Patrones de implementación de Private Service Connect

En esta página, se describen algunas formas comunes de cómo acceder a Private Service Connect y también implementarlo.

Servicios de usuario único

Los servicios de usuario único son aquellos que se dedican a un solo consumidor o usuario. Por lo general, la instancia de servicio se aloja en una red de VPC independiente dedicada a ese usuario para aislarla de otras redes de VPC de usuarios en la organización del productor. Cada servicio usa una lista de aceptación del consumidor para controlar qué proyectos pueden conectarse al servicio. Con la lista de aceptación, puedes limitar el acceso a un solo usuario. Aunque solo un usuario se puede conectar al servicio, es posible que este cree varios extremos o backends si se conecta desde varias redes de VPC.

Figura 1. En un servicio administrado de usuario único, el productor implementa un servicio en una red de VPC independiente dedicada a ese consumidor (haz clic para agrandar).

Servicios multiusuario

Los servicios multiusuario son aquellos a los que pueden acceder varios consumidores o usuarios. El productor configura la lista de aceptación de consumidores del servicio para que los consumidores de varios proyectos o de cualquiera de ellos se puedan conectar al servicio. La lista de aceptación del consumidor también permite que el productor controle la cantidad de conexiones de Private Service Connect que puede crear cada proyecto. Estos límites ayudan al productor a evitar el agotamiento de los recursos o las cuotas. Si el productor necesita identificar qué usuario es la fuente de tráfico, puede habilitar el protocolo PROXY en el servicio.

Figura 2. En un servicio administrado multiusuario, varios consumidores pueden acceder a un servicio en una red de VPC (haz clic para agrandar).

Acceso multipunto

El acceso multipunto ocurre cuando varios extremos o backends de Private Service Connect se conectan al mismo adjunto de servicio. Private Service Connect multipunto es útil para los servicios multiusuario, ya que permite que varios consumidores independientes se conecten al mismo servicio. También es útil para los servicios de usuario único en casos como la creación de conectividad de servicios en varias redes de VPC dentro de un solo consumidor.

No todos los productores de servicios eligen admitir el acceso multipunto en su servicio administrado. Comunícate con tu productor de servicios para verificar si sus adjuntos de servicio admiten el acceso multipunto.

Acceso multirregión

Los servicios administrados multirregionales son servicios a los que se accede o que se implementan en varias regiones. Los clientes pueden acceder a los servicios en una región diferente porque el servicio no existe en su región local o para lograr una alta disponibilidad y una conmutación por error multirregional. Como Trusted Cloud admite redes de VPC globales, el acceso global de Private Service Connect permite que los clientes lleguen a los extremos de Private Service Connect desde cualquier región. El tráfico del cliente puede ser de instancias de máquina virtual (VM) de Compute Engine, túneles de Cloud VPN y adjuntos de VLAN para Cloud Interconnect.

Figura 3. Se puede acceder a los extremos de Private Service Connect con acceso global desde cualquier región (haz clic para agrandar).

Acceso híbrido y local

Puedes conectar redes locales o cualquier otro proveedor de servicios en la nube a tu red de VPC a través de adjuntos de VLAN para Cloud Interconnect y túneles de Cloud VPN. Debido a que los extremos para las APIs de Google y los extremos para los servicios publicados son accesibles de forma global, los clientes en redes conectadas pueden enviar solicitudes a extremos en cualquier región. Sin embargo, puedes implementar extremos en varias regiones para controlar el enrutamiento de redes híbridas de forma más detallada. Puedes enrutar el tráfico híbrido desde una región específica a un extremo local que optimice la ruta más corta para el tráfico.

Figura 4. Se puede acceder a los extremos y los backends de Private Service Connect desde redes conectadas (haz clic para agrandar).

Conectividad bidireccional

Si bien los clientes consumidores suelen iniciar conexiones con los servicios administrados, a veces estos servicios deben iniciar conexiones con los servicios que pertenecen al consumidor.

Conectividad privada inversa

Revertir la conectividad privada sucede cuando un consumidor permite que las VMs y los clústeres de GKE de una red de VPC de productor inicien tráfico a una red de VPC del consumidor a través de la implementación de Private Service Connect de modo inverso. En este caso, el consumidor implementa un balanceador de cargas interno y un adjunto de servicio, que publica su servicio para los productores. Juntos, los productores y los consumidores pueden usar Private Service Connect en dirección inversa y directa para crear conectividad bidireccional entre sí.

Figura 5. La conectividad privada inversa permite que los consumidores y productores creen conectividad bidireccional entre sí (haz clic para agrandar).

Interfaces de Private Service Connect

Las interfaces de Private Service Connect crean conexiones transitivas bidireccionales entre las redes de VPC de consumidores y productores. Los recursos de las redes de VPC del consumidor y del productor pueden iniciar conexiones a través de la interfaz de Private Service Connect. Además, como la conexión es transitiva, los recursos de la red de VPC del productor pueden comunicarse con otras cargas de trabajo que están conectadas a la red de VPC del consumidor. Por ejemplo, una VM en la red de VPC del productor puede llegar a cargas de trabajo en redes que están conectadas a la red de VPC del consumidor a través de Cloud Interconnect o el intercambio de tráfico entre redes de VPC.

Servicios híbridos

Los servicios híbridos que no se encuentran en Trusted Cloud pueden estar en otras nubes, en un entorno local o en cualquier combinación de estas ubicaciones. Private Service Connect te permite hacer que un servicio híbrido sea accesible en otra red de VPC.

Se puede acceder a los servicios híbridos a través de NEG híbridos que sean compatibles con balanceadores de cargas admitidos.

A menudo, esta configuración se usa como una forma de conectividad privada inversa, en la que los productores de servicios establecen conexiones con los servicios del consumidor que se alojan en redes locales. Private Service Connect permite que el productor llegue a las redes híbridas del consumidor sin establecer una conectividad directamente con esas redes.

Figura 6. La conectividad privada inversa permite que los consumidores y productores creen conectividad bidireccional entre sí (haz clic para agrandar).

Para ver un ejemplo de configuración, consulta Publica un servicio híbrido con Private Service Connect.

VPC compartida

Los recursos de Private Service Connect se pueden implementar en redes de VPC independientes o en redes de VPC compartida. Los extremos, los backends y los adjuntos de servicio de Private Service Connect se pueden implementar en proyectos host o proyectos de servicio.

Por ejemplo, un administrador de servicios del consumidor puede implementar backends y extremos de Private Service Connect en proyectos de servicio con direcciones IP de subredes en el proyecto host. Con esta configuración, se puede acceder a los extremos y los backends desde otros proyectos de servicio en la misma red de VPC compartida.

Todos los clientes dentro de una red de VPC compartida tienen conectividad a un extremo de Private Service Connect, sin importar el proyecto en el que se implemente. Sin embargo, la elección del proyecto sí afecta la visibilidad, el acceso a IAM y el proyecto al que se carga la facturación de recursos por hora.

Figura 7. Puedes hacer que los recursos de Private Service Connect estén disponibles en todos los proyectos de servicio asociados con una red de VPC compartida (haz clic para agrandar).

¿Qué sigue?