Esta página se ha traducido con Cloud Translation API.

Publicar servicios mediante Private Service Connect

Como productor de servicios, puedes usar Private Service Connect para publicar servicios mediante direcciones IP internas en tu red de VPC. Los consumidores de servicios pueden acceder a los servicios publicados mediante direcciones IP internas en las redes de VPC del consumidor.

En esta guía se describe cómo usar Private Service Connect para publicar un servicio. Para publicar un servicio, sigue estos pasos:

Crea un servicio de destino, que puede ser uno de los siguientes:
- La regla de reenvío de un balanceador de carga compatible con una configuración compatible
- Una instancia de proxy web seguro
Crea un archivo adjunto de servicio que apunte al servicio de destino.

Private Service Connect ofrece dos métodos para conectarse a servicios publicados:

Estos tipos de endpoints requieren configuraciones de productor ligeramente diferentes. Para obtener más información, consulta Funciones y compatibilidad.

Roles

El siguiente rol de gestión de identidades y accesos proporciona los permisos necesarios para realizar las tareas de esta guía.

Administrador de red de Compute (roles/compute.networkAdmin)

Antes de empezar

Consulta Información sobre los servicios publicados para obtener información sobre la publicación de servicios, incluidas las limitaciones.
Decide si el servicio debe ser accesible desde todos los proyectos o si quieres controlar qué proyectos pueden acceder a tu servicio.
Decide si quieres que este servicio admita endpoints, backends o ambos. Para obtener más información sobre los puntos finales y los back-ends, consulta los tipos de Private Service Connect.

Para obtener más información sobre los requisitos de configuración del servicio, consulta el artículo Funciones y compatibilidad.
Decide si quieres configurar un nombre de dominio para el servicio, lo que automatiza la configuración de DNS para los endpoints de los consumidores del servicio. Si configuras un nombre de dominio, la misma entidad de IAM que publica el servicio debe verificar que tiene permisos de propietario para el dominio en Google Search Console. Si configuras un nombre de dominio, pero no eres el propietario, no podrás publicar el servicio. Para verificar la propiedad, ve a Google Search Console.

El nombre de dominio que especifiques en la vinculación de servicio puede ser un subdominio del dominio que verifiques. Por ejemplo, puedes verificar example.com y, a continuación, crear un adjunto de servicio con el nombre de dominio us-west1.p.example.com.
Decide si tu servicio usará el protocolo PROXY para proporcionar detalles sobre las conexiones de los consumidores. Si tiene previsto usar el protocolo PROXY, asegúrese de que lo admitan tanto el tipo de servicio de destino como el software del servidor web de backend del servicio. Para obtener información sobre los tipos de servicios de destino que admiten el protocolo PROXY, consulta Funciones y compatibilidad.

Crear un servicio de destino

Para alojar el servicio, cree uno de los siguientes servicios de destino en una red de VPC del productor de servicios:

Para obtener información sobre las configuraciones admitidas de cada servicio de destino, consulta Funciones y compatibilidad.

Puedes asociar cada adjunto de servicio a un único servicio de destino. No puedes asociar varios archivos adjuntos de servicio al mismo servicio de destino.

La versión IP de tu servicio de destino (IPv4 o IPv6) afecta a los consumidores que pueden conectarse a tu servicio publicado. Para obtener más información, consulta Traducción de versiones de IP.

En el caso de los balanceadores de carga de red de proxy interno regionales, los backends pueden estar ubicados enGoogle Cloud, en otras nubes, en un entorno on-premise o en cualquier combinación de estas ubicaciones.

También puedes publicar un servicio alojado en un balanceador de carga de red de transferencia interno en Google Kubernetes Engine. Esta configuración, incluida la del balanceador de carga y la de la vinculación de servicio, se describe en el artículo Crear un balanceador de carga de red de paso a través interno con Private Service Connect de la documentación de GKE.

Crear una subred para Private Service Connect

Crea una o varias subredes dedicadas para usarlas con Private Service Connect. Debes crear la subred en la misma región que el balanceador de carga del servicio.

Si usas la consola para publicar un servicio, puedes crear las subredes durante ese procedimiento. Google Cloud

Puedes crear una subred de Private Service Connect en un proyecto host de VPC compartida.

No puedes convertir una subred normal en una subred de Private Service Connect.

El tipo de pila de IP de la subred que crees debe ser compatible con la versión de IP de la regla de reenvío de tu balanceador de carga:

En el caso de las reglas de reenvío IPv4, cree una subred solo IPv4 o de doble pila.
En el caso de las reglas de reenvío de IPv6, cree una subred de solo IPv6 o de doble pila que tenga un intervalo de direcciones IPv6 internas.
Si usas una subred de doble pila, se usará el intervalo de direcciones IPv4 o IPv6, pero no ambos.

Si necesitas que haya más direcciones IP disponibles para un servicio, consulta Añadir o quitar subredes de un servicio publicado.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.subnetworks.create

Roles

Consulta Roles para obtener información sobre los roles.

Consola

En la Google Cloud consola, ve a la página Redes de VPC.

Ir a redes de VPC
Haz clic en el nombre de una red de VPC para ver su página Detalles de la red de VPC.
Haz clic en Subredes.
Haz clic en Añadir subred. En el panel que aparece, haz lo siguiente:
1. Proporciona un nombre.
2. Selecciona una región.
3. En la sección Propósito, selecciona Private Service Connect.
4. En la sección Tipo de pila de IP, selecciona un tipo de pila de IP.
5. Si vas a crear una subred solo IPv4 o de doble pila, introduce un intervalo de direcciones IPv4 (por ejemplo, 10.10.10.0/24).
6. Si vas a crear una subred solo IPv6 o de pila dual, haz clic en Tipo de acceso IPv6 y selecciona Interno.
7. Haz clic en Añadir.

gcloud

Usa el comando gcloud compute networks subnets create.

