Acerca de la automatización de la conectividad del servicio

La automatización de la conectividad de servicios permite que los consumidores de servicios automaticen la implementación de la conectividad a los servicios administrados.

Considera un administrador de bases de datos que implementa una instancia de base de datos y desea permitir que los consumidores de servicios accedan a esa base de datos a través de un extremo de Private Service Connect. Es posible que el administrador de la base de datos no tenga las credenciales de Identity and Access Management (IAM) requeridas ni la experiencia necesaria para implementar los recursos de redes.

Si un servicio administrado admite la automatización de la conectividad del servicio, la configuración de la instancia del servicio y la configuración de redes se pueden delegar a los administradores correspondientes:

  • Los administradores de instancias de servicio pueden controlar a qué redes pueden acceder sus servicios.

  • Los administradores de red pueden controlar a qué servicios quieren permitir conexiones.

Cuando estas configuraciones coinciden, la automatización de la conectividad del servicio crea un extremo en las redes adecuadas, lo que proporciona conectividad a la instancia del servicio administrado.

Descripción general de la automatización de la conectividad del servicio

En la siguiente sección, se describe una configuración básica en una sola red de VPC que usa la automatización de la conectividad de servicios. Para obtener información sobre otras configuraciones, consulta VPC compartida y Servicios de Google con alcance personalizado de la instancia de servicio.

La implementación de una instancia de un servicio administrado que admite la automatización de la conectividad del servicio implica los siguientes pasos:

  1. Un administrador de red crea una política de conexión de servicio para su red de VPC.

    La política de conexión de servicio hace referencia a una clase de servicio, un recurso único a nivel global que identifica un servicio de productor específico. Una sola política de conexión de servicio tiene alcance en una sola clase de servicio y una sola red de VPC del consumidor, que delega la capacidad de configurar la conectividad dentro de ese alcance.

  2. Un administrador de instancias de servicio implementa una instancia de servicio administrado a través de la API o la IU administrativa del servicio. La configuración de la instancia de servicio especifica a qué redes se puede acceder al servicio a través de la automatización de la conectividad del servicio.

  3. La automatización de la conectividad de servicios crea un extremo en la red de VPC del consumidor. Este extremo se puede usar para enviar solicitudes a la instancia del servicio.

La automatización de la conectividad de servicios permite que los consumidores de servicios automaticen la implementación de la conectividad a los servicios administrados (haz clic para ampliar).

Configuración del productor

En las siguientes secciones, se describen los recursos que usan los productores de servicios para configurar la automatización de la conectividad de servicios.

Clases de servicio

Una clase de servicio es una representación global única de un tipo de servicio administrado. Cada productor es el exclusivo propietario de una clase de servicio. Los consumidores hacen referencia a la clase de servicio en sus políticas de conexión de servicio, lo que autoriza la implementación y delega la conectividad al productor.

Las políticas de conexión de servicio solo se pueden crear para los servicios que tienen una clase de servicio.

Las clases de servicio están disponibles para los servicios publicados por Google. Las clases de servicio también están disponibles en una versión preliminar limitada para servicios de terceros y servicios administrados internos que se alojan a sí mismos. Para obtener más información, consulta Servicios compatibles.

Mapas de conexiones de servicios

Un mapa de conexiones de servicios es un recurso administrado por el productor que almacena detalles para autorizar y establecer conexiones de Private Service Connect entre redes de VPC del consumidor y las instancias de servicios administrados del productor. Este mapa define las relaciones permitidas entre las instancias de servicio del productor (representadas por adjuntos de servicio) y los proyectos del consumidor y las redes de VPC que están autorizados para conectarse a las instancias de servicio.

Modelo de autorización

Las políticas de conexión de servicio permiten que los consumidores deleguen la implementación de la conectividad a los servicios administrados. El productor de servicios no tiene acceso directo ni privilegios de IAM para el proyecto del consumidor. y configura un mapa de conexiones de servicios en su propio proyecto.

