Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Información sobre el acceso a los servicios publicados a través de extremos

En este documento, se proporciona una descripción general de la conexión a servicios en otra red de VPC mediante extremos de Private Service Connect. Puedes conectarte a tus propios servicios o a los que proporcionan otros productores de servicios, incluido Google.

Los clientes se conectan al extremo mediante direcciones IP internas. Private Service Connect realiza la traducción de direcciones de red (NAT) para enrutar la solicitud al productor de servicios.

Para obtener más información sobre los servicios publicados, consulta Acerca de los servicios publicados.

Un extremo de Private Service Connect se conecta de forma privada a un servicio administrado alojado en otra red de VPC. — Un extremo de Private Service Connect permite que los consumidores de servicios envíen tráfico desde la red de VPC del consumidor hacia servicios en la red de VPC del productor de servicios. El consumidor, el extremo y el servicio deben estar en la misma región. (haz clic para agrandar).

Características y compatibilidad

En las siguientes tablas, una marca de verificación indica que una función es compatible y un símbolo no que la función no es compatible.

Configuración del consumidor

En esta tabla, se resumen las opciones de configuración y las capacidades compatibles de los extremos que acceden a los servicios publicados.

Productor objetivo	Configuración del consumidor (extremo)
Productor objetivo	Acceso global al consumidor	Acceso híbrido	Configuración de DNS automática (solo IPv4)	Acceso al intercambio de tráfico entre redes de VPC	Propagación de la conexión de NCC (solo IPv4)	Servicios de destino compatibles con extremos de IPv4	Servicios de destino compatibles con extremos de IPv6
Balanceador de cargas de aplicaciones interno entre regiones						Servicios de IPv4	Servicios de IPv4
Balanceador de cargas de red de transferencia interno	Solo si el acceso global está habilitado en el balanceador de cargas (problema conocido)					Servicios de IPv4	Servicios de IPv4 Servicios de IPv6
Reenvío de protocolo interno (instancia de destino)	Solo si el acceso global está habilitado en la regla de reenvío del productor (problema conocido)					Servicios de IPv4	Servicios de IPv4 Servicios de IPv6
Servicios de asignación de puertos	Solo si el acceso global está habilitado en la regla de reenvío del productor					Servicios de IPv4	Servicios de IPv4 Servicios de IPv6
Balanceador de cargas de aplicaciones interno regional	Solo si el acceso global está habilitado en el balanceador de cargas antes de que se cree el adjunto de servicio					Servicios de IPv4	Servicios de IPv4
Balanceador de cargas de red del proxy interno regional	Solo si el acceso global está habilitado en el balanceador de cargas antes de que se cree el adjunto de servicio					Servicios de IPv4	Servicios de IPv4
Proxy web seguro						Servicios de IPv4	Servicios de IPv4

Configuración del productor

En esta tabla, se resumen las opciones de configuración y las capacidades de los servicios publicados a los que se accede mediante extremos.

Tipo de productor	Configuración del productor (servicio publicado)
Tipo de productor	Backends de productores compatibles	Protocolo de PROXY (solo tráfico de TCP)	Versión de IP
Balanceador de cargas de aplicaciones interno entre regiones	NEG zonales GCE_VM_IP_PORT NEG híbridos NEG sin servidores NEG de Private Service Connect Grupos de instancias		IPv4
Balanceador de cargas de red de transferencia interno	NEG zonales de GCE_VM_IP Grupos de instancias		IPv4 IPv6
Reenvío de protocolo interno (instancia de destino)	No aplicable		IPv4 IPv6
Servicios de asignación de puertos	NEG de asignación de puertos		IPv4 IPv6
Balanceador de cargas de aplicaciones interno regional	NEG zonales GCE_VM_IP_PORT NEG híbridos NEG sin servidores NEG de Private Service Connect Grupos de instancias NEG de Internet regionales		IPv4
Balanceador de cargas de red del proxy interno regional	NEG zonales GCE_VM_IP_PORT NEG híbridos NEG de Private Service Connect Grupos de instancias		IPv4
Proxy web seguro	No aplicable		IPv4

Los diferentes balanceadores de cargas admiten diferentes configuraciones de puertos; algunos balanceadores de cargas admiten un solo puerto, otros admiten un rango de puertos y otros admiten todos los puertos. Para obtener más información, consulta Especificaciones de puertos.

