Acerca de los servicios publicados

En este documento, se proporciona una descripción general del uso de Private Service Connect para que un servicio esté disponible para los consumidores de servicios.

Como productor de servicios, puedes usar Private Service Connect para publicar servicios mediante direcciones IP internas en tu red de VPC. Los consumidores de servicios pueden acceder a los servicios publicados mediante direcciones IP internas en sus redes de VPC.

Para que un servicio esté disponible para los consumidores, debes crear una o más subredes dedicadas. Luego, debes crear un adjunto de servicio que haga referencia a esas subredes. El adjunto del servicio puede tener preferencias de conexión diferentes.

Tipos de consumidores de servicios

Existen dos tipos de consumidores que pueden conectarse a un servicio de Private Service Connect:

Los extremos se basan en una regla de reenvío.

Un extremo permite que los consumidores de servicios envíen tráfico desde la red de VPC del consumidor a servicios en la red de VPC del productor de servicios (haz clic para agrandar).

Los backends se basan en un balanceador de cargas.

Un backend que usa un balanceador de cargas de aplicaciones externo global permite que los consumidores de servicios con acceso a Internet envíen tráfico a los servicios en la red de VPC del productor de servicios (haz clic para ampliar).

Subredes NAT

Los adjuntos del servicio de Private Service Connect se configuran con una o más subredes NAT (también conocidas como subredes de Private Service Connect). Los paquetes de la red de VPC del consumidor se traducen mediante NAT de origen (SNAT) para que sus direcciones IP de origen originales se conviertan en direcciones IP de origen de la subred NAT en la red de VPC del productor.

Los adjuntos de servicio pueden tener varias subredes NAT. Se pueden agregar subredes NAT al adjunto de servicio en cualquier momento sin interrumpir el tráfico.

Si bien un adjunto de servicio puede tener varias subredes NAT configuradas, no se puede usar una subred NAT en más de un adjunto de servicio.

Las subredes NAT de Private Service Connect no se pueden usar para recursos como instancias de máquina virtual (VM) o reglas de reenvío. Las subredes se usan solo a fin de proporcionar direcciones IP para la SNAT de las conexiones entrantes de consumidores.

Tamaño de subred NAT

Cuando publicas un servicio, debes crear una subred NAT y elegir un rango de direcciones IP. El tamaño de la subred determina cuántos extremos o backends simultáneos de Private Service Connect pueden conectarse al adjunto de servicio.

Las direcciones IP se consumen desde la subred NAT según la cantidad de conexiones de Private Service Connect. Si se consumen todas las direcciones IP en la subred NAT, cualquier conexión adicional de Private Service Connect fallará. Por esta razón, es importante dimensionar de forma correcta la subred de NAT.

Cuando elijas el tamaño de una subred, ten en cuenta los siguientes puntos:

  • Hay cuatro direcciones IP no utilizables en una subred NAT, por lo que la cantidad de direcciones IP disponibles es de 2(32 - PREFIX_LENGTH) - 4. Por ejemplo, si creas una subred de NAT con una longitud de prefijo de /24, Private Service Connect puede usar 252 de las direcciones IP para SNAT. Una subred /29 con cuatro direcciones IP disponibles es el tamaño de subred más pequeño compatible con las redes de VPC.
  • Se consume una dirección IP desde la subred NAT para cada extremo o backend que está conectado al adjunto de servicio.
  • Cuando estimes cuántas direcciones IP necesitas para extremos y backends, ten en cuenta cualquier servicio de multiusuario o consumidores que usan el acceso de varios puntos para Private Service Connect.
  • La cantidad de conexiones TCP o UDP, clientes o redes de VPC del consumidor no afecta el consumo de direcciones IP de la subred NAT.

Por ejemplo, si hay dos extremos conectados a un solo adjunto de servicio, se consumen dos direcciones IP desde la subred NAT. Si la cantidad de extremos no cambia, puedes usar una subred /29 con cuatro direcciones IP usables para este adjunto de servicio.

Supervisión de la subred NAT

Para garantizar que las conexiones de Private Service Connect no fallen debido a direcciones IP no disponibles en una subred NAT, te recomendamos que sigas los siguientes pasos:

  • Supervisa la métrica de adjunto de servicio private_service_connect/producer/used_nat_ip_addresses. Asegúrate de que la cantidad de direcciones IP de NAT que se usen no exceda la capacidad de las subredes NAT de un adjunto de servicio.
  • Supervisa el estado de la conexión de las conexiones del adjunto de servicio. Si la conexión tiene el estado Requiere atención, es posible que no haya más direcciones IP disponibles en las subredes NAT del adjunto.
  • En el caso de los servicios de múltiples usuarios, puedes usar límites de conexión para garantizar que un solo consumidor no agote la capacidad de las subredes NAT de un adjunto de servicio.

