Se usó la API de Cloud Translation para traducir esta página.

Información sobre el control del acceso a los servicios publicados

En esta página, se describen las funciones que puedes usar para controlar el acceso a los servicios que se publican con Private Service Connect.

Preferencias de conexión

Cada adjunto de servicio tiene una preferencia de conexión que controla si las conexiones se aceptan automáticamente.

Aceptar automáticamente todas las conexiones. El adjunto de servicio acepta automáticamente todas las solicitudes de conexión entrantes de cualquier consumidor.
Aceptar explícitamente las conexiones de los consumidores seleccionados El adjunto de servicio solo acepta las solicitudes de conexión entrantes si el consumidor está en la lista de aceptación del consumidor del adjunto de servicio. Puedes especificar los consumidores por proyecto, red de VPC o extremo de Private Service Connect individual (vista previa). No puedes incluir diferentes tipos de consumidores en la misma lista de aceptación o rechazo de consumidores.

Para cualquiera de las preferencias de conexión, las conexiones aceptadas se pueden anular y rechazar con una política de la organización que bloquee las conexiones entrantes.

Te recomendamos que aceptes explícitamente las conexiones para los consumidores seleccionados. Aceptar todas las conexiones automáticamente podría ser apropiado si controlas el acceso de los consumidores a través de otros medios y quieres habilitar el acceso permisivo a tu servicio.

Listas de aceptación y rechazo del consumidor

Las listas de aceptación del consumidor y las listas de rechazo del consumidor son una función de seguridad de los adjuntos de servicio. Estas listas permiten que los productores de servicios especifiquen qué consumidores pueden establecer conexiones de Private Service Connect con sus servicios. Cuando un adjunto de servicio está configurado para la aprobación explícita, solo se acepta una conexión nueva si el consumidor está en la lista de aceptación y no en la lista de rechazo. Las actualizaciones de las listas de consumidores solo afectan las conexiones nuevas, a menos que la conciliación de conexiones esté habilitada.

Las listas de aceptación y rechazo del consumidor te permiten especificar consumidores de una de las siguientes maneras:

Proyecto
Red de VPC
Extremo de Private Service Connect (vista previa)

Este método no se aplica a los backends de Private Service Connect.

Si agregas el mismo consumidor a las listas de aceptación y rechazo, se bloqueará su conexión al adjunto de servicio. No se admite especificar consumidores por carpeta.

Ambas listas de consumidores de un adjunto de servicio deben contener el mismo tipo de consumidor. Por ejemplo, si agregas un proyecto a una lista de aceptación, no puedes agregar una red de VPC ni un URI de extremo a ninguna de las listas, a menos que reemplaces el proyecto en la lista de aceptación por el nuevo tipo de consumidor.

Si deseas publicar un servicio que acepte diferentes tipos de consumidores, puedes crear varios adjuntos de servicio que se conecten al mismo servicio. Cada adjunto de servicio se puede configurar con su propia preferencia de conexión y listas de consumidores.

Puedes cambiar el tipo de consumidor en las listas de consumidores sin interrumpir las conexiones, pero debes realizar el cambio en una sola actualización. De lo contrario, la operación fallará.

Existen límites para la cantidad de consumidores que puedes agregar a las listas de aceptación y rechazo:

Puedes agregar un máximo de 5,000 valores a la lista de aceptación del consumidor.
Puedes agregar un máximo de 64 valores a la lista de rechazo del consumidor.

Las listas de consumidores controlan si un extremo o un backend pueden conectarse a un servicio publicado, pero no controlan quién puede enviar solicitudes a ese extremo. Por ejemplo, supongamos que un consumidor tiene una red de VPC compartida a la que se adjuntan dos proyectos de servicio. Si un servicio publicado tiene service-project1 en la lista de aceptación del consumidor y service-project2 en la lista de rechazo del consumidor, se aplica lo siguiente:

Un consumidor en service-project1 puede crear un extremo que se conecte al servicio publicado.
Un consumidor en service-project2 no puede crear un extremo que se conecte al servicio publicado.
Un cliente en service-project2 puede enviar solicitudes al extremo en service-project1 si no hay reglas o políticas de firewall que impidan ese tráfico.

