dois balanceadores de carga na configuração:

• O balanceador de carga do consumidor, que proporciona controle, visibilidade e segurança do tráfego ao serviço.
• O balanceador de carga do produtor, que faz o balanceamento de carga do tráfego pelos back-ends de serviço.

Assim como os endpoints do Private Service Connect, os back-ends também são compatíveis com a segmentação de APIs do Google. O diagrama a seguir mostra um balanceador de carga de aplicativo interno que tem como destino um bucket do Cloud Storage e encerra o tráfego usando um domínio de propriedade do cliente.

Interfaces

A interface do Private Service Connect é um tipo especial de interface de rede que faz referência a um anexo de rede.

Um produtor de serviço pode criar uma interface do Private Service Connect e solicitar uma conexão com um anexo de rede. Quando o consumidor de serviços aceita a conexão, o Google Cloud aloca à interface um endereço IP de uma sub-rede na rede VPC do consumidor especificada pelo anexo de rede. A VM da interface do Private Service Connect tem uma segunda interface de rede padrão que se conecta à rede VPC do produtor.

Uma conexão entre uma interface do Private Service Connect e um anexo de rede é semelhante à conexão entre um endpoint do Private Service Connect e um anexo de serviço, mas há duas diferenças principais:

• Uma interface do Private Service Connect permite que uma rede VPC do produtor inicie conexões com uma rede VPC do consumidor (saída de serviço gerenciado). Um endpoint funciona na direção inversa, permitindo que uma rede VPC do consumidor inicie conexões com uma rede VPC do produtor (entrada de serviço gerenciado).
• Uma conexão de interface do Private Service Connect é transitiva. Isso significa que as cargas de trabalho em uma rede do produtor podem iniciar conexões com outras cargas de trabalho que estão conectadas à rede VPC do consumidor. Os endpoints do Private Service Connect só podem iniciar conexões com a rede VPC do produtor.

Serviços gerenciados do Private Service Connect

Os serviços gerenciados são responsabilidade de alguém que não é o consumidor de serviço. O Private Service Connect pode ser usado para acessar serviços gerenciados de propriedade do Google, empresas de software como serviço (SaaS) de terceiros ou outras equipes na empresa do próprio consumidor. Os serviços publicados e as APIs do Google podem ser destinos do Private Service Connect.

O Private Service Connect é compatível com acesso aos seguintes tipos de serviços gerenciados:

• Serviços publicados hospedados pela VPC
• APIs do Google

Serviços publicados

Serviços publicados são serviços hospedados na rede VPC do produtor e acessados pela rede VPC do consumidor. Quando publica um serviço, o produtor controla a implantação do serviço na própria rede VPC. Os serviços publicados podem incluir o seguinte:

• Serviços do Google, como GKE, Apigee ou Cloud Composer. Esses serviços são executados em projetos de locatário e redes VPC gerenciados pelo Google.
• Serviços de terceiros, em que terceiros oferecem acesso particular a um serviço publicado noGoogle Cloud.
• Serviços intraorganizacionais, em que uma única empresa tem clientes que acessam aplicativos internos em diferentes redes VPC. Algumas organizações usam redes VPC separadas para segmentação interna. Com essa configuração, uma equipe pode oferecer um serviço gerenciado a uma equipe diferente que opere em uma rede VPC separada.

Anexos de serviço

Anexos de serviço são recursos usados para criar serviços publicados do Private Service Connect.

Os anexos de serviço podem ser acessados usando endpoints ou back-ends. Vários back-ends ou endpoints podem se conectar ao mesmo anexo de serviço, permitindo que várias redes VPC ou vários consumidores acessem a mesma instância de serviço.

Um anexo de serviço tem como destino um balanceador de carga do produtor e permite que os clientes em uma rede VPC do consumidor acessem o balanceador de carga. A configuração do anexo de serviço define o seguinte:

• Uma lista de aceitação de consumidores, que define quais consumidores têm permissão para se conectar ao serviço.
• A sub-rede NAT de origem do tráfego convertido, na rede VPC do produtor.
• Um domínio DNS opcional, se fornecido, que é usado nas entradas DNS para endpoints que são criadas automaticamente na zona do Cloud DNS do consumidor.

APIs do Google

Usar o Private Service Connect para acessar APIs do Google é uma alternativa ao uso do Acesso Privado do Google ou dos nomes de domínio público para APIs do Google. Nesse caso, o produtor é o Google.

As APIs do Google podem ser acessadas usando endpoints ou back-ends.

• Com endpoints, é possível selecionar como destino um pacote de APIs globais do Google ou uma API única regional do Google.
• Com back-ends, é possível selecionar como destino um único cliente global do Google API ou uma única API regional do Google.

Com o Private Service Connect, é possível fazer o seguinte:

• Criar um ou mais endereços IP internos para acessar as APIs do Google em diferentes casos de uso.
• Direcionar o tráfego local para regiões e endereços IP específicos ao acessar as APIs do Google.
• Centralize o tráfego da API do Google por um balanceador de carga compatível para aplicar seus próprios certificados, políticas de segurança ou observabilidade.

Características do Private Service Connect

O Private Service Connect oferece conectividade particular com as seguintes características:

• Design orientado a serviços: os serviços do produtor são publicados por meio de balanceadores de carga que expõem um único endereço IP à rede VPC do consumidor. O tráfego do consumidor que acessa serviços do produtor é unidirecional e só pode acessar o endereço IP do serviço, em vez de ter acesso a uma rede VPC com peering inteira.
• Autorização explícita: o modelo de autorização do Private Service Connect dá controle granular a consumidores e produtores, garantindo que apenas os endpoints do serviço autorizados (e nenhum outro recurso) possam se conectar a um serviço do Google Analytics.
• Sem dependências compartilhadas: o tráfego entre consumidor e produtor usa NAT para que não haja coordenação de endereços IP ou outras dependências de recursos compartilhados entre as redes VPC do consumidor e do produtor. Essa independência ajuda a simplificar a implantação e o escalonamento do serviço.
• Desempenho da taxa de linha: o tráfego do Private Service Connect vai diretamente dos clientes consumidores para os back-ends do produtor, sem saltos nem proxies intermediários. O NAT é executado diretamente nas máquinas host físicas, que hospedam as VMs de consumidor e produtor, o que reduz a latência e aumenta a capacidade da largura de banda. A capacidade de largura de banda do Private Service Connect é limitada apenas pela capacidade de largura de banda das máquinas do servidor e do cliente que estão se comunicando diretamente.

Saiba mais sobre o design interno do Private Service Connect em Arquitetura e performance do Private Service Connect.

A seguir

• Veja mais sobre como acessar os serviços publicados por endpoints.
• Saiba mais sobre como acessar APIs do Google por endpoints.
• Saiba mais sobre back-ends.
• Saiba mais sobre serviços de publicação.
• Faça um codelab para usar o Private Service Connect para publicar e consumir serviços com o GKE.