Private Service Connect
Private Service Connect permite el consumo privado de servicios en las redes de VPC que pertenecen a distintos grupos, equipos, proyectos u organizaciones. Puedes publicar y consumir servicios usando direcciones IP que definas y que sean internas a tu red de VPC.
Puedes usar Private Service Connect para acceder a los servicios y las API de Google o a servicios administrados en otra red de VPC.
Usa Private Service Connect para acceder a las API de Google
De forma predeterminada, si tienes una aplicación que usa un servicio de Google, como Cloud Storage, tu aplicación se conecta con el nombre de DNS predeterminado para ese servicio, como storage.googleapis.com. Aunque las direcciones IP de los nombres de DNS predeterminados se pueden enrutar de forma pública, el tráfico enviado desde los recursos de Google Cloud permanece dentro de la red de Google.
Con Private Service Connect, puedes crear extremos privados con direcciones IP internas globales dentro de tu red de VPC. Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos como storage-vialink1.p.googleapis.com y bigtable-adsteam.p.googleapis.com.
Estos nombres y direcciones IP son internas de tu red de VPC y de cualquier red local que esté conectada a esta mediante túneles de Cloud VPN o adjuntos de Cloud Interconnect (VLAN). Puedes controlar qué tráfico se dirige a cada extremo y también puedes demostrar que el tráfico permanece dentro de Google Cloud.
Esta opción te brinda acceso a todos los servicios y las API de Google que se incluyen en los paquetes de API. Si necesitas restringir el acceso solo a ciertas API y servicios, Private Service Connect con controles de servicio HTTP(S) de consumidor te permite elegir qué API y servicios se realizan disponibles, para los extremos de servicio regionales admitidos.
Si deseas obtener más información sobre las configuraciones de Private Service Connect para acceder a las API de Google, consulta casos de uso.
Usa Private Service Connect para acceder a las API de Google con controles de servicio HTTP(S) de consumidor
Puedes crear un extremo de Private Service Connect con controles de servicio de HTTP(S) de consumidor mediante un balanceador de cargas de HTTP(S) interno. El balanceador de cargas de HTTP(S) interno proporciona las siguientes funciones:
Puedes elegir qué servicios estarán disponibles mediante un mapa de URL. El filtrado por ruta de acceso te permite realizar verificaciones más detalladas.
Puedes cambiar el nombre de los servicios, por ejemplo,
spanner.example.com, y asignarlos a las URL que elijas.Puedes configurar el balanceador de cargas para registrar todas las solicitudes en Cloud Logging.
Puedes usar certificados TLS administrados por el cliente.
Puedes habilitar la residencia de datos en tránsito si te conectas a extremos regionales para las API de Google desde las cargas de trabajo en esa misma región.
Usa Private Service Connect para publicar y consumir servicios administrados
Private Service Connect permite que un productor de servicios ofrezca servicios a un consumidor de servicios. Una red de VPC de productor de servicios puede admitir varios consumidores de servicios.
Existen dos tipos de extremos de Private Service Connect que pueden conectarse a un servicio publicado:
Extremo de Private Service Connect (basado en una regla de reenvío)
Con este tipo de extremo, los consumidores se conectan a una dirección IP interna que definen. Private Service Connect realiza la traducción de direcciones de red (NAT) para enrutar la solicitud al productor de servicios.
-
Con este tipo de extremo, los consumidores se conectan a una dirección IP externa. Private Service Connect usa un grupo de extremos de red para enrutar la solicitud al productor de servicios.
El uso de un balanceador de cargas HTTP(S) externo global como punto de aplicación de la política tiene los siguientes beneficios:
Puedes cambiar el nombre de los servicios y asignarlos a las URL que elijas.
Puedes configurar el balanceador de cargas para registrar todas las solicitudes en Cloud Logging.
Puedes usar certificados TLS administrados por el cliente o certificados administrados por Google.
Conceptos clave para los consumidores de servicios
Puedes usar extremos de Private Service Connect para consumir servicios que están fuera de tu red de VPC. Los consumidores de servicios crean extremos de Private Service Connect que se conectan a un servicio de destino.
Extremos y destinos
Usas extremos de Private Service Connect para conectarte a un servicio de destino. Los extremos tienen una dirección IP interna en la red de VPC y se basan en el recurso de regla de reenvío.
