Private Service Connect
En este documento se ofrece una descripción general de Private Service Connect.
Private Service Connect es una función de Google Cloud redes que permite a los consumidores acceder de forma privada a servicios gestionados desde su red de VPC. Del mismo modo, permite a los productores de servicios gestionados alojar estos servicios en sus propias redes de VPC independientes y ofrecer una conexión privada a sus consumidores. Por ejemplo, cuando usas Private Service Connect para acceder a Cloud SQL, eres el consumidor del servicio y Google es el productor del servicio.
Con Private Service Connect, los consumidores pueden usar sus propias direcciones IP internas para acceder a los servicios sin salir de sus redes de VPC. El tráfico permanece completamente dentro de Google Cloud. Private Service Connect proporciona acceso orientado a servicios entre consumidores y productores con un control granular sobre cómo se accede a los servicios.
Imagen 1. Private Service Connect te permite enviar tráfico a puntos finales y backends que reenvían el tráfico a servicios gestionados, incluidas las APIs de Google y los servicios publicados. Las interfaces de Private Service Connect permiten que los servicios gestionados inicien conexiones con redes de VPC de consumidores.
Elegir una función de Private Service Connect
En la siguiente tabla se resumen las funciones de Private Service Connect que se deben usar en diferentes casos prácticos.
| Caso práctico | Función Private Service Connect |
|---|---|
| Usar servicios |
|
| Producir servicios |
|
Tipos de Private Service Connect
Private Service Connect está disponible en diferentes tipos que ofrecen distintas funciones y modos de comunicación.
Los productores de servicios publican sus aplicaciones para los consumidores creando servicios de Private Service Connect. Los consumidores de servicios acceden a esos servicios de Private Service Connect directamente a través de uno de estos tipos de Private Service Connect:
- Endpoints de Private Service Connect: los endpoints se implementan mediante reglas de reenvío que proporcionan al consumidor una dirección IP asignada al servicio de Private Service Connect.
- Backends de Private Service Connect: los backends se implementan mediante grupos de endpoints de red (NEGs) que permiten a los consumidores dirigir el tráfico a su balanceador de carga antes de llegar a un servicio de Private Service Connect.
Los productores de servicios pueden iniciar conexiones con los consumidores de servicios mediante interfaces de Private Service Connect. Las interfaces de Private Service Connect proporcionan comunicación bidireccional y se pueden usar en la misma red de VPC que los puntos finales y los back-ends.
Endpoints
Los endpoints de Private Service Connect son direcciones IP internas de una red de VPC de consumidor a las que pueden acceder directamente los clientes de esa red. Los puntos finales se crean desplegando una regla de reenvío que hace referencia a un adjunto de servicio o a un paquete de APIs de Google.
En el siguiente diagrama se muestra un punto final de Private Service Connect que apunta a un servicio publicado que se ejecuta en una red de VPC y una organización independientes. Los puntos finales de Private Service Connect y los servicios publicados permiten que dos empresas independientes se comuniquen entre sí mediante direcciones IP internas. Para obtener más información, consulta Información sobre el acceso a servicios publicados a través de endpoints.
Imagen 2. Private Service Connect te permite enviar tráfico a puntos finales que reenvían el tráfico a servicios publicados en otra red de VPC.
Del mismo modo, se puede usar un punto final de Private Service Connect para acceder a APIs de Google, como Cloud Storage o BigQuery. Esta función es similar al acceso privado de Google, pero puedes usar tus propias direcciones IP internas para los endpoints. Private Service Connect te permite controlar el enrutamiento de forma más directa y crear tantos endpoints como necesites para tu red. Para obtener más información, consulta Información sobre el acceso a las APIs de Google a través de endpoints.
Imagen 3. Private Service Connect te permite enviar tráfico a endpoints que reenvían el tráfico a las APIs de Google.