Cuando se crea o actualiza el mapa de conexión de servicio, por lo general, en respuesta a una solicitud de un administrador de servicios de consumidor a la API o la IU administrativa del servicio administrado, la automatización de la conectividad del servicio realiza una serie de verificaciones de autorización. Si todas las verificaciones se realizan correctamente, los extremos de Private Service Connect se crean según lo especificado en la solicitud.

  • Configuración de red (política de conexión de servicio):

    • Autorización de red La red de VPC del consumidor debe tener una política de conexión de servicio válida que autorice la red de VPC, la región y la clase de servicio que especifica la solicitud. Esta verificación ayuda a garantizar que un administrador de red del consumidor con permisos de IAM en la red de VPC delegue de forma explícita la capacidad de crear extremos de Private Service Connect para el tipo de servicio especificado.
    • Permiso de la instancia de servicio. Si la instancia de servicio administrado es un servicio de Google y la política de conexión de servicios especifica un alcance de instancia de servicio personalizado (custom-resource-hierarchy-levels), la automatización de la conectividad de servicios verifica la lista de nodos de Resource Manager que se proporcionan (--allowed-google-producers-resource-hierarchy-level). El proyecto que el administrador de la instancia de servicio especificó en la IU o la API del servicio administrado para implementar y administrar la instancia de servicio debe estar dentro del alcance permitido que define esta lista. El alcance puede ser una combinación de organizaciones, carpetas y proyectos.
    • Validación del proyecto del extremo El proyecto en el que se crea la política de conexión debe estar asociado a la red de VPC en la que se creará el extremo. El proyecto debe contener la red de VPC o ser un proyecto de servicio adjunto a la red de VPC compartida.

  • Configuración de la instancia de servicio:

    • Autorización de IAM del administrador del servicio El administrador del servicio de consumidor debe tener los permisos de IAM necesarios para crear o actualizar la instancia del servicio de productor. Estos permisos varían según el servicio que se implementa.

    • Autorización de administrador de la instancia de servicio En la API administrativa del servicio, el administrador de la instancia de servicio que creó la instancia de servicio debe haber configurado la instancia para permitir conexiones desde la red de VPC que solicita la conexión.

  • Configuración del productor:

    • Permisos de IAM del productor El administrador del servicio del productor que crea o actualiza el mapa de conexiones de servicio debe tener permisos de IAM en la clase de servicio asociada. Esta verificación ayuda a evitar representaciones falsas de una clase de servicio público.

Si se cumple cada condición, la cuenta de servicio de Conectividad de red creará los extremos solicitados en las redes autorizadas. La cuenta de servicio de Conectividad de red es un agente de servicio.

Reintentos automáticos en caso de fallas de extremos

La automatización de la conectividad de servicios administra por completo la creación y eliminación de tus extremos de Private Service Connect.

Si la automatización de la conectividad del servicio no puede crear o borrar un extremo autorizado (por ejemplo, debido a limitaciones de cuota o a que la subred de la política de conexión de servicio se quedó sin direcciones IP), un proceso automatizado vuelve a intentar la operación periódicamente hasta que se resuelve el problema de bloqueo. Sin embargo, si la creación o eliminación de extremos falla debido a verificaciones de autorización, no se vuelve a intentar la operación.

Puedes ver los errores que bloquean la creación de extremos describiendo la política de conexión de servicio y verificando el campo pscConnections. Para obtener información sobre la solución de problemas relacionados con errores en la creación o eliminación de extremos, consulta Solución de problemas.

VPC compartida

La automatización de la conectividad de servicios se puede usar para crear automáticamente extremos de Private Service Connect en redes de VPC compartida. Dado que el extremo está configurado con una dirección IP de la red de VPC compartida, se puede acceder a él desde el proyecto host y todos los proyectos de servicio conectados.

Para crear la configuración que se muestra en el siguiente diagrama, se completan las siguientes tareas:

  1. El administrador de red crea una política de conexión de servicio para la red vpc1 en el proyecto host project1 y permite la conectividad a las instancias de servicio que usan la clase de servicio google-cloud-sql. Las direcciones IP de los extremos se asignan desde la subred endpoint-subnet.

