Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Sobre como acessar os serviços publicados usando endpoints

Neste documento, apresentamos uma visão geral de como se conectar a serviços de outra rede VPC usando endpoints do Private Service Connect. É possível se conectar aos seus próprios serviços ou aos fornecidos por outros produtores de serviços, incluindo o Google.

Os clientes se conectam ao endpoint por endereços IP internos. O Private Service Connect realiza a conversão de endereços de rede (NAT) para encaminhar a solicitação ao serviço.

Saiba mais sobre os serviços publicados neste link.

Um endpoint do Private Service Connect
se conecta de maneira particular a um serviço gerenciado hospedado
em outra rede VPC. — Um endpoint do Private Service Connect permite que os consumidores de serviço enviem tráfego da rede VPC do consumidor aos serviços na rede VPC do produtor de serviços. O consumidor, o endpoint e o serviço precisam estar na mesma região. Clique para ampliar.

Recursos e compatibilidade

Nas tabelas a seguir, a marca de seleção indica que o recurso é compatível, e o símbolo de negativo indica que o recurso é incompatível.

Configuração do consumidor

Confira nesta tabela um resumo das opções de configuração e dos recursos compatíveis dos endpoints que acessam serviços publicados.

Produtor de destino	Configuração do consumidor (endpoint)
Produtor de destino	Acesso global do consumidor	Acesso híbrido	Configuração automática de DNS (somente IPv4)	Acesso ao peering de rede VPC	Propagação de conexão do NCC (somente IPv4)	Serviços de destino compatíveis com endpoints IPv4	Serviços de destino compatíveis com endpoints IPv6
Balanceador de carga de aplicativo interno entre regiões						Serviços IPv4	Serviços IPv4
Balanceador de carga de rede interno de passagem	Somente se o acesso global estiver ativado no balanceador de carga (problema conhecido)					Serviços IPv4	Serviços IPv4 Serviços IPv6
Encaminhamento de protocolo interno (instância de destino)	Somente se o acesso global estiver ativado na regra de encaminhamento do produtor (problema conhecido)					Serviços IPv4	Serviços IPv4 Serviços IPv6
Serviços de mapeamento de portas	Somente se o acesso global estiver ativado na regra de encaminhamento do produtor					Serviços IPv4	Serviços IPv4 Serviços IPv6
Balanceador de carga de aplicativo interno e regional	Somente se o acesso global for ativado no balanceador de carga antes da criação do anexo de serviço.					Serviços IPv4	Serviços IPv4
Balanceador de carga de rede de proxy interno regional	Somente se o acesso global for ativado no balanceador de carga antes da criação do anexo de serviço.					Serviços IPv4	Serviços IPv4
Secure Web Proxy						Serviços IPv4	Serviços IPv4

Configuração do produtor

Confira nesta tabela um resumo das opções de configuração e dos recursos compatíveis dos serviços publicados que são acessados por endpoints.

Tipo de produtor	Configuração do produtor (serviço publicado)
Tipo de produtor	Back-ends de produtor compatíveis	Protocolo PROXY (somente tráfego TCP)	Versão IP
Balanceador de carga de aplicativo interno entre regiões	NEGs zonais GCE_VM_IP_PORT NEGs híbridos NEGs sem servidor NEGs do Private Service Connect Grupos de instâncias		IPv4
Balanceador de carga de rede interno de passagem	NEGs zonais GCE_VM_IP Grupos de instâncias		IPv4 IPv6
Encaminhamento de protocolo interno (instância de destino)	Não relevante		IPv4 IPv6
Serviços de mapeamento de portas	NEG para mapeamento de portas		IPv4 IPv6
Balanceador de carga de aplicativo interno e regional	NEGs zonais GCE_VM_IP_PORT NEGs híbridos NEGs sem servidor NEGs do Private Service Connect Grupos de instâncias NEGs regionais da Internet		IPv4
Balanceador de carga de rede de proxy interno regional	NEGs zonais GCE_VM_IP_PORT NEGs híbridos NEGs do Private Service Connect Grupos de instâncias		IPv4
Secure Web Proxy	Não relevante		IPv4

Diferentes balanceadores de carga oferecem suporte a diferentes configurações de porta. Alguns aceitam uma única porta, alguns aceitam várias delas e alguns aceitam todas. Saiba mais em Especificações de porta.