Para obtener información sobre cómo interactúan las listas de aceptación del consumidor con las políticas de la organización, consulta Interacción entre las listas de aceptación del consumidor y las políticas de la organización.

Límites de la lista de aceptación del consumidor

Las listas de aceptación del consumidor tienen límites de conexión. Estos límites establecen la cantidad total de conexiones de backend y extremo de Private Service Connect que un adjunto de servicio puede aceptar desde el proyecto del consumidor o la VPC especificados en tu red de VPC. Especificar límites de conexión para las listas de aceptación basadas en extremos de Private Service Connect no tiene efecto, ya que solo un extremo puede coincidir con un URI determinado.

Los productores pueden usar estos límites de conexiones para evitar que los consumidores individuales agoten las direcciones IP o las cuotas de recursos en la red de VPC del productor. Cada conexión aceptada de Private Service Connect se resta del límite configurado para un proyecto de consumidor o una red de VPC. Los límites se establecen cuando creas o actualizas las listas de aceptación del consumidor. Puedes ver las conexiones de los adjuntos de servicio cuando describes un adjunto de servicio.

No se tienen en cuenta las conexiones propagadas hacia estos límites.

Por ejemplo, imagina un caso en el que un adjunto de servicio tiene una lista de aceptación del consumidor que incluye project-1 y project-2, ambos con un límite de una conexión. El proyecto project-1 solicita dos conexiones, project-2 una conexión y project-3 solicita otra. Debido a que project-1 tiene un límite de una conexión, se acepta la primera y la segunda permanece pendiente. Se acepta la conexión de project-2 y la conexión de project-3 permanece pendiente. Se puede aceptar la segunda conexión de project-1 si aumentas el límite de project-1. Si se agrega project-3 a la lista de aceptación del consumidor, esa conexión pasa de pendiente a aceptada.

Conciliación de conexiones

La conciliación de conexiones determina si las actualizaciones de las listas de aceptación o rechazo de un adjunto de servicio pueden afectar las conexiones existentes de Private Service Connect. Si la conciliación de conexiones está habilitada, la actualización o la denegación de las listas puede finalizar las conexiones existentes. Se pueden aceptar las conexiones que se rechazaron antes. Si la conciliación de conexiones está inhabilitada, la actualización de las listas de aceptación o rechazo solo afecta las conexiones nuevas y pendientes.

Por ejemplo, considera un adjunto de servicio que tiene varias conexiones aceptadas de Project-A. Project-A está en la lista de aceptación del adjunto de servicio. El adjunto de servicio se actualiza mediante la eliminación de Project-A de la lista de aceptación.

Si la conciliación de conexiones está habilitada, todas las conexiones existentes de Project-A realizan la transición a PENDING, lo que finaliza la conectividad de red entre las dos redes de VPC y detiene el tráfico de red de inmediato.

Si la conciliación de conexiones está inhabilitada, las conexiones existentes de Project-A no se verán afectadas. El tráfico de red aún puede fluir a través de las conexiones existentes de Private Service Connect. Sin embargo, no se permiten conexiones nuevas de Private Service Connect.

Para obtener información sobre cómo configurar la conciliación de conexiones para adjuntos de servicio nuevos, consulta Publica un servicio con aprobación explícita.

Para obtener más información sobre cómo configurar la conciliación de conexiones para adjuntos de servicio existentes, consulta Configura la conciliación de conexiones.

Aceptar o rechazar conexiones de extremos de Private Service Connect

Puedes aceptar o rechazar conexiones de extremos de Private Service Connect individuales agregando el URI basado en el ID del extremo a una de las listas de consumidores de un adjunto de servicio. Este enfoque, que se recomienda para los servicios de múltiples usuarios, proporciona el control más detallado para administrar las conexiones. La aceptación de consumidores por extremo de Private Service Connect solo se aplica a los extremos de Private Service Connect y no admite backends de Private Service Connect.

