Acerca de las políticas de conexión de servicios

En este documento se explica cómo pueden usar los administradores de redes las políticas de conexión de servicios para proporcionar conectividad a instancias de servicios gestionados compatibles mediante la automatización de la conectividad de servicios. Antes de leer este documento, asegúrate de que conoces los conceptos que se explican en el artículo Acerca de la automatización de la conectividad de servicios.

Especificaciones

Las políticas de conexión de servicio tienen las siguientes especificaciones:

• Solo puedes crear una política de conexión de servicio por cada combinación de red, región y clase de servicio. Por ejemplo, solo puedes tener una política de conexión de servicio para vpc1 en us-central1 para google-cloud-sql. Esta validación significa que solo una política de conexión de servicio rige un endpoint de Private Service Connect determinado.

• Los administradores de instancias de servicio pueden usar la API administrativa o la interfaz de usuario del servicio para desplegarlo y configurar la conectividad mediante la automatización de la conectividad de los servicios.

• Si se bloquea la creación o eliminación de un endpoint mediante la automatización de la conectividad de servicios, un proceso automatizado vuelve a intentar periódicamente la operación hasta que se resuelva el problema de bloqueo.

• Las subredes incluidas en la configuración de la política de conexión de servicio proporcionan direcciones IP que se asignan a los endpoints de Private Service Connect. Estas direcciones IP se asignan automáticamente y vuelven al grupo de la subred a medida que se crean y se eliminan instancias de servicio gestionado.

  Las subredes deben ser subredes normales y deben estar en la misma región que la política de conexión de servicio. Las subredes normales son diferentes de las subredes de Private Service Connect.

  Como práctica recomendada, te aconsejamos que no uses las subredes para otros recursos. Si otros recursos consumen direcciones IP de la subred, es posible que te quedes sin direcciones IP para asignar a los endpoints.

• Los servicios gestionados que usan políticas de conexión de servicio pueden admitir conexiones a instancias de servicio mediante endpoints IPv4, endpoints IPv6 o ambos. Si el servicio admite tanto IPv4 como IPv6, los administradores de instancias de servicio pueden elegir una versión de IP al implementar una instancia de servicio.

• Puedes usar políticas de conexión de servicio con VPC compartida.

• De forma predeterminada, la instancia de servicio y los endpoints que se conectan a ella deben estar en el mismo proyecto (o en proyectos conectados, en el caso de la VPC compartida).

  Los servicios de Google admitidos te permiten configurar un ámbito de instancia de servicio personalizado.

• Los puntos de conexión que se crean mediante la automatización de la conectividad de los servicios pueden tener etiquetas aplicadas por el productor del servicio. Para obtener más información sobre las etiquetas, consulta el artículo Organizar recursos con etiquetas.

• Si quieres usar la automatización de servicios de Private Service Connect con varias redes de VPC que estén en el mismo proyecto, crea una política de conexión de servicio para cada red.

• También puedes configurar un límite de conexiones para especificar el número máximo de conexiones de Private Service Connect que puede crear un productor de servicios determinado en la red y la región de la VPC de la política.

• Los puntos finales que se crean mediante políticas de conexión de servicio se pueden poner a disposición de otras redes de VPC mediante la propagación de la conexión.

Autorización

Las políticas de conexión de servicios permiten a los consumidores delegar la implementación de la conectividad en servicios gestionados. El creador del servicio no tiene acceso directo ni privilegios de gestión de identidades y accesos para el proyecto del consumidor. En su lugar, el productor configura un mapa de conexión de servicio en su propio proyecto.

Cuando se crea o se actualiza el mapa de conexiones de servicio, normalmente en respuesta a una solicitud de un administrador de servicios de consumidor a la API o la interfaz de usuario administrativas del servicio gestionado, la automatización de la conectividad de servicio realiza una serie de comprobaciones de autorización. Si se superan todas las comprobaciones, los endpoints de Private Service Connect se crearán tal como se especifica en la solicitud.

Para obtener información sobre la autorización, consulta el modelo de autorización.

Políticas de conexión en redes de VPC compartidas

Las políticas de conexión de servicios pueden automatizar la conectividad con instancias de servicios que se encuentran en proyectos del host o en proyectos de servicio vinculados.

Si utilizas una VPC compartida, debes crear la política de conexión de servicio en el proyecto del host. Los endpoints se crean en el proyecto especificado en la configuración de la instancia de servicio.

