Private Service Connect
En este documento, se proporciona una descripción general de Private Service Connect.
Private Service Connect es una función de las herramientas de redes de Google Cloud que permite a los consumidores acceder a los servicios administrados de forma privada desde su red de VPC. Del mismo modo, permite a los productores de servicios administrados alojar estos servicios en sus propias redes de VPC independientes y ofrecer una conexión privada a sus consumidores. Por ejemplo, cuando usas Private Service Connect para acceder a Cloud SQL, eres el consumidor del servicio y Google es el productor de servicios.
Con Private Service Connect, los consumidores pueden usar sus propias direcciones IP internas para acceder a los servicios sin salir de sus redes de VPC. El tráfico permanece completamente dentro de Google Cloud. Private Service Connect proporciona acceso orientado a los servicios entre consumidores y productores con control detallado sobre cómo se accede a los servicios.
Private Service Connect admite el acceso a los siguientes tipos de servicios administrados:
- Servicios alojados en VPC publicadas, que incluyen lo siguiente:
- Servicios publicados por Google, como Apigee o el plano de control de GKE
- Servicios publicados por terceros que proporcionan los socios de Private Service Connect
- Servicios publicados dentro de la organización, en los que el consumidor y el productor pueden ser dos redes de VPC diferentes dentro de la misma empresa
- APIs de Google, como Cloud Storage o BigQuery
Private Service Connect proporciona conectividad privada que tiene las siguientes características:
- Diseño orientado a los servicios: Los servicios de productores se publican a través de balanceadores de cargas que exponen una sola dirección IP a la red de VPC del consumidor. El tráfico del consumidor que accede a los servicios del productor es unidireccional y solo puede acceder a la dirección IP del servicio, en lugar de tener acceso a una red de VPC de intercambio de tráfico completa.
- Autorización explícita: Private Service Connect proporciona un modelo de autorización que brinda a los consumidores y productores un control detallado, lo que garantiza que solo los extremos del servicio previstos y ningún otro recurso puedan conectarse a un servicio.
- Sin dependencias compartidas: El tráfico entre el consumidor y los productores usa NAT para que no haya coordinación de direcciones IP ni otras dependencias de recursos compartidos entre las redes de VPC del consumidor y del productor. Esta independencia simplifica la implementación y te permite escalar los servicios administrados con mayor facilidad.
- Rendimiento de frecuencia de línea: El tráfico de Private Service Connect va directamente de los clientes consumidores a los backends del productor sin saltos ni proxies intermedios. NAT se realiza directamente en las máquinas anfitrión física que alojan las VMs de consumidor y productor, lo que reduce la latencia y aumenta la capacidad de ancho de banda. La capacidad de ancho de banda de Private Service Connect solo está limitada por la capacidad de ancho de banda de las máquinas cliente y servidor que se comunican directamente.
Tipos de Private Service Connect
Private Service Connect está disponible en diferentes tipos que proporcionan diferentes capacidades y modos de comunicación.
Los productores de servicios publican sus aplicaciones para los consumidores mediante la creación de servicios de Private Service Connect. Los consumidores de servicios acceden a esos servicios de Private Service Connect directamente a través de uno de estos tipos de Private Service Connect:
- Extremos de Private Service Connect: Los extremos se implementan mediante reglas de reenvío que proporcionan al consumidor una dirección IP que se asigna al servicio de Private Service Connect.
- Backends de Private Service Connect: Los backends se implementan mediante grupos de extremos de red (NEG) que permiten a los consumidores dirigir el tráfico a su balanceador de cargas antes de llegar a un servicio de Private Service Connect.
Los productores de servicios pueden iniciar conexiones con los consumidores de servicios a través de interfaces de Private Service Connect. Las interfaces de Private Service Connect proporcionan comunicación bidireccional y se pueden usar en la misma red de VPC que los extremos y backends.
Extremos
Los extremos de Private Service Connect son direcciones IP internas en una red de VPC de consumidor a las que pueden acceder directamente los clientes de esa red. Los extremos se crean mediante la implementación de una regla de reenvío que hace referencia a un adjunto de servicio o a un paquete de APIs de Google.
En el siguiente diagrama, se muestra un extremo de Private Service Connect que se orienta a un servicio publicado que se ejecuta en una organización y red de VPC independientes. Los extremos de Private Service Connect y los servicios publicados permiten que dos empresas independientes se comuniquen entre sí mediante direcciones IP internas. Para obtener más información, consulta Información sobre el acceso a servicios publicados a través de extremos.
Del mismo modo, se puede usar un extremo de Private Service Connect para acceder a las APIs de Google, como Cloud Storage o BigQuery. Esta funcionalidad es similar al Acceso privado a Google, excepto que puedes usar tus propias direcciones IP internas para los extremos. Private Service Connect te permite controlar el enrutamiento de forma más directa y crear tantos extremos como sea necesario para tu red. Para obtener más información, consulta Información sobre el acceso a las APIs de Google a través de extremos.
Backends
Los backends de Private Service Connect permiten que los balanceadores de cargas de Google Cloud envíen tráfico a través de Private Service Connect para llegar a los servicios publicados o a las APIs de Google. Los backends se implementan a través de grupos de extremos de red (NEG) de Private Service Connect que hacen referencia a un adjunto de servicio de productor o a una API de Google compatible. Colocar un balanceador de cargas frente a un servicio administrado proporciona al consumidor más visibilidad y control de lo que es posible a través de un extremo de Private Service Connect. Los backends te permiten crear configuraciones como las siguientes:
- Dominios y certificados de cliente frente a servicios administrados
- Conmutación por error controlada por el consumidor entre servicios administrados en diferentes regiones
- Configuración de seguridad centralizada y control de acceso para servicios administrados
En el siguiente diagrama, se muestra un balanceador de cargas de aplicaciones interno implementado con backends de Private Service Connect que hacen referencia a un servicio publicado. En la configuración, hay dos balanceadores de cargas:
- El balanceador de cargas del consumidor que proporciona control, visibilidad y seguridad del tráfico al servicio.