Si es necesario, se pueden agregar subredes NAT al adjunto del servicio en cualquier momento sin interrumpir el tráfico.

Especificaciones de NAT

Considera las siguientes características de NAT de Private Service Connect cuando diseñes el servicio que publicarás:

  • El tiempo de espera de inactividad de la asignación de UDP es de 30 segundos y no se puede configurar.

  • El tiempo de espera de inactividad de la conexión establecida de TCP es de 20 minutos y no se puede configurar.

    Para evitar problemas con el agotamiento del tiempo de espera de las conexiones de clientes, realiza una de las siguientes acciones:

    • Asegúrate de que todas las conexiones se ejecuten por menos de 20 minutos.

    • Asegúrate de que parte del tráfico se envíe con mayor frecuencia que una vez cada 20 minutos. Puedes usar un keepalive o una señal de monitoreo de funcionamiento en tu aplicación, o bien keepalives de TCP. Por ejemplo, puedes configurar un keepalive en el proxy de destino de un balanceador de cargas de aplicaciones interno regional o un balanceador de cargas de red de proxy interno regional.

  • El tiempo de espera de inactividad de la conexión transitoria de TCP es de 30 segundos y no se puede configurar.

  • Existe una demora de dos minutos antes de que se pueda volver a usar cualquier tupla de 5 (la dirección IP de origen de la subred de NAT y el puerto de origen, el protocolo de destino, la dirección IP y el puerto de destino).

  • SNAT para Private Service Connect no admite fragmentos de IP.

Cantidad máxima de conexiones

Una sola VM de productor puede aceptar un máximo de 65,536 conexiones TCP simultáneas y 65,536 conexiones UDP desde un extremo de Private Service Connect. No hay límite para la cantidad total de conexiones TCP y UDP que un extremo de Private Service Connect puede recibir en conjunto en todos los backends del productor. Las VMs de consumidor pueden usar los 65,536 puertos cuando se inician conexiones TCP o UDP a un extremo de Private Service Connect. Toda la traducción de direcciones de red se realiza de forma local en el host del productor, que no requiere un grupo de puertos NAT asignado de forma central.

Adjuntos de servicio

Los productores de servicios exponen sus servicios a través de un adjunto de servicio.

  • Para exponer un servicio, un productor de servicios crea un adjunto de servicio que haga referencia a la regla de reenvío del balanceador de cargas del servicio.

  • Para acceder a un servicio, un consumidor de servicios crea un extremo que hace referencia al adjunto del servicio.

El URI del adjunto de servicio tiene este formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Solo se puede hacer referencia a cada balanceador de cargas mediante un solo adjunto de servicio. No puedes configurar varios adjuntos de servicio que usen el mismo balanceador de cargas.

Preferencias de conexión

Cada adjunto de servicio tiene una preferencia de conexión que especifica si las solicitudes de conexión se aceptan de forma automática. Existen tres opciones:

  • Aceptar automáticamente todas las conexiones. El adjunto de servicio acepta automáticamente todas las solicitudes de conexión entrantes de cualquier consumidor. La aceptación automática se puede anular mediante una política de la organización que bloquea las conexiones entrantes.
  • Aceptar conexiones para las redes seleccionadas El adjunto de servicio solo acepta las solicitudes de conexión entrantes si la red de VPC del consumidor está en la lista de aceptación del consumidor del adjunto de servicio.
  • Aceptar conexiones para los proyectos seleccionados. El adjunto de servicio solo acepta las solicitudes de conexión entrantes si el proyecto del consumidor está en la lista de aceptación del consumidor del adjunto de servicio.

Te recomendamos que aceptes las conexiones para los proyectos o las redes seleccionadas. Aceptar todas las conexiones automáticamente podría ser apropiado si controlas el acceso de los consumidores a través de otros medios y quieres habilitar el acceso permisivo a tu servicio.

Estados de conexión

Los adjuntos de servicio tienen estados de conexión que describen el estado de sus conexiones. Para obtener más información, consulta Estados de conexión.

Listas de aceptación y rechazo del consumidor

Las listas de aceptación del consumidor y las listas de rechazo del consumidor son una función de seguridad de los adjuntos de servicio. Las listas de aceptación y de rechazo permiten que los productores de servicios especifiquen qué consumidores pueden establecer conexiones de Private Service Connect con sus servicios. Las listas de aceptación del consumidor especifican si se acepta una conexión y las listas de rechazo del consumidor especifican si se rechaza una conexión. Ambas listas te permiten especificar los consumidores por la red de VPC o el proyecto del recurso de conexión. Si agregas un proyecto o una red a la lista de aceptación y a la de bloqueo, se rechazan las solicitudes de conexión de ese proyecto o red. No se admite especificar consumidores por carpeta.

