Private Service Connect

En este documento, se proporciona una descripción general de Private Service Connect.

Private Service Connect es una función de las herramientas de redes de Google Cloud que permite a los consumidores acceder a los servicios administrados de forma privada desde su red de VPC. Del mismo modo, permite a los productores de servicios administrados alojar estos servicios en sus propias redes de VPC independientes y ofrecer una conexión privada a sus consumidores.

Con Private Service Connect, los consumidores pueden usar sus propias direcciones IP internas para acceder a los servicios sin salir de sus redes de VPC o usar direcciones IP externas. El tráfico permanece completamente dentro de Google Cloud. Private Service Connect proporciona acceso orientado a los servicios entre consumidores y productores con control detallado sobre cómo se accede a los servicios.

Private Service Connect admite el acceso a los siguientes tipos de servicios administrados:

Figura 1. Private Service Connect te permite enviar tráfico a extremos y backends que reenvían el tráfico a servicios administrados, incluidas las APIs de Google y los servicios publicados.

Private Service Connect proporciona conectividad privada que tiene las siguientes características:

  • Diseño orientado a los servicios: Los servicios de productores se publican a través de balanceadores de cargas que exponen una sola dirección IP a la red de VPC del consumidor. El tráfico del consumidor que accede a los servicios del productor es unidireccional y solo puede acceder a la dirección IP del servicio, en lugar de tener acceso a una red de VPC de intercambio de tráfico completa.
  • Autorización explícita: Private Service Connect proporciona un modelo de autorización que brinda a los consumidores y productores un control detallado, lo que garantiza que solo los extremos del servicio previstos y ningún otro recurso puedan conectarse a un servicio.
  • Sin dependencias compartidas: El tráfico entre el consumidor y los productores usa NAT para que no haya coordinación de direcciones IP ni otras dependencias de recursos compartidos entre las redes de VPC del consumidor y del productor. Esta independencia simplifica la implementación y te permite escalar los servicios administrados con mayor facilidad.
  • Rendimiento de frecuencia de línea: El tráfico de Private Service Connect va directamente de los clientes consumidores a los backends del productor sin saltos ni proxies intermedios. NAT se realiza directamente en las máquinas anfitrión física que alojan las VMs de consumidor y productor, lo que reduce la latencia y aumenta la capacidad de ancho de banda. La capacidad de ancho de banda de Private Service Connect solo está limitada por la capacidad de ancho de banda de las máquinas cliente y servidor que se comunican directamente.

Tipos de Private Service Connect

Private Service Connect está disponible en diferentes tipos que proporcionan diferentes capacidades y modos de comunicación.

Los productores de servicios publican sus aplicaciones para los consumidores mediante la creación de servicios de Private Service Connect. Los consumidores de servicios acceden a esos servicios de Private Service Connect directamente a través de uno de estos tipos de Private Service Connect:

  • Extremos de Private Service Connect: Los extremos se implementan mediante reglas de reenvío que proporcionan al consumidor una dirección IP que se asigna al servicio de Private Service Connect.
  • Backends de Private Service Connect: Los backends se implementan mediante grupos de extremos de red (NEG) que permiten a los consumidores dirigir el tráfico a su balanceador de cargas antes de llegar a un servicio de Private Service Connect.

Extremos

Los extremos de Private Service Connect son direcciones IP internas en una red de VPC de consumidor a las que pueden acceder directamente los clientes de esa red. Los extremos se crean mediante la implementación de una regla de reenvío que hace referencia a un adjunto de servicio o a un paquete de APIs de Google.

En el siguiente diagrama, se muestra un extremo de Private Service Connect que se orienta a un servicio publicado que se ejecuta en una organización y red de VPC independientes. Los extremos de Private Service Connect y los servicios publicados permiten que dos empresas independientes se comuniquen entre sí mediante direcciones IP internas. Para obtener más información, consulta Información sobre el acceso a servicios publicados a través de extremos.

Figura 2. Private Service Connect te permite enviar tráfico a los extremos que reenvían el tráfico a servicios publicados en otra red de VPC.

Del mismo modo, se puede usar un extremo de Private Service Connect para acceder a las APIs de Google, como Cloud Storage o BigQuery. Esta funcionalidad es similar al Acceso privado a Google, excepto que puedes usar tus propias direcciones IP internas para los extremos. Private Service Connect te permite controlar el enrutamiento de forma más directa y crear tantos extremos como sea necesario para tu red. Para obtener más información, consulta Información sobre el acceso a las APIs de Google a través de extremos.

Figura 3. Private Service Connect te permite enviar tráfico a los extremos que reenvían el tráfico a las APIs de Google.

