Patrones de implementación de Private Service Connect
En esta página, se describen algunas formas comunes de implementar Private Service Connect y acceder a él.
Servicios de usuario único
Los servicios de usuario único son servicios dedicados a un solo consumidor o usuario. Por lo general, la instancia de servicio se aloja en una red de VPC independiente dedicada a ese usuario para aislarla de otras redes de VPC de usuarios en la organización del productor. Cada servicio usa una lista de aceptación del consumidor para controlar qué proyectos pueden conectarse al servicio. Con la lista de aceptación, puedes limitar el acceso a un solo usuario. Aunque solo un usuario puede conectarse al servicio, puede crear varios extremos o backends si se conectan desde varias redes de VPC.
Figura 1. En un servicio administrado de un solo usuario, el productor implementa un servicio en una red de VPC independiente dedicada a ese consumidor (haz clic para agrandar).
Servicios multiusuario
Los servicios multiusuario son aquellos a los que pueden acceder varios consumidores o usuarios. El productor configura la lista de aceptación del consumidor del servicio para que los consumidores de varios proyectos o de cualquier proyecto puedan conectarse al servicio. La lista de aceptación del consumidor también le permite al productor controlar la cantidad de conexiones de Private Service Connect que puede crear cada proyecto. Estos límites ayudan al productor a evitar el agotamiento de recursos o cuotas. Si el productor necesita identificar qué usuario es la fuente de tráfico, puede habilitar el protocolo PROXY en el servicio.
Figura 2. En un servicio administrado multiusuario, varios consumidores pueden acceder a un servicio en una red de VPC (haz clic para agrandar).
Acceso multipunto
El acceso multipunto ocurre cuando varios extremos o backends de Private Service Connect se conectan al mismo adjunto de servicio. Private Service Connect multipunto es útil para los servicios multiusuario, ya que permite que varios consumidores independientes se conecten al mismo servicio. También es útil para servicios de inquilino único en casos como la creación de conectividad de servicios en varias redes de VPC dentro de un solo consumidor.
No todos los productores de servicios eligen admitir el acceso multipunto en su servicio administrado. Comunícate con tu productor de servicios para verificar si sus adjuntos de servicio admiten el acceso multipunto.
Acceso multirregión
Los servicios administrados multirregionales son servicios a los que se accede o que se implementan en varias regiones. Los clientes pueden acceder a servicios en una región diferente porque el servicio no existe en su región local o por alta disponibilidad y conmutación por error multirregional. Debido a que Google Cloud admite redes de VPC globales, el acceso global a Private Service Connect permite que los clientes lleguen a los extremos de Private Service Connect desde cualquier región. El tráfico del cliente puede ser de instancias de máquina virtual (VM) de Compute Engine, túneles de Cloud VPN y adjuntos de VLAN para Cloud Interconnect.
Figura 3. Se puede acceder a los extremos de Private Service Connect con acceso global desde cualquier región (haz clic para agrandar).
Acceso híbrido y local
Puedes conectar redes locales o cualquier otro proveedor de servicios en la nube a tu red de VPC mediante adjuntos de VLAN para Cloud Interconnect y túneles de Cloud VPN. Debido a que los extremos para las APIs de Google y los extremos para los servicios publicados son accesibles de forma global, los clientes en redes conectadas pueden enviar solicitudes a extremos. en cualquier región. Sin embargo, puedes implementar extremos en varias regiones para controlar de forma más detallada el enrutamiento desde redes híbridas. Puedes enrutar el tráfico híbrido desde una región específica a un extremo local que optimiza la ruta más corta para la ruta de tráfico.
Figura 4. Se puede acceder a los extremos y backends de Private Service Connect desde redes conectadas (haz clic para ampliar).
Conectividad bidireccional
Aunque los clientes consumidores suelen iniciar conexiones a servicios administrados, a veces, los servicios administrados deben iniciar conexiones con servicios de propiedad del consumidor.
Conectividad privada inversa
Revertir la conectividad privada es cuando un consumidor permite que las VMs y los clústeres de GKE de una red de VPC de productor inicien tráfico a una red de VPC del consumidor mediante la implementación de Private Service Connect de modo inverso. En este caso, el consumidor implementa un balanceador de cargas interno y un archivo adjunto de servicio, que publica su servicio a los productores. Juntos, los productores y los consumidores pueden usar Private Service Connect en dirección inversa y directa para crear conectividad bidireccional entre sí.
Figura 5. La conectividad privada inversa permite que los consumidores y productores creen conectividad bidireccional entre sí (haz clic para ampliar).
Interfaces de Private Service Connect
Las interfaces de Private Service Connect crean conexiones bidireccionales y transitivas entre las redes de VPC del consumidor y del productor. Los recursos de las redes de VPC del consumidor y del productor pueden iniciar conexiones a través de la interfaz de Private Service Connect. Además, como la conexión es transitiva, los recursos de la red de VPC del productor pueden comunicarse con otras cargas de trabajo que están conectadas a la red de VPC del consumidor. Por ejemplo, una VM en la red de VPC del productor puede llegar a cargas de trabajo en redes que están conectadas a la red de VPC del consumidor a través de Cloud Interconnect o el intercambio de tráfico entre redes de VPC.
Servicios híbridos
Los servicios híbridos que no se encuentran en Google Cloud pueden estar en otras nubes, en un entorno local o en cualquier combinación de estas ubicaciones. Private Service Connect te permite hacer que un servicio híbrido sea accesible en otra red de VPC.
Se puede acceder a los servicios híbridos a través de NEGs híbridos, que son compatibles con balanceadores de cargas compatibles.
A menudo, esta configuración se usa como una forma de conectividad privada inversa, en la que los productores de servicios establecen conexiones con servicios para consumidores alojados en redes locales. Private Service Connect permite que el productor llegue a las redes híbridas del consumidor sin establecer la conectividad directamente con esas redes.
Figura 6. La conectividad privada inversa permite que los consumidores y productores creen conectividad bidireccional entre sí (haz clic para ampliar).
Para ver una configuración de ejemplo, consulta Publica un servicio híbrido mediante Private Service Connect.
VPC compartida
Los recursos de Private Service Connect se pueden implementar en redes de VPC independientes o redes de VPC compartidas. Los extremos, los backends y los adjuntos de servicio de Private Service Connect se pueden implementar en proyectos host o proyectos de servicio.
Por ejemplo, un administrador de servicios de consumidor puede implementar extremos y backends de Private Service Connect en proyectos de servicio mediante direcciones IP de subredes en el proyecto host. Con esta configuración, se puede acceder a los extremos y backends desde otros proyectos de servicio en la misma red de VPC compartida.
Todos los clientes de una red de VPC compartida tienen conectividad a un extremo de Private Service Connect, independientemente del proyecto en el que se implemente. Sin embargo, la elección del proyecto afecta la visibilidad, el acceso a IAM y el proyecto al que se le cobra la facturación de recursos por hora.
Figura 7. Puedes hacer que los recursos de Private Service Connect estén disponibles en todos los proyectos de servicio asociados con una red de VPC compartida (haz clic para agrandar).
¿Qué sigue?
- Más información sobre Private Service Connect
- Consulta la información de compatibilidad de Private Service Connect.