Private Service Connect

Neste documento, apresentamos uma visão geral do Private Service Connect.

O Private Service Connect é um recurso da rede do Google Cloud que permite que consumidores acessem serviços gerenciados de maneira particular na rede VPC deles. Da mesma forma, ele permite que produtores do serviço gerenciado hospedem esses serviços em redes VPC separadas e ofereçam uma conexão particular aos consumidores. Por exemplo, ao usar o Private Service Connect para acessar o Cloud SQL, você é o consumidor de serviço e o Google é o produtor de serviços.

Com o Private Service Connect, os consumidores podem usar os próprios endereços IP internos para acessar serviços sem sair das redes VPC. O tráfego permanece inteiramente dentro do Google Cloud. O Private Service Connect fornece acesso orientado ao serviço entre consumidores e produtores com controle granular sobre como os serviços são acessados.

O Private Service Connect é compatível com acesso aos seguintes tipos de serviços gerenciados:

Figura 1. O Private Service Connect permite enviar tráfego para endpoints e back-ends que encaminham o tráfego para serviços gerenciados, incluindo APIs do Google e serviços publicados. As interfaces do Private Service Connect permitem que os serviços gerenciados iniciem conexões com redes VPC do consumidor.

O Private Service Connect fornece conectividade particular com as seguintes características:

  • Design orientado a serviços: os serviços do produtor são publicados por meio de balanceadores de carga que expõem um único endereço IP à rede VPC do consumidor. O tráfego do consumidor que acessa serviços do produtor é unidirecional e só pode acessar o endereço IP do serviço, em vez de ter acesso a uma rede VPC com peering inteira.
  • Autorização explícita: o Private Service Connect fornece um modelo de autorização que fornece controle granular a consumidores e produtores, garantindo que apenas os endpoints do serviço pretendidos e nenhum outro recurso possam se conectar a um serviço do Google Analytics.
  • Sem dependências compartilhadas: o tráfego entre consumidor e produtor usa NAT para que não haja coordenação de endereços IP ou outras dependências de recursos compartilhados entre as redes VPC do consumidor e do produtor. Essa independência simplifica a implantação e permite escalonar serviços gerenciados com mais facilidade.
  • Desempenho da taxa de linha: o tráfego do Private Service Connect vai diretamente dos clientes consumidores para os back-ends do produtor, sem saltos ou proxies intermediários. O NAT é executado diretamente nas máquinas host físicas, que hospedam as VMs de consumidor e produtor, o que reduz a latência e aumenta a capacidade da largura de banda. A capacidade de largura de banda do Private Service Connect é limitada apenas pela capacidade de largura de banda das máquinas do servidor e do cliente que estão se comunicando diretamente.

Tipos do Private Service Connect

O Private Service Connect está disponível em diferentes tipos que fornecem diferentes recursos e modos de comunicação.

Os produtores de serviço publicam aplicativos para os consumidores criando serviços do Private Service Connect. Os consumidores de serviço acessam os serviços do Private Service Connect diretamente por meio de um destes tipos:

  • Endpoints do Private Service Connect: os endpoints são implantados usando regras de encaminhamento que fornecem ao consumidor um endereço IP que é mapeado para o serviço do Private Service Connect.
  • Back-ends do Private Service Connect: os back-ends são implantados usando grupos de endpoint da rede (NEGs, na sigla em inglês) que permitem aos consumidores direcionar o tráfego para o balanceador de carga antes de alcançar um serviço do Private Service Connect.

Os produtores de serviços podem iniciar conexões com os consumidores de serviço usando as interfaces do Private Service Connect (visualização). As interfaces do Private Service Connect fornecem comunicação bidirecional e podem ser usadas na mesma rede VPC que os endpoints e back-ends.

Endpoints

Os endpoints do Private Service Connect são endereços IP internos em uma rede VPC do consumidor que podem ser acessados diretamente pelos clientes nessa rede. Os endpoints são criados com a implantação de uma regra de encaminhamento que faz referência a um anexo de serviço ou a um pacote de APIs do Google.

O diagrama a seguir mostra um endpoint do Private Service Connect que visa um serviço publicado que está sendo executado em uma rede VPC e organização separadas. Os endpoints publicados e os serviços publicados do Private Service Connect permitem que duas empresas independentes se comuniquem usando endereços IP internos. Para mais informações, consulte Sobre como acessar serviços publicados por meio de endpoints.

Figura 2. O Private Service Connect permite enviar tráfego para endpoints que encaminham o tráfego para serviços publicados em outra rede VPC.

Da mesma forma, um endpoint do Private Service Connect pode ser usado para acessar APIs do Google, como o Cloud Storage ou o BigQuery. Essa funcionalidade é semelhante ao Acesso privado do Google, mas é possível usar seus próprios endereços IP internos para endpoints. O Private Service Connect permite controlar mais diretamente o roteamento e criar quantos endpoints forem necessários para sua rede. Para mais informações, consulte Sobre como acessar APIs do Google por endpoints.

Figura 3. O Private Service Connect permite enviar tráfego para endpoints que encaminham o tráfego para as APIs do Google.

