Private Service Connect permite el consumo privado de servicios en las redes de VPC que pertenecen a distintos grupos, equipos, proyectos u organizaciones. Puedes publicar y consumir servicios usando direcciones IP que definas y que sean internas a tu red de VPC.
Puedes acceder a los servicios y las API de Google mediante un extremo de Private Service Connect. De manera opcional, puedes proteger tus datos y recursos de API mediante los Controles del servicio de VPC. También puedes acceder a los servicios y las API de Google regionales admitidos con los controles de servicio de HTTP(S) de consumidor.
Puedes conectarte a un servicio en otra red de VPC mediante un extremo de Private Service Connect.
Puedes hacer que un servicio esté disponible fuera de tu red de VPC mediante un adjunto de servicio de Private Service Connect.
Usa Private Service Connect para acceder a las API de Google
De forma predeterminada, si tienes una aplicación que usa un servicio de Google, como Cloud Storage, tu aplicación se conecta con el nombre de DNS predeterminado para ese servicio, como storage.googleapis.com. Aunque las direcciones IP de los nombres de DNS predeterminados se pueden enrutar de forma pública, el tráfico enviado desde los recursos de Google Cloud permanece dentro de la red de Google.
Con Private Service Connect, puedes crear extremos privados con direcciones IP internas globales dentro de tu red de VPC. Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos como storage-vialink1.p.googleapis.com y bigtable-adsteam.p.googleapis.com.
Estos nombres y direcciones IP son internas de tu red de VPC y de cualquier red local que esté conectada a esta mediante túneles de Cloud VPN o adjuntos de Cloud Interconnect (VLAN). Puedes controlar qué tráfico se dirige a cada extremo y también puedes demostrar que el tráfico permanece dentro de Google Cloud.
Esta opción te brinda acceso a todos los servicios y las API de Google que se incluyen en los paquetes de API. Si necesitas restringir el acceso solo a ciertas API y servicios, Private Service Connect con controles de servicio HTTP(S) de consumidor te permite elegir qué API y servicios se realizan disponibles, para los extremos de servicio regionales admitidos.
Si deseas obtener más información sobre las configuraciones de Private Service Connect para acceder a las API de Google, consulta casos de uso.
Usa Private Service Connect para acceder a las API de Google con controles de servicio HTTP(S) de consumidor
Puedes crear un extremo de Private Service Connect con controles de servicio de HTTP(S) de consumidor mediante un balanceador de cargas de HTTP(S) interno. El balanceador de cargas de HTTP(S) interno proporciona las siguientes funciones:
Puedes elegir qué servicios estarán disponibles mediante un mapa de URL. El filtrado por ruta de acceso te permite realizar verificaciones más detalladas.
Puedes cambiar el nombre de los servicios, por ejemplo,
spanner.example.com, y asignarlos a las URL que elijas.Puedes configurar el balanceador de cargas para registrar todas las solicitudes en Cloud Logging.
Puedes usar certificados TLS administrados por el cliente.
Puedes habilitar la residencia de datos en tránsito si te conectas a extremos regionales para las API de Google desde las cargas de trabajo en esa misma región.
Usa Private Service Connect para publicar y consumir servicios
Private Service Connect permite que un productor de servicios ofrezca servicios de forma privada a un consumidor de servicios. Private Service Connect ofrece los siguientes beneficios:
Una red de VPC del productor de servicios puede admitir más de un consumidor de servicios.
Cada consumidor se conecta a una dirección IP interna que ellos mismos definen. Private Service Connect realiza la traducción de direcciones de red (NAT) para enrutar la solicitud al productor de servicios.
Conceptos clave para los consumidores de servicios
Puedes usar extremos de Private Service Connect para consumir servicios que están fuera de tu red de VPC. Los consumidores de servicios crean extremos de Private Service Connect que se conectan a un servicio de destino.
Extremos y destinos
Usas extremos de Private Service Connect para conectarte a un servicio de destino. Los extremos tienen una dirección IP interna en la red de VPC y se basan en el recurso de regla de reenvío.
Envías tráfico al extremo, que lo reenvía a destinos fuera de tu red de VPC.
| Tipo de extremo | Categorías admitidas | Accesible por |
|---|---|---|
Extremo de Private Service Connect para acceder a las API de Google dirección IP interna global |
Un paquete de API:
|
|
|
Extremo de Private Service Connect para acceder a las API de Google con controles de servicio de HTTP(S) de consumidor Dirección IP interna regional de un balanceador de cargas de HTTPS interno |
Un extremo de servicio regional.