Limitações

Os endpoints que acessam um serviço publicado têm as seguintes limitações:

Não é possível criar um endpoint na mesma rede VPC que o serviço publicado que está sendo acessado.
O Espelhamento de Pacotes não pode espelhar os pacotes do tráfego de serviços publicados do Private Service Connect.
Nem todas as rotas estáticas com balanceadores de carga como o próximo salto são compatíveis com o Private Service Connect. Para mais informações, consulte Rotas estáticas balanceadores de carga como próximos saltos.
Os Testes de Conectividade não podem testar a conectividade entre um endpoint IPv6 e um serviço publicado.

Acesso no local

Os endpoints usados para acessar as APIs do Google podem ser acessados por hosts locais conectados e compatíveis. Saiba mais em Acessar endpoints de redes híbridas.

Especificações

Os endpoints do Private Service Connect precisam ser criados na mesma região do serviço publicado que é o destino do endpoint.
O endpoint precisa ser criado em uma rede VPC diferente daquela que contém o serviço de destino.
Se você usa a VPC compartilhada, pode criar o endpoint no projeto host ou em um projeto de serviço.
Por padrão, os endpoints podem ser acessados apenas por clientes que estão na mesma região e mesma rede VPC (ou rede VPC compartilhada) que o endpoint. Saiba como disponibilizar endpoints em outras regiões em Acesso global.
O endereço IP atribuído ao endpoint precisa ser de uma sub-rede normal.
- É possível usar um endereço IPv4 de uma sub-rede somente IPv4 ou de uma sub-rede de pilha dupla.
- É possível usar um endereço IPv6 de uma sub-rede somente IPv6 ou de pilha dupla caso a sub-rede tenha um intervalo de endereços IPv6 internos.
- A versão do endereço IP determina quais serviços publicados o endpoint pode acessar. Saiba mais em Conversão de versão de IP.
- O endereço IP é contabilizado na cota do projeto endereços IPv4 internos estáticos ou endereços IPv6 internos estáticos.
Quando você cria um endpoint para se conectar a um serviço, se o serviço tiver um nome de domínio DNS configurado, as entradas DNS particulares do endpoint serão criadas automaticamente na sua rede VPC.
Cada endpoint tem o próprio endereço IP exclusivo e, opcionalmente, o próprio nome DNS exclusivo.
Back-ends de serviços publicados (Pré-lançamento) permitem configurar balanceadores de carga regionais compatíveis ou o Cloud Service Mesh para rotear o tráfego para serviços publicados por meio de endpoints do Private Service Connect.

Status da conexão

Os endpoints, back-ends e anexos de serviço do Private Service Connect têm status de conexão que descrevem o estado das conexões deles. Os recursos de consumidor e produtor que formam os dois lados de uma conexão sempre têm o mesmo status.

É possível conferir o status da conexão ao conferir detalhes do endpoint, descrever um back-end ou consultar os detalhes de um serviço publicado.

Confira os status possíveis na tabela abaixo.

