Sobre as interfaces do Private Service Connect
Nesta página, você encontra uma visão geral das interfaces do Private Service Connect.
A interface do Private Service Connect é um recurso que permite que uma rede de nuvem privada virtual (VPC, na sigla em inglês) do produtor inicie conexões com vários destinos em uma rede VPC do consumidor. As redes de produtores e consumidores podem estar em diferentes projetos e organizações.
Para criar uma conexão de interface do Private Service Connect, você precisa de uma instância de máquina virtual (VM) com pelo menos duas interfaces de rede. A primeira interface se conecta a uma sub-rede em uma rede VPC do produtor. As outras interfaces podem ser do Private Service Connect que solicitam conexões com anexos de rede em diferentes redes VPC de consumidores. Se uma conexão for aceita,o Google Cloud atribuirá à interface do Private Service Connect um endereço IP interno da sub-rede do consumidor especificado pelo anexo de rede.
Essa conexão de interface do Private Service Connect permite que as organizações de produtores e consumidores configurem as redes VPC para que as duas redes sejam conectadas e possam se comunicar por endereços IP internos. Por exemplo, a organização produtora pode atualizar a rede VPC do produtor para adicionar rotas para sub-redes de consumidor.
Figura 1. Em uma rede VPC produtora, a vm-1 tem duas interfaces de rede. Uma interface de rede virtual (vNIC) se conecta a uma sub-rede na rede do produtor. A outra interface é uma interface virtual do Private Service Connect que se conecta a um anexo de rede em uma rede do consumidor. (clique para ampliar)
Uma conexão entre uma interface do Private Service Connect e um anexo de rede é semelhante à conexão entre um Private Service Connectendpoint e umanexo de serviço, mas há duas diferenças principais:
- Uma interface do Private Service Connect permite que uma rede VPC do produtor inicie conexões com uma rede VPC do consumidor (saída de serviço gerenciado). Um endpoint funciona na direção inversa, permitindo que uma rede VPC do consumidor inicie conexões com uma rede VPC do produtor (entrada de serviço gerenciado).
- Uma conexão de interface do Private Service Connect é transitiva. Isso significa que as cargas de trabalho em uma rede do produtor podem iniciar conexões com outras cargas de trabalho conectadas à rede VPC do consumidor. Os endpoints do Private Service Connect só podem iniciar conexões com a rede VPC do produtor.
Figura 2. Private Service Connect os endpoints permitem que consumidores de serviços iniciem conexões com produtores de serviços, e as interfaces do Private Service Connect permitem que os produtores de serviços iniciar conexões com consumidores de serviço (clique para ampliar).
Como se conectar a cargas de trabalho em outras redes
Como as conexões de interface do Private Service Connect são transitivas, se a configuração da rede VPC do consumidor permitir, os recursos nas redes VPC do produtor poderão se comunicar com as cargas de trabalho conectadas à rede do consumidor. Isso inclui o seguinte:
- cargas de trabalho em redes conectadas à rede VPC do consumidor por meio de túneis do Cloud VPN, Cloud Interconnect ou VPC; Peering de rede.
- Cargas de trabalho que têm endereços IP externos que podem ser acessados pela rede VPC do consumidor por meio do Cloud NAT.
- APIs e serviços do Google que podem ser acessados na rede VPC do consumidor por meio do Acesso privado do Google ou do VPC Service Controls Uma configuração extra é necessária para usar o VPC Service Controls com interfaces do Private Service Connect.
- Serviços publicados e APIs do Google que podem ser acessados pela rede VPC do consumidor por meio de endpoints e back-ends do Private Service Connect.
- Cargas de trabalho em spokes VPC que estão conectados à rede VPC do consumidor.
Figura 3. Uma rede VPC do produtor conectada a uma rede VPC do consumidor por uma conexão de interface do Private Service Connect pode se comunicar com as cargas de trabalho conectadas à VPC do consumidor. (clique para ampliar)
Exemplos de casos de uso
Um exemplo de caso de uso para interfaces do Private Service Connect é um serviço gerenciado que precisa iniciar conexões com uma rede VPC do consumidor para acessar dados do consumidor. O serviço também pode precisar de acesso a dados ou serviços disponíveis na rede local de um consumidor, por meio de uma conexão VPN ou do Cloud Interconnect, ou de um serviço de terceiros. Uma conexão de interface do Private Service Connect pode atender a todos esses requisitos.