Backends
Los backends de Private Service Connect permiten que los balanceadores de carga envíen tráfico a través de Private Service Connect para llegar a los servicios publicados o a las APIs de Google. Google Cloud Los back-ends se implementan a través de grupos de puntos finales de red (NEGs) de Private Service Connect, que hacen referencia a un adjunto de servicio de productor o a una API de Google admitida. Colocar un balanceador de carga delante de un servicio gestionado proporciona al consumidor más visibilidad y control que con un punto final de Private Service Connect. Los back-ends te permiten crear configuraciones como las siguientes:
- Dominios y certificados propiedad del cliente delante de servicios gestionados
- Conmutación por error controlada por el consumidor entre servicios gestionados de diferentes regiones
- Configuración de seguridad y control de acceso centralizados para servicios gestionados
En el siguiente diagrama se muestra un balanceador de carga de aplicaciones interno implementado con backends de Private Service Connect que hacen referencia a un servicio publicado. Hay dos balanceadores de carga en la configuración:
- El balanceador de carga del consumidor que proporciona control, visibilidad y seguridad del tráfico al servicio.
- El balanceador de carga del productor que balancea la carga del tráfico entre los backends del servicio.
Imagen 4. Private Service Connect te permite enviar tráfico a backends que reenvían el tráfico a servicios publicados.
Al igual que los puntos finales de Private Service Connect, los back-ends también admiten la segmentación de APIs de Google. En el siguiente diagrama se muestra un balanceador de carga de aplicaciones interno que tiene como destino un segmento de Cloud Storage y finaliza el tráfico mediante un dominio propiedad del cliente.
Imagen 5. Private Service Connect te permite enviar tráfico a backends que reenvían el tráfico a una API de Google regional.
Interfaces
Una interfaz de Private Service Connect es un tipo especial de interfaz de red que hace referencia a una vinculación de red.
Un productor de servicios puede crear una interfaz de Private Service Connect y solicitar una conexión a una vinculación de red. Si el consumidor del servicio acepta la conexión, Google Cloud asigna a la interfaz una dirección IP de una subred de la red de VPC del consumidor especificada por la vinculación de red. La VM de la interfaz de Private Service Connect tiene una segunda interfaz de red estándar que se conecta a la red de VPC del productor.
Una conexión entre una interfaz de Private Service Connect y una vinculación de red es similar a la conexión entre un endpoint de Private Service Connect y una vinculación de servicio, pero tiene dos diferencias clave:
- Una interfaz de Private Service Connect permite que una red de VPC de un productor inicie conexiones con una red de VPC de un consumidor (salida de servicio gestionado). Un punto final funciona en la dirección opuesta, lo que permite que una red de VPC de consumidor inicie conexiones con una red de VPC de productor (entrada de servicio gestionado).
- Una conexión de interfaz de Private Service Connect es transitiva. Esto significa que las cargas de trabajo de una red de productor pueden iniciar conexiones con otras cargas de trabajo que estén conectadas a la red de VPC de consumidor. Los puntos finales de Private Service Connect solo pueden iniciar conexiones con la red de VPC del productor.
Imagen 6. Las interfaces de Private Service Connect permiten que los productores de servicios inicien conexiones con los consumidores de servicios.
Servicios gestionados de Private Service Connect
Los servicios gestionados son servicios que pertenecen y están gestionados por una persona distinta del consumidor del servicio. Private Service Connect se puede usar para acceder a servicios gestionados que son propiedad de Google, de empresas de software como servicio (SaaS) de terceros o de otros equipos de la propia empresa del consumidor. Tanto los servicios publicados como las APIs de Google pueden ser destinos de Private Service Connect.
Private Service Connect admite el acceso a los siguientes tipos de servicios gestionados:
- Servicios alojados en VPC publicados
- APIs de Google
Servicios publicados
Los servicios publicados son servicios alojados en VPC que se implementan en la red de VPC del productor y a los que se accede desde la red de VPC del consumidor. Publicar un servicio permite al productor de servicios poseer y controlar la implementación del servicio en su propia red de VPC. Los servicios publicados pueden incluir lo siguiente:
- Servicios de Google, como GKE, Apigee o Cloud Composer. Estos servicios se ejecutan en proyectos de clientes y redes de VPC gestionados por Google.
- Servicios de terceros, donde terceros ofrecen acceso privado a un servicio publicado enGoogle Cloud.