Las listas de aceptación del consumidor y de rechazo del consumidor te permiten especificar los proyectos o las redes de VPC, pero no ambas al mismo tiempo. Puedes cambiar una lista de un tipo a otro sin interrumpir las conexiones, pero debes realizar el cambio en una sola actualización. De lo contrario, algunas conexiones pueden cambiar de forma temporal al estado pendiente.

Las listas de consumidores controlan si un extremo puede conectarse a un servicio publicado, pero no controlan quién puede enviar solicitudes a ese extremo. Por ejemplo, supongamos que un consumidor tiene una red de VPC compartida que tiene dos proyectos de servicio conectados. Si un servicio publicado tiene service-project1 en la lista de aceptación del consumidor y service-project2 en la lista de rechazo del consumidor, se aplica lo siguiente:

  • Un consumidor en service-project1 puede crear un extremo que se conecte al servicio publicado.
  • Un consumidor en service-project2 no puede crear un extremo que se conecte al servicio publicado.
  • Un cliente en service-project2 puede enviar solicitudes al extremo en service-project1, si no hay reglas o políticas de firewall que impidan ese tráfico.

Para obtener información sobre cómo interactúan las listas de aceptación del consumidor con las políticas de la organización, consulta Interacción entre las listas de aceptación del consumidor y las políticas de la organización.

Límites de las listas de aceptación del consumidor

Las listas de aceptación del consumidor tienen límites de conexión. Estos límites establecen la cantidad total de conexiones de backend y extremo de Private Service Connect que un adjunto de servicio puede aceptar desde el proyecto del consumidor o la VPC especificados en tu red de VPC.

Los productores pueden usar estos límites de conexiones para evitar que los consumidores individuales agoten las direcciones IP o las cuotas de recursos en la red de VPC del productor. Cada conexión aceptada de Private Service Connect se resta del límite configurado para un proyecto de consumidor o una red de VPC. Los límites se establecen cuando creas o actualizas las listas de aceptación del consumidor. Puedes ver las conexiones de los adjuntos de servicio cuando describes un adjunto de servicio.

No se tienen en cuenta las conexiones propagadas hacia estos límites.

Por ejemplo, imagina un caso en el que un adjunto de servicio tiene una lista de aceptación del consumidor que incluye project-1 y project-2, ambos con un límite de una conexión. El proyecto project-1 solicita dos conexiones, project-2 una conexión y project-3 solicita otra. Debido a que project-1 tiene un límite de una conexión, se acepta la primera y la segunda permanece pendiente. Se acepta la conexión de project-2 y la conexión de project-3 permanece pendiente. Se puede aceptar la segunda conexión de project-1 si aumentas el límite de project-1. Si se agrega project-3 a la lista de aceptación del consumidor, esa conexión pasa de pendiente a aceptada.

Conciliación de conexiones

La conciliación de conexiones determina si las actualizaciones de las listas de aceptación o rechazo de un adjunto de servicio pueden afectar las conexiones existentes de Private Service Connect. Si la conciliación de conexiones está habilitada, la actualización o la denegación de las listas puede finalizar las conexiones existentes. Se pueden aceptar las conexiones que se rechazaron antes. Si la conciliación de conexiones está inhabilitada, la actualización de las listas de aceptación o rechazo solo afecta las conexiones nuevas y pendientes.

Por ejemplo, considera un adjunto de servicio que tiene varias conexiones aceptadas de Project-A. Project-A está en la lista de aceptación del adjunto de servicio. El adjunto de servicio se actualiza mediante la eliminación de Project-A de la lista de aceptación.

Si la conciliación de conexiones está habilitada, todas las conexiones existentes de Project-A realizan la transición a PENDING, lo que finaliza la conectividad de red entre las dos redes de VPC y detiene el tráfico de red de inmediato.

Si la conciliación de conexiones está inhabilitada, las conexiones existentes de Project-A no se verán afectadas. El tráfico de red aún puede fluir a través de las conexiones existentes de Private Service Connect. Sin embargo, no se permiten conexiones nuevas de Private Service Connect.

Para obtener información sobre cómo configurar la conciliación de conexiones para adjuntos de servicio nuevos, consulta Publica un servicio con aprobación explícita.

Para obtener más información sobre cómo configurar la conciliación de conexiones para adjuntos de servicio existentes, consulta Configura la conciliación de conexiones.

