Private Service Connect

Private Service Connect permite el consumo privado de servicios en las redes de VPC que pertenecen a distintos grupos, equipos, proyectos u organizaciones. Puedes publicar y consumir servicios usando direcciones IP que definas y que sean internas a tu red de VPC.

Puedes usar Private Service Connect para acceder a los servicios y las API de Google o a servicios administrados en otra red de VPC.

Usa Private Service Connect para acceder a las API de Google

De forma predeterminada, si tienes una aplicación que usa un servicio de Google, como Cloud Storage, tu aplicación se conecta con el nombre de DNS predeterminado para ese servicio, como storage.googleapis.com. Aunque las direcciones IP de los nombres de DNS predeterminados se pueden enrutar de forma pública, el tráfico enviado desde los recursos de Google Cloud permanece dentro de la red de Google.

Con Private Service Connect, puedes crear extremos privados con direcciones IP internas globales dentro de tu red de VPC. Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos como storage-vialink1.p.googleapis.com y bigtable-adsteam.p.googleapis.com. Estos nombres y direcciones IP son internas de tu red de VPC y de cualquier red local que esté conectada a esta mediante túneles de Cloud VPN o adjuntos de Cloud Interconnect (VLAN). Puedes controlar qué tráfico se dirige a cada extremo y también puedes demostrar que el tráfico permanece dentro de Google Cloud.

Esta opción te brinda acceso a todos los servicios y las API de Google que se incluyen en los paquetes de API. Si necesitas restringir el acceso solo a ciertas API y servicios, Private Service Connect con controles de servicio HTTP(S) de consumidor te permite elegir qué API y servicios se realizan disponibles, para los extremos de servicio regionales admitidos.

Si deseas obtener más información sobre las configuraciones de Private Service Connect para acceder a las API de Google, consulta casos de uso.

Figura 1. Private Service Connect te permite enviar tráfico a las API de Google con un extremo de Private Service Connect que es privado para tu red de VPC.

Usa Private Service Connect para acceder a las API de Google con controles de servicio HTTP(S) de consumidor

Puedes crear un extremo de Private Service Connect con controles de servicio de HTTP(S) de consumidor mediante un balanceador de cargas de HTTP(S) interno. El balanceador de cargas de HTTP(S) interno proporciona las siguientes funciones:

Figura 2. Private Service Connect te permite enviar tráfico a las API de Google regionales compatibles mediante un extremo de Private Service Connect. El uso de un balanceador de cargas agrega controles de servicio de HTTP(S) de consumidor. (haz clic para agrandar).

Usa Private Service Connect para publicar y consumir servicios administrados

Private Service Connect permite que un productor de servicios ofrezca servicios a un consumidor de servicios. Una red de VPC de productor de servicios puede admitir varios consumidores de servicios.

Existen dos tipos de extremos de Private Service Connect que pueden conectarse a un servicio publicado:

Figura 3. Un extremo de Private Service Connect basado en una regla de reenvío permite que los consumidores de servicios envíen tráfico desde la red de VPC del consumidor a servicios en la red de VPC del productor de servicios. (haz clic para agrandar).

Figura 4. El uso de un balanceador de cargas HTTP(S) externo global permite que los consumidores de servicios con acceso a Internet envíen tráfico a los servicios en la red de VPC del productor de servicios (haz clic para ampliar).

Conceptos clave para los consumidores de servicios

Puedes usar extremos de Private Service Connect para consumir servicios que están fuera de tu red de VPC. Los consumidores de servicios crean extremos de Private Service Connect que se conectan a un servicio de destino.

Extremos y destinos

Usas extremos de Private Service Connect para conectarte a un servicio de destino. Los extremos tienen una dirección IP interna en la red de VPC y se basan en el recurso de regla de reenvío.

Envías tráfico al extremo, que lo reenvía a destinos fuera de tu red de VPC.

Tipo de extremo Categorías admitidas Accesible por

Extremo de Private Service Connect para acceder a las API de Google

dirección IP interna global

Un paquete de API:
  • Todas las API (all-apis): La mayoría de las API de Google
    (igual que private.googleapis.com).
  • VPC-SC (vpc-sc): API que los Controles del servicio de VPC admiten
    (igual que restricted.googleapis.com).
  • VM en la misma red de VPC que el extremo (todas las regiones)
  • Sistemas locales que están conectados a la red de VPC que contiene el extremo

Extremo de Private Service Connect para acceder a las API de Google con controles de servicio de HTTP(S) de consumidor

Dirección IP interna regional de un balanceador de cargas de HTTPS interno

Un extremo de servicio regional.