Limitaciones

Los extremos que acceden a un servicio publicado tienen las siguientes limitaciones:

No puedes crear un extremo en la misma red de VPC que el servicio publicado al que accedes.
Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
No todas las rutas estáticas con siguientes saltos del balanceador de cargas son compatibles con Private Service Connect. Para obtener más información, consulta Rutas estáticas con siguientes saltos del balanceador de cargas.
Las pruebas de conectividad no pueden probar la conectividad entre un extremo IPv6 y un servicio publicado.

Acceso local

Se puede acceder a los extremos que usas para acceder a las APIs de Google desde hosts locales conectados compatibles. Para obtener más información, consulta Accede a extremos desde redes híbridas.

Especificaciones

Los extremos de Private Service Connect deben crearse en la misma región que el servicio publicado que es el destino del extremo.
El extremo debe crearse en una red de VPC diferente de la red de VPC que contiene el servicio de destino.
Si usas una VPC compartida, puedes crear el extremo en el proyecto host o en un proyecto de servicio.
De forma predeterminada, solo los clientes que se encuentran en la misma región y la misma red de VPC (o red de VPC compartida) pueden acceder al extremo. Para obtener información sobre cómo hacer que los extremos estén disponibles en otras regiones, consulta Acceso global.
La dirección IP que asignas al extremo debe ser de una subred regular.
- Puedes usar una dirección IPv4 de una subred solo IPv4 o una subred de pila doble.
- Puedes usar una dirección IPv6 de una subred solo IPv6 o de pila doble si la subred tiene un rango de direcciones IPv6 internas.
- La versión de IP de la dirección IP afecta a qué servicios publicados se puede conectar el extremo. Para obtener más información, consulta Traducción de versiones de IP.
- La dirección IP se considera dentro de la cuota del proyecto para las direcciones IPv4 internas estáticas o las direcciones IPv6 internas estáticas.
Cuando creas un extremo para conectarte a un servicio, si el servicio tiene configurado un nombre de dominio DNS, las entradas de DNS privadas se crean automáticamente en tu red de VPC para el extremo.
Cada extremo tiene su propia dirección IP única y, opcionalmente, su propio nombre de DNS único.
Los backends de servicios publicados (vista previa) te permiten configurar balanceadores de cargas regionales compatibles o Cloud Service Mesh para enrutar el tráfico a los servicios publicados a través de extremos de Private Service Connect.

Estados de conexión

Los extremos, los backends y los adjuntos de servicio de Private Service Connect tienen estados de conexión que describen el estado de sus conexiones. Los recursos del consumidor y del productor que forman los dos lados de una conexión siempre tienen el mismo estado.

Puedes ver los estados de conexión cuando ves detalles del extremo, describes un backend o ves detalles de un servicio publicado.

En la siguiente tabla se describen los estados posibles.

Estado de conexión	Descripción
Aceptado	El productor acepta la conexión de Private Service Connect y la configuración permite la conexión. Sin embargo, este estado no garantiza que el tráfico pueda fluir a través de la conexión.
Pendiente	No se estableció la conexión de Private Service Connect, y el tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado para los siguientes motivos: El adjunto de servicio requiere una aprobación explícita y el consumidor no está en la lista de aceptación del consumidor. La cantidad de conexiones supera el límite de conexiones del adjunto de servicio. Las conexiones que se bloquean por estos motivos permanecen en estado pendiente indefinidamente hasta que se resuelva el problema subyacente.
Rechazado	No se establece la conexión de Private Service Connect. El tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado para los siguientes motivos: Una política de la organización de productor rechazó la conexión. Una lista de rechazos de consumidores rechazó la conexión.
Requiere atención	Hay un problema con el lado del productor de la conexión. Es posible que parte del tráfico fluya entre las dos redes, pero que algunas conexiones no funcionen. Por ejemplo, es posible que se agote la subred NAT del productor y no se puedan asignar direcciones IP para conexiones nuevas.
Cerrado	Se borró el adjunto de servicio y la conexión de Private Service Connect está cerrada. El tráfico de red no puede viajar entre las dos redes. Una conexión cerrada es un estado terminal. Para restablecer la conexión, debes volver a crear tanto el adjunto de servicio como el extremo o el backend.