Conexiones propagadas

Los consumidores que se conectan al adjunto de servicio mediante extremos pueden habilitar la propagación de conexiones. Las conexiones propagadas permiten que las cargas de trabajo en radios de VPC del consumidor acceden a servicios administrados en redes de VPC de productor como si ambas redes de VPC estuvieran conectadas directamente a través de extremos. Cada conexión propagada consume una dirección IP de la subred NAT del adjunto de servicio.

Puedes ver la cantidad de conexiones propagadas que están asociadas con un extremo conectado cuando ves los detalles de un servicio publicado Esta cantidad no incluye las conexiones propagadas bloqueadas por el límite de conexiones propagadas del productor.

Límite de conexiones propagadas

Los adjuntos de servicio tienen un límite de conexiones propagadas, lo que permite que los productores de servicios limiten la cantidad de conexiones propagadas que se pueden establecer en el adjunto de servicio de un solo consumidor. Si no se especifica, el límite de conexiones propagadas predeterminado es 250.

  • Si la preferencia de conexión del adjunto de servicio es ACCEPT_MANUAL, el límite se aplica a cada proyecto o red de VPC que figura en la lista de aceptación del consumidor.
  • Si la preferencia de conexión es ACCEPT_AUTOMATIC, el límite se aplica a cada proyecto que contiene un extremo conectado.

Si un consumidor excede el límite de conexiones propagadas, no se crearán más conexiones propagadas. Para permitir la creación de extremos más propagados, puede aumentar el límite de conexiones propagadas Cuando aumentas este límite, Network Connectivity Center crea conexiones propagadas que estaban bloqueadas por el límite, siempre que las nuevas conexiones no superen el límite actualizado. La actualización de este límite no afecta los datos propagados existentes de tu organización.

Evita el agotamiento de la cuota

La cantidad total de extremos de Private Service Connect y de conexiones propagadas, de cualquier consumidor, que pueden acceder a tu la red de VPC de productor es controlada por la cuota de PSC ILB consumer forwarding rules per producer VPC network. Especialmente para servicios multiusuario, es importante protegerse contra el agotamiento de la cuota.

Puedes usar los siguientes límites para protegerte contra el agotamiento de la cuota:

  • Los límites de conexión de la lista de aceptación del consumidor controla la cantidad total de extremos de Private Service Connect que pueden crear conexiones a un adjunto de servicio desde un solo proyecto o una sola red de VPC de consumidor. Reducir estos límites no afecta las conexiones existentes. Estos límites no se aplican a las conexiones propagadas.
  • Los límites de conexiones propagadas controlan la cantidad total de conexiones propagadas que se pueden establecer a un adjunto de servicio de un solo consumidor. Reducir este límite no afecta los cambios existentes de conexiones propagadas.

Ejemplo

En el siguiente ejemplo, se muestra cómo los límites de conexiones propagadas y los límites de listas de aceptación funcionan con respecto a la cuota de PSC ILB consumer forwarding rules per producer VPC network.

Supongamos un caso en el que un consumidor creó dos extremos en una red de VPC de radio, spoke-vpc-1. Ambos extremos se conectan a service-attachment-1 en producer-vpc-1. El radio está conectado a un concentrador de Network Connectivity Center que tiene habilitada la propagación de conexiones, y no hay otros radios conectados a ese concentrador.

El productor del servicio configuró service-attachment-1 para que tenga un límite de aceptación de consumidores de cuatro para cada proyecto en la lista de aceptación. El productor configuró un límite de dos conexiones propagadas, especificando que un único proyecto puede tener hasta dos conexiones propagadas.

Esta configuración de ejemplo contiene dos extremos y no tiene conexiones propagadas (haz clic para ampliar).

El uso de la cuota y el límite para esta configuración es el siguiente:

Cuota/Límite Uso Explicación
Reglas de reenvío del consumidor de ILB de PSC por red de VPC del productor 2 una por extremo
Límite de conexiones de la lista de aceptación del adjunto de servicio para consumer-project-1 2 una por extremo
Límite de conexiones propagadas del adjunto de servicio para consumer-project-1 0 no hay conexiones propagadas

Supongamos que consumer-project-1 conecta otro radio llamado spoke-vpc-2 al mismo concentrador de Network Connectivity Center que spoke-vpc-1. Esto crea dos conexiones propagadas en consumer-project-1, una para cada extremo existente.

Esta configuración de ejemplo contiene dos extremos y dos conexiones propagadas (haz clic para ampliar).

