Private Service Connect

Private Service Connect permite el consumo privado de servicios en las redes de VPC que pertenecen a distintos grupos, equipos, proyectos u organizaciones. Puedes publicar y consumir servicios mediante las direcciones IP que definas y que sean internas a tu red de VPC.

Usa Private Service Connect para acceder a las API de Google

De forma predeterminada, si tienes una aplicación que usa un servicio de Google, como Cloud Storage, tu aplicación se conecta con el nombre de DNS predeterminado para ese servicio, como storage.googleapis.com. Aunque las direcciones IP de los nombres de DNS predeterminados se pueden enrutar de forma pública, el tráfico enviado desde los recursos de Google Cloud permanece dentro de la red de Google.

Con Private Service Connect, puedes crear extremos privados con direcciones IP internas globales dentro de tu red de VPC. Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos como storage-vialink1.p.googleapis.com y bigtable-adsteam.p.googleapis.com. Estos nombres y direcciones IP son internas de tu red de VPC y de cualquier red local que esté conectada a esta mediante túneles de Cloud VPN o adjuntos de Cloud Interconnect (VLAN). Puedes controlar qué tráfico se dirige a cada extremo y también puedes demostrar que el tráfico permanece dentro de Google Cloud.

Si deseas obtener más información sobre las configuraciones de Private Service Connect para acceder a las API de Google, consulta casos prácticos.

Figura 1. Private Service Connect te permite enviar tráfico a las API de Google con un extremo de Private Service Connect que es privado para tu red de VPC.

Usa Private Service Connect para publicar y consumir servicios

Private Service Connect permite que un productor de servicios ofrezca servicios de forma privada a un consumidor de servicios. Private Service Connect ofrece los siguientes beneficios:

  • Una red de VPC de productor de servicios puede admitir más de un consumidor de servicios.

  • Cada consumidor se conecta a una dirección IP interna que define. Private Service Connect realiza la traducción de direcciones de red (NAT) para enrutar la solicitud al productor de servicios.

Figura 2. Private Service Connect usa extremos y adjuntos de servicio para permitir que los consumidores de servicios envíen tráfico desde la red de VPC del consumidor hacia los servicios en la red de VPC del productor de servicios (haz clic para ampliar).

Conceptos clave para los consumidores de servicios

Puedes usar los extremos de Private Service Connect para consumir servicios que están fuera de tu red de VPC. Los consumidores de servicios crean extremos de Private Service Connect que se conectan a un servicio de destino.

Extremos

Usas extremos de Private Service Connect para conectarte a un servicio de destino. Los extremos tienen una dirección IP interna en la red de VPC y se basan en el recurso de regla de reenvío.

Envías tráfico al extremo, que lo reenvía a destinos fuera de tu red de VPC.

Destinos

Los extremos de Private Service Connect tienen un destino, que es el servicio al que deseas conectarte:

  • Un paquete de API:

    • Todas las API: La mayoría de las API de Google

    • VPC-SC: API que admiten los Controles del servicio de VPC

  • Un servicio publicado en otra red de VPC Una organización externa o un tercero puede administrar este servicio.

Paquetes de API

Cuando creas un extremo de Private Service Connect para acceder a las API y los servicios de Google, debes elegir a qué paquete de API necesitas acceder: Todas las API (all-apis) o VPC-SC (vpc-sc).

Los paquetes de API proporcionan acceso a las mismas API que están disponibles a través de los VIP del Acceso privado a Google.

  • El paquete all-apis proporciona acceso a las mismas API que private.googleapis.com.

  • El paquete vpc-sc proporciona acceso a las mismas API que restricted.googleapis.com.

Para obtener más información sobre las API compatibles, consulta API compatibles.

Servicio publicado

Para conectar tu extremo con el servicio de un productor de servicios, necesitas el adjunto de servicio para el servicio. El URI del adjunto de servicio tiene el siguiente formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Conceptos clave para los productores de servicios

A fin de que un servicio esté disponible para los consumidores, creas una o más subredes dedicadas a fin de usarlas a fin de traducir las direcciones de red (NAT) de las direcciones IP de los clientes. Luego, crearás un adjunto de servicio que hace referencia a esas subredes.

Subredes privadas de conexión de servicio

Para exponer un servicio, el productor del servicio primero crea una o más subredes con el propósito de Private Service Connect.

Cuando se envía una solicitud desde una red de VPC de consumidor, la dirección IP de origen del consumidor se traduce mediante NAT de origen (SNAT) a una dirección IP seleccionada de una de las subredes de Private Service Connect.

Si deseas conservar la información de la dirección IP de conexión del consumidor, consulta Visualiza la información de conexión del consumidor.

Estas subredes no se pueden usar para recursos como instancias de VM o reglas de reenvío. Las subredes se usan solo con el fin de proporcionar direcciones IP para SNAT de conexiones de consumidores entrantes.

La subred de Private Service Connect debe contener al menos una dirección IP por cada 64 VM de consumidor, de modo que cada VM de consumidor tenga 1,024 tuplas de origen asignadas para la traducción de direcciones de red.

El tamaño mínimo de una subred de Private Service Connect es de /24.

La configuración de SNAT para las subredes de servicio privado de conexión incluye las siguientes opciones:

  • Cuando se realiza SNAT, cada VM cliente en la red de VPC del consumidor recibe 1,024 direcciones de origen y tuplas de puertos de origen mediante direcciones IP en la subred de Private Service Connect.

  • El tiempo de espera de inactividad del mapeo de UDP es de 30 segundos y no se puede configurar.

  • El tiempo de espera de inactividad de la conexión establecida de TCP es de 20 minutos y no se puede configurar.

  • El tiempo de espera de inactividad de conexión transitoria de TCP es de 30 segundos y no se puede configurar.

  • Existe una demora de dos minutos antes de que se pueda volver a usar cualquier tupla de 5 tuplas (la dirección IP de origen de la subred de Private Service Connect y el puerto de origen, el protocolo de destino y la dirección IP).

Adjuntos de servicio

Los productores de servicios exponen sus servicios a través de un adjunto de servicio.

  • Para exponer un servicio, un productor de servicios crea un adjunto de servicio que hace referencia a la regla de reenvío del balanceador de cargas del servicio.

  • Para acceder a un servicio, un consumidor de servicios crea un extremo que hace referencia al adjunto del servicio.

Preferencias de conexión

Cuando creas un servicio, eliges cómo ponerlo a disposición. Existen dos opciones:

  • Aceptar conexiones de forma automática en todos los proyectos: cualquier consumidor de servicios puede configurar un extremo y conectarse al servicio de manera automática.

  • Aceptar conexiones para los proyectos seleccionados: los consumidores de servicios configuran un extremo para conectarse al servicio y el productor de servicios acepta o rechaza las solicitudes de conexión.

Acceso local

Se puede acceder a los extremos de Private Service Connect que se usan para acceder a las API de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Usa Private Service Connect desde hosts locales.

Los extremos de Private Service Connect que se usan para acceder a los servicios en otra red de VPC no admiten el acceso desde hosts locales durante la Vista previa.

Precios

Los precios de Private Service Connect se describen en la página de precios de VPC. Los precios se aplican durante el período de vista previa.

Cuotas

Se aplican cuotas para los extremos y los adjuntos de servicio de Private Service Connect. Para obtener más información, consulta Cuotas.

¿Qué sigue?