Private Service Connect

O Private Service Connect permite o consumo privado de serviços em redes VPC que pertencem a diferentes grupos, equipes, projetos ou organizações. É possível publicar e consumir serviços usando endereços IP que você define e que são internos à sua rede VPC.

Como usar o Private Service Connect para acessar APIs do Google

Por padrão, se você tiver um aplicativo que usa um serviço do Google, como o Cloud Storage, ele se conectará ao nome de DNS padrão desse serviço, como storage.googleapis.com. Mesmo que os endereços IP dos nomes de DNS padrão sejam roteáveis publicamente, o tráfego enviado dos recursos do Google Cloud permanece na rede do Google.

Com o Private Service Connect, é possível criar endpoints particulares usando endereços IP internos globais na sua rede VPC. É possível atribuir nomes de DNS a esses endereços IP internos com nomes significativos como storage-vialink1.p.googleapis.com e bigtable-adsteam.p.googleapis.com. Esses nomes e endereços IP são internos da rede VPC e de qualquer rede local que esteja conectada a ela usando túneis do Cloud VPN ou anexos do Cloud Interconnect (VLANs). É possível controlar qual tráfego vai para qual endpoint e demonstrar que o tráfego permanece no Google Cloud.

Essa opção dá acesso a todas as APIs e serviços do Google incluídos nos pacotes de API. Se você precisar restringir o acesso apenas a determinadas APIs e serviços, o Private Service Connect com controles de serviço HTTP(S) do consumidor permite que você escolha quais APIs e serviços serão feitos. disponível para endpoints de serviço regionais compatíveis.

Para mais informações sobre as configurações do Private Service Connect para acessar as APIs do Google, consulte casos de uso.

Figura 1. Com o Private Service Connect, é possível enviar tráfego para as APIs do Google usando um endpoint do Private Service Connect que é particular da sua rede VPC.

Como usar o Private Service Connect para acessar APIs do Google com controles de serviço HTTP(S) para consumidores

É possível criar um endpoint do Private Service Connect com controles de serviço HTTP(S) do consumidor usando um balanceador de carga HTTP(S) interno. O balanceador de carga HTTP(S) interno fornece os seguintes recursos:

Figura 2. O Private Service Connect permite enviar tráfego para APIs regionais do Google compatíveis usando um endpoint do Private Service Connect. O uso de um balanceador de carga adiciona controles de serviço HTTP(S) do consumidor. Clique para ampliar.

Como usar o Private Service Connect para publicar e consumir serviços

O Private Service Connect permite que um produtor de serviços ofereça serviços de modo particular a um consumidor de serviço. O Private Service Connect oferece os seguintes benefícios:

  • Uma rede VPC de produtor de serviços é compatível com mais de um consumidor de serviço.

  • Cada consumidor se conecta ao endereço IP interno definido por ele. O Private Service Connect realiza a conversão de endereços de rede (NAT, na sigla em inglês) para rotear a solicitação para o produtor de serviços.

Figura 3. O Private Service Connect usa endpoints e anexos de serviço para permitir que os consumidores de serviços enviem tráfego da rede VPC do consumidor para os serviços na rede VPC do produtor de serviços (clique para ampliar).

Principais conceitos para consumidores de serviço

É possível usar endpoints do Private Service Connect para consumir serviços que estão fora da sua rede VPC. Os consumidores de serviços criam endpoints do Private Service Connect que se conectam a um serviço de destino.

Endpoints e destinos

Use os endpoints do Private Service Connect para se conectar a um serviço de destino. Os endpoints têm um endereço IP interno na rede VPC e são baseados no recurso de regra de encaminhamento.

Você envia o tráfego ao endpoint, que o encaminha para destinos fora da sua rede VPC.

Tipo de endpoint Destinos com suporte Acessível por

Endpoint do Private Service Connect para acessar APIs do Google

endereço IP interno global

Um pacote de API:
  • Todas as APIs (all-apis): a maioria das APIs do Google
    (o mesmo que private.googleapis.com).
  • VPC-SC (vpc-sc): APIs compatíveis com o VPC Service Controls
    (igual a restricted.googleapis.com).
  • VMs na mesma rede VPC do endpoint (todas as regiões)
  • Sistemas locais conectados à rede VPC que contém o endpoint

Endpoint do Private Service Connect para acessar APIs do Google com controles de serviço HTTP(S) para consumidores

Endereço IP interno regional de um balanceador de carga HTTPS interno

Um ponto de extremidade de serviço regional.

