Acerca del acceso a servicios publicados a través de endpoints
En este documento se ofrece una descripción general de cómo conectarse a servicios de otra red de VPC mediante puntos finales de Private Service Connect. Puedes conectarte a tus propios servicios o a los que ofrecen otros productores de servicios, incluido Google.
Los clientes se conectan al endpoint mediante direcciones IP internas. Private Service Connect realiza la traducción de direcciones de red (NAT) para enrutar la solicitud al servicio.
Para obtener más información sobre los servicios publicados, consulta el artículo Acerca de los servicios publicados.
Funciones y compatibilidad
En las siguientes tablas, el símbolo indica que una función está disponible, y la ausencia de símbolo indica que no lo está.
Configuración de consumidor
En esta tabla se resumen las opciones de configuración y las funciones admitidas de los endpoints que acceden a servicios publicados.
Configuración del productor
En esta tabla se resumen las opciones de configuración y las funciones admitidas de los servicios publicados a los que se accede mediante endpoints.
| Tipo de productor | Configuración del productor (servicio publicado) | |||
|---|---|---|---|---|
| Back-ends de productores admitidos | Protocolo PROXY (solo tráfico TCP) | Versión de IP | ||
| Balanceador de carga de aplicación interno entre regiones (vista previa) |
|
|
||
| Balanceador de carga de red de paso a través interno |
|
|
||
| Reenvío de protocolos interno (instancia de destino) |
|
|
||
| Servicios de asignación de puertos |
|
|
||
| Balanceador de carga de aplicación interno regional |
|
|
||
| Balanceador de carga de red de proxy interno regional |
|
|
||
| Proxy web seguro |
|
|
||
Los distintos balanceadores de carga admiten diferentes configuraciones de puertos. Algunos admiten un solo puerto, otros admiten un intervalo de puertos y otros admiten todos los puertos. Para obtener más información, consulta las especificaciones de los puertos.
Limitaciones
Los puntos finales que acceden a un servicio publicado tienen las siguientes limitaciones:
No puedes crear un punto final en la misma red de VPC que el servicio publicado al que estás accediendo.
Packet Mirroring no puede replicar paquetes del tráfico de servicios publicados de Private Service Connect.
No todas las rutas estáticas con los siguientes saltos del balanceador de carga son compatibles con Private Service Connect. Para obtener más información, consulta Rutas estáticas con saltos siguientes de balanceadores de carga.
Las pruebas de conectividad no pueden probar la conectividad entre un endpoint IPv6 y un servicio publicado.
Acceso in situ
Se puede acceder a los endpoints que usas para acceder a las APIs de Google desde los hosts on-premise conectados compatibles. Para obtener más información, consulta Acceder a endpoints desde redes híbridas.
Especificaciones
- Los puntos finales de Private Service Connect deben crearse en la misma región que el servicio publicado que es el destino del punto final.
- El punto final debe crearse en una red de VPC diferente de la red de VPC que contiene el servicio de destino.
- Si utilizas una VPC compartida, puedes crear el endpoint en el proyecto del host o en un proyecto de servicio.
- De forma predeterminada, solo pueden acceder al endpoint los clientes que se encuentren en la misma región y en la misma red de VPC (o en la misma red de VPC compartida) que el endpoint. Para obtener información sobre cómo hacer que los endpoints estén disponibles en otras regiones, consulta Acceso global.
-
La dirección IP que asignes al endpoint debe pertenecer a una subred normal.
- Puedes usar una dirección IPv4 de una subred solo IPv4 o de una subred de doble pila.
- Puedes usar una dirección IPv6 de una subred solo IPv6 o de doble pila si la subred tiene un intervalo de direcciones IPv6 internas.
- La versión IP de la dirección IP afecta a los servicios publicados a los que puede conectarse el punto final. Para obtener más información, consulta Traducción de versiones de IP.
- La dirección IP se tiene en cuenta en la cuota del proyecto de direcciones IPv4 internas estáticas o de direcciones IPv6 internas estáticas.
- Cuando creas un endpoint para conectarte a un servicio, si el servicio tiene configurado un nombre de dominio DNS, se crean automáticamente entradas de DNS privadas en tu red de VPC para el endpoint.
- Cada endpoint tiene su propia dirección IP única y, opcionalmente, su propio nombre de DNS único.
Estados de conexión
Los endpoints, los backends y los adjuntos de servicio de Private Service Connect tienen un estado de conexión que describe el estado de su conexión. Los recursos de consumidor y productor que forman los dos extremos de una conexión siempre tienen el mismo estado. Puedes ver los estados de conexión cuando consultas los detalles de un punto final, describes un backend o consultas los detalles de un servicio publicado.