Outro caso de uso é um serviço gerenciado que fornece um gateway de API. Como o serviço recebe chamadas para diferentes APIs, ele usa interfaces do Private Service Connect para iniciar conexões com redes VPC do consumidor. O serviço de gateway envia solicitações de API para destinos de back-end que processam as solicitações.
As interfaces e os endpoints do Private Service Connect são complementares e podem ser usados juntos na mesma rede VPC.
Por exemplo, a figura 3 descreve a configuração de rede de um serviço gerenciado que fornece análises. O serviço de análise pode iniciar conexões com a rede VPC do consumidor usando uma interface do Private Service Connect. Um endpoint do Private Service Connect na rede do consumidor permite que o serviço de análise inicie conexões com um serviço de banco de dados em outra rede VPC. O tráfego do serviço de análise para o serviço de banco de dados passa pela rede do consumidor, o que permite ao consumidor monitorar e fornecer segurança para o tráfego entre os dois serviços.
Figura 4. As interfaces do Private Service Connect e os endpoints do Private Service Connect são complementares nesta configuração de exemplo. A interface permite que o serviço de análise inicie conexões com a rede VPC do consumidor. O permite que o serviço de análise inicie conexões a partir do endpoint Rede VPC ao serviço de banco de dados (clique para ampliar).
Tipos de interface do Private Service Connect
Há dois tipos de interfaces do Private Service Connect:
As interfaces virtuais do Private Service Connect são baseadas nas interfaces de rede virtual (vNICs) usadas pelas VMs do Compute Engine.
As interfaces dinâmicas do Private Service Connect (pré-lançamento) são baseadas em NICs dinâmicas.
As principais diferenças entre as interfaces virtuais e dinâmicas do Private Service Connect são descritas na tabela a seguir:
| Tipo | Número máximo de interfaces do Private Service Connect por VM | Gerenciamento de interface | SO convidado compatível |
|---|---|---|---|
| Interface virtual do Private Service Connect | Até 9 (depende do número de vCPUs) | Adicionadas no momento da criação da VM e removidas com a exclusão dela. | Linux, Windows |
| Interface dinâmica do Private Service Connect | Até 15 (depende do número de vCPUs) | Adicionado a qualquer momento e pode ser removido independente da VM | Somente no Linux |
Use interfaces virtuais do Private Service Connect quando esperar que a configuração da interface permaneça inalterada durante todo o ciclo de vida da VM.
Considere usar interfaces dinâmicas do Private Service Connect quando o seguinte for verdadeiro:
- É preciso gerenciar dinamicamente as conexões com redes VPC de consumidores.
- Você precisa de mais interfaces do Private Service Connect por VM.
- É preciso evitar o tempo de inatividade durante as mudanças na interface do Private Service Connect.
Especificações
A interface do Private Service Connect é um tipo especial de interface de rede que se conecta a um anexo de rede.
As especificações da interface de rede também se aplicam às interfaces do Private Service Connect.
As especificações a seguir se aplicam aos dois tipos de interfaces do Private Service Connect:
- Uma VM que usa interfaces do Private Service Connect exige
pelo menos duas interfaces de rede. A primeira interface de rede é
sempre a interface de rede padrão, chamada
nic0. Essa interface se conecta a uma sub-rede do produtor. A segunda é uma interface do Private Service Connect que solicita uma conexão a uma sub-rede do consumidor. - Quando um projeto de consumidor aceita uma conexão de uma interface do Private Service Connect, Google Cloudconfigura a interface com endereços IP da sub-rede do anexo de rede:
- Um endereço IPv4 interno é atribuído do intervalo de endereços IP principal da sub-rede.
- Se a sub-rede do anexo de rede e a interface do Private Service Connect forem de pilha dupla, um endereço IPv6 interno será atribuído do intervalo IPv6 da sub-rede.
- Não é possível usar sub-redes somente IPv6 (Prévia) para anexos de rede.
- Se um anexo de rede não tiver endereços IP suficientes para alocar
para interfaces do Private Service Connect, a criação da
interface vai falhar e retornar um erro:
- Se a falha ocorrer ao criar uma VM, ela não será criada.
