Redes na direção norte com o Private Service Connect

Esta página se aplica à Apigee, mas não à Apigee híbrida.

Confira a documentação da Apigee Edge.

Neste documento, descrevemos o uso do Private Service Connect para configurar o roteamento de clientes para a Apigee, também chamado de tráfego "norte".

Visão geral

É possível usar o Private Service Connect para conectar a VPC da Apigee com a VPC com que você fez peering com a Apigee ou com qualquer outra VPC controlada por você. Esse padrão de arquitetura elimina a necessidade de criar grupos de instâncias gerenciados para encaminhar solicitações do balanceador de carga global para a Apigee. Com o método de roteamento do Private Service Connect, as solicitações de proxy de API passam por um balanceador de carga de aplicativo externo que você instala em uma VPC para um único ponto de anexo na VPC da Apigee, chamado Anexo de serviço. Essa configuração permite enviar solicitações de proxy de API do Apigee de qualquer máquina ativada para rede. Confira a Figura 1.

Observe os seguintes recursos do Private Service Connect compatíveis com o norte:

É possível usar o Private Service Connect com qualquer instância da Apigee.
É possível anexar vários grupos de endpoints de rede (NEGs, na sigla em inglês) do Private Service Connect ao balanceador de carga de aplicativo externo do Google Cloud baseado no Envoy.
O Private Service Connect é compatível com o VPC Service Controls.
É possível definir uma política de tráfego de detecção de outlier no serviço de back-end para processar automaticamente os cenários de failover. Para saber mais, consulte os seguintes artigos:

Figura 1: conexões de serviço particulares

Restrições

O uso do Private Service Connect com a Apigee atualmente tem as seguintes restrições:

Restrições : observe as seguintes restrições para a configuração do Private Service Connect:

O balanceador de carga HTTP(S) externo global (clássico) não é compatível com essa configuração.
Para failover com vários NEGs do Private Service Connect, as verificações de integridade ativas não são compatíveis. Use a detecção de outlier.
Os limites se aplicam ao número de projetos do Google Cloud que podem se conectar a uma instância da Apigee pelo Private Service Connect e ao número de conexões NEG do Private Service Connect que você pode ter por projeto. Para mais detalhes, consulte Limites do Private Service Connect.
Se um projeto na nuvem do Google for removido de consumerAcceptList, os NEGs do Private Service Connect existentes nesse projeto removido vão continuar funcionando. No entanto, os novos NEGs serão recusados. Você precisará excluir os NEGs atuais se remover os projetos associados a eles do consumerAcceptList. Também é possível recriar a instância da Apigee, que recria o anexo de serviço no projeto da Apigee.

Como atualizar a lista de aceitação do consumidor de uma instância da Apigee

Em 10 de outubro de 2024, o limite de conexões de NEG do Private Service Connect permitido por projeto a uma instância da Apigee foi aumentado de 20 para 100. Para instâncias da Apigee criadas antes dessa data, siga as etapas desta seção para atualizar a lista de aceitação do consumidor e aproveitar o novo limite. Você só precisa fazer upgrade de cada instância da Apigee uma vez para receber o novo limite de conexão. Consulte também os limites do Private Service Connect.

Se você precisar ter mais de 1.000 conexões NEG do Private Service Connect no total em todos os projetos do Cloud conectados a uma instância da Apigee, entre em contato com o suporte do Google Cloud.

Para atualizar a lista de aceitação do consumidor de uma instância da Apigee e aproveitar o limite de conexão mais alto, siga estas etapas:

Console do Cloud

Para conferir as etapas detalhadas, consulte Editar a lista de projetos aceitos.

API Apigee

Edite a lista de aceitação do consumidor atual para sua instância da Apigee. Para usar a API instances:

Receba o token de autenticação para a API Apigee:
```
TOKEN="$(gcloud auth print-access-token)"
```

Receber a lista de projetos do Cloud na lista de aceitação do consumidor de uma instância:

curl https://apigee.googleapis.com/v1/organizations/PROJECT_ID/instances/INSTANCE_ID \
  -H "Authorization: Bearer $TOKEN" -H Content-Type:application/json | jq .consumerAcceptList

Crie um arquivo JSON chamado update_consumer_accept_list.json que contenha a lista atual de projetos aceitos retornados pelo comando anterior. Por exemplo:
```
{
  "consumerAcceptList": [
    "dg-runtime-test1",
    "ne24b79b92c7db623p-tp",
    "dg-runtime-test2",
    "jd2fee78402218863p-tp"
  ]
}
```
Se quiser, edite o arquivo para adicionar mais projetos.

Atualize a instância usando o arquivo JSON criado como entrada. Exemplo:

curl https://apigee.googleapis.com/v1/organizations/PROJECT_ID/instances/INSTANCE_ID?updateMask="consumer_accept_list" \
  -X PATCH -H "Authorization: Bearer $TOKEN" -H Content-Type:application/json -d @update_consumer_accept_list.json

Configurar o roteamento do Private Service Connect

Oferecemos suporte ao uso do Private Service Connect para roteamento na direção norte de clientes internos e externos. Para instruções detalhadas, consulte a Etapa 8: configurar o roteamento das instruções de provisionamento da CLI.

Expansão multirregional com o Private Service Connect

É possível expandir uma organização da Apigee em várias regiões e usar o Private Service Connect para roteamento na direção norte nas novas regiões. Para detalhes, consulte Como expandir a Apigee para várias regiões.

Como excluir uma instância da Apigee

Para excluir uma instância do Apigee que usa o Private Service Connect, siga estas etapas:

Remova e exclua o back-end de NEG do Private Service Connect do balanceador de carga externo.
Exclua a instância de ambiente de execução da Apigee usando a API Apigee. Essa é uma operação de longa duração que pode levar até 20 minutos para ser concluída.
Recupere o estado da operação de longa duração usando a API Apigee.