Para crear una subred de Private Service Connect solo IPv4, haz lo siguiente:

gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

Para crear una subred de Private Service Connect de doble pila, haz lo siguiente:

gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --stack-type=IPV4_IPV6 \
    --ipv6-access-type=INTERNAL \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

Para crear una subred de Private Service Connect solo IPv6, haz lo siguiente:

gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --stack-type=IPV6_ONLY \
    --ipv6-access-type=INTERNAL \
    --purpose=PRIVATE_SERVICE_CONNECT

Haz los cambios siguientes:

SUBNET_NAME: el nombre que se asignará a la subred.
NETWORK_NAME: el nombre de la VPC de la nueva subred.
REGION: la región de la nueva subred. Debe ser la misma región que el servicio que vas a publicar.
SUBNET_RANGE: el intervalo de direcciones IPv4 que se va a usar en la subred. Por ejemplo, 10.10.10.0/24.

API

Envía una solicitud POST al método subnetworks.insert.

Para crear una subred de Private Service Connect solo IPv4, haz lo siguiente:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

{
  "ipCidrRange": "SUBNET_RANGE",
  "name": "SUBNET_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "purpose": "PRIVATE_SERVICE_CONNECT"
}

Para crear una subred de Private Service Connect de doble pila, haz lo siguiente:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

{
  "ipCidrRange": "SUBNET_RANGE",
  "name": "SUBNET_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "purpose": "PRIVATE_SERVICE_CONNECT",
  "stackType": "IPV4_IPV6",
  "ipv6AccessType": "INTERNAL"
}

Para crear una subred de Private Service Connect solo IPv6, haz lo siguiente:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

{
  "name": "SUBNET_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "purpose": "PRIVATE_SERVICE_CONNECT",
  "stackType": "IPV6_ONLY",
  "ipv6AccessType": "INTERNAL"
}

Haz los cambios siguientes:

PROJECT_ID: el proyecto de la subred.
REGION: la región de la nueva subred. Debe ser la misma región que el servicio que vas a publicar.
SUBNET_RANGE: el intervalo de direcciones IPv4 que se va a usar en la subred. Por ejemplo, 10.10.10.0/24.
SUBNET_NAME: el nombre que se asignará a la subred.
NETWORK_NAME: el nombre de la red de VPC de la nueva subred.

Configurar reglas de cortafuegos

Configura reglas de cortafuegos para permitir el tráfico entre los endpoints o los backends y la vinculación de servicio. Las solicitudes de los clientes proceden de diferentes ubicaciones en función del tipo de Private Service Connect.

Tipo de Private Service Connect	Intervalos de direcciones IP para el tráfico de clientes	Detalles
Endpoint (basado en una regla de reenvío)	Los intervalos de direcciones IP de las subredes de Private Service Connect asociadas a este servicio.	Si utiliza la red predeterminada, la regla `default-allow-internal` predefinida permite este tráfico, a menos que haya una regla de mayor prioridad que lo bloquee.
Backend (basado en un balanceador de carga de aplicación externo global)	`130.211.0.0/22` `35.191.0.0/16`	Los balanceadores de carga de aplicaciones externos globales se implementan en Google Front Ends (GFEs), que usan estos intervalos de direcciones IP.

Si la configuración de tu cortafuegos aún no permite el tráfico del tipo de endpoint adecuado, configura reglas de cortafuegos para permitirlo.

La siguiente configuración de ejemplo te permite crear reglas de cortafuegos de VPC para permitir el tráfico de intervalos de direcciones IP de cliente a las VMs de backend del balanceador de carga del servicio productor. Esta configuración presupone que las VMs de backend se han configurado con una etiqueta de red.

Regla de entrada de ejemplo:

gcloud compute firewall-rules create NAME \
    --network=NETWORK_NAME \
    --direction=ingress \
    --action=allow \
    --target-tags=TAG \
    --source-ranges=CLIENT_IP_RANGES_LIST \
    --rules=RULES_LIST

Haz los cambios siguientes:

NAME: el nombre de la regla de cortafuegos.
NETWORK_NAME: la red que contiene el servicio y la subred de Private Service Connect.
TAG: la etiqueta de destino que se aplica a las VMs de backend en el balanceador de carga del servicio de productor.
CLIENT_IP_RANGES_LIST: los intervalos de direcciones IP desde los que se origina el tráfico de clientes. Para obtener más información, consulta la tabla anterior.
RULES_LIST: lista separada por comas de protocolos y puertos de destino a los que se aplica la regla. Por ejemplo, tcp,udp.

Ejemplo de regla de salida:

gcloud compute firewall-rules create NAME \
    --network=NETWORK_NAME \
    --direction=egress \
    --action=allow \
    --target-tags=TAG \
    --destination-ranges=CLIENT_IP_RANGES_LIST \
    --rules=RULES_LIST

Haz los cambios siguientes:

NAME: el nombre de la regla de cortafuegos.
NETWORK_NAME: la red que contiene el servicio y la subred de Private Service Connect.
TAG: la etiqueta de destino que se aplica a las VMs de backend en el balanceador de carga del servicio de productor.
CLIENT_IP_RANGES_LIST: los intervalos de direcciones IP desde los que se origina el tráfico de clientes. Para obtener más información, consulta la tabla anterior.
RULES_LIST: lista separada por comas de protocolos y puertos de destino a los que se aplica la regla. Por ejemplo, tcp,udp.

Para obtener más información sobre cómo configurar reglas de cortafuegos de VPC, consulta el artículo Reglas de cortafuegos de VPC. Para configurar reglas de cortafuegos jerárquicas que permitan este tráfico, consulta Políticas de cortafuegos jerárquicas.

