Acerca de las interfaces de Private Service Connect
En esta página, se proporciona una descripción general de las interfaces de Private Service Connect.
Una interfaz de Private Service Connect es un recurso que permite que una red de nube privada virtual (VPC) de productor inicie conexiones a varios destinos en una red de VPC de consumidor. Las redes de productores y consumidores pueden estar en diferentes proyectos y organizaciones.
Para crear una conexión de interfaz de Private Service Connect, necesitas una instancia de máquina virtual (VM) que tenga al menos dos interfaces de red. La primera interfaz se conecta a una subred en una red de VPC del productor. Las otras interfaces pueden ser interfaces de Private Service Connect que solicitan conexiones a adjuntos de red en diferentes redes de VPC del consumidor. Si se acepta una conexión, Google Cloud asigna a la interfaz de Private Service Connect una dirección IP interna de la subred del consumidor que especifica el adjunto de red.
Esta conexión de interfaz de Private Service Connect permite que las organizaciones de productores y consumidores configuren sus redes de VPC para que las dos redes estén conectadas y puedan comunicarse mediante direcciones IP internas. Por ejemplo, la organización del productor puede actualizar la red de VPC del productor para agregar rutas para las subredes del consumidor.
Figura 1. En una red de VPC de productor, vm-1 tiene dos interfaces de red. Una interfaz de red virtual (vNIC) se conecta a una subred en la red del productor. La otra interfaz es una interfaz virtual de Private Service Connect que se conecta a un adjunto de red en una red del consumidor (haz clic para agrandar).
Una conexión entre una interfaz de Private Service Connect y un adjunto de red es similar a la conexión entre un extremo de Private Service Connect y un adjunto de servicio, pero tiene dos diferencias clave:
- Una interfaz de Private Service Connect permite que una red de VPC del productor inicie conexiones con una red de VPC del consumidor (salida de servicio administrado). Un extremo funciona en la dirección inversa, lo que permite que una red de VPC del consumidor inicie conexiones con una red de VPC del productor (entrada de servicio administrado).
- Una conexión de la interfaz de Private Service Connect es transitiva. Esto significa que las cargas de trabajo en una red del productor pueden iniciar conexiones con otras cargas de trabajo que están conectadas a la red de VPC del consumidor. Los extremos de Private Service Connect solo pueden iniciar conexiones con la red de VPC del productor.
Figura 2. Los extremos de Private Service Connect permiten a los consumidores de servicios iniciar conexiones con los productores de servicios, mientras que las interfaces de Private Service Connect permiten que los productores de servicios inicien conexiones con los consumidores de servicios (haz clic para agrandar).
Conéctate a cargas de trabajo en otras redes
Dado que las conexiones de interfaz de Private Service Connect son transitivas, si la configuración de la red de VPC del consumidor lo permite, los recursos de las redes de VPC del productor pueden comunicarse con las cargas de trabajo que están conectadas a la red del consumidor. Estos son algunos de ellos:
- Cargas de trabajo en redes conectadas a la red de VPC del consumidor a través de túneles de Cloud VPN, Cloud Interconnect o intercambio de tráfico entre redes de VPC.
- Cargas de trabajo que tienen direcciones IP externas a las que se puede acceder desde la red de VPC del consumidor a través de Cloud NAT.
- Servicios y APIs de Google a los que se puede acceder desde la red de VPC del consumidor a través del Acceso privado a Google o los Controles del servicio de VPC. Se requiere configuración adicional para usar los Controles del servicio de VPC con interfaces de Private Service Connect.
- Servicios publicados y APIs de Google a los que se puede acceder desde la red de VPC del consumidor a través de extremos y backends de Private Service Connect.
- Cargas de trabajo en radios de VPC que están conectados a la red de VPC del consumidor.
Figura 3. Una red de VPC del productor que está conectada a una red de VPC del consumidor a través de una conexión de interfaz de Private Service Connect puede comunicarse con cargas de trabajo que están conectadas a la VPC del consumidor (haz clic para agrandar).
Ejemplos de casos de uso
Un caso de uso de ejemplo para las interfaces de Private Service Connect es un servicio administrado que necesita iniciar conexiones a una red de VPC del consumidor para acceder a los datos del consumidor. Es posible que el servicio también necesite acceso a datos o servicios disponibles en la red local de un consumidor, a través de una conexión de VPN o de Cloud Interconnect, o desde un servicio de terceros. Una conexión de interfaz de Private Service Connect puede cumplir con todos estos requisitos.