El uso de la cuota y el límite para esta configuración es el siguiente:

Cuota/Límite Uso Explicación
Reglas de reenvío del consumidor de ILB de PSC por red de VPC del productor 4 una por extremo y una por conexión propagada
Límite de conexiones de la lista de aceptación del adjunto de servicio para consumer-project-1 2 una por extremo
Límite de conexiones propagadas del adjunto de servicio para consumer-project-1 2 una por conexión propagada

Consumer-project-1 agotó su límite de conexiones propagadas. Si el consumidor agrega otro radio de VPC, Private Service Connect no crea ninguna conexión propagada nueva.

Supongamos que otro consumidor tiene dos radios de VPC en consumer-project-2. Los radios se conectan a un concentrador de Network Connectivity Center con conexiones propagadas habilitadas. Uno de los radios de VPC contiene un único extremo que se conecta a service-attachment-1.

Esta configuración de ejemplo contiene tres extremos y tres conexiones propagadas (haz clic para ampliar).

El uso de la cuota y el límite para esta configuración es el siguiente:

Cuota/Límite Uso Explicación
Reglas de reenvío del consumidor de ILB de PSC por red de VPC del productor 6 cuatro de consumer-project-1 y dos de consumer-project-2
Límite de conexiones de la lista de aceptación del adjunto de servicio para consumer-project-1 2 una por extremo en consumer-project-1
Límite de conexiones de la lista de aceptación del adjunto de servicio para consumer-project-2 1 una por extremo en consumer-project-2
Límite de conexiones propagadas del adjunto de servicio para consumer-project-1 2 una por conexión propagada en consumer-project-1
Límite de conexiones propagadas del adjunto de servicio para consumer-project-2 1 una por conexión propagada en consumer-project-2

Configuración del DNS

Si deseas obtener información sobre la configuración de DNS para los servicios publicados y los extremos que se conectan a los servicios publicados, consulta Configuración de DNS para servicios.

Configuración de varias regiones

Puedes hacer que un servicio esté disponible en varias regiones si creas las siguientes configuraciones.

Configuración del productor:

Configuración del consumidor:

En esta configuración, el extremo enruta el tráfico mediante la política de balanceo de cargas global predeterminada: primero por estado y, luego, por ubicación más cercana al cliente.

El uso de un balanceador de cargas de aplicaciones externo global permite que los consumidores de servicios con acceso a Internet envíen tráfico a los servicios en la red de VPC del productor de servicios. Debido a que el servicio se implementa en varias regiones, el balanceador de cargas puede enrutar el tráfico a un NEG en la región en buen estado más cercana (haz clic para agrandar).

Traducción de la versión de IP

Para las conexiones entre los extremos de Private Service Connect para servicios publicados y adjuntos de servicios, la versión de IP de la dirección IP de la regla de reenvío del consumidor determina la versión IP del extremo y el tráfico que sale del extremo. La versión de IP del extremo puede ser IPv4 o IPv6, pero no ambas. Los consumidores pueden usar una dirección IPv4 si la subred de la dirección es de pila única. Los consumidores pueden usar una dirección IPv4 o IPv6 si la subred de la dirección es de pila doble. Los consumidores pueden conectar tanto extremos IPv4 como IPv6 al mismo adjunto de servicio, lo que puede ser útil para migrar servicios a IPv6.

Para las conexiones entre los extremos de Private Service Connect para servicios publicados y adjuntos de servicio, la versión de IP de la regla de reenvío del productor determina la versión de IP del adjunto de servicio y el tráfico que sale del adjunto de servicio. La versión de IP del adjunto de servicio puede ser IPv4 o IPv6, pero no ambas. Los productores pueden usar una dirección IPv4 si la subred de la dirección es de pila única. Los productores pueden usar una dirección IPv4 o IPv6 si la subred de la dirección es de pila doble.

La versión de IP de la dirección IP de la regla de reenvío del productor debe ser compatible con el tipo de pila de la subred NAT del adjunto de servicio. Si la regla de reenvío del productor es IPv4, la subred NAT puede ser de pila única o doble. Si la regla de reenvío del productor es IPv6, la subred NAT debe ser de pila doble.

Private Service Connect no admite la conexión de un extremo IPv4 con un adjunto de servicio IPv6. En este caso, la creación del extremo falla con el siguiente mensaje de error:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

Las siguientes combinaciones son posibles para las configuraciones compatibles:

  • Extremo de IPv4 al adjunto de servicio IPv4
  • Extremo de IPv6 al adjunto de servicio IPv6
  • Extremo de IPv6 al adjunto de servicio IPv4

    En esta configuración, Private Service Connect traduce automáticamente entre las dos versiones de IP.

