Información sobre la migración de servicios basados en el peering a Private Service Connect
Muchos productores de servicios gestionados usan el emparejamiento de redes de VPC para ofrecer conectividad a los consumidores de servicios que se encuentran en otra red de nube privada virtual (VPC). Otra solución es usar Private Service Connect.
En este documento se ofrece una descripción general de cómo pueden los productores de servicios migrar sus servicios basados en el peering a Private Service Connect y conservar las direcciones IPv4 que se utilizan para acceder a los servicios. Este proceso de migración requiere que todos los recursos conectados a una subred determinada se migren al mismo tiempo.
Cada productor de servicios determina si va a migrar a Private Service Connect y cuándo. Para saber si un productor de servicios está migrando del emparejamiento entre redes VPC a Private Service Connect, consulta la documentación del servicio o ponte en contacto con el productor de servicios.
Migrar servicios basados en el peering
En este servicio basado en el peering, el cliente vm1 envía tráfico al balanceador de carga 10.10.10.10 del servicio en la red de VPC del productor. La red del consumidor tiene una ruta de subred de emparejamiento para la subred del productor porque las redes están conectadas mediante el emparejamiento entre redes de VPC.
Imagen 1. En un servicio basado en el emparejamiento, la red de VPC del consumidor y la red de VPC del productor pueden acceder entre sí mediante el emparejamiento de redes de VPC (haz clic para ampliar).
Durante la migración, se completan las siguientes tareas:
- El productor implementa el servicio en una nueva subred
producer-subnet-2de una nueva red de VPC y publica el servicio a través de Private Service Connect. - El productor crea un intervalo interno para reservar el intervalo CIDR de la subred del productor,
10.10.10.0/24. - El productor elimina la subred original
producer-subnet-1y todos los recursos que contiene. - Se crea una subred de migración
consumer-subnet-2en la red VPC del consumidor, configurada con el mismo intervalo CIDR que la subred del productor. - Se crea un punto final de Private Service Connect en la subred de migración, configurado con la misma dirección IP que usaba anteriormente la regla de reenvío del balanceador de carga del productor.
Una vez completada la migración, el cliente vm1 podrá seguir accediendo al servicio en 10.10.10.10, pero esta dirección IP ahora estará asociada al endpoint de Private Service Connect de la red de VPC del consumidor.
Imagen 2. Después de la migración, los clientes de la red de VPC del consumidor envían solicitudes al punto final de Private Service Connect, que reenvía el tráfico a la red de VPC del productor (haz clic para ampliar la imagen).
Tareas de migración
La migración incluye tareas que se realizan tanto en la red de VPC del productor como en la del consumidor. El productor puede coordinarse con el consumidor para llevar a cabo la migración o, en el caso de los servicios gestionados por Google, el productor del servicio puede automatizar las tareas del consumidor mediante un agente de servicio.
| Tarea | Productor | Consumidor |
|---|---|---|
| Implementar un servicio de Private Service Connect | ||
| Implementa el servicio en una nueva subred de una nueva red de VPC en el proyecto del productor y publícalo mediante Private Service Connect | Interpretada por el productor | |
| Cerrar el servicio basado en el peer | ||
| Reserva el intervalo CIDR de la subred del productor creando un intervalo interno en el proyecto del productor | Interpretada por el productor | El consumidor proporciona el nombre de la subred que se va a usar en el destino de la migración. |
| Elimina todos los recursos de la subred del productor y, a continuación, elimina la subred. | Interpretada por el productor | El consumidor ya no puede acceder al servicio |
| Crea un endpoint de Private Service Connect en la red del consumidor | ||
| Crea una subred de migración en la red del consumidor | Si el consumidor no ha elegido el nombre de la subred, el productor se lo proporciona. | Realizada por el consumidor (o por el productor a través de un agente del servicio) |
| Crea un endpoint de Private Service Connect en la red del consumidor | El productor proporciona el URI de la vinculación de servicio al consumidor | Realizada por el consumidor (o por el productor a través de un agente del servicio) El consumidor puede acceder al servicio |
| Validar el acceso a través del endpoint de Private Service Connect | Realizada por el consumidor | |
| Finalizar la migración | ||
| Eliminar el intervalo interno | Interpretada por el productor | |
| Actualiza la subred de migración del consumidor para convertirla en una subred normal | Realizada por el consumidor (o por el productor a través de un agente del servicio) | |
| Si no es necesaria para otros servicios, elimina la conexión de emparejamiento en las redes del productor y del consumidor. | Interpretada por el productor | Realizada por el consumidor (o por el productor a través de un agente del servicio) |
Cuestiones importantes
Si eres un productor de servicios que quiere migrar su servicio basado en el peer a Private Service Connect, ten en cuenta lo siguiente:
- La implementación de Private Service Connect del servicio debe ofrecer las mismas funciones que el servicio basado en el intercambio de tráfico.
