O Private Service Connect permite que os consumidores acessem serviços gerenciados de maneira particular de dentro da rede de nuvem privada virtual (VPC). Da mesma forma, ele permite que os produtores de serviços gerenciados hospedem esses serviços em redes e projetos VPC separados e ofereçam uma conexão privada aos consumidores. As conexões do Private Service Connect não são transitivas entre spokes de VPC. A propagação dos serviços do Private Service Connect pelo hub do Network Connectivity Center permite que esses serviços sejam acessados por qualquer outra VPC spoke no mesmo hub pela tabela de rotas.
O Network Connectivity Center também oferece suporte à propagação de endpoints regionais. Para mais informações sobre endpoints regionais, consulte Sobre o acesso de endpoints regionais por meio de endpoints do Private Service Connect.
O recurso de propagação de conexão do Private Service Connect do Network Connectivity Center beneficia os seguintes casos de uso:
É possível usar uma rede VPC de serviços comuns para criar vários endpoints do consumidor do Private Service Connect. Ao adicionar uma única rede VPC de serviços comuns ao hub do Network Connectivity Center, todos os endpoints do consumidor do Private Service Connect na rede VPC se tornam transitivamente acessíveis a outros spokes de VPC pelo hub do Network Connectivity Center. Essa conectividade elimina a necessidade de gerenciar individualmente cada endpoint do Private Service Connect em cada rede VPC.
É possível acessar serviços gerenciados em uma rede de spoke VPC de redes locais que podem ser acessadas por spokes híbridos.
Quando você conecta um spoke VPC a um hub com conexões propagadas ativadas, o Network Connectivity Center cria conexões propagadas nesse spoke para qualquer endpoint anexado ao mesmo hub, a menos que a sub-rede do endpoint seja excluída da exportação. Depois que uma rede VPC é adicionada a um hub do Network Connectivity Center como um spoke VPC, os novos endpoints do Private Service Connect também são propagados, a menos que a sub-rede do endpoint seja excluída da exportação.
Para configurar um hub com uma conexão propagada do Private Service Connect ativada, o administrador do hub precisa criar um hub com propagação do Private Service Connect ou atualizar a configuração de propagação usando o --export-psc. Em seguida, o administrador do hub precisa
adicionar as redes VPC como spokes ao hub. O proprietário do spoke
pode usar as flags --exclude-export-ranges e --include-export-ranges para excluir sub-redes alocadas específicas do Private Service Connect do roteamento do Network Connectivity Center para que as sub-redes especificadas não possam ser acessadas por outras redes VPC, mantendo a privacidade delas
à rede VPC local.
Para informações sobre conexões propagadas do Private Service Connect, consulte Sobre conexões propagadas.
Para informações sobre as flags --exclude-export-ranges e
--include-export-ranges, consulte Conectividade de VPC com filtros de exportação.
Para informações detalhadas sobre como configurar um hub para uma conexão propagada do Private Service Connect, consulte Configurar um hub.
Limite de propagação da conexão
Para detalhes sobre os limites de conexão propagada, consulte Limite de conexão propagada.
Considerações
Considere o seguinte antes de ativar uma conexão propagada do Private Service Connect:
Uma conexão propagada do Private Service Connect só funciona com spokes de VPC.
As conexões propagadas do Private Service Connect IPv6 em spokes de VPC não são compatíveis.
Se você precisar disponibilizar conexões propagadas do Private Service Connect para redes locais conectadas a spokes híbridos:
O hub do Network Connectivity Center precisa ter apenas uma rede VPC de roteamento que contenha todos os spokes híbridos.
A única rede VPC de roteamento do hub também precisa ser um spoke VPC.
Se um hub tiver duas ou mais redes VPC de roteamento, nenhuma delas poderá ser um spoke VPC. Consequentemente, os hubs com duas ou mais redes VPC de roteamento não podem disponibilizar conexões propagadas do Private Service Connect para redes locais.
Para que a propagação do Private Service Connect funcione com spokes híbridos, a rede VPC de roteamento também precisa ser adicionada como um spoke de VPC.