A diferencia de los proyectos o las redes de VPC, solo puedes aceptar o rechazar un extremo de Private Service Connect individual después de que el consumidor lo cree. Esto se debe a que el URI único de un extremo no se conoce hasta que el consumidor crea el extremo. Para agregar un extremo a una lista de aceptación del consumidor, sigue estos pasos:

El productor publica un servicio que requiere aprobación explícita, sin agregar ningún valor a la lista de aceptación del consumidor.
Un consumidor crea un extremo que se conecta al servicio publicado. La conexión se ve en el adjunto de servicio con el estado Pending.
Para encontrar el URI basado en el ID del extremo pendiente, el productor puede describir el adjunto de servicio, o bien el consumidor puede describir el extremo.
El productor agrega el URI basado en el ID del extremo a la lista de aceptación del consumidor. Se establece la conexión y su estado cambia a Accepted.

Estados de conexión

Los extremos, los backends y los adjuntos de servicio de Private Service Connect tienen estados de conexión que describen el estado de sus conexiones. Los recursos del consumidor y del productor que forman los dos lados de una conexión siempre tienen el mismo estado. Puedes ver los estados de conexión cuando ves detalles del extremo, describes un backend o ves detalles de un servicio publicado.

En la siguiente tabla se describen los estados posibles.

Estado de conexión	Descripción
Aceptado	Se establece la conexión de Private Service Connect. Las dos redes de VPC tienen conectividad y la conexión funciona con normalidad.
Pendiente	No se estableció la conexión de Private Service Connect, y el tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado para los siguientes motivos: El adjunto de servicio requiere una aprobación explícita y el consumidor no está en la lista de aceptación del consumidor. La cantidad de conexiones supera el límite de conexiones del adjunto de servicio. El número de conexiones propagadas asociadas a un extremo superan el límite de conexiones propagadas del adjunto de servicio. Las conexiones que se bloquean por estos motivos permanecen en estado pendiente indefinidamente hasta que se resuelva el problema subyacente.
Rechazado	No se establece la conexión de Private Service Connect. El tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado para los siguientes motivos: Una política de la organización de productor rechazó la conexión. Una lista de rechazos de consumidores rechazó la conexión.
Requiere atención	Hay un problema con el lado del productor de la conexión. Es posible que parte del tráfico fluya entre las dos redes, pero que algunas conexiones no funcionen. Por ejemplo, es posible que se agote la subred NAT del productor y no se puedan asignar direcciones IP para conexiones nuevas.
Cerrado	Se borró el adjunto de servicio y la conexión de Private Service Connect está cerrada. El tráfico de red no puede viajar entre las dos redes. Una conexión cerrada es un estado terminal. Para restablecer la conexión, debes volver a crear tanto el adjunto de servicio como el extremo o el backend.

Conexiones propagadas

Los consumidores que se conectan al adjunto de servicio mediante extremos pueden habilitar la propagación de conexiones. Las conexiones propagadas permiten que las cargas de trabajo en radios de VPC del consumidor acceden a servicios administrados en redes de VPC de productor como si ambas redes de VPC estuvieran conectadas directamente a través de extremos. Cada conexión propagada consume una dirección IP de la subred NAT del adjunto de servicio.

Puedes ver la cantidad de conexiones propagadas que están asociadas con un extremo conectado cuando ves los detalles de un servicio publicado Esta cantidad no incluye las conexiones propagadas bloqueadas por el límite de conexiones propagadas del productor.

Límite de conexiones propagadas

Los adjuntos de servicio tienen un límite de conexiones propagadas, lo que permite que los productores de servicios limiten la cantidad de conexiones propagadas que se pueden establecer en el adjunto de servicio de un solo consumidor. Si no se especifica, el límite de conexiones propagadas predeterminado es 250.

