Acerca do acesso a serviços publicados através de pontos finais
Este documento fornece uma vista geral da ligação a serviços noutra rede da VPC através de pontos finais do Private Service Connect. Pode estabelecer ligação aos seus próprios serviços ou aos fornecidos por outros produtores de serviços, incluindo a Google.
Os clientes estabelecem ligação ao ponto final através de endereços IP internos. O Private Service Connect executa a tradução de endereços de rede (NAT) para encaminhar o pedido para o serviço.
Para mais informações sobre os serviços publicados, consulte o artigo Acerca dos serviços publicados.
Funcionalidades e compatibilidade
Nas tabelas seguintes, uma marca de verificação indica que uma funcionalidade é suportada e um símbolo de não indica que uma funcionalidade não é suportada.
Configuração do consumidor
Esta tabela resume as opções de configuração e as capacidades suportadas dos pontos finais que acedem a serviços publicados.
Configuração do produtor
Esta tabela resume as opções de configuração e as capacidades compatíveis dos serviços publicados aos quais os pontos finais acedem.
| Tipo de produtor | Configuração do produtor (serviço publicado) | |||
|---|---|---|---|---|
| Back-ends de produtores suportados | Protocolo PROXY (apenas tráfego TCP) | Versão do IP | ||
| Balanceador de carga de aplicações interno entre regiões |
|
|
||
| Balanceador de carga de rede de passagem interno |
|
|
||
| Encaminhamento de protocolo interno (instância de destino) |
|
|
||
| Serviços de mapeamento de portas |
|
|
||
| Balanceador de carga de aplicações interno regional |
|
|
||
| Balanceador de carga de rede de proxy interno regional |
|
|
||
| Secure Web Proxy |
|
|
||
Os diferentes equilibradores de carga suportam diferentes configurações de portas. Alguns equilibradores de carga suportam uma única porta, outros suportam um intervalo de portas e outros suportam todas as portas. Para mais informações, consulte as especificações das portas.
Limitações
Os pontos finais que acedem a um serviço publicado têm as seguintes limitações:
Não pode criar um ponto final na mesma rede da VPC que o serviço publicado ao qual está a aceder.
A duplicação de pacotes não pode duplicar pacotes para tráfego de serviços publicados do Private Service Connect.
Nem todas as rotas estáticas com o próximo salto do balanceador de carga são suportadas com o Private Service Connect. Para mais informações, consulte o artigo Rotas estáticas com saltos seguintes do balanceador de carga.
Os testes de conetividade não podem testar a conetividade entre um ponto final IPv6 e um serviço publicado.
Acesso nas instalações
Os pontos finais que usa para aceder às APIs Google podem ser acedidos a partir de anfitriões no local ligados suportados. Para mais informações, consulte o artigo Aceda a pontos finais a partir de redes híbridas.
Especificações
- Os pontos finais do Private Service Connect têm de ser criados na mesma região que o serviço publicado que é o destino do ponto final.
- O ponto final tem de ser criado numa rede VPC diferente da rede VPC que contém o serviço de destino.
- Se estiver a usar a VPC partilhada, pode criar o ponto final no projeto anfitrião ou num projeto de serviço.
- Por predefinição, só é possível aceder ao ponto final através de clientes que se encontram na mesma região e na mesma rede da VPC (ou rede da VPC partilhada) que o ponto final. Para informações sobre como disponibilizar pontos finais noutras regiões, consulte o artigo Acesso global.
-
O endereço IP que atribui ao ponto final tem de ser de uma sub-rede normal.
- Pode usar um endereço IPv4 de uma sub-rede apenas IPv4 ou de uma sub-rede de pilha dupla.
- Pode usar um endereço IPv6 de uma sub-rede apenas IPv6 ou de pilha dupla se a sub-rede tiver um intervalo de endereços IPv6 internos.
- A versão IP do endereço IP afeta os serviços publicados aos quais o ponto final se pode ligar. Para mais informações, consulte o artigo Tradução da versão IP.
- O endereço IP conta para a quota do projeto de endereços IPv4 internos estáticos ou endereços IPv6 internos estáticos.
- Quando cria um ponto final para estabelecer ligação a um serviço, se o serviço tiver um nome de domínio DNS configurado, as entradas DNS privadas são criadas automaticamente na sua rede VPC para o ponto final.
- Cada ponto final tem o seu próprio endereço IP exclusivo e, opcionalmente, o seu próprio nome DNS exclusivo.