Como o filtro
--exclude-export-rangesnão é mutável para um spoke depois que ele é criado, recomendamos criar duas sub-redes para hospedar endpoints do Private Service Connect: uma sub-rede para dentro da rede VPC apenas do Private Service Connect e a outra para os endpoints do Private Service Connect compartilhados com o hub. Ao adicionar a rede VPC a um hub como um spoke, inclua o intervalo de endereços IP da sub-rede que hospeda a rede VPC apenas dentro da rede VPC ao filtro--exclude-export-rangespara que para que ele não seja compartilhado com o hub.Os endpoints do Private Service Connect que usam intervalos de endereços IP públicos usados de forma particular não são propagados para o hub do Network Connectivity Center.
Se uma sub-rede em um spoke de VPC estiver configurada com NAT privado para acessar o hub do Network Connectivity Center, o tráfego da sub-rede para o serviço propagado do Private Service Connect será descartado. Se o gateway do Private NAT estiver configurado com
--nat-all-subnet-ip-ranges, a propagação do Private Service Connect pelo Network Connectivity Center não funcionará para todas as sub-redes na VPC do spoke. Para que ele funcione em sub-redes não sobrepostas desse spoke VPC, use--nat-custom-subnet-ip-rangespara o gateway do Private NAT. Não use NAT para rotear o tráfego de sub-redes não sobrepostas para o hub do Network Connectivity Center.O status de propagação pode ser impreciso se você criar, excluir e recriar o endpoint do Private Service Connect em um curto período. No entanto, depois de algum tempo, o status de propagação se torna preciso e reflete o estado real da conexão propagada. Isso pode levar até 15 minutos.
A propagação da conexão do Private Service Connect é assíncrona após a criação ou exclusão do spoke. Quando um spoke da VPC é removido de um hub, pode levar algum tempo para atualizar as conexões propagadas do Private Service Connect. Enquanto a atualização da conexão de propagação do Private Service Connect está em andamento, o tráfego da VM na rede VPC pode fluir para o back-end, mesmo depois que o spoke da VPC é adicionado a um novo hub. Para evitar o fluxo de tráfego para o back-end, antes de adicionar o spoke a outro hub, verifique se todas as entradas de status de propagação da rede VPC no hub anterior, seja como um spoke de origem ou de destino, foram excluídas.
Status da propagação da conexão do Private Service Connect
Com o Network Connectivity Center, é possível conferir o status da propagação de conexão do Private Service Connect em um hub do Network Connectivity Center. É possível conferir um resumo dos status ou detalhar erros específicos para ver os detalhes deles.
A tabela a seguir lista os códigos de status de propagação e o que eles significam.
| Código | Mensagem |
|---|---|
| Ready | A conexão propagada do Private Service Connect está pronta. |
| Propagando | A propagação da conexão do Private Service Connect está pendente. Esse é um estado temporário. |
| Erro: limite de conexões propagadas do produtor excedido | A propagação de conexão do Private Service Connect falhou porque a rede VPC ou o projeto do spoke de destino excedeu o limite de conexão de propagação definido pelo produtor. Para resolver esse problema, consulte a documentação do produtor ou entre em contato com a equipe de suporte dele. |
| Erro: espaço de IP NAT do produtor esgotado | A propagação da conexão Private Service Connect falhou
porque o espaço de sub-rede IP NAT foi esgotado. Isso equivale ao status Needs attention da conexão com o PSC. Para mais detalhes, consulte
Status da conexão
na documentação do Private Service Connect.
|
| Erro: cota do produtor excedida | A propagação de conexão do Private Service Connect falhou porque a cota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK na rede VPC do produtor foi excedida.
|
| Erro, cota do consumidor excedida | A propagação de conexão do Private Service Connect falhou porque a cota
PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK na rede VPC do consumidor
foi excedida.
|
Para informações sobre como ver os status de propagação de conexão do Private Service Connect, consulte Ver o status de propagação de conexão do Private Service Connect. Para informações sobre a solução de problemas de propagação da conexão do Private Service Connect, consulte Resolver problemas de erros de propagação da conexão do Private Service Connect.
A seguir
- Para criar hubs e spokes, consulte Como trabalhar com hubs e spokes.
- Para uma lista de parceiros com soluções integradas à Network Connectivity Center, consulte Parceiros da Network Connectivity Center.
- Para encontrar soluções para problemas comuns, consulte Solução de problemas.
- Para mais detalhes sobre a API e os comandos da CLI do Google Cloud, consulte APIs e referência.