Private Service Connect

Private Service Connect permite el consumo privado de servicios en las redes de VPC que pertenecen a distintos grupos, equipos, proyectos u organizaciones. Puedes publicar y consumir servicios usando direcciones IP que definas y que sean internas a tu red de VPC.

Usa Private Service Connect para acceder a las API de Google

De forma predeterminada, si tienes una aplicación que usa un servicio de Google, como Cloud Storage, tu aplicación se conecta con el nombre de DNS predeterminado para ese servicio, como storage.googleapis.com. Aunque las direcciones IP de los nombres de DNS predeterminados se pueden enrutar de forma pública, el tráfico enviado desde los recursos de Google Cloud permanece dentro de la red de Google.

Con Private Service Connect, puedes crear extremos privados con direcciones IP internas globales dentro de tu red de VPC. Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos como storage-vialink1.p.googleapis.com y bigtable-adsteam.p.googleapis.com. Estos nombres y direcciones IP son internas de tu red de VPC y de cualquier red local que esté conectada a esta mediante túneles de Cloud VPN o adjuntos de Cloud Interconnect (VLAN). Puedes controlar qué tráfico se dirige a cada extremo y también puedes demostrar que el tráfico permanece dentro de Google Cloud.

Esta opción te brinda acceso a todos los servicios y las API de Google que se incluyen en los paquetes de API. Si necesitas restringir el acceso solo a ciertas API y servicios, Private Service Connect con controles de servicio HTTP(S) de consumidor te permite elegir qué API y servicios se realizan disponibles, para los extremos de servicio regionales admitidos.

Si deseas obtener más información sobre las configuraciones de Private Service Connect para acceder a las API de Google, consulta casos de uso.

Figura 1. Private Service Connect te permite enviar tráfico a las API de Google con un extremo de Private Service Connect que es privado para tu red de VPC.

Usa Private Service Connect para acceder a las API de Google con controles de servicio HTTP(S) de consumidor

Puedes crear un extremo de Private Service Connect con controles de servicio de HTTP(S) de consumidor mediante un balanceador de cargas de HTTP(S) interno. El balanceador de cargas de HTTP(S) interno proporciona las siguientes funciones:

Figura 2. Private Service Connect te permite enviar tráfico a las API de Google regionales compatibles mediante un extremo de Private Service Connect. El uso de un balanceador de cargas agrega controles de servicio de HTTP(S) de consumidor. (haz clic para agrandar).

Usa Private Service Connect para publicar y consumir servicios

Private Service Connect permite que un productor de servicios ofrezca servicios de forma privada a un consumidor de servicios. Private Service Connect ofrece los siguientes beneficios:

  • Una red de VPC del productor de servicios puede admitir más de un consumidor de servicios.

  • Cada consumidor se conecta a una dirección IP interna que ellos mismos definen. Private Service Connect realiza la traducción de direcciones de red (NAT) para enrutar la solicitud al productor de servicios.

Figura 3. Private Service Connect usa extremos y adjuntos de servicio para permitir que los consumidores de servicios envíen tráfico desde la red de VPC del consumidor hacia servicios en la red de VPC del productor de servicios (haz clic para agrandar).

Conceptos clave para los consumidores de servicios

Puedes usar extremos de Private Service Connect para consumir servicios que están fuera de tu red de VPC. Los consumidores de servicios crean extremos de Private Service Connect que se conectan a un servicio de destino.

Extremos y destinos

Usas extremos de Private Service Connect para conectarte a un servicio de destino. Los extremos tienen una dirección IP interna en la red de VPC y se basan en el recurso de regla de reenvío.

Envías tráfico al extremo, que lo reenvía a destinos fuera de tu red de VPC.

Tipo de extremo Categorías admitidas Accesible por

Extremo de Private Service Connect para acceder a las API de Google

dirección IP interna global

Un paquete de API:
  • Todas las API (all-apis): La mayoría de las API de Google
    (igual que private.googleapis.com).
  • VPC-SC (vpc-sc): API que los Controles del servicio de VPC admiten
    (igual que restricted.googleapis.com).
  • VM en la misma red de VPC que el extremo (todas las regiones)
  • Sistemas locales que están conectados a la red de VPC que contiene el extremo

Extremo de Private Service Connect para acceder a las API de Google con controles de servicio de HTTP(S) de consumidor

Dirección IP interna regional de un balanceador de cargas de HTTPS interno

Un extremo de servicio regional.

Este extremo es un balanceador de cargas de HTTP(S) interno con un mapa de URL simple y un servicio de backend único. Para configurar el destino, conecta el servicio de backend del balanceador de cargas a un grupo de extremos de red de Private Service Connect que hace referencia a un extremo de servicio regional.

