Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta Diferencias con Google Cloud para obtener más información.

Descripción general de Private Service Connect

MySQL | PostgreSQL | SQL Server

En esta página, se describen conceptos asociados con Private Service Connect. Puedes usar Private Service Connect para lo siguiente:

Conectarte a una instancia de Cloud SQL desde varias redes de VPC que pertenezcan a organizaciones, grupos, equipos o proyectos diferentes
Conectarte a una instancia principal o a cualquiera de sus réplicas de lectura

Extremo de Private Service Connect

Puedes usar extremos de Private Service Connect para acceder a instancias de Cloud SQL de forma privada desde tus redes de VPC de consumidor. Estos extremos son direcciones IP internas que están asociadas con una regla de reenvío que hace referencia a un adjunto de servicio de una instancia de Cloud SQL.

Puedes hacer que Cloud SQL cree el extremo automáticamente o puedes crearlo de forma manual.

Para que Cloud SQL cree el extremo automáticamente, haz lo siguiente:

Crea una política de conexión de servicio en tus redes de VPC.
Crea una instancia de Cloud SQL con Private Service Connect habilitado para la instancia y configúrala para que cree un extremo automáticamente. Mientras creas la instancia, especifica parámetros de conexión automática, como redes de VPC y proyectos.

Cloud SQL ubica la política de conexión de servicio en estas redes y crea un extremo de Private Service Connect que apunta al adjunto de servicio de la instancia.

Después de crear la instancia y que Cloud SQL cree el extremo, los clientes de las redes de VPC correspondientes pueden conectarse a la instancia desde el extremo, ya sea a través de una dirección IP o un registro DNS.

Para crear el extremo de forma manual, haz lo siguiente:

Crea una instancia de Cloud SQL con Private Service Connect habilitado para la instancia.
Obtén el adjunto de servicio URI que necesitas para crear el extremo de forma manual.
Reserva una dirección IP interna en tu red de VPC para el extremo y crea un extremo con esa dirección.

Después de crear la instancia y que Cloud SQL cree el extremo, los clientes de las redes de VPC correspondientes pueden conectarse a la instancia desde el extremo, ya sea a través de una dirección IP o un registro DNS.

Política de conexión de servicios

Una política de conexión de servicio te permite autorizar una clase de servicio especificada para crear una conexión de Private Service Connect entre redes de VPC. Como resultado, puedes aprovisionar extremos de Private Service Connect automáticamente.

Puedes crear un máximo de una política para cada combinación de clase de servicio, región y red de VPC. Una política dicta la automatización de la conectividad de servicio para esa combinación específica. Cuando configuras una política, seleccionas una subred. La subred se usa para asignar direcciones IP a los extremos que creas a través de la política. Si varias políticas de conexión de servicio comparten la misma región, puedes reutilizar la misma subred para todas las políticas.

Por ejemplo, si deseas usar la automatización de la conectividad de servicio con dos servicios en tres regiones diferentes, crea seis políticas. Puedes usar un mínimo de tres subredes: una para cada región.

Después de crear una política de conexión de servicio, solo puedes actualizar la subred y el límite de conexiones. Si necesitas actualizar otros campos, haz lo siguiente:

Quita todas las conexiones que usan la política.
Borra la política.
Crea una política nueva.

Adjunto de servicio

Cuando creas una instancia de Cloud SQL y la configuras para que use Private Service Connect, Cloud SQL crea un adjunto de servicio para la instancia de forma automática. Un adjunto de servicio es un punto de conexión que usan las redes de VPC para acceder a la instancia.

Crea un extremo de Private Service Connect que la red de VPC usará para conectarse al adjunto de servicio. Esto permite que la red acceda a la instancia.

Cada instancia de Cloud SQL tiene un adjunto de servicio al que el extremo de Private Service Connect puede conectarse a través de la red de VPC. Si hay varias redes, cada una tiene su propio extremo.

Nombres y registros DNS

En el caso de las instancias con Private Service Connect habilitado, te recomendamos que uses el nombre de DNS, ya que diferentes redes pueden conectarse a la misma instancia y los extremos de Private Service Connect en cada red pueden tener direcciones IP diferentes. Además, el proxy de autenticación de Cloud SQL requiere nombres de DNS para conectarse a estas instancias.