Si creas una política de conexión de servicio en una red de VPC compartida y despliegas una instancia de servicio en un proyecto de servicio, la automatización de la conectividad de servicio compartirá las subredes asociadas a la política de conexión de servicio actualizando la cuenta de servicio de conectividad de red del proyecto de servicio. A esta cuenta de servicio se le asigna el rol Usuario de red de Compute (roles/compute.networkUser) en las subredes compartidas.

Para ver un ejemplo de implementación, consulta VPC compartida.

Políticas de conexión con ámbito de instancia de servicio personalizado

De forma predeterminada, la automatización de la conectividad de servicios crea puntos finales para las instancias de servicio y las políticas de conexión de servicios asociadas que se encuentran en el mismo proyecto (o en proyectos conectados, en el caso de la VPC compartida).Google Cloud En el caso de los servicios de Google compatibles, las instancias de servicio y los endpoints de conexión también pueden estar en proyectos u organizaciones diferentes.

No todos los servicios de Google admiten la configuración de un ámbito de instancia de servicio personalizado. Para determinar si un servicio admite un ámbito de instancia de servicio personalizado, consulta la documentación del servicio específico.

Usa el ajuste Ámbito de la instancia de servicio (--producer-instance-location) para configurar la conectividad a instancias de servicio que se encuentren en otros nodos de Resource Manager (proyectos, carpetas y organizaciones).

• Si se define como no_producer_instance_location, los endpoints se crean solo en el mismo proyecto. Este es el valor predeterminado.
• Si se define como custom_resource_hierarchy_levels, especifica la lista de nodos de Resource Manager en el campo --allowed-google-producers-resource-hierarchy-level.

Si actualizas el ámbito de la instancia de servicio de una política de conexión de servicio, los puntos finales no se verán afectados.

Para ver un ejemplo de implementación, consulta Servicios de Google con un ámbito de instancia de servicio personalizado.

Versiones de IP de los endpoints

Las versiones de IP posibles de los endpoints que se conectan a las instancias de servicio (IPv4, IPv6 o ambas) las determina el productor del servicio, no la automatización de la conectividad del servicio. Si el servicio admite tanto IPv4 como IPv6, los administradores de instancias de servicio pueden elegir una versión de IP al implementar una instancia a través de la API administrativa de un servicio. Para obtener información sobre las versiones de IP admitidas de un servicio, consulta la documentación del servicio.

Cuando un administrador de instancias de servicio elige una versión de IP, la automatización de la conectividad del servicio comprueba la política de conexión del servicio para ver si hay subredes compatibles que se puedan usar para crear direcciones IP de endpoint:

• Las subredes que solo admiten IPv4 admiten los endpoints IPv4.
• Las subredes de doble pila admiten endpoints IPv4 e IPv6.
• Las subredes que solo usan IPv6 admiten endpoints IPv6.

Si la política de conexión de servicio no tiene una subred compatible, la solicitud falla y no se crea ningún endpoint.

Además, la versión de IP del endpoint debe ser compatible con la versión de IP de la instancia de servicio, que se determina mediante la regla de reenvío del adjunto de servicio asociado. Private Service Connect admite las siguientes combinaciones de versiones de IP:

• Punto final IPv4 a adjunto de servicio IPv4
• Punto final IPv6 a adjunto de servicio IPv6

• Punto final IPv6 a un adjunto de servicio IPv4

  En esta configuración, Private Service Connect traduce automáticamente las dos versiones de IP.

No se puede conectar un endpoint IPv4 a un adjunto de servicio IPv6.

Si quieres que los clientes IPv4 e IPv6 accedan a una instancia de servicio gestionado, configura la conectividad para los endpoints IPv4 e IPv6 independientes que se conecten al mismo servicio.

Limitaciones

• Las políticas de conexión de servicios solo admiten la automatización de la creación de endpoints de Private Service Connect. No se pueden crear backends ni vinculaciones de servicio de Private Service Connect.
• No puedes eliminar directamente los endpoints de Private Service Connect que se hayan creado mediante la automatización de la conectividad de servicios. Para activar la eliminación de estos endpoints, retira la conectividad del servicio.
• Solo puedes actualizar las subredes y el límite de conexiones de una política de conexión de servicio. Si quieres actualizar otros campos, elimina la política y crea otra.

Precios

Los precios de Private Service Connect se describen en la página de precios de VPC.

Siguientes pasos

• Configurar políticas de conexión de servicio