Backends

Los backends de Private Service Connect permiten que los balanceadores de cargas de Google Cloud envíen tráfico a través de Private Service Connect para llegar a los servicios publicados o a las APIs de Google. Los backends se implementan a través de grupos de extremos de red (NEG) de Private Service Connect que hacen referencia a un adjunto de servicio de productor o a una API de Google regional. Colocar un balanceador de cargas frente a un servicio administrado proporciona al consumidor más visibilidad y control de lo que es posible a través de un extremo de Private Service Connect. Los backends te permiten crear configuraciones como las siguientes:

  • Dominios y certificados de cliente frente a servicios administrados
  • Conmutación por error controlada por el consumidor entre servicios administrados en diferentes regiones
  • Configuración de seguridad centralizada y control de acceso para servicios administrados

En el siguiente diagrama, se muestra un balanceador de cargas HTTP(S) interno implementado con backends de Private Service Connect que hacen referencia a un servicio publicado. En la configuración, hay dos balanceadores de cargas:

  • El balanceador de cargas del consumidor que proporciona control, visibilidad y seguridad del tráfico al servicio.
  • El balanceador de cargas del productor que balancea las cargas del tráfico en los backends de servicio.

Figura 4. Private Service Connect te permite enviar tráfico a backends que reenvían el tráfico a los servicios publicados.

Al igual que los extremos de Private Service Connect, los backends también admiten la orientación a las APIs de Google. En el siguiente diagrama, se muestra un balanceador de cargas de HTTP(S) interno que se orienta a un bucket de Cloud Storage y finaliza el tráfico mediante un dominio de cliente.

Figura 5. Private Service Connect te permite enviar tráfico a los backends que reenvían el tráfico a las APIs de Google regionales.

Servicios administrados de Private Service Connect

Los servicios administrados son servicios que posee y administra alguien que no es el consumidor de servicios. Private Service Connect se puede usar para acceder a servicios administrados que pertenecen a Google, a empresas de software de terceros como servicio (SaaS) o a otros equipos dentro de la propia empresa del consumidor. Los servicios publicados y las APIs de Google pueden ser objetivos de Private Service Connect.

Servicios publicados

Los servicios publicados son servicios alojados en VPC que se implementan en la red de VPC del productor y se accede a ellos desde la red de VPC del consumidor. Publicar un servicio permite que el productor de servicios sea el propietario y controle la implementación del servicio en su propia red de VPC. Los servicios publicados pueden incluir lo siguiente:

  • Servicios de Google, como GKE, Apigee o Cloud Composer. Estos servicios se ejecutan en proyectos de usuarios y redes de VPC que administra Google.
  • Servicios de terceros, en los que los terceros ofrecen acceso privado a un servicio publicado en Google Cloud.
  • Servicios dentro de la organización, en los que una sola empresa tiene clientes que acceden a aplicaciones internas en diferentes redes de VPC. Algunas organizaciones usan redes de VPC independientes para la segmentación interna. Debido a esa configuración, un equipo puede ofrecer un servicio administrado a un equipo diferente que opera en una red de VPC independiente.

Adjuntos de servicio

Los adjuntos de servicio son recursos que se usan para crear servicios publicados de Private Service Connect.

Se puede acceder a los adjuntos de servicio mediante extremos o backends. Varios backends o extremos pueden conectarse al mismo adjunto de servicio, lo que permite que varias redes de VPC o varios consumidores accedan a la misma instancia de servicio.

Un adjunto de servicio se orienta a un balanceador de cargas de productor y permite que los clientes de una red de VPC de consumidor accedan al balanceador de cargas. La configuración del adjunto de servicio define lo siguiente:

  • Una lista de aceptación del consumidor que define qué consumidores pueden conectarse al servicio.
  • La subred de NAT desde la que se origina el tráfico traducido en la red de VPC de productor.
  • Un dominio de DNS opcional, si se proporciona, que se usa en las entradas de DNS para extremos que se crean de forma automática en el consumidor Zona de Cloud DNS.

API de Google

El uso de Private Service Connect para acceder a las APIs de Google es una alternativa al uso del acceso privado a Google o los nombres de dominio público para las APIs de Google. En este caso, el productor es Google.

Se puede acceder a las APIs de Google mediante extremos o backends. Endpoints te permite orientar a un paquete de APIs de Google y los backends te permiten orientar a una API de Google regional específica.

El uso de Private Service Connect te permite hacer lo siguiente:

  • Crear una o más direcciones IP internas para acceder a las APIs de Google en diferentes casos de uso
  • Dirige el tráfico local a direcciones IP y regiones específicas cuando accedas a las APIs de Google.
  • Centraliza el tráfico de las APIs de Google a través de un balanceador de cargas HTTP(S) para aplicar tus propios certificados, políticas de seguridad o observabilidad.

¿Qué sigue?