Acerca de las interfaces de Private Service Connect
En esta página se ofrece una descripción general de las interfaces de Private Service Connect.
Una interfaz de Private Service Connect es un recurso que permite que una red de nube privada virtual (VPC) de un productor inicie conexiones con varios destinos de una red de VPC de un consumidor. Las redes de productores y consumidores pueden estar en proyectos y organizaciones diferentes.
Para crear una conexión de interfaz de Private Service Connect, necesitas una instancia de máquina virtual (VM) que tenga al menos dos interfaces de red. La primera interfaz se conecta a una subred de una red de VPC de un productor. Las otras interfaces pueden ser interfaces de Private Service Connect que soliciten conexiones a vinculaciones de red en diferentes redes de VPC de consumidores. Si se acepta una conexión, Google Cloud asigna a la interfaz de Private Service Connect una dirección IP interna de la subred del consumidor especificada por la vinculación de red.
Esta conexión de interfaz de Private Service Connect permite a las organizaciones de productores y consumidores configurar sus redes de VPC para que las dos redes estén conectadas y puedan comunicarse mediante direcciones IP internas. Por ejemplo, la organización de productor puede actualizar la red VPC de productor para añadir rutas de subredes de consumidor.
Imagen 1. En una red de VPC de productor, la máquina virtual 1 tiene dos interfaces de red. Una interfaz de red virtual (vNIC) se conecta a una subred de la red del productor. La otra interfaz es una interfaz virtual de Private Service Connect que se conecta a una vinculación de red de una red de consumidor (haz clic para ampliar).
Una conexión entre una interfaz de Private Service Connect y una vinculación de red es similar a la conexión entre un endpoint de Private Service Connect y una vinculación de servicio, pero tiene dos diferencias clave:
- Una interfaz de Private Service Connect permite que una red de VPC de un productor inicie conexiones con una red de VPC de un consumidor (salida de servicio gestionado). Un punto final funciona en la dirección opuesta, lo que permite que una red de VPC de consumidor inicie conexiones con una red de VPC de productor (entrada de servicio gestionado).
- Una conexión de interfaz de Private Service Connect es transitiva. Esto significa que las cargas de trabajo de una red de productor pueden iniciar conexiones con otras cargas de trabajo que estén conectadas a la red de VPC de consumidor. Los puntos finales de Private Service Connect solo pueden iniciar conexiones con la red de VPC del productor.
Imagen 2. Los endpoints de Private Service Connect permiten que los consumidores de servicios inicien conexiones con los productores de servicios, mientras que las interfaces de Private Service Connect permiten que los productores de servicios inicien conexiones con los consumidores de servicios (haz clic para ampliar).
Conectarse a cargas de trabajo de otras redes
Como las conexiones de interfaz de Private Service Connect son transitivas, si la configuración de la red de VPC del consumidor lo permite, los recursos de las redes de VPC del productor pueden comunicarse con las cargas de trabajo que estén conectadas a la red del consumidor. En otros, se incluyen problemas relacionados con lo siguiente:
- Cargas de trabajo en redes conectadas a la red de VPC del consumidor a través de túneles de Cloud VPN, Cloud Interconnect o emparejamiento de redes de VPC.
- Cargas de trabajo que tienen direcciones IP externas a las que se puede acceder desde la red de VPC del consumidor a través de Cloud NAT.
- Las APIs y los servicios de Google a los que se puede acceder desde la red de VPC del consumidor a través del acceso privado de Google o de Controles de Servicio de VPC. Se necesita una configuración adicional para usar Controles de Servicio de VPC con interfaces de Private Service Connect.
- Servicios publicados y APIs de Google a los que se puede acceder desde la red de VPC del consumidor a través de los puntos finales y los backends de Private Service Connect.
- Cargas de trabajo de los radios de VPC que están conectados a la red de VPC del consumidor.
Imagen 3. Una red de VPC de productor conectada a una red de VPC de consumidor mediante una conexión de interfaz de Private Service Connect puede comunicarse con cargas de trabajo conectadas a la VPC de consumidor (haz clic para ampliar).
Ejemplos de casos prácticos
Un ejemplo de caso práctico de las interfaces de Private Service Connect es un servicio gestionado que necesita iniciar conexiones con una red de VPC de un consumidor para acceder a los datos del consumidor. Es posible que el servicio también necesite acceso a datos o servicios que estén disponibles en la red local de un consumidor, a través de una conexión VPN o Cloud Interconnect, o desde un servicio de terceros. Una conexión de interfaz de Private Service Connect puede cumplir todos estos requisitos.