- El balanceador de cargas del productor que balancea las cargas del tráfico en los backends de servicio.
Al igual que los extremos de Private Service Connect, los backends también admiten la segmentación a las API de Google. En el siguiente diagrama, se muestra un balanceador de cargas de aplicaciones interno que se orienta a un bucket de Cloud Storage y finaliza el tráfico mediante un dominio de cliente.
Interfaces
Una interfaz de Private Service Connect es un tipo especial de interfaz de red que hace referencia a un adjunto de red.
Un productor de servicios puede crear una interfaz de Private Service Connect y solicitar una conexión a un adjunto de red. Si el consumidor de servicios acepta la conexión, Google Cloud asigna a la interfaz una dirección IP de una subred en la red de VPC del consumidor que especifica el adjunto de red. La VM de la interfaz de Private Service Connect tiene una segunda interfaz de red estándar que se conecta a la red de VPC del productor.
Una conexión entre una interfaz de Private Service Connect y un adjunto de red es similar a la conexión entre un extremo de Private Service Connect y un adjunto de servicio, pero tiene dos diferencias clave:
- Una interfaz de Private Service Connect permite que una red de VPC del productor inicie conexiones con una red de VPC del consumidor (salida de servicio administrado). Un extremo funciona en la dirección inversa, lo que permite que una red de VPC del consumidor inicie conexiones con una red de VPC del productor (entrada de servicio administrado).
- Una conexión de la interfaz de Private Service Connect es transitiva. Esto significa que las cargas de trabajo en una red del productor pueden iniciar conexiones con otras cargas de trabajo que están conectadas a la red de VPC del consumidor. Los extremos de Private Service Connect solo pueden iniciar conexiones con la red de VPC del productor.
Servicios administrados de Private Service Connect
Los servicios administrados son servicios que posee y administra alguien que no es el consumidor de servicios. Private Service Connect se puede usar para acceder a servicios administrados que pertenecen a Google, a empresas de software de terceros como servicio (SaaS) o a otros equipos dentro de la propia empresa del consumidor. Los servicios publicados y las APIs de Google pueden ser objetivos de Private Service Connect.
Servicios publicados
Los servicios publicados son servicios alojados en VPC que se implementan en la red de VPC del productor y se accede a ellos desde la red de VPC del consumidor. Publicar un servicio permite que el productor de servicios sea el propietario y controle la implementación del servicio en su propia red de VPC. Los servicios publicados pueden incluir lo siguiente:
- Servicios de Google, como GKE, Apigee o Cloud Composer. Estos servicios se ejecutan en proyectos de usuarios y redes de VPC que administra Google.
- Servicios de terceros, en los que los terceros ofrecen acceso privado a un servicio publicado en Google Cloud.
- Servicios dentro de la organización, en los que una sola empresa tiene clientes que acceden a aplicaciones internas en diferentes redes de VPC. Algunas organizaciones usan redes de VPC independientes para la segmentación interna. Debido a esa configuración, un equipo puede ofrecer un servicio administrado a un equipo diferente que opera en una red de VPC independiente.
Adjuntos de servicio
Los adjuntos de servicio son recursos que se usan para crear servicios publicados de Private Service Connect.
Se puede acceder a los adjuntos de servicio mediante extremos o backends. Varios backends o extremos pueden conectarse al mismo adjunto de servicio, lo que permite que varias redes de VPC o varios consumidores accedan a la misma instancia de servicio.
Un adjunto de servicio se orienta a un balanceador de cargas de productor y permite que los clientes de una red de VPC de consumidor accedan al balanceador de cargas. La configuración del adjunto de servicio define lo siguiente:
- Una lista de aceptación del consumidor que define qué consumidores pueden conectarse al servicio.
- La subred de NAT desde la que se origina el tráfico traducido en la red de VPC de productor.
- Un dominio de DNS opcional, si se proporciona, que se usa en las entradas de DNS para extremos que se crean de forma automática en el consumidor Zona de Cloud DNS.
API de Google
El uso de Private Service Connect para acceder a las APIs de Google es una alternativa al uso del acceso privado a Google o los nombres de dominio público para las APIs de Google. En este caso, el productor es Google.
Se puede acceder a las APIs de Google mediante extremos o backends.
- Los extremos te permiten segmentar tus anuncios para un paquete de APIs de Google globales o una sola API de Google regional.
- Los backends te permiten segmentar tus anuncios para una sola API de Google global o una sola API de Google regional.
El uso de Private Service Connect te permite hacer lo siguiente:
- Crear una o más direcciones IP internas para acceder a las APIs de Google en diferentes casos de uso
- Dirige el tráfico local a direcciones IP y regiones específicas cuando accedas a las APIs de Google.
- Centraliza el tráfico de las APIs de Google a través de un balanceador de cargas HTTP(S) para aplicar tus propios certificados, políticas de seguridad o observabilidad.
¿Qué sigue?
- Completa uno de los siguientes codelabs:
- Información sobre el acceso a los servicios publicados a través de extremos.
- Información sobre el acceso a las APIs de Google a través de extremos.
- Obtén más información sobre backends.
- Obtén más información sobre cómo publicar servicios.