Este extremo es un balanceador de cargas de HTTP(S) interno con un mapa de URL simple y un servicio de backend único. Para configurar el destino, conecta el servicio de backend del balanceador de cargas a un grupo de extremos de red de Private Service Connect que hace referencia a un extremo de servicio regional.

  • VM en la misma red de VPC y región que el extremo
  • Sistemas locales que están conectados a la red de VPC que contienen el extremo si los túneles Cloud VPN o los adjuntos de Cloud Interconnect (VLAN) están en la misma región que el extremo

Extremo de Private Service Connect para acceder a los servicios publicados en otra red de VPC

dirección IP interna regional

Un servicio publicado en otra red de VPC. Tu propia organización o una externa puede administrar este servicio.

El destino para este tipo de extremo es un adjunto de servicio.

  • VM en la misma red de VPC y región que el extremo
  • Sistemas locales que están conectados a la red de VPC que contienen el extremo mediante túneles Cloud VPN que se encuentran en la misma región que el extremo

Extremo de Private Service Connect para acceder a los servicios publicados con controles de servicios HTTP(S) de consumidor

dirección IP externa global de un balanceador de cargas HTTPS externo

Un servicio publicado en otra red de VPC. Tu propia organización o una externa puede administrar este servicio.

Este extremo es un balanceador de cargas HTTP(S) externo global con un mapa de URL simple y un solo servicio de backend. Para configurar el destino, conecta el servicio de backend del balanceador de cargas a un grupo de extremos de red de Private Service Connect que hace referencia a un adjunto de servicio.

  • Sistemas con acceso a Internet

Conceptos clave para los productores de servicios

Para que un servicio esté disponible para los consumidores, debes crear una o más subredes dedicadas. Luego, debes crear un adjunto de servicio que haga referencia a esas subredes.

Subredes de Private Service Connect

Para exponer un servicio, el productor del servicio crea una o más subredes primero con el propósito establecido en Private Service Connect.

  • Si los extremos de Private Service Connect consumen tus servicios según las reglas de reenvío, la dirección IP de origen del consumidor se traduce mediante NAT de origen (SNAT) a una dirección IP seleccionada de una de las subredes de Private Service Connect.

    Si deseas conservar la información de la dirección IP de conexión del consumidor, consulta Visualiza la información de conexión del consumidor.

  • Si tu servicio es consumido por extremos de Private Service Connect basados en balanceadores de cargas HTTP(S) externos globales, no se usa la subred y no se realiza la NAT. Sin embargo, crear la subred es necesario para publicar el servicio.

Las subredes de Private Service Connect no se pueden usar para recursos como instancias de VM o reglas de reenvío. Las subredes se usan solo a fin de proporcionar direcciones IP para la SNAT de las conexiones entrantes de consumidores. Si bien un servicio publicado puede tener varias subredes configuradas, no se puede usar una subred de Private Service Connect en más de un servicio publicado.

Capacidad de la subred de Private Service Connect

Cuando crees la subred de Private Service Connect del productor de servicios, ten en cuenta lo siguiente:

  • Las subredes de Private Service Connect pueden tener cualquier tamaño válido y pueden usar cualquier rango de direcciones IP válidas, incluidas las direcciones IP privadas que se usan de forma pública.

    • Si tu servicio es consumido por extremos de Private Service Connect que se basan en una regla de reenvío, te recomendamos que configures la subred de Private Service Connect con una longitud de prefijo de /22 o menor (por ejemplo, /21).

    • Si tu servicio es consumido por extremos de Private Service Connect que se basan en un balanceador de cargas HTTP(S) externo global, no se usa la subred. Puedes configurar la subred de Private Service Connect con una longitud de prefijo de /29 para crear una subred con el tamaño admitido más pequeño.

  • Hay cuatro direcciones IP reservadas en una subred de Private Service Connect, por lo que la cantidad de direcciones IP disponibles es 2(32 - PREFIX_LENGTH) - 4. Por ejemplo, si creas una subred de Private Service Connect con una longitud de prefijo de /22, Private Service Connect puede usar 1,020 de las direcciones IP.

Configuración de SNAT para subredes de Private Service Connect

La configuración de SNAT para las subredes de Private Service Connect incluye lo siguiente:

  • Cuando se realiza SNAT, las direcciones de origen y las tuplas de puertos de origen se asignan mediante direcciones IP desde la subred de Private Service Connect:

    • Cada VM de cliente en la red de VPC del consumidor recibe un mínimo de 256 direcciones de origen y tuplas de puertos de origen. La cantidad de tuplas asignadas se ajusta de forma automática en función del uso de la VM cliente.

