Es posible que parte o toda la información de esta página no se aplique a Cloud de Confiance de S3NS. Para obtener más información, consulta Diferencias con respecto a Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Private Service Connect

En este documento se ofrece una descripción general de Private Service Connect.

Private Service Connect es una función de Cloud de Confiance by S3NS redes que permite a los consumidores acceder de forma privada a servicios gestionados desde su red de VPC. Del mismo modo, permite a los productores de servicios gestionados alojar estos servicios en sus propias redes de VPC independientes y ofrecer una conexión privada a sus consumidores. Por ejemplo, cuando usas Private Service Connect para acceder a Cloud SQL, eres el consumidor del servicio y Google es el productor del servicio.

Con Private Service Connect, los consumidores pueden usar sus propias direcciones IP internas para acceder a los servicios sin salir de sus redes de VPC. El tráfico se mantiene completamente dentro de Cloud de Confiance by S3NS. Private Service Connect proporciona acceso orientado a servicios entre consumidores y productores con un control granular sobre cómo se accede a los servicios.

**Imagen 1.** Private Service Connect te permite enviar tráfico a puntos finales y backends que reenvían el tráfico a servicios gestionados, incluidas las APIs de Google y los servicios publicados. Las interfaces de Private Service Connect permiten que los servicios gestionados inicien conexiones con redes de VPC de consumidores.

Elegir una función de Private Service Connect

En la siguiente tabla se resumen las funciones de Private Service Connect que se deben usar en diferentes casos prácticos.

Caso práctico	Función Private Service Connect
Usar servicios	Endpoints proporciona conectividad de capa 4 a los servicios.
Producir servicios	Los servicios publicados permiten que los consumidores envíen solicitudes a tu servicio. Si necesitas iniciar conexiones con los consumidores, usa interfaces.

Tipos de Private Service Connect

Private Service Connect está disponible en diferentes tipos que ofrecen distintas funciones y modos de comunicación.

Los productores de servicios publican sus aplicaciones para los consumidores creando servicios de Private Service Connect. Los consumidores de servicios acceden a esos servicios de Private Service Connect directamente a través de uno de estos tipos de Private Service Connect:

Endpoints de Private Service Connect. Los endpoints se implementan mediante reglas de reenvío que proporcionan al consumidor una dirección IP asignada al servicio Private Service Connect.
Back-ends de Private Service Connect. Los backends se implementan mediante grupos de endpoints de red (NEGs) que permiten a los consumidores dirigir el tráfico a su balanceador de carga antes de llegar a un servicio de Private Service Connect.

Los productores de servicios pueden iniciar conexiones con los consumidores de servicios mediante interfaces de Private Service Connect. Las interfaces de Private Service Connect proporcionan comunicación bidireccional y se pueden usar en la misma red de VPC que los puntos finales y los back-ends.

Endpoints

Los endpoints de Private Service Connect son direcciones IP internas de una red de VPC de consumidor a las que pueden acceder directamente los clientes de esa red. Los puntos finales se crean implementando una regla de reenvío que hace referencia a un adjunto de servicio.

En el siguiente diagrama se muestra un punto final de Private Service Connect que apunta a un servicio publicado que se ejecuta en una red de VPC y una organización independientes. Los puntos finales de Private Service Connect y los servicios publicados permiten que dos empresas independientes se comuniquen entre sí mediante direcciones IP internas. Para obtener más información, consulta Información sobre el acceso a servicios publicados a través de endpoints.

**Imagen 2.** Private Service Connect te permite enviar tráfico a puntos finales que reenvían el tráfico a servicios publicados en otra red de VPC.

Interfaces

Una interfaz de Private Service Connect es un tipo especial de interfaz de red que hace referencia a una vinculación de red.

Un productor de servicios puede crear una interfaz de Private Service Connect y solicitar una conexión a una vinculación de red. Si el consumidor de servicios acepta la conexión, Cloud de Confiance by S3NS asigna a la interfaz una dirección IP de una subred de la red de VPC del consumidor especificada por la vinculación de red. La VM de la interfaz de Private Service Connect tiene una segunda interfaz de red estándar que se conecta a la red de VPC del productor.