Publicar un servicio

Para publicar un servicio, debes crear un archivo adjunto de servicio. Puedes ofrecer el servicio de dos formas:

Puedes publicar un servicio con aprobación automática.
Puedes publicar un servicio con aprobación explícita.

Crea la vinculación de servicio en la misma región que el balanceador de carga del servicio.

Cada vinculación de servicio puede apuntar a una o varias subredes de Private Service Connect, pero una subred de Private Service Connect no se puede usar en más de una vinculación de servicio.

Si quieres ver la información de conexión de los consumidores, puedes habilitar el protocolo PROXY en los servicios compatibles. Habilita el protocolo PROXY solo si lo admiten tanto el tipo de servicio de destino (problema conocido) como el software del servidor web backend del servicio. Para obtener información sobre los tipos de servicios de destino que admiten el protocolo PROXY, consulta Funciones y compatibilidad. Para obtener más información sobre el protocolo PROXY, consulta Información sobre la conexión de consumidores.

En esta sección se proporcionan instrucciones para publicar un servicio basado en un balanceador de carga. Para obtener información sobre cómo crear una vinculación de servicio que haga referencia a una instancia de Secure Web Proxy, consulta Implementar Secure Web Proxy como una vinculación de servicio de Private Service Connect.

Publicar un servicio con aprobación automática

Sigue estas instrucciones para publicar un servicio y permitir automáticamente que cualquier consumidor se conecte a él. Si quieres aprobar las conexiones de los consumidores de forma explícita, consulta el artículo sobre cómo publicar un servicio con aprobación explícita.

Cuando publicas un servicio, creas un archivo adjunto de servicio. Los consumidores de servicios utilizan los detalles de la vinculación de servicio para conectarse a tu servicio.

Cuando publicas un servicio con aprobación automática, el límite de conexión propagado se aplica a cada proyecto de consumidor que se conecta a tu adjunto de servicio.

Para publicar un servicio que use un balanceador de carga de aplicaciones interno entre regiones (vista previa), usa Google Cloud CLI o envía una solicitud a la API.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.subnetworks.use
compute.serviceAttachments.create

Roles

Consulta Roles para obtener información sobre los roles.

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en Publicar servicio.
En la sección Detalles del destino, selecciona Balanceador de carga.
Selecciona un tipo de balanceador de carga.
Selecciona el balanceador de carga interno en el que se aloja el servicio que quieres publicar. Los campos de red y de región se rellenan con los detalles del balanceador de carga interno seleccionado.

Los administradores de proyectos de servicio pueden seleccionar un balanceador de carga interno que tenga una dirección IP de una red de VPC compartida. Para obtener más información, consulta VPC compartida.
Si se te pide, selecciona la regla de reenvío asociada al servicio que quieras publicar.
En Nombre del servicio, escribe el nombre de la vinculación de servicio.
Selecciona una o varias subredes de Private Service Connect para el servicio. La lista se rellena con las subredes de la red de VPC del balanceador de carga interno seleccionado, incluidas las subredes que se comparten con un proyecto de servicio a través de la VPC compartida.

Si tu vinculación de servicio usa un balanceador de carga interno con una dirección IP de una red de VPC compartida, debes seleccionar una subred compartida de la misma red de VPC compartida.

Si quieres añadir una nueva subred, puedes crearla siguiendo estos pasos:
1. Haz clic en Subredes y, a continuación, en Reservar nueva subred.
2. Escribe un nombre para la subred y, si quieres, una descripción.
3. Selecciona una región para la subred.
4. Seleccione un tipo de pila de IP.
5. Si vas a crear una subred solo IPv4 o de doble pila, introduce un intervalo de direcciones IPv4 que quieras usar en la subred.
6. Haz clic en Añadir.
Si quieres ver la información de conexión del consumidor, selecciona Usar protocolo de proxy.
Selecciona Aceptar todas las conexiones automáticamente.
Si quieres inhabilitar la reconciliación de conexiones, desmarca la casilla Habilitar reconciliación de conexiones.
Opcional: Haz clic en Configuración avanzada y, a continuación, haz lo siguiente:
1. Si quieres configurar un nombre de dominio, introduce un nombre de dominio, incluido un punto al final.
  
  El formato recomendado para el nombre de dominio es REGION.p.DOMAIN.
  
  Debes ser el propietario del nombre de dominio. Para obtener más información, consulta Configuración de DNS.
2. Introduce un límite de conexiones propagadas. Si no se especifica ningún valor, se utiliza 250 de forma predeterminada.
Haz clic en Añadir servicio.

gcloud

Usa el comando gcloud compute service-attachments create.

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=ATTACHMENT_REGION \
    --target-service=TARGET_SERVICE \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --propagated-connection-limit=PROPAGATED_CONNECTION_LIMIT ] \
    [ --enable-proxy-protocol ] \
    [ --domain-names=DOMAIN_NAME ]

Haz los cambios siguientes:

ATTACHMENT_NAME: el nombre que se asignará al archivo adjunto de servicio.
ATTACHMENT_REGION: la región del nuevo archivo adjunto de servicio. Debe ser la misma región que la dirección IP de la regla de reenvío de destino.
TARGET_SERVICE: el URI de la regla de reenvío asociada al servicio que estás publicando.
- En el caso de los balanceadores de carga de aplicación internos entre regiones, usa el siguiente formato: projects/PROJECT_ID/global/forwardingRules/RULE_NAME
- Para el resto de las reglas de reenvío de productores, utiliza el siguiente formato: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME
Los administradores de proyectos de servicio pueden especificar la regla de reenvío de un balanceador de carga interno que tenga una dirección IP de una red de VPC compartida. Para obtener más información, consulta VPC compartida.
PSC_SUBNET_LIST: lista separada por comas de uno o varios nombres de subredes que se van a usar con este adjunto de servicio.