Envías tráfico al extremo, que lo reenvía a destinos fuera de tu red de VPC.
| Tipo de extremo | Categorías admitidas | Accesible por |
|---|---|---|
Extremo de Private Service Connect para acceder a las API de Google dirección IP interna global |
Un paquete de API:
|
|
|
Extremo de Private Service Connect para acceder a las API de Google con controles de servicio de HTTP(S) de consumidor Dirección IP interna regional de un balanceador de cargas de HTTPS interno |
Un extremo de servicio regional.
Este extremo es un balanceador de cargas de HTTP(S) interno con un mapa de URL simple y un servicio de backend único. Para configurar el destino, conecta el servicio de backend del balanceador de cargas a un grupo de extremos de red de Private Service Connect que hace referencia a un extremo de servicio regional. |
|
|
Extremo de Private Service Connect para acceder a los servicios publicados en otra red de VPC dirección IP interna regional |
Un servicio publicado en otra red de VPC. Tu propia organización o una externa puede administrar este servicio. El destino para este tipo de extremo es un adjunto de servicio. |
|
|
Extremo de Private Service Connect para acceder a los servicios publicados con controles de servicios HTTP(S) de consumidor dirección IP externa global de un balanceador de cargas HTTPS externo |
Un servicio publicado en otra red de VPC. Tu propia organización o una externa puede administrar este servicio.
Este extremo es un balanceador de cargas HTTP(S) externo global con un mapa de URL simple y un solo servicio de backend. Para configurar el destino, conecta el servicio de backend del balanceador de cargas a un grupo de extremos de red de Private Service Connect que hace referencia a un adjunto de servicio. |
|
Conceptos clave para los productores de servicios
Para que un servicio esté disponible para los consumidores, debes crear una o más subredes dedicadas. Luego, debes crear un adjunto de servicio que haga referencia a esas subredes.
Subredes de Private Service Connect
Para exponer un servicio, el productor del servicio crea una o más subredes primero con el propósito establecido en Private Service Connect.
Si los extremos de Private Service Connect consumen tus servicios según las reglas de reenvío, la dirección IP de origen del consumidor se traduce mediante NAT de origen (SNAT) a una dirección IP seleccionada de una de las subredes de Private Service Connect.
Si deseas conservar la información de la dirección IP de conexión del consumidor, consulta Visualiza la información de conexión del consumidor.
Si tu servicio es consumido por extremos de Private Service Connect basados en balanceadores de cargas HTTP(S) externos globales, no se usa la subred y no se realiza la NAT. Sin embargo, crear la subred es necesario para publicar el servicio.
Las subredes de Private Service Connect no se pueden usar para recursos como instancias de VM o reglas de reenvío. Las subredes se usan solo a fin de proporcionar direcciones IP para la SNAT de las conexiones entrantes de consumidores. Si bien un servicio publicado puede tener varias subredes configuradas, no se puede usar una subred de Private Service Connect en más de un servicio publicado.
Capacidad de la subred de Private Service Connect
Cuando crees la subred de Private Service Connect del productor de servicios, ten en cuenta lo siguiente:
Las subredes de Private Service Connect pueden tener cualquier tamaño válido y pueden usar cualquier rango de direcciones IP válidas, incluidas las direcciones IP privadas que se usan de forma pública.
Si tu servicio es consumido por extremos de Private Service Connect que se basan en una regla de reenvío, te recomendamos que configures la subred de Private Service Connect con una longitud de prefijo de
/22o menor (por ejemplo,/21).Si tu servicio es consumido por extremos de Private Service Connect que se basan en un balanceador de cargas HTTP(S) externo global, no se usa la subred. Puedes configurar la subred de Private Service Connect con una longitud de prefijo de
/29para crear una subred con el tamaño admitido más pequeño.
Hay cuatro direcciones IP reservadas en una subred de Private Service Connect, por lo que la cantidad de direcciones IP disponibles es 2(32 - PREFIX_LENGTH) - 4. Por ejemplo, si creas una subred de Private Service Connect con una longitud de prefijo de
/22, Private Service Connect puede usar 1,020 de las direcciones IP.
Configuración de SNAT para subredes de Private Service Connect
La configuración de SNAT para las subredes de Private Service Connect incluye lo siguiente:
Cuando se realiza SNAT, las direcciones de origen y las tuplas de puertos de origen se asignan mediante direcciones IP desde la subred de Private Service Connect:
Cada VM de cliente en la red de VPC del consumidor recibe un mínimo de 256 direcciones de origen y tuplas de puertos de origen. La cantidad de tuplas asignadas se ajusta de forma automática en función del uso de la VM cliente.
Cada túnel de Cloud VPN conectado a la red de VPC del consumidor recibe 65536 direcciones de origen y tuplas de puertos de origen. La cantidad de tuplas asignadas no cambia.