Este extremo es un balanceador de cargas de HTTP(S) interno con un mapa de URL simple y un servicio de backend único. Para configurar el destino, conecta el servicio de backend del balanceador de cargas a un grupo de extremos de red de Private Service Connect que hace referencia a un extremo de servicio regional. |
|
|
Extremo de Private Service Connect para acceder a los servicios publicados en otra red de VPC dirección IP interna regional |
Un servicio publicado en otra red de VPC. Tu propia organización o una externa puede administrar este servicio. El destino para este tipo de extremo es un adjunto de servicio. |
|
Conceptos clave para los productores de servicios
Para que un servicio esté disponible para los consumidores, debes crear una o más subredes dedicadas para usarlas para la traducción de direcciones de red (NAT) de las direcciones IP de los clientes. Luego, debes crear un adjunto de servicio que haga referencia a esas subredes.
Subredes de Private Service Connect
Para exponer un servicio, el productor del servicio primero crea una o más subredes con el propósito de Private Service Connect.
Cuando se envía una solicitud desde una red de VPC de consumidor, la dirección IP de origen del consumidor se traduce mediante NAT de origen (SNAT) a una dirección IP seleccionada de una de las subredes de Private Service Connect.
Si deseas conservar la información de la dirección IP de conexión del consumidor, consulta Visualiza la información de conexión del consumidor.
Estas subredes no se pueden usar para recursos como instancias de VM o reglas de reenvío. Las subredes se usan solo a fin de proporcionar direcciones IP para la SNAT de las conexiones entrantes de los consumidores.
La subred de Private Service Connect debe contener al menos una dirección IP por cada 63 VM de consumidor, de modo que a cada VM de consumidor se le asignen 1,024 tuplas de origen para la traducción de direcciones de red.
La configuración de SNAT para las subredes de Private Service Connect incluye lo siguiente:
Cuando se realiza la SNAT, cada VM de cliente en la red de VPC del consumidor recibe 1,024 direcciones de origen y tuplas de puertos de origen mediante direcciones IP en la subred de Private Service Connect.
El tiempo de espera de inactividad de la asignación de UDP es de 30 segundos y no se puede configurar.
El tiempo de espera de inactividad de la conexión establecida de TCP es de 20 minutos y no se puede configurar.
El tiempo de espera de inactividad de la conexión transitoria de TCP es de 30 segundos y no se puede configurar.
Existe una demora de dos minutos antes de que se pueda volver a usar cualquier tupla de 5 tuplas (la dirección IP de origen de la subred de Private Service Connect y el puerto de origen, el protocolo de destino y la dirección IP).
Adjuntos de servicio
Los productores de servicios exponen sus servicios a través de un adjunto de servicio.
Para exponer un servicio, un productor de servicios crea un adjunto de servicio que haga referencia a la regla de reenvío del balanceador de cargas del servicio.
Para acceder a un servicio, un consumidor de servicios crea un extremo que hace referencia al adjunto del servicio.
El URI del adjunto de servicio tiene este formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
Preferencias de conexión
Cuando creas un servicio, eliges cómo ponerlo a disposición. Existen dos opciones:
Aceptar conexiones de forma automática en todos los proyectos: Cualquier consumidor de servicios puede configurar un extremo y conectarse al servicio de manera automática.
Aceptar conexiones para proyectos seleccionados: Los consumidores de servicios configuran un extremo para conectarse al servicio, y el productor de servicios acepta o rechaza las solicitudes de conexión.
Acceso local
Se puede acceder a los extremos de Private Service Connect que usas para acceder a las API de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Usa Private Service Connect desde hosts locales.
Se puede acceder a los extremos de Private Service Connect con controles de servicio HTTP(S) desde hosts locales conectados compatibles. Para obtener más información, consulta Usa Private Service Connect desde hosts locales.
Se puede acceder a los extremos de Private Service Connect que usas para acceder a los servicios en otra red de VPC desde hosts locales conectados compatibles (solo con Cloud VPN). Para obtener más información, consulta Usa Private Service Connect desde hosts locales.
Precios
Los precios de Private Service Connect se describen en la página de precios de VPC.
Cuotas
Hay cuotas para los extremos de Private Service Connect y los adjuntos de servicio. Para obtener más información, consulta Cuotas.
¿Qué sigue?
Configurar Private Service Connect para acceder a las API y los servicios de Google
Configura Private Service Connect para acceder a los servicios y las API de Google con los controles del servicio HTTP(S) del consumidor
Configurar Private Service Connect para acceder a servicios en otra red de VPC
Configurar Private Service Connect para proporcionar acceso a tus servicios