Si vas a crear un adjunto de servicio con una regla de reenvío que tenga una dirección IP de una red de VPC compartida, usa subredes compartidas de la misma red de VPC compartida. En cada subred compartida, especifica el URI de recurso completo (por ejemplo, --nat-subnets=projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET).
PROPAGATED_CONNECTION_LIMIT: el límite de conexiones propagadas por proyecto. El valor predeterminado es 250.
DOMAIN_NAME: nombre de dominio DNS del servicio, incluido un punto al final. Formato recomendado: REGION.p.DOMAIN.

Para obtener más información, consulta Configuración de DNS.

API

Envía una solicitud POST al método serviceAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/ATTACHMENT_REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "targetService": "TARGET_SERVICE",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI"
  ],
  "propagatedConnectionLimit": "PROPAGATED_CONNECTION_LIMIT",
  "domainNames": [
    "DOMAIN_NAME"
  ]
}

Haz los cambios siguientes:

PROJECT_ID: el proyecto del archivo adjunto de servicio.
ATTACHMENT_REGION: la región del nuevo archivo adjunto de servicio. Debe ser la misma región que la dirección IP de la regla de reenvío de destino.
ATTACHMENT_NAME: el nombre que se asignará al archivo adjunto de servicio.
TARGET_SERVICE: el URI de la regla de reenvío asociada al servicio que estás publicando.
- En el caso de los balanceadores de carga de aplicación internos entre regiones, usa el siguiente formato: projects/PROJECT_ID/global/forwardingRules/RULE_NAME
- Para el resto de las reglas de reenvío de productores, utiliza el siguiente formato: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME
Los administradores de proyectos de servicio pueden especificar la regla de reenvío de un balanceador de carga interno que tenga una dirección IP de una red de VPC compartida. Para obtener más información, consulta VPC compartida.
PSC_SUBNET_1_URI y PSC_SUBNET_2_URI: los URIs de subred que se van a usar en este adjunto de servicio. Puede especificar una o varias subredes por URI.

Si vas a crear un adjunto de servicio con una regla de reenvío que tenga una dirección IP de una red de VPC compartida, usa subredes compartidas de la misma red de VPC compartida.
DOMAIN_NAME: nombre de dominio DNS del servicio, incluido un punto al final. Formato recomendado: REGION.p.DOMAIN.

Para obtener más información, consulta Configuración de DNS.
PROPAGATED_CONNECTION_LIMIT: el límite de conexiones propagadas por proyecto. El valor predeterminado es 250.

Publicar un servicio con aprobación explícita

Sigue estas instrucciones para publicar un servicio si quieres aprobar explícitamente a los consumidores antes de que puedan conectarse a él. Si quieres aprobar las conexiones de los consumidores automáticamente, consulta el artículo sobre cómo publicar un servicio con aprobación automática.

Cuando publicas un servicio, creas un archivo adjunto de servicio. Los consumidores de servicios utilizan los detalles de la vinculación de servicio para conectarse a tu servicio.

Cada adjunto de servicio tiene una lista de aceptación y una lista de rechazo de consumidores, que se usan para determinar qué endpoints pueden conectarse al servicio. Un adjunto de servicio determinado puede usar proyectos o redes en estas listas, pero no ambos. No se admite la especificación de consumidores por carpeta.

Si cambias de aceptar consumidores en función del proyecto a aceptar consumidores en función de la red (o viceversa), haz lo siguiente:

Sustituir todos los proyectos o redes aprobados en una sola operación.
Si necesitas proporcionar el mismo acceso que antes, asegúrate de que las nuevas listas de aceptación y rechazo sean equivalentes a las anteriores.

Si añades un proyecto o una red tanto a la lista de aceptados como a la de rechazados, se rechazarán las solicitudes de conexión de ese proyecto o red.

Si tus listas de aceptación y rechazo de consumidores hacen referencia a proyectos, el límite de conexiones propagado se aplica a los proyectos de consumidor. Si las listas de aceptación y rechazo de tu consumidor hacen referencia a redes de VPC, el límite de conexión propagado se aplica a las redes de VPC del consumidor.

Para publicar un servicio que use un balanceador de carga de aplicaciones interno entre regiones (vista previa), usa Google Cloud CLI o envía una solicitud a la API.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.subnetworks.use
compute.serviceAttachments.create

Roles

Consulta Roles para obtener información sobre los roles.

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en Publicar servicio.
En la sección Detalles del destino, selecciona Balanceador de carga.
Selecciona un tipo de balanceador de carga.
Selecciona el balanceador de carga interno en el que se aloja el servicio que quieres publicar. Los campos de red y de región se rellenan con los detalles del balanceador de carga interno seleccionado.

Los administradores de proyectos de servicio pueden seleccionar un balanceador de carga interno que tenga una dirección IP de una red de VPC compartida. Para obtener más información, consulta VPC compartida.
Si se te pide, selecciona la regla de reenvío asociada al servicio que quieras publicar.
En Nombre del servicio, escribe el nombre de la vinculación de servicio.
Selecciona una o varias subredes de Private Service Connect para el servicio. La lista se rellena con las subredes de la red de VPC del balanceador de carga interno seleccionado, incluidas las subredes que se comparten con un proyecto de servicio a través de la VPC compartida.

Si tu vinculación de servicio usa un balanceador de carga interno con una dirección IP de una red de VPC compartida, debes seleccionar una subred compartida de la misma red de VPC compartida.