Otro caso práctico es un servicio administrado que proporciona una puerta de enlace de API. A medida que el servicio recibe llamadas para diferentes API, usa interfaces de Private Service Connect para iniciar conexiones con redes de VPC del consumidor. El servicio de puerta de enlace envía solicitudes a la API a destinos de backend que procesan las solicitudes.
Las interfaces de Private Service Connect y los extremos de Private Service Connect son complementarios y se pueden usar juntos en la misma red de VPC.
Por ejemplo, la figura 4 describe la configuración de red de un servicio administrado que proporciona estadísticas. El servicio de estadísticas puede iniciar conexiones con la red de VPC del consumidor mediante una interfaz de Private Service Connect. Un extremo de Private Service Connect en la red del consumidor permite que el servicio de estadísticas inicie conexiones a un servicio de base de datos en otra red de VPC. El tráfico del servicio de estadísticas al servicio de la base de datos pasa por la red del consumidor, lo que permite que el consumidor supervise y proporcione seguridad para el tráfico entre los dos servicios.
Figura 4. Las interfaces de Private Service Connect y los extremos de Private Service Connect son complementarios en esta configuración de ejemplo. La interfaz permite que el servicio de estadísticas inicie conexiones a la red de VPC del consumidor. El extremo permite que el servicio de estadísticas inicie conexiones desde la red de VPC del consumidor al servicio de base de datos (haz clic para agrandar).
Tipos de interfaces de Private Service Connect
Existen dos tipos de interfaces de Private Service Connect:
Las interfaces de Virtual Private Service Connect se basan en las interfaces de red virtuales (vNIC) que usan las VMs de Compute Engine.
Las interfaces dinámicas de Private Service Connect (vista previa) se basan en NIC dinámicas.
En la siguiente tabla, se describen las principales diferencias entre las interfaces de Private Service Connect virtuales y dinámicas:
| Tipo | Cantidad máxima de interfaces de Private Service Connect por VM | Administración de la interfaz | SO invitado compatible |
|---|---|---|---|
| Interfaz de Virtual Private Service Connect | Hasta 9 (depende de la cantidad de CPU virtuales) | Se agrega en el momento de la creación de la VM y se quita cuando se borra la VM. | Linux, Windows |
| Interfaz dinámica de Private Service Connect | Hasta 15 (depende de la cantidad de CPU virtuales) | Se puede agregar en cualquier momento y se puede quitar independientemente de la VM. | Solo en Linux |
Considera usar interfaces virtuales de Private Service Connect cuando esperes que la configuración de tu interfaz permanezca sin cambios durante todo el ciclo de vida de la VM.
Considera usar interfaces dinámicas de Private Service Connect cuando se cumplan las siguientes condiciones:
- Necesitas administrar de forma dinámica las conexiones a las redes de VPC del consumidor.
- Necesitas más interfaces de Private Service Connect por VM.
- Debes evitar el tiempo de inactividad durante los cambios en la interfaz de Private Service Connect.
Especificaciones
Una interfaz de Private Service Connect es un tipo especial de interfaz de red que se conecta a un adjunto de red.
Las especificaciones de la interfaz de red también se aplican a las interfaces de Private Service Connect.
Las siguientes especificaciones se aplican a ambos tipos de interfaces de Private Service Connect:
- Una VM que usa interfaces de Private Service Connect requiere al menos dos interfaces de red. La primera interfaz de red siempre es la interfaz de red predeterminada, llamada
nic0. Esta interfaz se conecta a una subred de productor. La segunda interfaz es una interfaz de Private Service Connect que solicita una conexión a una subred de consumidor. - Cuando un proyecto de consumidor acepta una conexión desde una interfaz de Private Service Connect, Google Cloud
configura la interfaz con direcciones IP de la subred del adjunto de red:
- Se asigna una dirección IPv4 interna desde el rango de direcciones IP principal de la subred.
- Si la subred del adjunto de red es de pila doble y la interfaz de Private Service Connect también lo es, se asigna una dirección IPv6 interna del rango de IPv6 de la subred.
- No puedes usar subredes que solo admitan IPv6 (versión preliminar) para las vinculaciones de red.
- Si un adjunto de red no tiene suficientes direcciones IP para asignar a las interfaces de Private Service Connect, la creación de la interfaz falla y muestra un error:
- Si el error ocurre durante la creación de una VM, esta no se crea.