Para las conexiones entre los backends de Private Service Connect y los adjuntos de servicio, las reglas de reenvío del consumidor y del productor deben usar IPv4.

Características y compatibilidad

En las siguientes tablas, una marca de verificación indica que una función es compatible, y un símbolo no indica que la función no es compatible.

Según el balanceador de cargas del productor que se elija, el servicio de productor puede admitir el acceso por extremos, backends o ambos.

Compatibilidad con extremos

En esta sección, se resumen las opciones de configuración que están disponibles para consumidores y productores cuando usan extremos para acceder a servicios de publicación.

Configuración del consumidor

En esta tabla, se resumen las opciones de configuración y las capacidades compatibles de los extremos que acceden a los servicios publicados.

Configuración del consumidor (extremo) Balanceador de cargas del productor
Balanceador de cargas de red de transferencia interno Balanceador de cargas de aplicaciones interno regional Balanceador de cargas de red del proxy interno regional Reenvío de protocolo interno (instancia de destino)
Acceso global al consumidor

Independientemente de la configuración de acceso global en el balanceador de cargas

Solo si el acceso global está habilitado en el balanceador de cargas antes de que se cree el adjunto de servicio

Solo si el acceso global está habilitado en el balanceador de cargas antes de que se cree el adjunto de servicio

Independientemente de la configuración de acceso global en el balanceador de cargas

Tráfico interconectado

Tráfico de Cloud VPN
Configuración de DNS automática Solo IPv4 Solo IPv4 Solo IPv4 Solo IPv4
Propagación de conexiones Solo IPv4 Solo IPv4 Solo IPv4 Solo IPv4
Extremos IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
Extremos IPv6
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv6
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv6

Configuración del productor

En esta tabla, se resumen las opciones de configuración y las capacidades de los servicios publicados a los que se accede mediante extremos.

Configuración del productor (servicio publicado) Balanceador de cargas del productor
Balanceador de cargas de red de transferencia interno Balanceador de cargas de aplicaciones interno regional Balanceador de cargas de red del proxy interno regional Reenvío de protocolo interno (instancia de destino)

Backends de productores compatibles:

  • NEG zonales de GCE_VM_IP
  • Grupos de instancias
  • NEGs de asignación de puertos
  • NEG zonales GCE_VM_IP_PORT
  • NEG híbridos
  • NEG sin servidores
  • NEG de Private Service Connect
  • Grupos de instancias
  • NEG zonales GCE_VM_IP_PORT
  • NEG híbridos
  • NEG sin servidores
  • NEG de Private Service Connect
  • Grupos de instancias
No aplicable
Protocolo PROXY Solo el tráfico de TCP Solo el tráfico de TCP
Modos de afinidad de sesión NINGUNO (5 tuplas)
CLIENT_IP_PORT_PROTO
No aplicable No aplicable No aplicable
Versión de IP
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv6
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv4
  • Reglas de reenvío del productor IPv6

Los diferentes balanceadores de cargas admiten diferentes configuraciones de puertos; algunos balanceadores de cargas admiten un solo puerto, otros admiten un rango de puertos y otros admiten todos los puertos. Para obtener más información, consulta Especificaciones de puertos.

Compatibilidad con backends

Un backend de Private Service Connect para servicios publicados requiere dos balanceadores de cargas: un balanceador de cargas del consumidor y un balanceador de cargas del productor. En esta sección, se resumen las opciones de configuración que están disponibles para consumidores y productores cuando usan backends para acceder a servicios de publicación.

Configuración del consumidor

En esta tabla, se describen los balanceadores de cargas de consumidores que son compatibles con los backends de Private Service Connect para servicios publicados, incluidos los protocolos de servicios de backend que se pueden usar con cada balanceador de cargas de consumidores. Los balanceadores de cargas de consumidores pueden acceder a los servicios publicados que se alojan en balanceadores de cargas de productores compatibles.

Balanceador de cargas del consumidor Protocolos Versión de IP

Balanceador de cargas de aplicaciones externo global (admite varias regiones)

Nota: No se admite el balanceador de cargas de aplicaciones clásico.

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Balanceador de cargas de aplicaciones externo regional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Balanceador de cargas de aplicaciones interno regional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Balanceador de cargas de aplicaciones interno entre regiones

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Balanceador de cargas de red del proxy interno regional

  • TCP
IPv4

Balanceador de cargas de red del proxy interno entre regiones

  • TCP
IPv4

Balanceador de cargas de red del proxy externo regional

  • TCP
IPv4

Balanceador de cargas de red del proxy externo global

Para asociar este balanceador de cargas con un NEG de Private Service Connect, usa Google Cloud CLI o envía una solicitud a la API.