- Se a falha ocorrer ao adicionar uma interface dinâmica do Private Service Connect a uma VM, a interface não será adicionada.
- É preciso configurar manualmente o SO convidado da VM de uma interface do Private Service Connect para rotear o tráfego pela interface.
- As interfaces do Private Service Connect são compatíveis com intervalos de IP de alias. Os intervalos de IP do alias precisam vir do intervalo de endereços IPv4 principal da sub-rede do anexo de rede.
- Google Cloud valida que os endereços IP alocados a uma interface do Private Service Connect não se sobreponham aos intervalos de endereços de sub-redes conectadas às outras interfaces de rede da VM. Se não houver endereços suficientes disponíveis, a criação da VM vai falhar.
- Uma interface do Private Service Connect se comunica da mesma maneira que uma interface de rede.
- Uma conexão entre um anexo de rede e uma interface do Private Service Connect é bidirecional e transitiva. As cargas de trabalho na rede VPC do produtor podem iniciar conexões com cargas de trabalho que estão conectadas à rede VPC do consumidor.
- Interfaces dinâmicas e virtuais do Private Service Connect podem coexistir na mesma VM.
- As interfaces do Private Service Connect são compatíveis com o VPC Service Controls. Essa combinação exige configuração de roteamento adicional.
Especificações da interface do Virtual Private Service Connect
As especificações a seguir são específicas das interfaces virtuais do Private Service Connect.
- As interfaces virtuais do Private Service Connect só podem ser criadas no momento da criação da VM e removidas excluindo a VM associada.
- É possível criar no máximo sete interfaces virtuais do Private Service Connect em uma única VM, dependendo do número de vCPUs na VM.
Especificações dinâmicas da interface do Private Service Connect
As especificações a seguir são específicas das interfaces dinâmicas do Private Service Connect.
- As propriedades e limitações das NICs dinâmicas também se aplicam às interfaces dinâmicas do Private Service Connect.
- É possível adicionar ou remover interfaces dinâmicas do Private Service Connect a qualquer momento, sem precisar reiniciar a VM.
- Uma única VM pode ter até 15 interfaces dinâmicas do Private Service Connect, dependendo do número de vCPUs na VM.
- A unidade máxima de transmissão (MTU) de uma interface de rede é definida como a MTU da rede VPC a que ela se conecta. A MTU de uma interface dinâmica do Private Service Connect precisa ser menor ou igual à MTU da interface de rede principal. Caso contrário, a criação da interface vai falhar com um erro.
Limitações
Uma conexão de interface do Private Service Connect só pode ser encerrada das seguintes maneiras:
- Um produtor exclui a VM da interface.
- Um produtor remove uma interface dinâmica do Private Service Connect.
- Um consumidor exclui um projeto conectado a uma interface do Private Service Connect. Essa ação interrompe a VM da interface.
- Um consumidor desativa a API Compute Engine em um projeto conectado a uma interface do Private Service Connect. Essa ação interrompe a VM da interface.
Se uma VM tiver várias interfaces do Private Service Connect, cada uma delas precisará se conectar a um anexo de rede exclusivo, e cada anexo de rede precisará estar em uma rede VPC de consumidor diferente.
Não é possível atribuir endereços IP externos (anunciados publicamente) a interfaces do Private Service Connect.
As interfaces dinâmicas do Private Service Connect não são compatíveis em VMs que usam o SO convidado Windows. Embora essa configuração não seja impedida pela API, os pacotes não fluem porque os drivers do SO convidado do Windows não são compatíveis com NICs dinâmicas.
Uma interface do Private Service Connect não pode ser o próximo salto de uma regra de encaminhamento interno.
Não é possível associar diretamente interfaces do Private Service Connect a nós ou pods do Google Kubernetes Engine (GKE). No entanto, a saída de serviço é possível com o GKE por meio de interfaces do Private Service Connect configuradas em VMs de proxy.
As VMs com interfaces do Private Service Connect não podem fazer parte de serviços de back-end que têm como destino VMs do Compute Engine. Isso porque as VMs precisam estar no mesmo projeto que o serviço de back-end.
Preços
Os preços do Private Service Connect são descritos na página de preços da VPC.
A seguir
- Saiba como criar e gerenciar interfaces do Private Service Connect.
- Conclua o codelab de serviços gerenciados da interface do Private Service Connect.