Back-ends

Os back-ends do Private Service Connect permitem que os balanceadores de carga do Google Cloud enviem tráfego por meio do Private Service Connect para alcançar serviços publicados ou APIs do Google. Os back-ends são implantados por meio de grupos de endpoints da rede (NEGs, na sigla em inglês) do Private Service Connect que fazem referência a um anexo de serviço do produtor ou a uma API compatível do Google. Colocar um balanceador de carga na frente de um serviço gerenciado fornece ao consumidor mais visibilidade e controle do que é possível por meio de um endpoint do Private Service Connect. Os back-ends permitem criar configurações como as seguintes:

  • Domínios e certificados do cliente na frente de serviços gerenciados
  • Failover controlado pelo consumidor entre serviços gerenciados em diferentes regiões
  • Configuração centralizada de segurança e controle de acesso para serviços gerenciados

O diagrama a seguir mostra um balanceador de carga de aplicativo interno implantado com back-ends do Private Service Connect que fazem referência a um serviço publicado. Há dois balanceadores de carga na configuração:

  • O balanceador de carga do consumidor que fornece controle, visibilidade e segurança do tráfego para o serviço.
  • O balanceador de carga do produtor que faz o balanceamento de carga do tráfego pelos back-ends de serviço.

Figura 4 O Private Service Connect permite enviar tráfego para back-ends que encaminham o tráfego para serviços publicados.

Assim como os endpoints do Private Service Connect, os back-ends também são compatíveis com a segmentação de APIs do Google. O diagrama a seguir mostra um balanceador de carga de aplicativo interno que tem como destino um bucket do Cloud Storage e encerra o tráfego usando um domínio de propriedade do cliente.

Figura 5. O Private Service Connect permite enviar tráfego para back-ends que o encaminham para uma API regional do Google.

Interfaces

Uma interface do Private Service Connect é um tipo especial de interface de rede que se refere a um anexo de rede.

Um produtor de serviço pode criar uma interface do Private Service Connect e solicitar uma conexão com um anexo de rede. Se o consumidor de serviço aceitar a conexão, o Google Cloud alocará a interface um endereço IP de uma sub-rede na rede VPC do consumidor especificada pelo anexo de rede. A VM da interface do Private Service Connect tem uma segunda interface de rede padrão que se conecta à rede VPC do produtor.

Uma conexão entre uma interface do Private Service Connect e um anexo de rede é semelhante à conexão entre um Private Service Connectendpoint e umanexo de serviço, mas há duas diferenças principais:

  • Uma interface do Private Service Connect permite que uma rede VPC do produtor inicie conexões com uma rede VPC do consumidor (saída de serviço gerenciado). Um endpoint funciona na direção inversa, permitindo que uma rede VPC do consumidor inicie conexões com uma rede VPC do produtor (entrada de serviço gerenciado).
  • Uma conexão de interface do Private Service Connect é transitiva. Isso significa que as cargas de trabalho em uma rede do produtor podem iniciar conexões com outras cargas de trabalho que estão conectadas à rede VPC do consumidor. Os endpoints do Private Service Connect só podem iniciar conexões com a rede VPC do produtor.

Figura 6. As interfaces do Private Service Connect permitem que os produtores de serviços iniciem conexões com consumidores de serviço.

Serviços gerenciados do Private Service Connect

Os serviços gerenciados são de propriedade e gerenciados por alguém que não é o consumidor de serviço. O Private Service Connect pode ser usado para acessar serviços gerenciados de propriedade do Google, empresas de software como serviço (SaaS) de terceiros ou outras equipes na empresa do próprio consumidor. Os serviços publicados e as APIs do Google podem ser destinos do Private Service Connect.

Serviços publicados

Serviços publicados são serviços hospedados na VPC implantados na rede VPC do produtor e acessados pela rede VPC do consumidor. A publicação de um serviço permite que o produtor seja o proprietário e controle a implantação do serviço na própria rede VPC. Os serviços publicados podem incluir o seguinte:

  • Serviços do Google, como GKE, Apigee ou Cloud Composer. Esses serviços são executados em projetos de locatário e redes VPC gerenciados pelo Google.
  • Serviços de terceiros, em que terceiros oferecem acesso particular a um serviço publicado no Google Cloud.
  • Serviços intraorganizacionais, em que uma única empresa tem clientes que acessam aplicativos internos em diferentes redes VPC. Algumas organizações usam redes VPC separadas para segmentação interna. Com essa configuração, uma equipe pode oferecer um serviço gerenciado a uma equipe diferente que opere em uma rede VPC separada.

Anexos de serviço

Anexos de serviço são recursos usados para criar serviços publicados do Private Service Connect.

Os anexos de serviço podem ser acessados usando endpoints ou backends. Vários back-ends ou endpoints podem se conectar ao mesmo anexo de serviço, permitindo que várias redes VPC ou vários consumidores acessem a mesma instância de serviço.

Um anexo de serviço tem como alvo um balanceador de carga do produtor e permite que os clientes em uma rede VPC do consumidor acessem o balanceador de carga. A configuração do anexo de serviço define o seguinte:

  • Uma lista de aceitação de consumidores que define quais consumidores têm permissão para se conectar ao serviço.
  • A sub-rede NAT de origem do tráfego traduzido na rede VPC do produtor.
  • Um domínio DNS opcional, se fornecido, que é usado nas entradas DNS para endpoints que são criadas automaticamente no ambiente Zona do Cloud DNS.

APIs do Google

Usar o Private Service Connect para acessar APIs do Google é uma alternativa ao uso do Acesso privado do Google ou dos nomes de domínio público para APIs do Google. Nesse caso, o produtor é o Google.

As APIs do Google podem ser acessadas usando endpoints ou back-ends.

Com o Private Service Connect, você pode fazer o seguinte:

  • Crie um ou mais endereços IP internos para acessar as APIs do Google em diferentes casos de uso.
  • Direcionar o tráfego local para regiões e endereços IP específicos ao acessar as APIs do Google.
  • Centralize o tráfego da API do Google por meio de um balanceador de carga HTTP(S) para aplicar seus próprios certificados, políticas de segurança ou observabilidade.

A seguir