Estados da ligação
Os pontos finais, os back-ends e as associações de serviços do Private Service Connect têm um estado de ligação que descreve o estado da respetiva ligação. Os recursos de consumidor e produtor que formam os dois lados de uma associação têm sempre o mesmo estado. Pode ver os estados da ligação quando vê os detalhes do ponto final, descreve um back-end ou vê os detalhes de um serviço publicado.
A tabela seguinte descreve os estados possíveis.
| Estado da ligação | Descrição |
|---|---|
| Aceite | A ligação do Private Service Connect está estabelecida. As duas redes VPC têm conetividade e a ligação está a funcionar normalmente. |
| Pendente | A ligação do Private Service Connect não está estabelecida e o tráfego de rede não pode viajar entre as duas redes. Uma associação pode ter este estado pelos seguintes motivos:
As ligações bloqueadas por estes motivos permanecem no estado pendente indefinidamente até que o problema subjacente seja resolvido. |
| Rejeitado | A ligação do Private Service Connect não está estabelecida. O tráfego de rede não pode viajar entre as duas redes. Uma associação pode ter este estado pelos seguintes motivos:
|
| Requer atenção | Existe um problema do lado do produtor da ligação. Algum tráfego pode fluir entre as duas redes, mas algumas ligações podem não funcionar. Por exemplo, a sub-rede NAT do produtor pode estar esgotada e não conseguir atribuir endereços IP para novas ligações. |
| Fechado | A associação do serviço foi eliminada e a ligação do Private Service Connect foi fechada. O tráfego de rede não pode viajar entre as duas redes. Uma ligação fechada é um estado terminal. Para restaurar a ligação, tem de recriar o anexo de serviço e o ponto final ou o back-end. |
Tradução da versão do IP
Para pontos finais do Private Service Connect que se ligam a serviços publicados (associações de serviços), a versão IP do endereço IP da regra de encaminhamento do consumidor determina a versão IP do ponto final e o tráfego que sai do ponto final. O endereço IP pode ser proveniente de uma sub-rede apenas IPv4, apenas IPv6 ou de pilha dupla. A versão IP do ponto final pode ser IPv4 ou IPv6, mas não ambas.
Para serviços publicados, a versão IP do anexo de serviço é determinada pelo endereço IP da regra de encaminhamento associada ou da instância do proxy Web seguro. Este endereço IP tem de ser compatível com o tipo de pilha da sub-rede NAT do anexo de serviço. A sub-rede NAT pode ser uma sub-rede apenas IPv4, apenas IPv6 ou de pilha dupla. Se a sub-rede NAT for uma sub-rede de pilha dupla, é usado o intervalo de endereços IPv4 ou IPv6, mas não ambos.
O Private Service Connect não suporta a ligação de um ponto final IPv4 a uma associação do serviço IPv6. Neste caso, a criação do ponto final falha com a seguinte mensagem de erro:
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
As seguintes combinações são possíveis para as configurações suportadas:
- Ponto final IPv4 para anexo de serviço IPv4
- Ponto final IPv6 para anexo de serviço IPv6
-
Ponto final IPv6 para anexo de serviço IPv4
Nesta configuração, o Private Service Connect traduz automaticamente entre as duas versões de IP.
Propagação da associação
Com as ligações propagadas, os serviços acessíveis num raio da VPC do consumidor através de pontos finais do Private Service Connect podem ser acedidos de forma privada por outros raios da VPC do consumidor que estejam ligados ao mesmo hub do Network Connectivity Center.
Para mais informações, consulte o artigo Acerca das associações propagadas.
Acesso global
Os pontos finais do Private Service Connect usados para aceder aos serviços são recursos regionais. No entanto, pode disponibilizar um ponto final noutras regiões configurando o acesso global.
O acesso global permite que os recursos em qualquer região enviem tráfego para pontos finais do Private Service Connect. Pode usar o acesso global para oferecer elevada disponibilidade em serviços alojados em várias regiões ou para permitir que os clientes acedam a um serviço que não se encontra na mesma região que o cliente.
O diagrama seguinte ilustra clientes em diferentes regiões que acedem ao mesmo ponto final:
O ponto final está em
us-west1e tem o acesso global configurado.A VM em
us-west1pode enviar tráfego para o ponto final, e o tráfego permanece na mesma região.A VM no
us-east1e a VM da rede no local também podem ligar o ponto final nous-west1, mesmo que estejam em regiões diferentes. As linhas pontilhadas representam o caminho do tráfego inter-regional.
Um ponto final do Private Service Connect com acesso global permite que os consumidores de serviços enviem tráfego da rede VPC do consumidor para serviços na rede VPC do produtor de serviços. O cliente pode estar na mesma região ou numa região diferente do ponto final (clique para aumentar).