    • Cada túnel de Cloud VPN conectado a la red de VPC del consumidor recibe 65536 direcciones de origen y tuplas de puertos de origen. La cantidad de tuplas asignadas no cambia.

  • El tiempo de espera de inactividad de la asignación de UDP es de 30 segundos y no se puede configurar.

  • El tiempo de espera de inactividad de la conexión establecida de TCP es de 20 minutos y no se puede configurar.

  • El tiempo de espera de inactividad de la conexión transitoria de TCP es de 30 segundos y no se puede configurar.

  • Existe una demora de dos minutos antes de que se pueda volver a usar cualquier tupla de 5 tuplas (la dirección IP de origen de la subred de Private Service Connect y el puerto de origen, el protocolo de destino y la dirección IP).

Adjuntos de servicio

Los productores de servicios exponen sus servicios a través de un adjunto de servicio.

  • Para exponer un servicio, un productor de servicios crea un adjunto de servicio que haga referencia a la regla de reenvío del balanceador de cargas del servicio.

  • Para acceder a un servicio, un consumidor de servicios crea un extremo que hace referencia al adjunto del servicio.

El URI del adjunto de servicio tiene este formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Solo se puede hacer referencia a cada balanceador de cargas mediante un solo adjunto de servicio. No puedes configurar varios adjuntos de servicio que usen el mismo balanceador de cargas.

Preferencias de conexión

Cuando creas un servicio, eliges cómo ponerlo a disposición. Existen dos opciones:

  • Aceptar conexiones de forma automática en todos los proyectos: Cualquier consumidor de servicios puede configurar un extremo y conectarse al servicio de manera automática.

  • Aceptar conexiones para proyectos seleccionados: Los consumidores de servicios configuran un extremo para conectarse al servicio, y el productor de servicios acepta o rechaza las solicitudes de conexión.

Acceso local

  • Se puede acceder a los extremos de Private Service Connect que usas para acceder a las API de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Usa Private Service Connect desde hosts locales.

  • Se puede acceder a los extremos de Private Service Connect con controles de servicio HTTP(S) desde hosts locales conectados compatibles. Para obtener más información, consulta Usa Private Service Connect desde hosts locales.

  • Se puede acceder a los extremos de Private Service Connect que usas para acceder a los servicios administrados en otra red de VPC desde hosts locales conectados compatibles (solo con Cloud VPN). Para obtener más información, consulta Usa Private Service Connect desde hosts locales.

  • Los extremos de Private Service Connect con controles de servicios HTTP(S) que usas para acceder a servicios administrados se basan en un balanceador de cargas HTTP(S) externo global y se puede acceder a ellos desde cualquier sistema que tengan acceso a Internet.

Servicios de Google compatibles

En la siguiente tabla, se enumeran los servicios de Google Cloud compatibles con Private Service Connect. Puedes crear un extremo de Private Service Connect para conectarte a estos servicios de forma privada dentro de tu propia red de VPC.

Servicio Descripción
API de Google Te permite acceder a la mayoría de los servicios y las API de Google, por ejemplo, *.googleapis.com. Para obtener más información, consulta API compatibles.
Apigee X Te permite exponer las API administradas por Apigee a Internet (vista previa). También te permite conectarte de forma privada desde Apigee a servicios de destino de backend (Vista previa).
Cloud Composer 2 Te permite acceder al proyecto de usuario de Cloud Composer (Vista previa).
Dataproc Metastore Te permite acceder al servicio de Dataproc Metastore (Vista previa)
Clústeres públicos de Google Kubernetes Engine (GKE) Te permite acceder a los nodos principales del clúster público de GKE para GKE 1.23 y versiones posteriores.

Precios

Los precios de Private Service Connect se describen en la página de precios de VPC.

Limitaciones de las políticas de la organización

Un administrador de políticas de la organización puede usar la restricción constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir el conjunto de tipos de extremos de Private Service Connect para los usuarios no puede crear reglas de reenvío. Puedes usar esta restricción para evitar que los usuarios creen extremos de Private Service Connect para acceder a las API de Google o que creen extremos de Private Service Connect para acceder a los servicios administrados. La restricción se aplica a las opciones de configuración nuevas del intercambio de tráfico y no afecta a las conexiones existentes.

Cuotas

Hay cuotas para los extremos de Private Service Connect y los adjuntos de servicio. Para obtener más información, consulta Cuotas.

¿Qué sigue?