Otro caso práctico es un servicio gestionado que proporciona una pasarela de API. Cuando el servicio recibe llamadas de diferentes APIs, usa interfaces de Private Service Connect para iniciar conexiones con redes de VPC de consumidores. El servicio de gateway envía solicitudes a la API a los destinos de backend que procesan las solicitudes.
Las interfaces y los puntos finales de Private Service Connect son complementarios y se pueden usar juntos en la misma red de VPC.
Por ejemplo, en la figura 4 se describe la configuración de red de un servicio gestionado que proporciona analíticas. El servicio de analíticas puede iniciar conexiones con la red de VPC del consumidor mediante una interfaz de Private Service Connect. Un punto final de Private Service Connect en la red del consumidor permite que el servicio de analíticas inicie conexiones con un servicio de base de datos en otra red de VPC. El tráfico del servicio de analíticas al servicio de base de datos pasa por la red del consumidor, lo que permite al consumidor monitorizar y proteger el tráfico entre los dos servicios.
Imagen 4. Las interfaces y los endpoints de Private Service Connect se complementan en este ejemplo de configuración. La interfaz permite que el servicio de analíticas inicie conexiones con la red de VPC del consumidor. El punto final permite que el servicio de analíticas inicie conexiones desde la red de VPC del consumidor al servicio de base de datos (haz clic para ampliar la imagen).
Tipos de interfaces de Private Service Connect
Hay dos tipos de interfaces de Private Service Connect:
Las interfaces de Virtual Private Service Connect se basan en las interfaces de red virtuales (vNICs) que usan las VMs de Compute Engine.
Las interfaces de Private Service Connect dinámicas (vista previa) se basan en NICs dinámicas.
En la siguiente tabla se describen las principales diferencias entre las interfaces de Private Service Connect virtuales y dinámicas:
| Tipo | Número máximo de interfaces de Private Service Connect por VM | Gestión de interfaces | SO invitado admitido |
|---|---|---|---|
| Interfaz de Virtual Private Service Connect | Hasta 9 (depende del número de vCPUs) | Se añade al crear la VM y se quita al eliminarla. | Linux, Windows |
| Interfaz de Private Service Connect dinámica | Hasta 15 (depende del número de vCPUs) | Se añade en cualquier momento y se puede quitar independientemente de la VM. | Solo en Linux |
Te recomendamos que uses interfaces virtuales de Private Service Connect cuando preveas que la configuración de la interfaz no va a cambiar durante el ciclo de vida de la VM.
Te recomendamos que uses interfaces Private Service Connect dinámicas cuando se cumplan las siguientes condiciones:
- Necesitas gestionar dinámicamente las conexiones a las redes de VPC de los consumidores.
- Necesitas más interfaces de Private Service Connect por VM.
- Debes evitar el tiempo de inactividad durante los cambios en la interfaz de Private Service Connect.
Especificaciones
Una interfaz de Private Service Connect es un tipo especial de interfaz de red que se conecta a una vinculación de red.
Las especificaciones de las interfaces de red también se aplican a las interfaces de Private Service Connect.
Las siguientes especificaciones se aplican a ambos tipos de interfaces de Private Service Connect:
- Una VM que usa interfaces de Private Service Connect necesita al menos dos interfaces de red. La primera interfaz de red siempre es la interfaz de red predeterminada, llamada
nic0. Esta interfaz se conecta a una subred de productor. La segunda interfaz es una interfaz de Private Service Connect que solicita una conexión a una subred de consumidor. - Cuando un proyecto de consumidor acepta una conexión
de una interfaz de Private Service Connect, Google Cloud
configura la interfaz con direcciones IP de la subred de la vinculación de red:
- Se asigna una dirección IPv4 interna del intervalo de direcciones IP principal de la subred.
- Si la subred del adjunto de red es de doble pila y la interfaz de Private Service Connect también lo es, se asigna una dirección IPv6 interna del intervalo IPv6 de la subred.
- No puedes usar subredes solo IPv6 para las conexiones de red.
- Si una vinculación de red no tiene suficientes direcciones IP para asignar a las interfaces de Private Service Connect, se producirá un error al crear la interfaz y se devolverá el siguiente mensaje:
- Si el error se produce al crear una VM, esta no se crea.