Esse endpoint é um balanceador de carga HTTP(S) interno com um mapa de URL simples e um único serviço de back-end. Para configurar o destino, conecte o serviço de back-end do balanceador de carga a um grupo de endpoints da rede do Private Service Connect que se refira a um endpoint de serviço regional.

  • VMs na mesma rede VPC e região do endpoint
  • Sistemas locais conectados à rede VPC que contêm o endpoint se os túneis do Cloud VPN ou os anexos do Cloud Interconnect (VLANs) estiverem na mesma região do endpoint

Ponto de extremidade do Private Service Connect para acessar serviços publicados em outra rede VPC

Endereço IP interno regional

Um serviço publicado em outra rede VPC. O serviço pode ser gerenciado pela organização ou por terceiros.

O destino desse tipo de endpoint é um anexo de serviço.

  • VMs na mesma rede VPC e região do endpoint

Principais conceitos para produtores de serviços

Para disponibilizar um serviço aos consumidores, crie uma ou mais sub-redes dedicadas para usar na conversão de endereços de rede (NAT) dos endereços IP dos clientes. Em seguida, crie um anexo de serviço que se refere a essas sub-redes.

Sub-redes do Private Service Connect

Para expor um serviço, o produtor de serviços primeiro cria uma ou mais sub-redes com a finalidade do Private Service Connect.

Quando uma solicitação é enviada de uma rede VPC do consumidor, o endereço IP de origem do consumidor é convertido usando NAT de origem (SNAT, na sigla em inglês) para um endereço IP selecionado de uma das sub-redes do Private Service Connect.

Se você quiser manter as informações de endereço IP de conexão do consumidor, consulte Como visualizar informações de conexão do consumidor.

Essas sub-redes não podem ser usadas para recursos como instâncias de VM ou regras de encaminhamento. As sub-redes são usadas apenas para fornecer endereços IP para SNAT de conexões de consumidor recebidas.

A sub-rede do Private Service Connect precisa conter pelo menos um endereço IP para cada 63 VMs pessoais de consumidor. Assim, cada VM de consumidor recebe 1.024 tuplas de origem para a conversão de endereços de rede.

O tamanho mínimo de uma sub-rede do Private Service Connect é /24.

A configuração SNAT para sub-redes do Private Service Connect inclui o seguinte:

  • Quando a SNAT é executada, cada VM de cliente na rede VPC do consumidor recebe 1.024 endereços de origem e tuplas de portas de origem usando endereços IP na sub-rede do Private Service Connect.

  • O tempo limite de inatividade do mapeamento UDP é de 30 segundos e não pode ser configurado.

  • O tempo limite de inatividade da conexão estabelecida TCP é de 20 minutos e não pode ser configurado.

  • O tempo limite de inatividade da conexão TCP transitiva é de 30 segundos e não pode ser configurado.

  • Há um atraso de dois minutos antes que qualquer 5 tuplas (endereço IP de origem da sub-rede do Private Service Connect e porta de origem mais o protocolo de destino, endereço IP e porta de destino) possa ser reutilizada.

Anexos de serviço

Os produtores de serviços expõem o serviço deles utilizando um anexo.

  • Para expor um serviço, um produtor de serviço cria um anexo de serviço que se refere à regra de encaminhamento do balanceador de carga do serviço.

  • Para acessar um serviço, um consumidor de serviço cria um endpoint que se refere ao anexo de serviço.

O URI do anexo de serviço tem este formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Preferências de conexão

Ao criar um serviço, você escolhe como disponibilizá-lo. Há duas opções:

  • Aceitar conexões automaticamente para todos os projetos: qualquer consumidor de serviço pode configurar um endpoint e se conectar ao serviço automaticamente.

  • Aceitar conexões para projetos selecionados: os consumidores de serviço configuram um endpoint para se conectar ao serviço, e o produtor de serviço aceita ou rejeita as solicitações de conexão.

Acesso no local

  • Os endpoints do Private Service Connect usados para acessar as APIs do Google podem ser acessados de hosts locais conectados compatíveis. Para ver mais informações, consulte Como usar o Private Service Connect em hosts locais.

  • Os terminais do Private Service Connect com controles de serviço HTTP(S) podem ser acessados a partir de hosts locais conectados compatíveis. Para ver mais informações, consulte Como usar o Private Service Connect em hosts locais.

  • Os endpoints do Private Service Connect usados para acessar serviços em outra rede VPC não são compatíveis em hosts locais durante a Visualização.

Preços

Os preços do Private Service Connect são descritos na página de preços da VPC.

Cotas

Há cotas para os endpoints e serviços de anexo do Private Service Connect Para mais informações, consulte cotas.

A seguir