En la siguiente tabla se describen los posibles estados.
| Estado de conexión | Descripción |
|---|---|
| Aceptado | Se ha establecido la conexión de Private Service Connect. Las dos redes de VPC tienen conectividad y la conexión funciona correctamente. |
| Pendiente | La conexión de Private Service Connect no se establece y el tráfico de red no puede desplazarse entre las dos redes. Una conexión puede tener este estado por los siguientes motivos:
Las conexiones que se bloquean por estos motivos permanecen en estado pendiente indefinidamente hasta que se resuelva el problema subyacente. |
| Rechazado | La conexión de Private Service Connect no se ha establecido. El tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado por los siguientes motivos:
|
| Requiere atención | Hay un problema en el lado del productor de la conexión. Es posible que parte del tráfico pueda fluir entre las dos redes, pero algunas conexiones podrían no funcionar. Por ejemplo, es posible que la subred NAT del productor se haya agotado y no pueda asignar direcciones IP a las nuevas conexiones. |
| Cerrada | Se ha eliminado la vinculación de servicio y se ha cerrado la conexión de Private Service Connect. El tráfico de red no puede viajar entre las dos redes. Una conexión cerrada es un estado terminal. Para restaurar la conexión, debes volver a crear tanto el adjunto de servicio como el endpoint o el backend. |
Traducción de la versión de IP
En el caso de los puntos finales de Private Service Connect que se conectan a servicios publicados (vinculaciones de servicio), la versión de IP de la dirección IP de la regla de reenvío del consumidor determina la versión de IP del punto final y del tráfico que sale de él. La dirección IP puede proceder de una subred solo IPv4, solo IPv6 o de pila dual. La versión de IP del endpoint puede ser IPv4 o IPv6, pero no ambas.
En el caso de los servicios publicados, la versión de IP del adjunto de servicio se determina mediante la dirección IP de la regla de reenvío o la instancia de Secure Web Proxy asociadas. Esta dirección IP debe ser compatible con el tipo de pila de la subred NAT del adjunto de servicio. La subred NAT puede ser una subred solo IPv4, solo IPv6 o de doble pila. Si la subred NAT es una subred de doble pila, se usa el intervalo de direcciones IPv4 o IPv6, pero no ambos.
Private Service Connect no admite la conexión de un punto final IPv4 con una vinculación de servicio IPv6. En este caso, la creación del endpoint falla y se muestra el siguiente mensaje de error:
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
Estas son las combinaciones posibles para las configuraciones compatibles:
- Punto final IPv4 a adjunto de servicio IPv4
- Punto final IPv6 a adjunto de servicio IPv6
-
Punto final IPv6 a un adjunto de servicio IPv4
En esta configuración, Private Service Connect traduce automáticamente entre las dos versiones de IP.
Propagación de la conexión
Con las conexiones propagadas, se puede acceder de forma privada a los servicios que están disponibles en una VPC de consumidor a través de puntos finales de Private Service Connect desde otras VPCs de consumidor conectadas al mismo centro de Network Connectivity Center.
Para obtener más información, consulta el artículo Información sobre las conexiones propagadas.
Acceso global
Los puntos finales de Private Service Connect que se usan para acceder a los servicios son recursos regionales. Sin embargo, puede hacer que un endpoint esté disponible en otras regiones configurando el acceso global.
El acceso global permite que los recursos de cualquier región envíen tráfico a los endpoints de Private Service Connect. Puedes usar el acceso global para ofrecer alta disponibilidad en servicios alojados en varias regiones o para permitir que los clientes accedan a un servicio que no se encuentre en la misma región que el cliente.
En el siguiente diagrama se muestran clientes de diferentes regiones que acceden al mismo endpoint:
El endpoint está en
us-west1y tiene configurado el acceso global.La VM de
us-west1puede enviar tráfico al endpoint y el tráfico permanece en la misma región.La VM de
us-east1y la VM de la red local también pueden conectar el endpoint deus-west1, aunque estén en regiones diferentes. Las líneas de puntos representan la ruta del tráfico entre regiones.
Un endpoint de Private Service Connect con acceso global permite que los consumidores de servicios envíen tráfico desde su red de VPC a los servicios de la red de VPC del productor de servicios. El cliente puede estar en la misma región o en una región diferente que el endpoint (haz clic para ampliar).
Especificaciones de acceso global
Puedes activar o desactivar el acceso global en cualquier momento para un endpoint.