- El proceso de migración permite conservar las direcciones IPv4 que acceden a los servicios. No se admite la conservación de direcciones IPv6. Sin embargo, se puede acceder a los servicios migrados a través de los endpoints de Private Service Connect IPv6.
- Durante la migración, debes poder eliminar todos los recursos de la subred que contenga la instancia de servicio. Si varias instancias de servicio usan la misma subred, todas las instancias deben migrarse al mismo tiempo.
El punto final de Private Service Connect del consumidor, la vinculación de servicio y la regla de reenvío del productor deben estar en la misma región.
Para permitir que se acceda al endpoint desde cualquier región, puedes habilitar el acceso global al endpoint.
Si el servicio guarda el estado, debes tener un método para migrar el estado a las nuevas instancias del servicio.
No puedes eliminar la conexión de peering hasta que se hayan migrado todas las instancias de servicio de la red de VPC de productor.
El servicio tiene un tiempo de inactividad durante la migración.
La migración a Private Service Connect tiene un impacto en los precios tanto para los productores como para los consumidores. Asegúrate de que tus consumidores conozcan este cambio antes de migrarlos.
Private Service Connect traduce la dirección IP de origen del cliente a una dirección IP de una subred NAT. Si el servicio necesita información sobre la dirección IP del cliente, debes usar el protocolo PROXY para obtener la dirección IP del cliente y gestionar los paquetes de forma adecuada entre las VMs backend y tu aplicación.
Intervalos internos para la migración
El intervalo interno se usa para reservar el intervalo CIDR que se usa en la subred del productor, de modo que, cuando se elimine la subred del productor, el intervalo CIDR no se pueda usar para otro propósito.
Cuando creas un intervalo interno para la migración entre iguales, asignas el valor FOR_MIGRATION al uso y especificas las subredes de origen y de destino. La subred de origen es la subred del productor y la subred de destino es la nueva subred de migración entre iguales que se creará más adelante en la red del consumidor.
Si creas el intervalo interno, se evita que se cree una subred que coincida tanto con el nombre de la subred de destino como con el intervalo CIDR. Sin embargo, se puede crear otra subred en la red de consumidor que tenga el mismo nombre si usa un intervalo CIDR diferente. Si esto ocurre, la migración no podrá continuar hasta que se elimine la subred de consumidor con el nombre coincidente o se elimine el intervalo interno.
Subredes de migración entre iguales
La subred que se crea en la red del consumidor para la migración tiene el valor PEER_MIGRATION en el campo "Purpose". Las subredes de migración entre iguales solo pueden contener direcciones IP y endpoints de Private Service Connect.
Una vez que se haya completado y verificado la migración, la subred se actualizará para convertirse en una subred normal. Para ello, se asignará el valor PRIVATE al campo "Purpose" (Propósito) y se podrán crear otros recursos en la subred. Una subred normal no se puede volver a convertir en una subred de migración entre iguales.
Solo las entidades que tengan el permiso compute.subnetworks.usePeerMigration pueden hacer lo siguiente:
- Crear y eliminar recursos de direcciones IP en subredes de migración entre iguales.
- Crear y eliminar puntos finales de Private Service Connect (reglas de reenvío) en subredes de migración entre iguales.
El permiso compute.subnetworks.usePeerMigration está incluido en los siguientes roles:
- Migración de subred de emparejamiento de Compute
Administrador
(
roles/compute.peerSubnetMigrationAdmin) - Administrador de red de Compute
(
roles/compute.networkAdmin)
Las entidades de seguridad con el rol Administrador de migración de subred de Compute Peer pueden crear y eliminar direcciones IP y endpoints de Private Service Connect en una subred de migración de peer, pero no pueden crear, actualizar ni eliminar la subred de migración.
Las entidades de seguridad que tengan el rol Administrador de red de Compute pueden realizar todas las tareas necesarias para la migración, incluidas las anteriores y las siguientes:
- Crea una subred con el valor
PEER_MIGRATIONen el campo "Propósito". - Actualiza la subred. Por ejemplo, puedes ampliar el intervalo CIDR o habilitar el acceso privado de Google.
- Actualiza el propósito de la subred a
PRIVATE. - Elimina la subred.
Precios
Para obtener información sobre los precios, consulta lo siguiente:
Productores de servicios: precios por publicar un servicio.
Consumidores de servicios: precios por acceder a un servicio publicado a través de un punto final.
Siguientes pasos
- Migrar una subred de servicio de emparejamiento a Private Service Connect
- Publicar un servicio mediante Private Service Connect