- Si la falla ocurre cuando se agrega una interfaz dinámica de Private Service Connect a una VM existente, no se agrega la interfaz.
- Debes configurar manualmente el SO invitado de la VM de una interfaz de Private Service Connect para enrutar el tráfico a través de la interfaz.
- Las interfaces de Private Service Connect admiten rangos de IP de alias. Los rangos de IP de alias deben provenir del rango de direcciones IPv4 principal de la subred de la vinculación de red.
- Google Cloud valida que las direcciones IP asignadas a una interfaz de Private Service Connect no se superpongan con los rangos de direcciones de las subredes conectadas a las otras interfaces de red de la VM. Si no hay suficientes direcciones disponibles, la creación de la VM falla.
- Una interfaz de Private Service Connect se comunica de la misma manera que una interfaz de red.
- Una conexión entre un adjunto de red y una interfaz de Private Service Connect es bidireccional y transitiva. Las cargas de trabajo en la red de VPC del productor pueden iniciar conexiones con cargas de trabajo que están conectadas a la red de VPC del consumidor.
- Las interfaces de Private Service Connect dinámicas y virtuales pueden coexistir en la misma VM.
- Las interfaces de Private Service Connect admiten los Controles del servicio de VPC. Esta combinación requiere configuración de enrutamiento adicional.
Especificaciones de la interfaz de Virtual Private Service Connect
Las siguientes especificaciones son específicas de las interfaces virtuales de Private Service Connect.
- Las interfaces virtuales de Private Service Connect solo se pueden crear en el momento de la creación de la VM y solo se pueden quitar borrando la VM asociada.
- Puedes crear un máximo de siete interfaces virtuales de Private Service Connect en una sola VM, según la cantidad de CPU virtuales de la VM.
Especificaciones de la interfaz de Private Service Connect dinámica
Las siguientes especificaciones son específicas de las interfaces dinámicas de Private Service Connect.
- Las propiedades y las limitaciones de las NIC dinámicas también se aplican a las interfaces dinámicas de Private Service Connect.
- Puedes agregar o quitar interfaces dinámicas de Private Service Connect en cualquier momento, sin necesidad de reiniciar la VM.
- Una sola VM puede tener hasta 15 interfaces dinámicas de Private Service Connect, según la cantidad de CPU virtuales de la VM.
- La unidad de transmisión máxima (MTU) de una interfaz de red se establece en la MTU de la red de VPC a la que se conecta. La MTU de una interfaz dinámica de Private Service Connect debe ser menor o igual que la MTU de su interfaz de red principal. De lo contrario, la creación de la interfaz fallará con un error.
Limitaciones
Una conexión de interfaz de Private Service Connect solo se puede finalizar de las siguientes maneras:
- Un productor borra la VM de la interfaz.
- Un productor quita una interfaz dinámica de Private Service Connect.
- Un consumidor borra un proyecto que está conectado a una interfaz de Private Service Connect. Esta acción detiene la VM de la interfaz.
- Un consumidor inhabilita la API de Compute Engine en un proyecto que está conectado a una interfaz de Private Service Connect. Esta acción detiene la VM de la interfaz.
Si una VM tiene varias interfaces de Private Service Connect, cada interfaz debe conectarse a un adjunto de red único, y cada adjunto de red debe estar en una red de VPC del consumidor diferente.
No puedes asignar direcciones IP externas (anunciadas públicamente) a las interfaces de Private Service Connect.
Las interfaces dinámicas de Private Service Connect no son compatibles con las VMs que usan el SO invitado de Windows. Si bien la API no impide esta configuración, los paquetes no fluyen porque los controladores del SO invitado de Windows no admiten NIC dinámicas.
Una interfaz de Private Service Connect no puede ser el siguiente salto de una regla de reenvío interna.
No puedes asociar directamente interfaces de Private Service Connect con nodos o Pods de Google Kubernetes Engine (GKE). Sin embargo, la salida del servicio es posible con GKE a través de interfaces de Private Service Connect que se configuran en VMs de proxy.
Las VMs con interfaces de Private Service Connect no pueden formar parte de servicios de backend que segmenten VMs de Compute Engine. Esto se debe a que las VMs deben estar en el mismo proyecto que el servicio de backend.
Precios
Los precios de las interfaces de Private Service Connect se describen en la página de precios de VPC.
¿Qué sigue?
- Obtén información para crear y administrar interfaces de Private Service Connect.
- Completa el codelab de servicios administrados de la interfaz de Private Service Connect.