  2. El administrador de la instancia de servicio implementa dos instancias de servicio administradas: db-test en el proyecto service-project-test y db-prod en el proyecto service-project-prod. El administrador configura la instancia de servicio para permitir que la automatización de la conectividad del servicio implemente extremos en la red vpc1 en project1 que se conectan a las instancias de servicio.

  3. Debido a que todas las verificaciones de autorización se superan, la automatización de la conectividad del servicio crea dos extremos conectados a endpoint-subnet, uno para cada instancia del servicio. Todas las VMs conectadas a la subred vm-subnet pueden acceder a los extremos porque están conectadas a la misma red de VPC compartida que los extremos.

Puedes usar una política de conexión de servicio en una red de VPC compartida para crear conectividad con instancias de servicio implementadas en proyectos de servicio (haz clic para ampliar).

Servicios de Google con permiso de instancia de servicio personalizado

De forma predeterminada, la automatización de la conectividad de servicios requiere que la instancia de servicio y los extremos que se conectan a ella estén en el mismo proyecto (o, en el caso de la VPC compartida, en proyectos conectados). En el caso de los servicios de Google compatibles, las instancias de servicio y los extremos de conexión pueden estar en diferentes proyectos u organizaciones.

Para crear la configuración que se muestra en el siguiente diagrama, se completan las siguientes tareas:

  1. Los administradores de red de vpc-1, vpc-2 y vpc-3 crean políticas de conexión de servicio en sus respectivas redes de VPC. Permiten la conectividad a instancias de servicio que usan la clase de servicio google-cloud-sql y se implementan en el proyecto project-1 de la organización org-1.

  2. El administrador de la instancia de servicio implementa una instancia de servicio administrado db-1 en project-1 a través de la API o la IU administrativa del servicio. El administrador configura la instancia de servicio para permitir que la automatización de la conectividad del servicio implemente extremos en vpc-1 y vpc-2 que se conecten a db-1.

  3. En el caso de vpc-1 y vpc-2, todas las verificaciones de autorización se aprueban y la automatización de la conectividad de servicios crea un extremo en cada red. Las VMs de esas redes pueden enviar tráfico a la instancia de servicio a través de los extremos.

    Sin embargo, no se crea un extremo en vpc-3 porque esa red no está configurada para la conectividad automática en la configuración de la instancia de servicio db-1.

    Si vpc-3 necesita acceder a la instancia del servicio db-1, el administrador de red puede comunicarse con el administrador de la base de datos y pedirle que agregue vpc-3 a la configuración de conectividad de db-1.

Puedes automatizar la conectividad a los servicios de Google compatibles desde diferentes proyectos, carpetas u organizaciones (haz clic para ampliar).

Servicios compatibles

Los siguientes servicios de Google admiten la automatización de la conectividad de servicios.

Servicio de Google Acceso proporcionado
AlloyDB para PostgreSQL Te permite automatizar la creación de conexiones a instancias de AlloyDB para PostgreSQL.
Cloud SQL Te permite automatizar la creación de conexiones a instancias de Cloud SQL.
Memorystore for Redis Cluster Te permite automatizar la creación de conexiones a instancias de Memorystore for Redis Cluster.
Memorystore for Valkey Te permite automatizar la creación de conexiones a instancias de Memorystore para Valkey.
Vector Search de Vertex AI Te permite automatizar la creación de conexiones a los extremos de Vector Search.

Para determinar si un servicio administrado de terceros admite políticas de conexión de servicios, comunícate con el proveedor de servicios. Si un servicio admite políticas de conexión de servicio, el proveedor de servicios puede proporcionarte la clase de servicio asociada.

Los recursos de automatización del lado del productor están disponibles en la vista previa limitada. Si deseas automatizar la conectividad del consumidor para tu propio servicio administrado, comunícate con tu Google Cloudrepresentante de ventas.