Status da conexão	Descrição
Aceito	A conexão do Private Service Connect é aceita pelo produtor e permitida pela configuração. No entanto, esse status não garante que o tráfego possa fluir pela conexão.
Pendente	A conexão do Private Service Connect não foi estabelecida, e não há passagem de tráfego entre as duas redes. Uma conexão pode ter esse status pelos seguintes motivos: O anexo de serviço requer aprovação explícita, e o consumidor não está na lista de aceitação. O número de conexões excede o limite de conexão do anexo de serviço. As conexões bloqueadas por esses motivos permanecem no estado pendente indefinidamente até que o problema seja resolvido.
Rejeitada	A conexão do Private Service Connect não foi estabelecida. Não há passagem de tráfego entre as duas redes. Uma conexão pode ter esse status pelos seguintes motivos: Uma política da organização dos produtores rejeitou a conexão. A conexão foi rejeitada devido à lista de clientes recusados.
Requer atenção	Há um problema no lado do produtor da conexão. É possível que parte do tráfego passe pelas duas redes, mas algumas conexões não funcionem. Por exemplo, talvez a sub-rede NAT do produtor esteja esgotada e não seja possível alocar endereços IP para novas conexões.
Fechada	O anexo de serviço foi excluído, e a conexão do Private Service Connect foi encerrada. Não há passagem de tráfego entre as duas redes. Uma conexão fechada é um estado terminal. Para restaurar a conexão, recrie o anexo de serviço e o endpoint ou back-end.

Conversão de versão de IP

Para os endpoints do Private Service Connect que se conectam a serviços publicados (anexos de serviço), a versão de IP do endereço da regra de encaminhamento do consumidor determina a versão de IP do endpoint e o tráfego que sai dele. O endereço IP pode vir de uma sub-rede somente IPv4, somente IPv6 ou de pilha dupla. A versão de IP do endpoint pode ser IPv4 ou IPv6, mas não as duas opções.

Para serviços publicados, a versão do IP do anexo de serviço é determinada pelo endereço IP da regra de encaminhamento ou da instância associada do Secure Web Proxy. Esse endereço IP precisa ser compatível com o tipo de pilha da sub-rede NAT do anexo de serviço. A sub-rede NAT pode ser somente IPv4, somente IPv6 ou de pilha dupla. Se a sub-rede NAT for de pilha dupla, será usado o intervalo de endereços IPv4 ou IPv6, mas não ambos.

O Private Service Connect não oferece suporte à conexão de um endpoint IPv4 com um anexo de serviço IPv6. Nesse caso, a criação do endpoint falha e exibe a seguinte mensagem de erro:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

As seguintes combinações são possíveis para as configurações compatíveis:

Endpoint IPv4 para anexo de serviço IPv4
Endpoint IPv6 para anexo de serviço IPv6
Endpoint IPv6 para anexo de serviço IPv4

Nessa configuração, o Private Service Connect faz a conversão automaticamente entre as duas versões de IP.

Propagação da conexão

Com as conexões propagadas, os serviços acessíveis em um Spoke de VPC do consumidor por meio de endpoints do Private Service Connect podem ser acessados de modo privado por outros spokes de VPC do consumidor que estejam conectados a no mesmo hub do Network Connectivity Center.

Saiba mais em Sobre conexões propagadas.

Acesso global

Os endpoints do Private Service Connect usados para acessar serviços são recursos regionais. Mas é possível configurar o acesso global para disponibilizar endpoints em outras regiões.

O acesso global permite que recursos em qualquer região enviem tráfego a endpoints do Private Service Connect. Use o acesso global para ter alta disponibilidade em serviços hospedados em várias regiões ou para permitir que os clientes acessem um serviço que não esteja na mesma região do cliente.

O diagrama a seguir mostra clientes em regiões diferentes que acessam o mesmo endpoint:

O endpoint está em us-west1 e tem o acesso global configurado.
A VM em us-west1 pode enviar tráfego ao endpoint, e o tráfego permanece na mesma região.
A VM em us-east1 e a VM da rede local também podem conectar o endpoint em us-west1, mesmo que estejam em regiões diferentes. As linhas pontilhadas representam o caminho de tráfego inter-regional.

Com um endpoint do Private Service Connect com o acesso global, os consumidores de serviço enviam tráfego da rede VPC deles aos serviços na rede VPC do produtor. O cliente pode estar na mesma região ou em uma região diferente do endpoint (clique para ampliar).