Si quieres añadir una nueva subred, puedes crearla siguiendo estos pasos:
1. Haz clic en Subredes y, a continuación, en Reservar nueva subred.
2. Escribe un nombre para la subred y, si quieres, una descripción.
3. Selecciona una región para la subred.
4. Seleccione un tipo de pila de IP.
5. Si vas a crear una subred solo IPv4 o de doble pila, introduce un intervalo de direcciones IPv4 que quieras usar en la subred.
6. Haz clic en Añadir.
Si quieres ver la información de conexión del consumidor, selecciona Usar protocolo de proxy.
Si quieres aceptar conexiones de proyectos concretos, selecciona Aceptar conexiones de proyectos concretos.
1. En cada proyecto desde el que quieras aceptar conexiones, haz lo siguiente:
  1. Haz clic en Añadir proyecto aceptado y, a continuación, introduce lo siguiente:
    - El ID o el número del proyecto desde el que quieres aceptar conexiones.
    - Un límite de conexiones para especificar el número máximo de endpoints del proyecto especificado que pueden conectarse.
2. Opcional: En cada proyecto del que quieras rechazar explícitamente las conexiones, haz clic en Añadir proyecto rechazado y, a continuación, introduce el ID o el número de proyecto.
Si quieres aceptar conexiones de redes seleccionadas, elige Aceptar conexiones de redes seleccionadas.
1. Por cada red de la que quieras aceptar conexiones, haz lo siguiente:
  1. Haga clic en Añadir red aceptada y, a continuación, introduzca lo siguiente:
    - El ID o el número del proyecto principal de la red desde la que quieres aceptar conexiones.
    - El nombre de la red de la que quieres aceptar conexiones.
    - Un límite de conexión para especificar el número máximo de endpoints de la red especificada que se pueden conectar.
2. Opcional: Por cada red de la que quieras rechazar explícitamente las conexiones, haz clic en Añadir red rechazada y, a continuación, introduce el ID o el número de proyecto del proyecto principal de la red y el nombre de la red.
Si quieres inhabilitar la reconciliación de conexiones, desmarca la casilla Habilitar reconciliación de conexiones.
Opcional: Haz clic en Configuración avanzada y, a continuación, haz lo siguiente:
1. Si quieres configurar un nombre de dominio, introduce un nombre de dominio, incluido un punto al final.
  
  El formato recomendado para el nombre de dominio es REGION.p.DOMAIN.
  
  Debes ser el propietario del nombre de dominio. Para obtener más información, consulta Configuración de DNS.
2. Introduce un límite de conexiones propagadas. Si no se especifica ningún valor, se utiliza 250 de forma predeterminada.
Haz clic en Añadir servicio.

gcloud

Usa el comando gcloud compute service-attachments create.

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=ATTACHMENT_REGION \
    --target-service=TARGET_SERVICE \
    --connection-preference=ACCEPT_MANUAL \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --propagated-connection-limit=PROPAGATED_CONNECTION_LIMIT ] \
    [ --enable-proxy-protocol ] \
    [ --domain-names=DOMAIN_NAME ] \
    [ --reconcile-connections ]

Haz los cambios siguientes:

ATTACHMENT_NAME: el nombre que se asignará al archivo adjunto de servicio.
ATTACHMENT_REGION: la región del nuevo archivo adjunto de servicio. Debe ser la misma región que la dirección IP de la regla de reenvío de destino.
TARGET_SERVICE: el URI de la regla de reenvío asociada al servicio que estás publicando.
- En el caso de los balanceadores de carga de aplicación internos entre regiones, usa el siguiente formato: projects/PROJECT_ID/global/forwardingRules/RULE_NAME
- Para el resto de las reglas de reenvío de productores, utiliza el siguiente formato: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME
Los administradores de proyectos de servicio pueden especificar la regla de reenvío de un balanceador de carga interno que tenga una dirección IP de una red de VPC compartida. Para obtener más información, consulta VPC compartida.
ACCEPTED_PROJECT_OR_NETWORK_1 y ACCEPTED_PROJECT_OR_NETWORK_2: los IDs de proyecto, los nombres de proyecto o los URIs de red que se van a aceptar. --consumer-accept-list es opcional y puede contener uno o varios proyectos o redes, pero no una combinación de ambos tipos.
LIMIT_1 y LIMIT_2: los límites de conexión de los proyectos o las redes. El límite de conexiones es el número de endpoints o backends de consumidor que pueden conectarse a este servicio. Cada proyecto o red aceptado debe tener un límite de conexiones configurado.
REJECTED_PROJECT_OR_NETWORK_1 y REJECTED_PROJECT_OR_NETWORK_2: los IDs de proyecto, los nombres de proyecto o los URIs de red que se rechazarán. --consumer-reject-list es opcional y puede contener uno o varios proyectos o redes, pero no una combinación de ambos tipos.
PSC_SUBNET_LIST: lista separada por comas de uno o varios nombres de subredes que se van a usar con este adjunto de servicio.

Si vas a crear un adjunto de servicio con una regla de reenvío que tenga una dirección IP de una red de VPC compartida, usa subredes compartidas de la misma red de VPC compartida. En cada subred compartida, especifica el URI de recurso completo (por ejemplo, --nat-subnets=projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET).
PROPAGATED_CONNECTION_LIMIT: el límite de conexiones propagadas. El valor predeterminado es 250.
DOMAIN_NAME: nombre de dominio DNS del servicio, incluido un punto al final. Formato recomendado: REGION.p.DOMAIN.

Para obtener más información, consulta Configuración de DNS.

API

Envía una solicitud POST al método serviceAttachments.insert.