Nota: No se admite el balanceador de cargas de red del proxy clásico.

  • TCP/SSL
IPv4

Configuración del productor

En esta tabla, se describe la configuración de los balanceadores de cargas del productor que son compatibles con los backends de Private Service Connect para servicios publicados.

Configuración Balanceador de cargas del productor
Balanceador de cargas de red de transferencia interno Balanceador de cargas de aplicaciones interno regional Balanceador de cargas de red del proxy interno regional
Backends de productores compatibles
  • NEG zonales de GCE_VM_IP
  • Grupos de instancias
  • NEG zonales GCE_VM_IP_PORT
  • NEG híbridos
  • NEG sin servidores
  • NEG de Private Service Connect
  • Grupos de instancias
  • NEG zonales GCE_VM_IP_PORT
  • NEG híbridos
  • NEG sin servidores
  • NEG de Private Service Connect
  • Grupos de instancias
Protocolos de reglas de reenvío
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
Puertos de regla de reenvío Se recomienda usar un solo puerto, consulta Configuración de puertos del productor Admite un solo puerto Admite un solo puerto
Protocolo PROXY
Versión de IP IPv4 IPv4 IPv4

Configuración del puerto del productor

Cuando un backend de consumidor se conecta a un servicio publicado alojado en un balanceador de cargas de red de transferencia interno, Google Cloud elige un puerto para que lo use el consumidor. El puerto se elige en función de la configuración del puerto de la regla de reenvío del productor. Ten en cuenta lo siguiente cuando crees la regla de reenvío para el balanceador de cargas del productor:

  • Te recomendamos que especifiques un solo puerto. En esta configuración, el backend del consumidor usa el mismo puerto.
  • Si especificas varios puertos, se aplica lo siguiente:

    • Si se incluye el puerto 443, el backend del consumidor usa el puerto 443.
    • Si no se incluye el puerto 443, el backend del consumidor usa el primer puerto de la lista, después de que esta se ordena alfabéticamente. Por ejemplo, si especificas los puertos 80 y 1111, el backend del consumidor usa el puerto 1111.
    • Cambiar los puertos que usan los backends de productor puede provocar una interrupción del servicio para los consumidores.

      Por ejemplo, supongamos que creas un servicio publicado con una regla de reenvío que usa los puertos 443 y 8443, y VMs de backend que responden en los puertos 443 y 8443. Cuando un backend de consumidor se conecta a este servicio, usa el puerto 443 para la comunicación.

      Si cambias las VMs de backend para que solo respondan en el puerto 8443, el backend del consumidor ya no podrá conectarse al servicio publicado.

  • No uses --port=ALL. Si se usa esta configuración, el backend del consumidor usa el puerto 1, que no funciona.

VPC compartida

Los administradores de proyectos de servicio pueden crear adjuntos de servicio en proyectos de servicio de VPC compartida que se conectan a recursos en las redes de VPC compartidas.

La configuración es la misma que la de un adjunto de servicio normal, excepto por las siguientes diferencias:

  • La regla de reenvío del balanceador de cargas del productor está asociada con una dirección IP de la red de VPC compartida. La subred de la regla de reenvío debe compartirse con el proyecto de servicio.
  • El adjunto de servicio usa una subred de Private Service Connect de la red de VPC compartida. Esta subred se debe compartir con el proyecto de servicio.

Logging

Puedes habilitar los registros de flujo de VPC en las subredes que contienen las VM de backend. Los registros muestran flujos entre las VM de backend y las direcciones IP en la subred de Private Service Connect.

Controles del servicio de VPC

Los Controles del servicio de VPC y Private Service Connect son compatibles entre sí. Si la red de VPC en la que se implementa el extremo de Private Service Connect está en un perímetro de Controles del servicio de VPC, el extremo forma parte del mismo perímetro. Cualquier servicio admitido por los Controles del servicio de VPC a los que se accede a través del extremo de está sujeto a las políticas de ese perímetro de los Controles del servicio de VPC.

Cuando creas un extremo, las llamadas a la API del plano de control se realizan entre los proyectos del consumidor y del productor para establecer una conexión de Private Service Connect. Establecer una conexión de Private Service Connect entre los proyectos del consumidor y del productor que no están en el mismo perímetro de los Controles del servicio de VPC no requiere una autorización explícita con políticas de salida. La comunicación con los servicios compatibles con los Controles del servicio de VPC a través del extremo está protegida por el perímetro de los Controles del servicio de VPC.