Las instancias de Cloud SQL con Private Service Connect habilitado pueden tener dos tipos de nombres de DNS:

Un nombre de DNS por instancia. Está disponible para instancias en todas las ediciones de Cloud SQL. La instancia principal y cada instancia de réplica tienen nombres de DNS por instancia separados.
Un nombre de DNS de extremo de escritura global. Está disponible para instancias en la edición Cloud SQL Enterprise Plus, para ayudar con la recuperación ante desastres (DR) avanzada. Un extremo de escritura es un nombre de DNS global que se resuelve automáticamente en la dirección IP de la instancia principal actual. En el caso de una operación de conmutación por error o cambio de réplica, este extremo de escritura redirecciona automáticamente las conexiones entrantes a la nueva instancia principal. Al usar un extremo de escritura, puedes evitar tener que realizar cambios en la conexión de la aplicación cuando realizas una operación de conmutación por error o cambio de réplica para la recuperación ante una interrupción regional o un simulacro de recuperación ante desastres.

Para un nombre de DNS por instancia, puedes hacer que Cloud SQL cree registros DNS automáticamente o puedes crear el nombre de DNS de forma manual.

Si usas el enfoque manual, puedes obtener el nombre de DNS por instancia recomendado de la respuesta de la API de búsqueda de instancias y, luego, crear el registro DNS en una zona del DNS privado en la red de VPC correspondiente. Consulta los detalles en Configura el DNS de forma manual.

Función de automatización de DNS

Como alternativa, puedes usar la función de automatización de DNS para permitir que Cloud SQL aprovisione y administre automáticamente los registros DNS para el nombre de DNS por instancia en tus redes de VPC de consumidor autorizadas.

Para obtener más información sobre cómo habilitar y configurar la automatización de DNS, consulta Crea una instancia con la automatización de DNS habilitada.

Cuando usas la función de automatización de DNS en instancias de la edición Cloud SQL Enterprise Plus, Cloud SQL también aprovisiona y administra automáticamente los registros DNS para el nombre de DNS global del extremo de escritura en tus redes de VPC de consumidor autorizadas.

La automatización de DNS tiene las siguientes limitaciones:

No es posible conectarse desde el proxy de autenticación o los conectores de lenguaje a un nombre de DNS por instancia o un extremo de escritura creado a través de la automatización de DNS.
No se admite la configuración de la automatización de DNS con la Cloud de Confiance consola o Terraform.

Proyectos de Private Service Connect permitidos

Los proyectos permitidos son proyectos asociados con redes de VPC y son específicos de cada instancia de Cloud SQL. Si una instancia no se encuentra en ningún proyecto permitido, no puedes habilitar Private Service Connect para la instancia.

En estos proyectos, puedes crear extremos de Private Service Connect para cada instancia. Si un proyecto no está permitido de forma explícita, puedes crear un extremo para las instancias del proyecto, pero el extremo permanece en estado PENDING.

Propagación del extremo de Private Service Connect

De forma predeterminada, las conexiones de Private Service Connect no son transitivas de las redes de VPC con intercambio de tráfico. Debes crear un extremo de Private Service Connect en cada red de VPC que necesite conectarse a tu instancia de Cloud SQL. Por ejemplo, si tienes tres redes de VPC que deben conectarse a tu instancia, debes crear tres extremos de Private Service Connect: un extremo para cada red de VPC.

Sin embargo, cuando propagas extremos de Private Service Connect a través de el concentrador de Network Connectivity Center, cualquier otra red de VPC de radio en el mismo concentrador puede acceder a estos extremos. El concentrador proporciona un modelo de administración de conectividad centralizado para interconectar redes de VPC de radio a extremos de Private Service Connect.

La función de propagación de conexiones en NCC beneficia el siguiente caso de uso para implementaciones de Private Service Connect:

Puedes usar una red de VPC de servicios comunes para crear varios extremos de Private Service Connect. Cuando agregas una sola red de VPC de servicios comunes al concentrador de NCC, todos los extremos de Private Service Connect en la red de VPC se vuelven accesibles de forma transitiva para otras redes de VPC de radio a través del concentrador. Esta conectividad elimina la necesidad de administrar cada extremo de Private Service Connect en cada red de VPC de forma individual.