Especificações do acesso global

É possível ativar ou desativar o acesso global a um endpoint a qualquer momento.
- Ativar o acesso global não interrompe o tráfego das conexões.
- Desativar o acesso global encerra todas as conexões de regiões diferentes da região em que o endpoint está localizado.
Nem todos os serviços do Private Service Connect são compatíveis com endpoints com acesso global. Se você conectar um endpoint de acesso global a um serviço que não está configurado para acesso global, o tráfego poderá ser enviado para back-ends não íntegros e descartado (problema conhecido).

Verifique com seu produtor de serviço se o serviço dele é compatível com o acesso global. Saiba mais em Configurações compatíveis.
O acesso global não dá um único endereço IP global ou nome DNS para vários endpoints do acesso global.

Back-ends de serviços publicados

Se as redes VPC do produtor e do consumidor pertencerem à mesma organização, será possível acessar um serviço publicado usando back-ends de serviço publicado.

Com os back-ends de serviços publicados, é possível configurar balanceadores de carga compatíveis ou o Cloud Service Mesh regional para rotear o tráfego para serviços publicados usando endpoints do Private Service Connect.

Essa abordagem oferece os seguintes benefícios:

Conectividade unificada: os balanceadores de carga e o Cloud Service Mesh regionais compatíveis podem acessar serviços publicados pelo mesmo endpoint do Private Service Connect. Isso permite estender o acesso aos aplicativos do Cloud Service Mesh usando o mesmo endpoint usado para balanceadores de carga.
Separação do gerenciamento de rede e de serviços: os proprietários de serviços podem conectar balanceadores de carga ou o Cloud Service Mesh a serviços publicados fornecendo uma referência ao anexo de serviço do produtor. Não é necessário gerenciar ou consultar endpoints específicos do Private Service Connect, que podem ser gerenciados de forma independente por administradores de rede.
Gerenciamento e segurança avançados de tráfego: quando você acessa um serviço publicado por um balanceador de carga do consumidor, ele pode atuar como um ponto centralizado de aplicação de políticas de segurança (como políticas do Google Cloud Armor e políticas de SSL) ou de roteamento (como mapas de URLGoogle Cloud ) são aplicadas.
Observabilidade: um balanceador de carga pode fornecer métricas e geração de registros centralizadas que um serviço publicado pode não oferecer.

Para usar back-ends de serviços publicados, você precisa de um endpoint do Private Service Connect que se conecte ao serviço que quer acessar. A configuração de um back-end de serviço publicado não cria um automaticamente para você.

Para usar um back-end de serviço publicado com um balanceador de carga, associe o serviço de back-end do balanceador de carga a um anexo de serviço.

Você não associa explicitamente o balanceador de carga a um endpoint. Em vez disso, quando um cliente envia uma solicitação ao balanceador de carga, ele roteia o tráfego por um endpoint do Private Service Connect que atende aos seguintes critérios:

O endpoint se conecta ao anexo de serviço especificado no back-end do balanceador de carga do consumidor.
O endpoint tem um status de conexão ACCEPTED.
O endpoint está na mesma rede VPC e região que a regra de encaminhamento do consumidor.

Para informações sobre como configurar back-ends de serviços publicados para acessar serviços publicados com o Cloud Service Mesh regional, consulte Configurar back-ends de serviços publicados para o Cloud Service Mesh.

Configurações aceitas

A tabela a seguir lista as configurações compatíveis para usar back-ends de serviços publicados com endpoints do Private Service Connect. O suporte ao consumidor indica que a configuração pode acessar um serviço publicado usando back-ends de serviço publicados. O suporte do produtor indica que o balanceador de carga pode ser usado para publicar um serviço acessível por back-ends de serviço publicados.

Configuração	Suporte ao consumidor	Suporte para produtores
Cloud Service Mesh regional
Balanceador de carga de aplicativo externo regional
Balanceador de carga de rede de proxy externo regional
Balanceador de carga de aplicativo interno e regional
Balanceador de carga de rede de proxy interno regional
Balanceador de carga de rede de passagem interno
Encaminhamento de protocolo interno (instância de destino)

VPC compartilhada

Os administradores de projetos de serviço podem criar endpoints em projetos de serviço de VPC compartilhada que usam endereços IP de redes VPC compartilhadas. A configuração é igual à de um endpoint normal, mas o endpoint usa um endereço IP reservado de uma sub-rede compartilhada da VPC compartilhada.