Para publicar un servicio y aprobar explícitamente a los consumidores en función del proyecto, envía la siguiente solicitud:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/ATTACHMENT_REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "region": "ATTACHMENT_REGION",
  "connectionPreference": "ACCEPT_MANUAL",
  "targetService": "TARGET_SERVICE",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI"
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "propagatedConnectionLimit": "PROPAGATED_CONNECTION_LIMIT",
  "domainNames": [
    "DOMAIN_NAME"
  ]
}
```
Haz los cambios siguientes:
- PROJECT_ID: el proyecto del archivo adjunto de servicio.
- ATTACHMENT_REGION: la región del nuevo archivo adjunto de servicio. Debe ser la misma región que la dirección IP de la regla de reenvío de destino.
- ATTACHMENT_NAME: el nombre que se asignará al archivo adjunto de servicio.
- TARGET_SERVICE: el URI de la regla de reenvío asociada al servicio que estás publicando.
  - En el caso de los balanceadores de carga de aplicación internos entre regiones, usa el siguiente formato: projects/PROJECT_ID/global/forwardingRules/RULE_NAME
  - Para el resto de las reglas de reenvío de productores, utiliza el siguiente formato: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME
  Los administradores de proyectos de servicio pueden especificar la regla de reenvío de un balanceador de carga interno que tenga una dirección IP de una red de VPC compartida. Para obtener más información, consulta VPC compartida.
- PSC_SUBNET_1_URI y PSC_SUBNET_2_URI: los URIs de subred que se van a usar en este adjunto de servicio. Puede especificar una o varias subredes por URI.
  
  Si vas a crear un adjunto de servicio con una regla de reenvío que tenga una dirección IP de una red de VPC compartida, usa subredes compartidas de la misma red de VPC compartida.
- REJECTED_PROJECT_1 y REJECTED_PROJECT_2: los IDs o números de los proyectos que se van a rechazar. consumerRejectLists es opcional y puede contener uno o varios proyectos.
- ACCEPTED_PROJECT_1 y ACCEPTED_PROJECT_2: los IDs o números de los proyectos que se van a aceptar. consumerAcceptLists es opcional y puede contener uno o varios proyectos.
- LIMIT_1 y LIMIT_2: los límites de conexión de los proyectos. El límite de conexiones es el número de puntos finales o backends de consumidor que pueden conectarse a este servicio. Cada proyecto aceptado debe tener configurado un límite de conexiones.
- PROPAGATED_CONNECTION_LIMIT: el límite de conexiones propagadas. El valor predeterminado es 250.
- DOMAIN_NAME: nombre de dominio DNS del servicio, incluido un punto al final. Formato recomendado: REGION.p.DOMAIN. Para obtener más información, consulta Configuración de DNS.
Para publicar un servicio y aprobar explícitamente a los consumidores en función de la red de VPC, envía la siguiente solicitud:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/ATTACHMENT_REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "region": "ATTACHMENT_REGION",
  "connectionPreference": "ACCEPT_MANUAL",
  "targetService": "TARGET_SERVICE",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI"
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/networks/REJECTED_NETWORK_2"
  ],
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "propagatedConnectionLimit": PROPAGATED_CONNECTION_LIMIT,
  "domainNames": [
    "DOMAIN_NAME"
  ]
}
```
Haz los cambios siguientes:
- REJECTED_PROJECT_ID_1 y REJECTED_PROJECT_ID_2: los IDs de los proyectos principales de las redes que quieres rechazar. consumerRejectLists es opcional y puede contener una o varias redes.
- REJECTED_NETWORK_1 y REJECTED_NETWORK_2: los nombres de las redes que quieras rechazar.
- ACCEPTED_PROJECT_ID_1 y ACCEPTED_PROJECT_ID_2: los IDs de los proyectos principales de las redes que quieras aceptar. consumerAcceptLists es opcional y puede contener una o varias redes.
- ACCEPTED_NETWORK_1 y ACCEPTED_NETWORK_2: los nombres de las redes que quieras aceptar.
- LIMIT_1 y LIMIT_2: los límites de conexión de las redes. El límite de conexiones es el número de puntos finales o backends de consumidor que pueden conectarse a este servicio. Cada proyecto aceptado debe tener configurado un límite de conexiones.
- PROPAGATED_CONNECTION_LIMIT: el límite de conexiones propagadas. El valor predeterminado es 250.
- DOMAIN_NAME: nombre de dominio DNS del servicio, incluido un punto al final. Formato recomendado: REGION.p.DOMAIN. Para obtener más información, consulta Configuración de DNS.
Para publicar un servicio con la conciliación de conexiones habilitada, envía una solicitud similar a las anteriores, pero incluye el siguiente campo:
```
{
  ...
  "reconcileConnections": true
  ...
}
```

Ver la información de conexión de los consumidores

Para obtener información sobre cómo ver la información de conexión de los consumidores mediante el protocolo PROXY, consulta Ver la información de conexión de los consumidores.

Gestionar solicitudes de acceso a un servicio publicado

Si tienes un servicio publicado con aprobación explícita, puedes aceptar o rechazar las solicitudes de conexión de proyectos o redes de consumidores. Para obtener más información, consulta Gestionar solicitudes de acceso a un servicio publicado.

También puedes cambiar entre la aceptación automática y la explícita de proyectos para un servicio publicado. Para obtener más información, consulta Cambiar la preferencia de conexión de un servicio publicado.

Añadir o quitar subredes de un servicio publicado

Puedes añadir o quitar subredes de un servicio publicado. Para obtener más información, consulta Añadir o quitar subredes de un servicio publicado.

Mostrar servicios publicados

Puedes enumerar todos los servicios.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.serviceAttachments.list

Roles

Consulta Roles para obtener información sobre los roles.

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.

Se muestran las vinculaciones de servicio de Private Service Connect.

gcloud

Usa el comando gcloud compute service-attachments list.

gcloud compute service-attachments list [--regions=REGION_LIST]

Sustituye REGION_LIST por una lista separada por comas de una o varias regiones de las que quieras ver los adjuntos de servicio. Por ejemplo, us-central1 o us-west1,us-central1.

API

Para ver todos los archivos adjuntos de servicio de una región concreta o de todas las regiones, envía una solicitud GET al método serviceAttachments.list.