Una conexión entre una interfaz de Private Service Connect y una vinculación de red es similar a la conexión entre un endpoint de Private Service Connect y una vinculación de servicio, pero tiene dos diferencias clave:

Una interfaz de Private Service Connect permite que una red de VPC de un productor inicie conexiones con una red de VPC de un consumidor (salida de servicio gestionado). Un punto final funciona en la dirección opuesta, lo que permite que una red de VPC de consumidor inicie conexiones con una red de VPC de productor (entrada de servicio gestionado).
Una conexión de interfaz de Private Service Connect es transitiva. Esto significa que las cargas de trabajo de una red de productor pueden iniciar conexiones con otras cargas de trabajo que estén conectadas a la red de VPC del consumidor. Los puntos finales de Private Service Connect solo pueden iniciar conexiones con la red de VPC del productor.

**Imagen 6.** Las interfaces de Private Service Connect permiten que los productores de servicios inicien conexiones con los consumidores de servicios.

Servicios gestionados de Private Service Connect

Los servicios gestionados son servicios cuya propiedad y gestión corresponden a una persona distinta del consumidor del servicio. Private Service Connect se puede usar para acceder a servicios gestionados propiedad de Google, empresas de software como servicio (SaaS) de terceros u otros equipos de la propia empresa del consumidor. Tanto los servicios publicados como las APIs de Google pueden ser destinos de Private Service Connect.

Private Service Connect admite el acceso a los siguientes tipos de servicios gestionados:

Servicios publicados alojados en VPC
APIs de Google

Servicios publicados

Los servicios publicados son servicios alojados en VPC que se implementan en la red de VPC del productor y a los que se accede desde la red de VPC del consumidor. Publicar un servicio permite al productor de servicios poseer y controlar la implementación del servicio en su propia red de VPC. Los servicios publicados pueden incluir lo siguiente:

Servicios de Google, como GKE, Apigee o Cloud Composer. Estos servicios se ejecutan en proyectos de clientes y redes de VPC gestionados por Google.
Servicios de terceros, donde terceros ofrecen acceso privado a un servicio publicado enCloud de Confiance.
Servicios intraorganizativos: una sola empresa tiene clientes que acceden a aplicaciones internas en diferentes redes de VPC. Algunas organizaciones usan redes de VPC independientes para la segmentación interna. Con esta configuración, un equipo puede ofrecer un servicio gestionado a otro equipo que opere en una red de VPC independiente.

Vinculaciones de servicio

Los vinculaciones de servicio son recursos que se usan para crear servicios publicados de Private Service Connect.

Se puede acceder a los adjuntos de servicio mediante endpoints o backends. Se pueden conectar varios back-ends o endpoints a la misma vinculación de servicio, lo que permite que varias redes de VPC o varios consumidores accedan a la misma instancia de servicio.

Una vinculación de servicio se dirige a un balanceador de carga de productor y permite que los clientes de una red de VPC de consumidor accedan al balanceador de carga. La configuración de ServiceAttachment define lo siguiente:

Una lista de aceptación de consumidores que define qué consumidores pueden conectarse al servicio.
La subred NAT desde la que se origina el tráfico traducido en la red de VPC del productor.

Características de Private Service Connect

Private Service Connect proporciona conectividad privada con las siguientes características:

Diseño orientado a servicios. Los servicios de productor se publican a través de balanceadores de carga que exponen una única dirección IP a la red de VPC del consumidor. El tráfico de los consumidores que accede a los servicios de los productores es unidireccional y solo puede acceder a la dirección IP del servicio, en lugar de tener acceso a toda una red de VPC emparejada.
Autorización explícita. Private Service Connect proporciona un modelo de autorización que ofrece a los consumidores y productores un control granular, lo que garantiza que solo los puntos finales de servicio previstos y ningún otro recurso puedan conectarse a un servicio.
Sin dependencias compartidas. El tráfico entre consumidores y productores usa NAT, por lo que no hay coordinación de direcciones IP ni otras dependencias de recursos compartidos entre las redes de VPC de consumidores y productores. Esta independencia ayuda a simplificar el despliegue y el escalado del servicio.
Rendimiento de velocidad de línea. El tráfico de Private Service Connect va directamente de la máquina física que aloja la VM del cliente consumidor a la máquina física que aloja la VM del balanceador de carga del productor. Las máquinas host físicas realizan la NAT directamente, lo que reduce la latencia. La capacidad de ancho de banda de Private Service Connect solo está limitada por la capacidad de ancho de banda de las máquinas host físicas que se comunican directamente.

Para obtener más información sobre el diseño interno de Private Service Connect, consulta Arquitectura y rendimiento de Private Service Connect.

Siguientes pasos

Consulta información sobre cómo acceder a servicios publicados a través de endpoints.
Consulta información sobre la publicación de servicios.