Traducción de la versión de IP

Para los extremos de Private Service Connect que se conectan a servicios publicados (adjuntos de servicio), la versión de IP de la dirección IP de la regla de reenvío del consumidor determina la versión de IP del extremo y el tráfico que sale del extremo. La dirección IP puede provenir de una subred solo IPv4, solo IPv6 o de pila doble. La versión de IP del extremo puede ser IPv4 o IPv6, pero no ambas.

Para los servicios publicados, la versión de IP del adjunto de servicio se determina según la dirección IP de la regla de reenvío o la instancia de Secure Web Proxy asociadas. Esta dirección IP debe ser compatible con el tipo de pila de la subred NAT del adjunto de servicio. La subred NAT puede ser una subred solo IPv4, solo IPv6 o de pila doble. Si la subred de NAT es de pila doble, se usa el rango de direcciones IPv4 o IPv6, pero no ambos.

Private Service Connect no admite la conexión de un extremo IPv4 con un adjunto de servicio IPv6. En este caso, la creación del extremo falla con el siguiente mensaje de error:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

Las siguientes combinaciones son posibles para las configuraciones compatibles:

Extremo de IPv4 al adjunto de servicio IPv4
Extremo de IPv6 al adjunto de servicio IPv6
Extremo de IPv6 al adjunto de servicio IPv4

En esta configuración, Private Service Connect traduce automáticamente entre las dos versiones de IP.

Propagación de conexiones

Con conexiones propagadas, los otros radios de VPC de consumidor conectados al mismo concentrador de Network Connectivity Center pueden acceder a un radio de VPC de consumidor a través de extremos de Private Service Connect.

Para obtener más información, consulta Acerca de las conexiones propagadas.

Acceso global

Los extremos de Private Service Connect que se usan para acceder a los servicios son recursos regionales. Sin embargo, puedes hacer que un extremo esté disponible en otras regiones si configuras el acceso global.

El acceso global permite que los recursos de cualquier región envíen tráfico a los extremos de Private Service Connect. Puedes usar el acceso global para proporcionar alta disponibilidad en los servicios alojados en varias regiones o permitir que los clientes accedan a un servicio que no está en la misma región que el cliente.

En el siguiente diagrama, se ilustran los clientes en diferentes regiones que acceden al mismo extremo:

El extremo está en us-west1 y tiene configurado el acceso global.
La VM en us-west1 puede enviar tráfico al extremo, y el tráfico permanece dentro de la misma región.
La VM en us-east1 y la VM de la red local también pueden conectar el extremo en us-west1, aunque estén en regiones diferentes. Las líneas de puntos representan la ruta de tráfico interregional.

Un extremo de Private Service Connect con acceso global permite que los consumidores de servicios envíen tráfico desde la red de VPC del consumidor a servicios en la red de VPC del productor de servicios. El cliente puede estar en la misma región o en una diferente que el extremo (haz clic para ampliar).

Especificaciones de acceso global

Puedes activar o desactivar el acceso global en cualquier momento para un extremo.
- Activar el acceso global no genera interrupciones en el tráfico para las conexiones existentes.
- Desactivar el acceso global finaliza las conexiones desde regiones distintas de la región en la que se encuentra el extremo.
No todos los servicios de Private Service Connect admiten extremos con acceso global. Si conectas un extremo de acceso global a un servicio que no está configurado para el acceso global, es posible que el tráfico se envíe a backends en mal estado y se descarte (problema conocido).