- Activar el acceso global no provoca interrupciones en el tráfico de las conexiones actuales.
- Si desactivas el acceso global, se cerrarán todas las conexiones de regiones distintas a la región en la que se encuentre el endpoint.
No todos los servicios de Private Service Connect admiten endpoints con acceso global. Ponte en contacto con el productor del servicio para comprobar si su servicio admite el acceso global. Para obtener más información, consulta la sección sobre las configuraciones admitidas.
El acceso global no proporciona una sola dirección IP global ni un nombre de DNS para varios endpoints de acceso global.
VPC compartida
Los administradores de proyectos de servicio pueden crear endpoints en proyectos de servicio de VPC compartida que usen direcciones IP de redes de VPC compartidas. La configuración es la misma que la de un endpoint normal, pero el endpoint usa una dirección IP reservada de una subred compartida de la VPC compartida.
El recurso de dirección IP se puede reservar en el proyecto de servicio o en el proyecto host. El origen de la dirección IP debe ser una subred que se comparta con el proyecto de servicio.
Para obtener más información, consulta Crear un endpoint con una dirección IP de una red de VPC compartida.
Controles de Servicio de VPC
Controles de Servicio de VPC y Private Service Connect son compatibles entre sí. Si la red de VPC en la que se ha implementado el punto final de Private Service Connect está en un perímetro de Controles de Servicio de VPC, el punto final forma parte del mismo perímetro. Cualquier servicio compatible con Controles de Servicio de VPC al que se acceda a través del endpoint está sujeto a las políticas de ese perímetro de Controles de Servicio de VPC.
Cuando creas un endpoint, se realizan llamadas a la API del plano de control entre los proyectos de consumidor y productor para establecer una conexión de Private Service Connect. Para establecer una conexión de Private Service Connect entre proyectos de consumidor y productor que no estén en el mismo perímetro de Controles de Servicio de VPC, no es necesario que se autorice explícitamente con políticas de salida. La comunicación con los servicios compatibles con Controles de Servicio de VPC a través del endpoint está protegida por el perímetro de Controles de Servicio de VPC.
Rutas estáticas con balanceadores de carga como siguientes saltos
Las rutas estáticas se pueden configurar para usar la regla de reenvío de un balanceador de carga de red interno de tipo pasarela como siguiente salto
(--next-hop-ilb). No todas las rutas de este tipo son compatibles con Private Service Connect.
Las rutas estáticas que usan --next-hop-ilb para especificar el nombre de una regla de reenvío de balanceador de carga de red interno de pases directos se pueden usar para enviar y recibir tráfico a un punto final de Private Service Connect cuando la ruta y el punto final están en la misma red de VPC y región.
Las siguientes configuraciones de enrutamiento no se admiten con Private Service Connect:
- Rutas estáticas que usan
--next-hop-ilbpara especificar la dirección IP de una regla de reenvío de balanceador de carga de red interno de transferencia directa. - Rutas estáticas que usan
--next-hop-ilbpara especificar el nombre o la dirección IP de una regla de reenvío de endpoint de Private Service Connect.
Almacenamiento de registros
Puedes habilitar los registros de flujo de VPC en subredes que contengan VMs que accedan a servicios de otra red de VPC mediante endpoints. Los registros muestran los flujos entre las VMs y el endpoint.
Puedes ver los cambios en el estado de la conexión de los endpoints mediante los registros de auditoría. Los cambios en el estado de la conexión del endpoint se registran en los metadatos de eventos del sistema del tipo de recurso regla de reenvío de GCE. Puedes filtrar por
pscConnectionStatuspara ver estas entradas.Por ejemplo, cuando un productor de servicios permite conexiones desde tu proyecto, el estado de la conexión del endpoint cambia de
PENDINGaACCEPTED, y este cambio se refleja en los registros de auditoría.- Para ver los registros de auditoría, consulta el artículo Ver registros.
- Para configurar alertas basadas en registros de auditoría, consulta el artículo Gestionar alertas basadas en registros.
Precios
Los precios de Private Service Connect se describen en la página de precios de VPC.
Cuotas
El número de endpoints que puedes crear para acceder a los servicios publicados se controla mediante la cuota PSC Internal LB Forwarding Rules.
Para obtener más información, consulta las cuotas.
Restricciones de las políticas de organización
Un administrador de políticas de la organización puede usar la restricción constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir el conjunto de tipos de endpoint para los que los usuarios no pueden crear reglas de reenvío.
Para obtener información sobre cómo crear una política de la organización que use esta restricción, consulta Impedir que los consumidores implementen endpoints por tipo de conexión.