  • VM en la misma red de VPC y región que el extremo
  • Sistemas locales que están conectados a la red de VPC que contienen el extremo si los túneles Cloud VPN o los adjuntos de Cloud Interconnect (VLAN) están en la misma región que el extremo

Extremo de Private Service Connect para acceder a los servicios publicados en otra red de VPC

dirección IP interna regional

Un servicio publicado en otra red de VPC. Tu propia organización o una externa puede administrar este servicio.

El destino para este tipo de extremo es un adjunto de servicio.

  • VM en la misma red de VPC y región que el extremo
  • Sistemas locales que están conectados a la red de VPC que contienen el extremo mediante túneles Cloud VPN que se encuentran en la misma región que el extremo

Conceptos clave para los productores de servicios

Para que un servicio esté disponible para los consumidores, debes crear una o más subredes dedicadas para usarlas para la traducción de direcciones de red (NAT) de las direcciones IP de los clientes. Luego, debes crear un adjunto de servicio que haga referencia a esas subredes.

Subredes de Private Service Connect

Para exponer un servicio, el productor del servicio primero crea una o más subredes con el propósito de Private Service Connect.

Cuando se envía una solicitud desde una red de VPC de consumidor, la dirección IP de origen del consumidor se traduce mediante NAT de origen (SNAT) a una dirección IP seleccionada de una de las subredes de Private Service Connect.

Si deseas conservar la información de la dirección IP de conexión del consumidor, consulta Visualiza la información de conexión del consumidor.

Estas subredes no se pueden usar para recursos como instancias de VM o reglas de reenvío. Las subredes se usan solo a fin de proporcionar direcciones IP para la SNAT de las conexiones entrantes de los consumidores.

La subred de Private Service Connect debe contener al menos una dirección IP por cada 63 VM de consumidor, de modo que a cada VM de consumidor se le asignen 1,024 tuplas de origen para la traducción de direcciones de red.

La configuración de SNAT para las subredes de Private Service Connect incluye lo siguiente:

  • Cuando se realiza la SNAT, cada VM de cliente en la red de VPC del consumidor recibe 1,024 direcciones de origen y tuplas de puertos de origen mediante direcciones IP en la subred de Private Service Connect.

  • El tiempo de espera de inactividad de la asignación de UDP es de 30 segundos y no se puede configurar.

  • El tiempo de espera de inactividad de la conexión establecida de TCP es de 20 minutos y no se puede configurar.

  • El tiempo de espera de inactividad de la conexión transitoria de TCP es de 30 segundos y no se puede configurar.

  • Existe una demora de dos minutos antes de que se pueda volver a usar cualquier tupla de 5 tuplas (la dirección IP de origen de la subred de Private Service Connect y el puerto de origen, el protocolo de destino y la dirección IP).

Adjuntos de servicio

Los productores de servicios exponen sus servicios a través de un adjunto de servicio.

  • Para exponer un servicio, un productor de servicios crea un adjunto de servicio que haga referencia a la regla de reenvío del balanceador de cargas del servicio.

  • Para acceder a un servicio, un consumidor de servicios crea un extremo que hace referencia al adjunto del servicio.

El URI del adjunto de servicio tiene este formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Preferencias de conexión

Cuando creas un servicio, eliges cómo ponerlo a disposición. Existen dos opciones:

  • Aceptar conexiones de forma automática en todos los proyectos: Cualquier consumidor de servicios puede configurar un extremo y conectarse al servicio de manera automática.

  • Aceptar conexiones para proyectos seleccionados: Los consumidores de servicios configuran un extremo para conectarse al servicio, y el productor de servicios acepta o rechaza las solicitudes de conexión.

Acceso local

  • Se puede acceder a los extremos de Private Service Connect que usas para acceder a las API de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Usa Private Service Connect desde hosts locales.

  • Se puede acceder a los extremos de Private Service Connect con controles de servicio HTTP(S) desde hosts locales conectados compatibles. Para obtener más información, consulta Usa Private Service Connect desde hosts locales.

  • Se puede acceder a los extremos de Private Service Connect que usas para acceder a los servicios en otra red de VPC desde hosts locales conectados compatibles (solo con Cloud VPN). Para obtener más información, consulta Usa Private Service Connect desde hosts locales.

Precios

Los precios de Private Service Connect se describen en la página de precios de VPC.

Cuotas

Hay cuotas para los extremos de Private Service Connect y los adjuntos de servicio. Para obtener más información, consulta Cuotas.

¿Qué sigue?