Private Service Connect
Neste documento, apresentamos uma visão geral do Private Service Connect. O Private Service Connect permite o consumo privado de serviços em redes VPC que pertencem a diferentes grupos, equipes, projetos ou organizações. É possível publicar e consumir serviços usando endereços IP que você define e que são internos à sua rede VPC.
Use o Private Service Connect para acessar APIs e serviços do Google ou serviços gerenciados em outra rede VPC.
Usar o Private Service Connect para acessar APIs do Google
Por padrão, se você tiver um aplicativo que usa um serviço do Google, como o
Cloud Storage, ele se conectará ao nome de DNS padrão desse
serviço, como storage.googleapis.com. Mesmo que os endereços IP dos
nomes de DNS padrão sejam roteáveis publicamente, o tráfego enviado dos recursos do
Google Cloud permanece na rede do Google.
Com o Private Service Connect, é possível criar endpoints particulares
usando endereços IP internos globais na sua rede VPC. É
possível atribuir nomes de DNS a esses endereços IP internos com nomes significativos como
storage-vialink1.p.googleapis.com e bigtable-adsteam.p.googleapis.com.
Esses nomes e endereços IP são internos da rede VPC e
de qualquer rede local que esteja conectada a ela usando túneis do
Cloud VPN ou anexos do Cloud Interconnect (VLANs). É possível controlar qual tráfego vai para qual
endpoint e demonstrar que o tráfego permanece no
Google Cloud.
Essa opção dá acesso a todas as APIs e serviços do Google incluídos nos pacotes de API. Se você precisar restringir o acesso apenas a determinadas APIs e serviços, o Private Service Connect com controles de serviço HTTP(S) do consumidor permite que você escolha quais APIs e serviços serão feitos. disponível para endpoints de serviço regionais compatíveis.
Figura 1. O Private Service Connect permite enviar tráfego para as APIs do Google usando um endpoint do Private Service Connect particular à rede VPC (clique para ampliar).
Para mais informações, consulte Sobre como acessar APIs do Google por endpoints.
Usar o Private Service Connect para acessar APIs do Google com controles de serviço HTTP(S) para consumidores
É possível criar um endpoint do Private Service Connect com controles de serviço HTTP(S) do consumidor usando um balanceador de carga HTTP(S) interno. O balanceador de carga HTTP(S) interno fornece os seguintes recursos:
É possível escolher quais serviços estão disponíveis usando um mapa de URLs. a filtragem por caminho permite fazer verificações mais detalhadas.
Você pode renomear serviços, por exemplo,
spanner.example.com, e mapeá-los para URLs de sua escolha.É possível configurar o balanceador de carga para registrar todas as solicitações no Cloud Logging.
É possível usar certificados TLS gerenciados pelo cliente.
Para ativar a residência de dados em trânsito, conecte-se aos pontos de extremidade regionais das APIs do Google das cargas de trabalho nessa mesma região.
Figura 2. O Private Service Connect permite enviar tráfego para APIs regionais do Google compatíveis usando um endpoint do Private Service Connect. O uso de um balanceador de carga adiciona controles de serviço HTTP(S) do consumidor (clique para ampliar).
Para mais informações, consulte Sobre endpoints com controles HTTP(S) do consumidor.
Usar o Private Service Connect para publicar e consumir serviços gerenciados
O Private Service Connect permite que um produtor de serviços ofereça serviços de modo a um consumidor de serviço. Uma rede VPC do produtor de serviços pode ser compatível com vários consumidores de serviços.
Há dois tipos de endpoints do Private Service Connect que podem se conectar a um serviço publicado:
Endpoint do Private Service Connect (com base em uma regra de encaminhamento)
Com esse tipo de endpoint, os consumidores se conectam a um endereço IP interno que definem. O Private Service Connect realiza a conversão de endereços de rede (NAT, na sigla em inglês) para rotear a solicitação para o produtor de serviços.