- Si se produce un error al añadir una interfaz de Private Service Connect dinámica a una VM, no se añade la interfaz.
- Debes configurar manualmente el SO invitado de la VM de una interfaz de Private Service Connect para enrutar el tráfico a través de la interfaz.
- Las interfaces de Private Service Connect admiten intervalos de IPs de alias. Los intervalos de IP de alias deben proceder del intervalo de direcciones IPv4 principal de la subred del adjunto de red.
- Google Cloud Valida que las direcciones IP asignadas a una interfaz de Private Service Connect no se solapen con los intervalos de direcciones de las subredes conectadas a las otras interfaces de red de la VM. Si no hay suficientes direcciones disponibles, no se podrá crear la máquina virtual.
- Una interfaz de Private Service Connect se comunica de la misma forma que una interfaz de red.
- La conexión entre una vinculación de red y una interfaz de Private Service Connect es bidireccional y transitiva. Las cargas de trabajo de la red de VPC del productor pueden iniciar conexiones con las cargas de trabajo que estén conectadas a la red de VPC del consumidor.
- Las interfaces de Private Service Connect dinámicas y virtuales pueden coexistir en la misma VM.
- Las interfaces de Private Service Connect son compatibles con Controles de Servicio de VPC. Esta combinación requiere una configuración de enrutamiento adicional.
Especificaciones de la interfaz Virtual Private Service Connect
Las siguientes especificaciones son específicas de las interfaces virtuales de Private Service Connect.
- Las interfaces de Virtual Private Service Connect solo se pueden crear al crear la VM y solo se pueden quitar eliminando la VM asociada.
- Puedes crear un máximo de siete interfaces virtuales de Private Service Connect en una sola VM, en función del número de vCPUs de la VM.
Especificaciones de interfaces de Private Service Connect dinámicas
Las siguientes especificaciones son específicas de las interfaces de Private Service Connect dinámicas.
- Las propiedades y las limitaciones de las NICs dinámicas también se aplican a las interfaces de Private Service Connect dinámicas.
- Puede añadir o quitar interfaces dinámicas de Private Service Connect en cualquier momento sin tener que reiniciar la VM.
- Una sola VM puede tener hasta 15 interfaces dinámicas de Private Service Connect, en función del número de vCPUs de la VM.
- La unidad máxima de transmisión (MTU) de una interfaz de red se define como la MTU de la red de VPC a la que se conecta. El MTU de una interfaz de Private Service Connect dinámica debe ser inferior o igual al MTU de su interfaz de red principal. De lo contrario, se producirá un error al crear la interfaz.
Limitaciones
Una conexión de interfaz de Private Service Connect solo se puede finalizar de las siguientes formas:
- Un productor elimina la VM de la interfaz.
- Un productor elimina una interfaz dinámica de Private Service Connect.
- Un consumidor elimina un proyecto que está conectado a una interfaz de Private Service Connect. Esta acción detiene la máquina virtual de la interfaz.
- Un consumidor inhabilita la API Compute Engine en un proyecto que está conectado a una interfaz de Private Service Connect. Esta acción detiene la VM de la interfaz.
Si una VM tiene varias interfaces de Private Service Connect, cada interfaz debe conectarse a una vinculación de red única, y cada vinculación de red debe estar en una red de VPC de consumidor diferente.
No puedes asignar direcciones IP externas (anunciadas públicamente) a interfaces de Private Service Connect.
Las interfaces de Private Service Connect dinámicas no se admiten en las VMs que usan el SO invitado Windows. Aunque la API no impide esta configuración, los paquetes no fluyen porque los controladores del SO invitado de Windows no admiten NICs dinámicas.
Una interfaz de Private Service Connect no puede ser el siguiente salto de una regla de reenvío interna.
No puedes asociar directamente interfaces de Private Service Connect con nodos o pods de Google Kubernetes Engine (GKE). Sin embargo, la salida de servicios es posible con GKE a través de interfaces Private Service Connect configuradas en VMs proxy.
Las VMs con interfaces de Private Service Connect no pueden formar parte de servicios de backend que tengan como destino VMs de Compute Engine. Esto se debe a que las VMs deben estar en el mismo proyecto que el servicio de backend.
Precios
Los precios de las interfaces de Private Service Connect se describen en la página de precios de VPC.
Siguientes pasos
- Consulta cómo crear y gestionar interfaces de Private Service Connect.
- Completa el codelab de servicios gestionados con interfaces Private Service Connect.