Consulta con tu productor de servicios para verificar si su servicio admite el acceso global. Para obtener más información, consulta Configuraciones compatibles.
El acceso global no proporciona una única dirección IP global o un nombre de DNS para varios extremos de acceso globales.

Backends de servicios publicados

Si las redes de VPC del productor y del consumidor pertenecen a la misma organización, puedes acceder a un servicio publicado con back-ends de servicios publicados.

Los backends de servicios publicados te permiten configurar balanceadores de cargas compatibles o Cloud Service Mesh regional para enrutar el tráfico a los servicios publicados a través de extremos de Private Service Connect.

Este enfoque proporciona los siguientes beneficios:

Conectividad unificada: Los balanceadores de cargas admitidos y Cloud Service Mesh regional pueden acceder a los servicios publicados a través del mismo extremo de Private Service Connect. Esto te permite extender el acceso a las aplicaciones de Cloud Service Mesh con el mismo endpoint que usas para los balanceadores de cargas.
Separación de la administración de redes y servicios: Los propietarios de servicios pueden conectar balanceadores de cargas o Cloud Service Mesh a los servicios publicados proporcionando una referencia al adjunto de servicio del productor. No necesitan administrar ni consultar extremos específicos de Private Service Connect, que los administradores de red pueden administrar de forma independiente.
Administración y seguridad avanzadas del tráfico: Cuando accedes a un servicio publicado a través de un balanceador de cargas del consumidor, el balanceador de cargas puede actuar como un punto de aplicación de políticas centralizado en el que se aplican políticas de seguridad (como las políticas de Google Cloud Armor y las políticas de SSL) o políticas de enrutamiento (como los Google Cloud mapas de URL).
Observabilidad: Un balanceador de cargas puede proporcionar métricas y registros centralizados que un servicio publicado no podría brindar.

Para usar backends de servicios publicados, necesitas un extremo de Private Service Connect preexistente que se conecte al servicio al que deseas acceder. La configuración de un backend de servicio publicado no crea uno automáticamente.

Para usar un backend de servicio publicado con un balanceador de cargas, asocia el servicio de backend del balanceador de cargas con un adjunto de servicio.

No asocias explícitamente el balanceador de cargas con un extremo. En cambio, cuando un cliente envía una solicitud al balanceador de cargas, este enruta el tráfico a través de un extremo de Private Service Connect que cumple con los siguientes criterios:

El extremo se conecta al adjunto de servicio que se especifica en el backend del balanceador de cargas del consumidor.
El extremo tiene un estado de conexión ACCEPTED.
El extremo se encuentra en la misma red de VPC y región que la regla de reenvío del consumidor.

Si deseas obtener información para configurar los backends de servicios publicados para acceder a servicios publicados con Cloud Service Mesh regional, consulta Configura backends de servicios publicados para Cloud Service Mesh.

Parámetros de configuración admitidos

En la siguiente tabla, se enumeran las configuraciones compatibles para usar backends de servicios publicados con extremos de Private Service Connect. La compatibilidad con el consumidor indica que la configuración puede acceder a un servicio publicado a través de backends de servicios publicados. La compatibilidad con el productor indica que el balanceador de cargas se puede usar para publicar un servicio al que se puede acceder a través de backends de servicio publicados.

Configuración	Asistencia al consumidor	Asistencia para productores
Cloud Service Mesh regional
Balanceador de cargas de aplicaciones externo regional
Balanceador de cargas de red del proxy externo regional
Balanceador de cargas de aplicaciones interno regional
Balanceador de cargas de red del proxy interno regional
Balanceador de cargas de red de transferencia interno
Reenvío de protocolo interno (instancia de destino)

VPC compartida

Los administradores de proyectos de servicio pueden crear extremos en proyectos de servicio de VPC compartida que usan direcciones IP de las redes de VPC compartidas. La configuración es la misma que para un extremo normal, pero el extremo usa una dirección IP que se reserva desde una subred compartida de la VPC compartida.