- Servicios intraorganizativos: una sola empresa tiene clientes que acceden a aplicaciones internas en diferentes redes de VPC. Algunas organizaciones usan redes de VPC independientes para la segmentación interna. Con esta configuración, un equipo puede ofrecer un servicio gestionado a otro equipo que opere en una red de VPC independiente.
Vinculaciones de servicio
Las vinculaciones de servicio son recursos que se usan para crear servicios publicados de Private Service Connect.
Se puede acceder a los adjuntos de servicio mediante puntos finales o backends. Se pueden conectar varios back-ends o endpoints a la misma vinculación de servicio, lo que permite que varias redes de VPC o varios consumidores accedan a la misma instancia de servicio.
Una vinculación de servicio se dirige a un balanceador de carga de productor y permite que los clientes de una red de VPC de consumidor accedan al balanceador de carga. La configuración de ServiceAttachment define lo siguiente:
- Una lista de aceptación de consumidores que define qué consumidores pueden conectarse al servicio.
- La subred de NAT desde la que se origina el tráfico traducido en la red de VPC del productor.
- Un dominio DNS opcional que, si se proporciona, se usa en las entradas DNS de los endpoints que se crean automáticamente en la zona de Cloud DNS del consumidor.
APIs de Google
Usar Private Service Connect para acceder a las APIs de Google es una alternativa a usar Acceso privado de Google o los nombres de dominio públicos de las APIs de Google. En este caso, el productor es Google.
Se puede acceder a las APIs de Google mediante endpoints o back-ends.
- Los endpoints te permiten orientar tus solicitudes a un paquete de APIs de Google globales o a una API de Google regional.
- Los back-ends te permiten orientar a una única API de Google global o a una única API de Google regional.
Con Private Service Connect, puedes hacer lo siguiente:
- Crea una o varias direcciones IP internas para acceder a las APIs de Google en diferentes casos prácticos.
- Dirige el tráfico local directamente a direcciones IP y regiones específicas al acceder a las APIs de Google.
- Centraliza el tráfico de las APIs de Google a través de un balanceador de carga compatible para aplicar tus propios certificados, políticas de seguridad u observabilidad.
Características de Private Service Connect
Private Service Connect proporciona conectividad privada con las siguientes características:
- Diseño orientado a servicios: los servicios de productor se publican a través de balanceadores de carga que exponen una única dirección IP a la red de VPC del consumidor. El tráfico de los consumidores que accede a los servicios de los productores es unidireccional y solo puede acceder a la dirección IP del servicio, en lugar de tener acceso a toda una red de VPC emparejada.
- Autorización explícita: Private Service Connect proporciona un modelo de autorización que ofrece a los consumidores y productores un control granular, lo que garantiza que solo los puntos finales de servicio previstos y ningún otro recurso puedan conectarse a un servicio.
- Sin dependencias compartidas: el tráfico entre consumidores y productores usa NAT, por lo que no hay coordinación de direcciones IP ni otras dependencias de recursos compartidos entre las redes de VPC de consumidores y productores. Esta independencia ayuda a simplificar el despliegue y el escalado del servicio.
- Rendimiento a velocidad de línea: el tráfico de Private Service Connect va directamente de los clientes consumidores a los backends productores sin saltos ni proxies intermedios. La NAT se realiza directamente en las máquinas host físicas que alojan las máquinas virtuales de consumidor y productor, lo que reduce la latencia y aumenta la capacidad del ancho de banda. La capacidad de ancho de banda de Private Service Connect solo está limitada por la capacidad de ancho de banda de las máquinas cliente y servidor que se comunican directamente.
Para obtener más información sobre el diseño interno de Private Service Connect, consulta Arquitectura y rendimiento de Private Service Connect.
Siguientes pasos
- Consulta información sobre cómo acceder a servicios publicados a través de endpoints.
- Consulta información sobre cómo acceder a las APIs de Google a través de endpoints.
- Consulta información sobre los backends.
- Consulta información sobre los servicios de publicación.
- Completa un codelab para usar Private Service Connect para publicar y consumir servicios con GKE.