Figura 3. Um endpoint do Private Service Connect com base em uma regra de encaminhamento permite que os consumidores de serviço enviem tráfego da rede VPC do consumidor para serviços na rede VPC do fornecedor de serviços (clique para ampliar).
-
Com esse tipo de endpoint, os consumidores se conectam a um endereço IP externo. O Private Service Connect usa um grupo de endpoints de rede para rotear a solicitação para o produtor de serviço.
Usar um balanceador de carga HTTP(S) externo global como um ponto de aplicação da política tem os seguintes benefícios:
Você pode renomear serviços e mapeá-los para URLs de sua escolha.
É possível configurar o balanceador de carga para registrar todas as solicitações no Cloud Logging.
É possível usar certificados TLS gerenciados pelo cliente ou certificados gerenciados pelo Google.
Se o produtor de serviço tiver disponibilizado um serviço em várias regiões, o tráfego de clientes poderá ser balanceado por carga nessas regiões.
Figura 4 O uso de um balanceador de carga HTTP(S) externo e global permite que os consumidores de serviços com acesso à Internet enviem tráfego para serviços na rede VPC do fornecedor de serviços (clique para ampliar).
Para mais informações sobre serviços, consulte Sobre serviços publicados.
Serviços gerenciados em várias regiões
É possível disponibilizar um serviço em várias regiões criando as configurações a seguir.
Configuração do produtor:
Implante o serviço em cada região. Cada instância regional do serviço precisa ser configurada em um balanceador de carga que seja compatível com o acesso por um endpoint do Private Service Connect com controles de serviço HTTP(S) do consumidor.
Crie um anexo de serviço para publicar cada instância regional do serviço.
Configuração do consumidor:
Crie um endpoint do Private Service Connect com controles de serviço HTTP(S) do consumidor. O endpoint é baseado em um balanceador de carga HTTP(S) externo global e inclui as seguintes configurações:
Um NEG do Private Service Connect em cada região que aponta para o anexo de serviço dessa região.
Um serviço de back-end que contém os back-ends de NEG.
Nessa configuração, o endpoint encaminha o tráfego usando a política de balanceamento de carga global padrão: primeiro por integridade, e depois pelo local mais próximo ao cliente.
Figura 5. O uso de um balanceador de carga HTTP(S) externo global permite que os consumidores de serviço com acesso à Internet enviem tráfego a serviços na rede VPC do produtor de serviços. Como o serviço é implantado em várias regiões, o balanceador de carga pode encaminhar o tráfego para um NEG na região íntegra mais próxima (clique para ampliar).
Principais conceitos para consumidores de serviço
É possível usar endpoints do Private Service Connect para consumir serviços que estão fora da sua rede VPC. Os consumidores de serviços criam endpoints do Private Service Connect que se conectam a um serviço de destino.
Endpoints e destinos
Use os endpoints do Private Service Connect para se conectar a um serviço de destino. Os endpoints têm um endereço IP interno na rede VPC e são baseados no recurso de regra de encaminhamento.
Você envia o tráfego ao endpoint, que o encaminha para destinos fora da sua rede VPC.
| Tipo de endpoint | Destinos com suporte | Acessível por |
|---|---|---|
Endpoint do Private Service Connect para acessar APIs do Google endereço IP interno global |
Um pacote de API:
|
|
|
Endpoint do Private Service Connect para acessar APIs do Google com controles de serviço HTTP(S) para consumidores Endereço IP interno regional de um balanceador de carga HTTPS interno |
Um ponto de extremidade de serviço regional.