El recurso de dirección IP se puede reservar en el proyecto de servicio o en el proyecto host. La fuente de la dirección IP debe ser una subred que se comparta con el proyecto de servicio.

Para obtener más información, consulta Crea un extremo con una dirección IP desde una red de VPC compartida.

Controles del servicio de VPC

Los Controles del servicio de VPC y Private Service Connect son compatibles entre sí. Si la red de VPC en la que se implementa el extremo de Private Service Connect está en un perímetro de Controles del servicio de VPC, el extremo forma parte del mismo perímetro. Cualquier servicio admitido por los Controles del servicio de VPC a los que se accede a través del extremo de está sujeto a las políticas de ese perímetro de los Controles del servicio de VPC.

Cuando creas un extremo, las llamadas a la API del plano de control se realizan entre los proyectos del consumidor y del productor para establecer una conexión de Private Service Connect. Establecer una conexión de Private Service Connect entre los proyectos del consumidor y del productor que no están en el mismo perímetro de los Controles del servicio de VPC no requiere una autorización explícita con políticas de salida. La comunicación con los servicios compatibles con los Controles del servicio de VPC a través del extremo está protegida por el perímetro de los Controles del servicio de VPC.

Rutas estáticas con siguientes saltos del balanceador de cargas

Las rutas estáticas se pueden configurar para que usen la regla de reenvío de un balanceador de cargas de red de transferencia interno como el siguiente salto (--next-hop-ilb). No todas las rutas de este tipo son compatibles con Private Service Connect.

Las rutas estáticas que usan --next-hop-ilb para especificar el nombre de una regla de reenvío del balanceador de cargas de red de transferencia interno se pueden usar para enviar y recibir tráfico a un extremo de Private Service Connect cuando la ruta y el extremo están en la misma red de VPC y región.

Las siguientes configuraciones de enrutamiento no son compatibles con Private Service Connect:

Rutas estáticas que usan --next-hop-ilb para especificar la dirección IP de una regla de reenvío del balanceador de cargas de red de transferencia interno.
Rutas estáticas que usan --next-hop-ilb para especificar el nombre o la dirección IP de una regla de reenvío del extremo de Private Service Connect.

Logging

Puedes habilitar los registros de flujo de VPC en las subredes que contengan VM que accedan a servicios en otra red de VPC mediante extremos. Los registros muestran los flujos entre las VMs y el extremo.
Puedes ver los cambios en el estado de la conexión para los extremos mediante registros de auditoría. Los cambios en el estado de conexión del extremo se capturan en los metadatos del evento del sistema del tipo de recurso Regla de reenvío de GCE. Puedes filtrar por pscConnectionStatus para ver estas entradas.

Por ejemplo, cuando un productor de servicios permite conexiones desde tu proyecto, el estado de conexión del extremo cambia de PENDING a ACCEPTED y este cambio se refleja en los registros de auditoría.
- Para ver los registros de auditoría, consulta Visualiza registros.
- Para configurar alertas basadas en registros de auditoría, consulta Administra alertas basadas en registros.

Precios

Los precios de Private Service Connect se describen en la página de precios de VPC.

Cuotas

La cuota de PSC Internal LB Forwarding Rules controla la cantidad de extremos que puedes crear para acceder a los servicios publicados. Para obtener más información, consulta Cuotas.

Restricciones de las políticas de la organización

Un administrador de políticas de la organización puede usar la restricción constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir el conjunto de tipos de extremos para los usuarios no puede crear reglas de reenvío.

Para obtener información sobre la creación de una política de la organización que use esta restricción, consulta Impedir que los consumidores implementen extremos por tipo de conexión.

¿Qué sigue?

Accede a los servicios publicados mediante extremos