El tiempo de espera de inactividad de la asignación de UDP es de 30 segundos y no se puede configurar.
El tiempo de espera de inactividad de la conexión establecida de TCP es de 20 minutos y no se puede configurar.
El tiempo de espera de inactividad de la conexión transitoria de TCP es de 30 segundos y no se puede configurar.
Existe una demora de dos minutos antes de que se pueda volver a usar cualquier tupla de 5 tuplas (la dirección IP de origen de la subred de Private Service Connect y el puerto de origen, el protocolo de destino y la dirección IP).
Adjuntos de servicio
Los productores de servicios exponen sus servicios a través de un adjunto de servicio.
Para exponer un servicio, un productor de servicios crea un adjunto de servicio que haga referencia a la regla de reenvío del balanceador de cargas del servicio.
Para acceder a un servicio, un consumidor de servicios crea un extremo que hace referencia al adjunto del servicio.
El URI del adjunto de servicio tiene este formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
Solo se puede hacer referencia a cada balanceador de cargas mediante un solo adjunto de servicio. No puedes configurar varios adjuntos de servicio que usen el mismo balanceador de cargas.
Preferencias de conexión
Cuando creas un servicio, eliges cómo ponerlo a disposición. Existen dos opciones:
Aceptar conexiones de forma automática en todos los proyectos: Cualquier consumidor de servicios puede configurar un extremo y conectarse al servicio de manera automática.
Aceptar conexiones para proyectos seleccionados: Los consumidores de servicios configuran un extremo para conectarse al servicio, y el productor de servicios acepta o rechaza las solicitudes de conexión.
Acceso local
Se puede acceder a los extremos de Private Service Connect que usas para acceder a las API de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Usa Private Service Connect desde hosts locales.
Se puede acceder a los extremos de Private Service Connect con controles de servicio HTTP(S) desde hosts locales conectados compatibles. Para obtener más información, consulta Usa Private Service Connect desde hosts locales.
Se puede acceder a los extremos de Private Service Connect que usas para acceder a los servicios administrados en otra red de VPC desde hosts locales conectados compatibles (solo con Cloud VPN). Para obtener más información, consulta Usa Private Service Connect desde hosts locales.
Los extremos de Private Service Connect con controles de servicios HTTP(S) que usas para acceder a servicios administrados se basan en un balanceador de cargas HTTP(S) externo global y se puede acceder a ellos desde cualquier sistema que tengan acceso a Internet.
Servicios de Google compatibles
En la siguiente tabla, se enumeran los servicios de Google Cloud compatibles con Private Service Connect. Puedes crear un extremo de Private Service Connect para conectarte a estos servicios de forma privada dentro de tu propia red de VPC.
| Servicio | Descripción |
|---|---|
| API de Google | Te permite acceder a la mayoría de los servicios y las API de Google, por ejemplo, *.googleapis.com. Para obtener más información, consulta API compatibles. |
| Apigee X | Te permite exponer las API administradas por Apigee a Internet (vista previa). También te permite conectarte de forma privada desde Apigee a servicios de destino de backend (Vista previa). |
| Cloud Composer 2 | Te permite acceder al proyecto de usuario de Cloud Composer (Vista previa). |
| Dataproc Metastore | Te permite acceder al servicio de Dataproc Metastore (Vista previa) |
| Clústeres públicos de Google Kubernetes Engine (GKE) | Te permite acceder a los nodos principales del clúster público de GKE para GKE 1.23 y versiones posteriores. |
Precios
Los precios de Private Service Connect se describen en la página de precios de VPC.
Limitaciones de las políticas de la organización
Un administrador de políticas de la organización puede usar la restricción constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir el conjunto de tipos de extremos de Private Service Connect para los usuarios no puede crear reglas de reenvío. Puedes usar esta restricción para evitar que los usuarios creen extremos de Private Service Connect para acceder a las API de Google o que creen extremos de Private Service Connect para acceder a los servicios administrados. La restricción se aplica a las opciones de configuración nuevas del intercambio de tráfico y no afecta a las conexiones existentes.
Cuotas
Hay cuotas para los extremos de Private Service Connect y los adjuntos de servicio. Para obtener más información, consulta Cuotas.
¿Qué sigue?
Configurar Private Service Connect para acceder a las API y los servicios de Google
Configura Private Service Connect para acceder a los servicios y las API de Google con los controles del servicio HTTP(S) del consumidor
Configurar Private Service Connect para acceder a servicios en otra red de VPC
Configurar Private Service Connect para proporcionar acceso a tus servicios