Especificações de acesso global
Pode ativar ou desativar o acesso global em qualquer altura para um ponto final.
- A ativação do acesso global não causa interrupções no tráfego para as ligações existentes.
- A desativação do acesso global termina todas as ligações de regiões que não sejam a região onde o ponto final está localizado.
Nem todos os serviços do Private Service Connect suportam pontos finais com acesso global. Contacte o produtor do serviço para verificar se o respetivo serviço suporta o acesso global. Para mais informações, consulte as configurações compatíveis.
O acesso global não fornece um único endereço IP global ou nome DNS para vários pontos finais de acesso global.
VPC partilhada
Os administradores do projeto de serviço podem criar pontos finais em projetos de serviço da VPC partilhada que usam endereços IP de redes VPC partilhadas. A configuração é igual à de um ponto final normal, mas o ponto final usa um endereço IP reservado de uma sub-rede partilhada da VPC partilhada.
O recurso de endereço IP pode ser reservado no projeto de serviço ou no projeto de anfitrião. A origem do endereço IP tem de ser uma sub-rede partilhada com o projeto de serviço.
Para mais informações, consulte o artigo Crie um ponto final com um endereço IP de uma rede de VPC partilhada.
VPC Service Controls
Os VPC Service Controls e o Private Service Connect são compatíveis entre si. Se a rede VPC onde o ponto final do Private Service Connect está implementado estiver num perímetro do VPC Service Controls, o ponto final faz parte do mesmo perímetro. Todos os serviços suportados pelos VPC Service Controls que são acedidos através do ponto final estão sujeitos às políticas desse perímetro dos VPC Service Controls.
Quando cria um ponto final, são feitas chamadas de API do plano de controlo entre os projetos de consumidor e produtor para estabelecer uma ligação do Private Service Connect. O estabelecimento de uma ligação do Private Service Connect entre projetos de consumidor e produtor que não estejam no mesmo perímetro do VPC Service Controls não requer autorização explícita com políticas de saída. A comunicação com os serviços suportados pelos VPC Service Controls através do ponto final está protegida pelo perímetro dos VPC Service Controls.
Rotas estáticas com saltos seguintes do balanceador de carga
As rotas estáticas podem ser configuradas para usar a regra de encaminhamento de um balanceador de carga de rede de passagem interna como o próximo salto (--next-hop-ilb). Nem todas as rotas deste tipo são suportadas com o Private Service Connect.
As rotas estáticas que usam --next-hop-ilb para especificar o nome de uma regra de encaminhamento do Network Load Balancer de passagem interna podem ser usadas para enviar e receber tráfego para um ponto final do Private Service Connect quando a rota e o ponto final estão na mesma rede VPC e região.
As seguintes configurações de encaminhamento não são suportadas com o Private Service Connect:
- Rotas estáticas que usam
--next-hop-ilbpara especificar o endereço IP de uma regra de encaminhamento do Network Load Balancer de passagem interna. - Rotas estáticas que usam
--next-hop-ilbpara especificar o nome ou o endereço IP de uma regra de encaminhamento de ponto final do Private Service Connect.
Registo
Pode ativar os registos de fluxo da VPC em sub-redes que contenham VMs que acedem a serviços noutra rede VPC através de pontos finais. Os registos mostram fluxos entre as VMs e o ponto final.
Pode ver as alterações no estado da ligação para pontos finais através dos registos de auditoria. As alterações no estado da ligação do ponto final são capturadas nos metadados de eventos do sistema para o tipo de recurso regra de encaminhamento do GCE. Pode filtrar por
pscConnectionStatuspara ver estas entradas.Por exemplo, quando um produtor de serviços permite ligações a partir do seu projeto, o estado da ligação do ponto final muda de
PENDINGparaACCEPTED, e esta alteração reflete-se nos registos de auditoria.- Para ver os registos de auditoria, consulte o artigo Ver registos.
- Para definir alertas com base nos registos de auditoria, consulte o artigo Gerir alertas baseados em registos.
Preços
Os preços do Private Service Connect estão descritos na página de preços da VPC.
Quotas
O número de
pontos finais que pode criar para aceder a serviços publicados
é controlado pela quota de PSC Internal LB Forwarding Rules.
Para mais informações, consulte as quotas.
Restrições de políticas da organização
Um administrador da política de organização pode usar a restrição constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir o conjunto de tipos de pontos finais para os quais os utilizadores não podem criar regras de encaminhamento.
Para obter informações sobre a criação de uma política da organização que use esta restrição, consulte o artigo Impedir que os consumidores implementem pontos finais por tipo de ligação.