Para obtener información sobre cómo usar el concentrador de NCC para propagar extremos de Private Service Connect a redes de VPC de radio, consulta el codelab de propagación de NCC-Private Service Connect.

Backend de Private Service Connect

Puedes usar backends de Private Service Connect como alternativa a los extremos de Private Service Connect, para acceder a instancias de Cloud SQL. Para facilitar el uso, te recomendamos que te conectes a tus instancias de Cloud SQL con extremos de Private Service Connect. Para obtener visibilidad y control adicionales, puedes conectarte con backends de Private Service Connect.

Para usar backends de Private Service Connect, debes configurar los siguientes recursos para cada puerto de servicio en el que deseas acceder a una instancia de Cloud SQL determinada:

Grupo de extremos de red (NEG) de Private Service Connect, que debe hacer referencia al adjunto de servicio y a un puerto de servicio de la instancia de Cloud SQL.
Balanceador de cargas de red de proxy interno (que consta de un servicio de backend, un proxy TCP de destino y una regla de reenvío) con su backend como el NEG de Private Service Connect

Los puertos de servicio admitidos para PostgreSQL son los siguientes:

Puerto TCP 5432 para conexiones directas al servidor de base de datos de PostgreSQL
Puerto TCP 6432 para conexiones directas al servidor PgBouncer cuando se usa el agrupamiento de conexiones administrado.
Puerto TCP 3307 para conexiones a través del proxy de autenticación de Cloud SQL.

Conexiones salientes de Private Service Connect

Puedes adjuntar una interfaz de Private Service Connect a tus instancias existentes habilitadas para Private Service Connect de Cloud SQL con un adjunto de red para permitir que tu instancia de Cloud SQL realice conexiones salientes a tu red. Para conectarte a la interfaz de Private Service Connect de tu red, necesitas un adjunto de red nuevo o existente en tu Cloud de Confiance by S3NS proyecto.

Puedes usar la conectividad saliente para migrar datos de un servidor externo dentro de tu red, usar extensiones de PostgreSQL que requieren una conexión saliente a tu instancia de Cloud SQL o realizar una migración homogénea con Database Migration Service.

Limitaciones

Cuando usas una interfaz de Private Service Connect con un adjunto de red para crear conexiones salientes a tu red desde tu instancia de Cloud SQL, ten en cuenta las siguientes limitaciones:

Habilitar o inhabilitar la conectividad saliente de Private Service Connect requiere tiempo de inactividad. Puedes esperar que esta operación tarde unos 8 minutos en completarse con un tiempo de inactividad aproximado de 3 minutos.
Si usas un nombre de host o DNS para tu conexión saliente, el nombre de DNS debe poder resolverse de forma pública y resolverse en un rango de IP RFC-1918.
Las direcciones IPv6 no son compatibles.
No se admiten direcciones IP públicas.
No se puede habilitar la conectividad saliente de Private Service Connect en una instancia de réplica de lectura.
No se admite el cambio para instancias con la conectividad saliente de Private Service Connect habilitada.
No puedes habilitar la conectividad saliente de Private Service Connect para una instancia que tiene una réplica de DR.
No puedes convertir la réplica de una instancia que tiene habilitada la conectividad saliente de Private Service Connect en una réplica de DR.
Si la dirección IP de conectividad saliente entra en conflicto con la IP eth0 o la regla de reenvío de Private Service Connect, es posible que la dirección IP no se conecte correctamente. Para obtener más información, consulta Descripción general de Private Service Connect.
Si tu instancia está configurada para el acceso privado a servicios y Private Service Connect, no puedes habilitar la conectividad saliente de Private Service Connect para tu instancia.

Para obtener más información sobre cómo configurar la conectividad saliente para tu instancia de Cloud SQL, consulta Configura la conectividad saliente.

¿Qué sigue?

Obtén más información sobre IP privada.
Obtén más información sobre cómo conectarte a una instancia mediante Private Service Connect.