Para ver todas las vinculaciones de servicio de una región, sigue estos pasos:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments

Ver todos los archivos adjuntos de servicio de todas las regiones:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/serviceAttachments
```
Haz los cambios siguientes:
- PROJECT_ID: el proyecto del archivo adjunto de servicio.
- REGION: la región del archivo adjunto de servicio.
- ATTACHMENT_NAME: el nombre de la vinculación de servicio.

Ver los detalles de un servicio publicado

Puedes ver los detalles de configuración de un servicio publicado. Puedes ver algunos detalles de configuración en la consola, como el URI de adjunto de servicio que necesitan los consumidores de servicios para conectarse a tu servicio. Google Cloud Para ver todos los detalles, incluidos los valores de pscConnectionId de los consumidores del adjunto de servicio, usa la CLI de Google Cloud o la API.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.serviceAttachments.get

Roles

Consulta Roles para obtener información sobre los roles.

Consola

Puedes ver los detalles de un servicio publicado. El campo Vinculación de servicio contiene el URI de la vinculación de servicio.

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que quieras ver.

gcloud

Para ver los detalles de un servicio publicado, usa el comando gcloud compute service-attachments describe. El campo selfLink contiene el URI de la vinculación de servicio.

gcloud compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION

API

Para ver los detalles de un servicio publicado, envía una solicitud GET al método serviceAttachments.get. El campo selfLink contiene el URI de la vinculación de servicio.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Haz los cambios siguientes:

PROJECT_ID: el proyecto del archivo adjunto de servicio.
REGION: la región del archivo adjunto de servicio.
ATTACHMENT_NAME: el nombre de la vinculación de servicio.

Eliminar un servicio publicado

Puedes eliminar un servicio publicado, aunque haya conexiones de consumidores al adjunto de servicio. Si eliminas el servicio publicado, solo se eliminará el adjunto de servicio. El balanceador de carga asociado no se ha eliminado. Cuando eliminas un servicio publicado, ocurre lo siguiente:

El tráfico de los endpoints (según las reglas de reenvío) ya no se envía al balanceador de carga.
El tráfico de los backends (basado en balanceadores de carga de aplicación externos globales) se envía al balanceador de carga hasta que se elimina.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.serviceAttachments.delete

Roles

Consulta Roles para obtener información sobre los roles.

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que quieras eliminar.
Haz clic en Eliminar.

gcloud

Usa el comando gcloud compute service-attachments delete.

gcloud compute service-attachments delete \
    ATTACHMENT_NAME --region=REGION

API

Envía una solicitud DELETE al método serviceAttachments.delete.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Haz los cambios siguientes:

PROJECT_ID: el proyecto del archivo adjunto de servicio.
REGION: la región del archivo adjunto de servicio.
ATTACHMENT_NAME: el nombre de la vinculación de servicio.

Problemas conocidos

Errores de comprobación del estado con acceso global

Si publicas un servicio mediante un balanceador de carga de red con paso a través interno o un reenvío de protocolo interno (instancia de destino) y se accede a tu servicio mediante puntos finales que usan el acceso global, asegúrate de que el acceso global esté habilitado en el balanceador de carga del adjunto de servicio. De lo contrario, es posible que las comprobaciones de estado no funcionen correctamente y que los backends en mal estado reciban tráfico.

Desconexiones después de actualizar el proveedor de Google para Terraform

Si has usado el proveedor de Google para Terraform con versiones anteriores a la 4.76.0 para crear adjuntos de servicio, no actualices a las versiones de la 4.76.0 a la 4.81.x. Cuando ejecutas terraform apply después de actualizar a las versiones de la 4.76.0 a la 4.81.x, Terraform puede eliminar y volver a crear por error los elementos ServiceAttachment y cerrar las conexiones de Private Service Connect. Las vinculaciones de servicio recreadas no vuelven a establecer automáticamente las conexiones de Private Service Connect.

Si actualizas a la versión 4.82.0 y, a continuación, ejecutas terraform apply, los archivos adjuntos de tu servicio no se eliminarán, pero el ajuste reconcile connections se establecerá en true. Si el ajuste se había definido anteriormente como falso, es posible que se cierren algunas conexiones de Private Service Connect.

Actualización a las versiones 4.76.0 a 4.81.x del proveedor de Google. En este caso, el resultado de terraform plan incluye lo siguiente:
```
-/+ resource "google_compute_service_attachment" "SERVICE_NAME" {
  ...
        ~ reconcile_connections = false -> true # forces replacement
  ...
```
Precaución: Si ignoras esta advertencia y aplicas los cambios, Terraform eliminará y volverá a crear el adjunto de servicio. Todas las conexiones de Private Service Connect se cierran y las nuevas no se vuelven a establecer automáticamente.

Para evitar este problema, siga la solución alternativa.
Actualización a las versiones 4.82.0 de los proveedores de Google En este caso, el resultado de terraform plan incluye lo siguiente:
```
~ reconcile_connections = false -> true
```
Si ignoras esta advertencia y aplicas los cambios, Terraform actualizará el adjunto de servicio para activar la conciliación de conexiones. En función del estado de la conexión, cambiar de false a true puede cerrar algunas conexiones. Para obtener más información, consulta Reconciliación de conexiones.

Para evitar este problema, siga la solución alternativa.

Solución

Te recomendamos que actualices el proveedor de Google para Terraform a la versión 4.82.0 o posterior. Esta versión evita que se eliminen y se vuelvan a crear archivos adjuntos de servicio por error.

Si no puedes actualizar inmediatamente o si puedes hacerlo, pero también quieres evitar que Terraform cambie el ajuste de conciliación de conexiones, actualiza la configuración de Terraform para definir explícitamente el ajuste de conciliación de conexiones.