O recurso de endereço IP pode ser reservado no projeto de serviço ou no projeto host. A origem do endereço IP precisa ser uma sub-rede compartilhada com o projeto de serviço.

Saiba mais em Criar um endpoint com um endereço IP de uma rede VPC compartilhada.

VPC Service Controls

Os serviços VPC Service Controls e Private Service Connect são compatíveis entre si. Se a rede VPC em que o endpoint do Private Service Connect estiver implantado estiver em um perímetro do VPC Service Controls, esse endpoint fará parte do mesmo perímetro. Todos os serviços com suporte do VPC Service Controls que são acessados por meio do endpoint estão sujeitos às políticas desse perímetro do VPC Service Controls.

Quando você cria um endpoint, são feitas chamadas de API do plano de controle entre os projetos do consumidor e do produtor para estabelecer uma conexão do Private Service Connect. Estabelecer uma conexão do Private Service Connect entre projetos do consumidor e do produtor que não estão no mesmo perímetro do VPC Service Controls não exige autorização explícita com políticas de saída. A comunicação com os serviços com suporte do VPC Service Controls por meio do endpoint é protegida pelo perímetro do VPC Service Controls.

Rotas estáticas com balanceadores de carga como próximos saltos

É possível configurar rotas estáticas para usar a regra de encaminhamento de um balanceador de carga de rede de passagem interno como o próximo salto (--next-hop-ilb). Nem todas as rotas desse tipo são compatíveis com o Private Service Connect.

As rotas estáticas que usam --next-hop-ilb para especificar o nome de uma regra de encaminhamento do balanceador de carga de rede de passagem interno podem ser usadas para enviar e receber tráfego a um endpoint do Private Service Connect quando a rota e o endpoint estão na mesma rede e na mesma região da VPC.

As seguintes configurações de roteamento não são compatíveis com o Private Service Connect:

As rotas estáticas que usam --next-hop-ilb para especificar o endereço IP de uma regra de encaminhamento do balanceador de carga de rede de passagem interno.
As rotas estáticas que usam --next-hop-ilb para especificar o nome ou o endereço IP de uma regra de encaminhamento de endpoint do Private Service Connect.

Logging

É possível ativar os registros de fluxo de VPC nas sub-redes que contêm VMs que estão acessando serviços em outra rede VPC usando endpoints. Os registros mostram os fluxos entre as VMs e o endpoint.
Para conferir as mudanças no status de conexão dos endpoints, use os registros de auditoria. As alterações no status da conexão do endpoint são capturadas nos metadados de evento do sistema do tipo de recurso Regra de encaminhamento do GCE. Filtre por pscConnectionStatus para mostrar essas entradas.

Por exemplo, quando um produtor de serviço permite conexões vindas do seu projeto, o status da conexão do endpoint muda de PENDING para ACCEPTED, e essa mudança é incluída nos registros de auditoria.
- Para acessar os registros de auditoria, consulte Ver registros.
- Para definir alertas com base em registros de auditoria, consulte Como gerenciar alertas com base em registros.

Preços

Confira os preços do Private Service Connect na página de preços da VPC.

Cotas

O número de endpoints que podem ser criados para acessar serviços publicados é controlado pela cota PSC Internal LB Forwarding Rules. Saiba mais em Cotas.

Restrições da política da organização

Um administrador de política da organização pode usar a restrição constraints/compute.disablePrivateServiceConnectCreationForConsumers para definir o conjunto de tipos de endpoints para os quais os usuários não podem criar regras de encaminhamento.

Saiba como criar uma política da organização que use essa restrição em Impedir que os consumidores implantem endpoints por tipo de conexão.

A seguir

Acessar serviços publicados usando endpoints