Visualiza la información de conexión del consumidor

De forma predeterminada, Private Service Connect traduce la dirección IP de origen del consumidor a una dirección en una de las subredes de Private Service Connect en la red de VPC del productor de servicios. Si deseas ver la dirección IP de origen original del consumidor, puedes habilitar el protocolo PROXY cuando publiques un servicio. Private Service Connect admite la versión 2 del protocolo PROXY.

No todos los servicios admiten el protocolo PROXY. Para obtener más información, consulta Funciones y compatibilidad.

Si el protocolo PROXY está habilitado, puedes obtener la dirección IP de origen del consumidor y el ID de conexión de PSC (pscConnectionId) desde el encabezado del protocolo PROXY.

El formato de los encabezados del protocolo PROXY depende de la versión de IP del extremo del consumidor. Si el balanceador de cargas de tu adjunto de servicio tiene una dirección IPv6, los consumidores pueden conectarse tanto con direcciones IPv4 como IPv6. Configura tu aplicación para que reciba y lea los encabezados del protocolo PROXY para la versión de IP del tráfico que recibe.

Para el tráfico de consumidores que fluye a través de una conexión propagada, la dirección IP de origen del consumidor y el ID de conexión de PSC hace referencia al extremo de Private Service Connect que se propaga.

Cuando habilitas el protocolo PROXY para un adjunto de servicio, el cambio se aplica solo a las conexiones nuevas. Las conexiones existentes no incluyen el encabezado del protocolo PROXY.

Si habilitas el protocolo PROXY, consulta la documentación del software del servidor web de backend para obtener información sobre el análisis y el procesamiento de los encabezados del protocolo PROXY entrantes en las cargas útiles de TCP de la conexión del cliente. Si el protocolo PROXY está habilitado en el adjunto de servicio, pero el servidor web de backend no está configurado para procesar encabezados de protocolo PROXY, las solicitudes web pueden tener un formato incorrecto. Si las solicitudes tienen formato incorrecto, el servidor no puede interpretarlas.

El ID de conexión de Private Service Connect (pscConnectionId) está codificado en el encabezado del protocolo PROXY en formato Type-Length-Value (TLV).

Campo Longitud del campo Valor del campo
Tipo 1 byte 0xE0 (PP2_TYPE_GCP)
Longitud 2 bytes 0x8 (8 bytes)
Valor 8 bytes El pscConnectionId de 8 bytes en orden de red

Puedes ver el pscConnectionId de 8 bytes de la regla de reenvío del consumidor o el adjunto de servicio del productor.

El valor pscConnectionId es único a nivel global para todas las conexiones activas en un momento determinado. Sin embargo, con el tiempo, un pscConnectionId podría volver a usarse en estas situaciones:

  • Dentro de una red de VPC determinada, si borras un extremo (regla de reenvío) y creas un extremo nuevo con la misma dirección IP, se podría usar el mismo pscConnectionId.

  • Si borras una red de VPC que contiene extremos (reglas de reenvío), después de un período de espera de siete días, el valor pscConnectionId que se usó para esos extremos podría usarse para un extremo diferente en otra red de VPC.

Puedes usar valores pscConnectionId para depurar y realizar un seguimiento de las fuentes de los paquetes.

Hay un ID de 16 bytes independiente de adjunto de servicio de Private Service Connect (pscServiceAttachmentId) disponible en el adjunto de servicio del productor. El valor pscServiceAttachmentId es un ID único a nivel global que identifica un adjunto de servicio de Private Service Connect. Puedes usar el valor pscServiceAttachmentId para obtener visibilidad y depurar. Este valor no se incluye en el encabezado del protocolo PROXY.

Precios

Los precios de Private Service Connect se describen en la página de precios de VPC.

Cuotas

La cantidad total de extremos de Private Service Connect y de conexiones propagadas, de cualquier consumidor, que pueden acceder a tu la red de VPC de productor es controlada por la cuota de PSC ILB consumer forwarding rules per producer VPC network.

Los extremos contribuyen a esta cuota hasta que se borran, incluso si el adjunto de servicio asociado se borra o se configura para rechazar la conexión. Las conexiones propagadas contribuyen a esta cuota hasta que se borra el extremo asociado, incluso si la propagación de conexiones está inhabilitada en el concentrador de Network Connectivity Center o se borra el radio de conexiones propagadas.

Acceso local

Los servicios de Private Service Connect están disponibles mediante extremos. Se puede acceder a estos extremos desde hosts locales conectados compatibles. Para obtener más información, consulta Accede al extremo desde hosts locales.

Limitaciones

Los servicios publicados tienen las siguientes limitaciones:

Para obtener información sobre problemas y soluciones alternativas, consulta Problemas conocidos.