Consulta la configuración detallada del adjunto de servicio y anota el ajuste reconcileConnections.
```
gcloud compute service-attachments describe SERVICE_NAME --region=REGION
```
El resultado incluye el campo reconcileConnections, que puede ser true o false.
```
reconcileConnections: false
```
Actualiza el archivo de configuración de Terraform para que use explícitamente el mismo ajuste que se utiliza en el adjunto de servicio.
```
resource "google_compute_service_attachment" "SERVICE_NAME" {
  ...
  reconcile_connections    = false
}
```
Para ver un ejemplo de configuración, consulta Service Attachment Reconcile Connections en GitHub.

Errores de TLS con el protocolo PROXY

Si publicas un servicio con el protocolo PROXY habilitado, pero tu servicio de destino no admite este protocolo, los consumidores podrán conectarse a tu servicio con endpoints. Sin embargo, el tráfico no fluye a través de la conexión y las cargas de trabajo reciben errores relacionados con TLS.

Para solucionar este problema, actualice el adjunto de servicio para inhabilitar el protocolo PROXY.

Para obtener información sobre los tipos de servicios de destino que admiten el protocolo PROXY, consulta Funciones y compatibilidad.

Solución de problemas

Error al actualizar un archivo adjunto de servicio

Si ves el siguiente mensaje de error al actualizar un adjunto de servicio, es posible que la lista de elementos aceptados o la lista de elementos rechazados incluyan proyectos eliminados: The resource PROJECT was not found.

Para resolver el problema, quite los proyectos eliminados de la configuración del adjunto de servicio.

Usa el comando gcloud compute service-attachments describe para mostrar la configuración del adjunto de servicio que quieras modificar.
- Para generar la lista de aceptación en un formato que puedas usar más adelante para actualizar el adjunto de servicio, haz lo siguiente:
```
gcloud compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION --flatten="consumerAcceptLists[]" \
    --format="csv[no-heading,separator='='](consumerAcceptLists.projectIdOrNum,consumerAcceptLists.connectionLimit)" \
    | xargs | sed -e 's/ /,/g'
```
  La salida de la lista de elementos aceptados es similar a la siguiente:
```
PROJECT_1=LIMIT_1,PROJECT_2=LIMIT_2,PROJECT_3=LIMIT_3
```
- Para generar la lista de rechazo en un formato que puedas usar más adelante para actualizar el archivo de servicio, haz lo siguiente:
```
gcloud compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION \
    --format="value[delimiter=','](consumerRejectLists[])"
```
  La salida de la lista de rechazo es similar a la siguiente:
```
PROJECT_1,PROJECT_2,PROJECT_3
```
Edita el resultado del comando para quitar los proyectos eliminados de la lista de aceptación y de la lista de rechazo.

Actualiza el archivo adjunto de servicio para quitar los proyectos eliminados.

Para actualizar la lista de aceptación, sigue estos pasos:

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=UPDATED_ACCEPT_LIST

Para actualizar la lista de rechazo, sigue estos pasos:

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-reject-list=UPDATED_REJECT_LIST

No se ha establecido la conectividad

Si un consumidor ha creado un endpoint o un backend que hace referencia a tu adjunto de servicio, pero no se ha establecido la conectividad, comprueba el estado de la conexión del adjunto de servicio. El estado de la conexión puede indicar los pasos que puedes seguir para resolver el problema.

Se agota el tiempo de espera de las conexiones de los consumidores

Si las conexiones de consumidor agotan el tiempo de espera, comprueba si tu servicio requiere conexiones de larga duración. El tiempo de espera de inactividad de la conexión TCP establecida para la NAT de Private Service Connect es de 20 minutos. Si tu servicio necesita un tiempo de espera más largo, es posible que tengas que hacer algunos cambios en la configuración para asegurarte de que las conexiones no se agoten. Para obtener más información, consulta las especificaciones de NAT.

Errores de conexión propagados

Para obtener información sobre cómo solucionar problemas de conexiones propagadas, consulta el artículo Solucionar errores de propagación de conexiones de Private Service Connect.

El servicio publicado tiene problemas de rendimiento o se agota el tiempo de espera de la conexión

Si el servicio publicado tiene problemas de rendimiento o tiempos de espera de conexión intermitentes, puede deberse a paquetes perdidos. Para investigar los paquetes perdidos, consulta las métricas que se describen en las siguientes secciones.

Paquetes descartados de consumidores

La métrica private_service_connect/producer/dropped_received_packets_count monitoriza los paquetes de un punto final o un backend a un servicio publicado que se han descartado porque el punto final o el backend han superado el número máximo de conexiones al servicio.

Si un servicio publicado informa de valores para esta métrica, considere las siguientes soluciones:

Aumentar la capacidad del servicio publicado, por ejemplo, añadiendo más instancias de máquina virtual o endpoints de red.
Pide al consumidor del servicio que cree puntos finales o backends adicionales que se conecten al servicio publicado.
Pide al consumidor del servicio que reduzca el número de conexiones a través de su endpoint o backend.

Paquetes descartados a los consumidores

La métrica private_service_connect/producer/dropped_sent_packets_count monitoriza los paquetes enviados desde un servicio publicado a un punto final o backend que se han descartado porque Private Service Connect no encuentra una conexión que coincida con los paquetes de respuesta.

Private Service Connect solo permite las conexiones que se inician desde la red de VPC del consumidor. Cuando un consumidor inicia una conexión, esta se monitoriza para asociar los paquetes de respuesta del servicio publicado con una conexión existente. Si Private Service Connect no encuentra ninguna coincidencia para un paquete de respuesta, el paquete se descarta.

Esto puede ocurrir si un servicio publicado envía paquetes de respuesta después de que se haya agotado el tiempo de espera de una conexión. Para obtener información sobre cómo evitar problemas con el tiempo de espera de las conexiones, consulta las especificaciones de NAT.