Esse endpoint é um balanceador de carga HTTP(S) interno com um mapa de URL simples e um único serviço de back-end. Para configurar o destino, conecte o serviço de back-end do balanceador de carga a um grupo de endpoints da rede do Private Service Connect que se refira a um endpoint de serviço regional. |
|
|
Ponto de extremidade do Private Service Connect para acessar serviços publicados em outra rede VPC Endereço IP interno regional |
Um serviço publicado em outra rede VPC. O serviço pode ser gerenciado pela organização ou por terceiros. O destino desse tipo de endpoint é um anexo de serviço. |
|
|
Endpoint do Private Service Connect para acessar serviços publicados com controles de serviço HTTP(S) do consumidor endereço IP externo global de um balanceador de carga HTTPS externo |
Um serviço publicado em outra rede VPC. O serviço pode ser gerenciado pela organização ou por terceiros.
Esse endpoint é um balanceador de carga HTTP(S) externo global com um mapa de URL simples e um único serviço de back-end. Para configurar o destino, conecte o serviço de back-end do balanceador de carga a um grupo de endpoints da rede do Private Service Connect que se refira a um serviço anexado. |
|
Principais conceitos para produtores de serviços
Para mais informações sobre serviços, incluindo sub-redes, anexos de serviço e preferências de conexão, consulte Sobre os serviços publicados.
Acesso no local
Os endpoints do Private Service Connect que você usa para acessar as APIs do Google podem ser acessados de hosts locais conectados suportados. Para mais informações, consulte Acessar o endpoint de hosts locais.
Os endpoints do Private Service Connect com controles de serviço HTTP(S) podem ser acessados a partir de hosts locais conectados suportados. Para mais informações, consulte Acessar o endpoint de hosts locais.
Os endpoints do Private Service Connect que você usa para acessar os serviços gerenciados em outra rede VPC podem ser acessados de hosts locais conectados compatíveis. Para mais informações, consulte Acessar o endpoint de hosts locais.
Os endpoints do Private Service Connect com controles de serviço HTTP(S) usados para acessar serviços gerenciados são baseados em um balanceador de carga HTTP(S) externo global e podem ser acessados de qualquer sistema. com acesso à Internet.
Serviços do Google compatíveis
A tabela a seguir lista os serviços do Google Cloud compatíveis com o Private Service Connect. É possível criar um endpoint do Private Service Connect para se conectar a esses serviços de forma particular na sua própria rede VPC.
| Serviço | Descrição |
|---|---|
| APIs do Google | Permite acessar a maioria das APIs e serviços do Google, por exemplo, *.googleapis.com. Para mais informações, consulte APIs compatíveis. |
| Apigee X | Permite expor as APIs gerenciadas pela Apigee na Internet (Visualização). Também permite que você se conecte de maneira privada a partir da Apigee com serviços de back-end de destino (Visualizar). |
| Cloud Composer 2 | Permite acessar o projeto de locatário do Cloud Composer. |
| Metastore do Dataproc | Permite acessar o serviço Metastore do Dataproc. |
| Clusters públicos do Google Kubernetes Engine (GKE) | Permite acessar nós mestres do cluster público do GKE no GKE 1.23 e em versões posteriores. |
Preços
Os preços do Private Service Connect são descritos na página de preços da VPC.
Restrições da política da organização
Um administrador de política da organização pode usar a restrição constraints/compute.disablePrivateServiceConnectCreationForConsumers
para definir o conjunto de tipos de endpoint do Private Service Connect para os
quais os usuários não podem criar regras de encaminhamento. Use essa restrição para impedir que os usuários criem endpoints do Private Service Connect para acessar APIs do Google ou criem endpoints do Private Service Connect para acessar serviços gerenciados. A restrição se aplica a
novas configurações de peering e não afeta conexões
existentes.
Cotas
Há cotas para os endpoints e serviços de anexo do Private Service Connect Para mais informações, consulte cotas.
A seguir
Configure o Private Service Connect para acessar APIs e serviços do Google
Configure o Private Service Connect para acessar APIs e serviços do Google com controles de serviço HTTP(S) do consumidor
Configure o Private Service Connect para acessar serviços em outra rede VPC
Configure o Private Service Connect para fornecer acesso aos seus serviços