Si la preferencia de conexión del adjunto de servicio es ACCEPT_MANUAL, el límite se aplica según el tipo de consumidor en la lista de aceptación del consumidor:
- En el caso de las listas de aceptación del consumidor basadas en proyectos, el límite se aplica a cada proyecto de la lista.
- En el caso de las listas de aceptación de consumidores basadas en redes de VPC, el límite se aplica a cada red de la lista.
- En el caso de las listas de aceptación de consumidores basadas en extremos de Private Service Connect (versión preliminar), el límite se aplica al proyecto de cada extremo de la lista. Si hay varios extremos del mismo proyecto en la lista, todos comparten un solo límite.
Si la preferencia de conexión es ACCEPT_AUTOMATIC, el límite se aplica a cada proyecto que contiene un extremo conectado.

Si un consumidor excede el límite de conexiones propagadas, no se crearán más conexiones propagadas. Para permitir la creación de extremos más propagados, puede aumentar el límite de conexiones propagadas Cuando aumentas este límite, Network Connectivity Center crea conexiones propagadas que estaban bloqueadas por el límite, siempre que las nuevas conexiones no superen el límite actualizado. La actualización de este límite no afecta los datos propagados existentes de tu organización.

Cómo evitar el agotamiento de la cuota

La cantidad total de extremos de Private Service Connect y de conexiones propagadas, de cualquier consumidor, que pueden acceder a tu la red de VPC de productor es controlada por la cuota de PSC ILB consumer forwarding rules per producer VPC network. Especialmente para servicios multiusuario, es importante protegerse contra el agotamiento de la cuota.

Puedes usar los siguientes límites para protegerte contra el agotamiento de la cuota:

Los límites de conexión de la lista de aceptación del consumidor controla la cantidad total de extremos de Private Service Connect que pueden crear conexiones a un adjunto de servicio desde un solo proyecto o una sola red de VPC de consumidor. Reducir estos límites no afecta las conexiones existentes. Estos límites no se aplican a las conexiones propagadas.
Los límites de conexiones propagadas controlan la cantidad total de conexiones propagadas que se pueden establecer a un adjunto de servicio de un solo consumidor. Reducir este límite no afecta los cambios existentes de conexiones propagadas.

Ejemplo de límites de cuota y conexión

En el siguiente ejemplo, se muestra cómo los límites de conexiones propagadas y los límites de listas de aceptación funcionan con respecto a la cuota de PSC ILB consumer forwarding rules per producer VPC network.

Supongamos un caso en el que un consumidor creó dos extremos en una red de VPC de radio, spoke-vpc-1. Ambos extremos se conectan a service-attachment-1 en producer-vpc-1. El radio está conectado a un concentrador de Network Connectivity Center que tiene habilitada la propagación de conexiones, y no hay otros radios conectados a ese concentrador.

El productor del servicio configuró service-attachment-1 para que tenga un límite de aceptación de consumidores de cuatro para cada proyecto en la lista de aceptación. El productor configuró un límite de dos conexiones propagadas, especificando que un único proyecto puede tener hasta dos conexiones propagadas.

Esta configuración de ejemplo contiene dos extremos y no tiene conexiones propagadas (haz clic para ampliar).

El uso de cuotas y límites para esta configuración es el siguiente:

Cuota/Límite	Uso	Explicación
Reglas de reenvío del consumidor de ILB de PSC por red de VPC del productor	2	una por extremo
Límite de conexiones de la lista de aceptación del adjunto de servicio para `consumer-project-1`	2	una por extremo
Límite de conexiones propagadas del adjunto de servicio para `consumer-project-1`	0	No hay conexiones propagadas

Supongamos que consumer-project-1 conecta otro radio llamado spoke-vpc-2 al mismo concentrador de Network Connectivity Center que spoke-vpc-1. Esto crea dos conexiones propagadas en consumer-project-1, una para cada extremo existente.

Esta configuración de ejemplo contiene dos extremos y dos conexiones propagadas (haz clic para ampliar).

El uso de cuotas y límites para esta configuración es el siguiente:

Cuota/Límite	Uso	Explicación
Reglas de reenvío del consumidor de ILB de PSC por red de VPC del productor	4	una por extremo y una por conexión propagada
Límite de conexiones de la lista de aceptación del adjunto de servicio para `consumer-project-1`	2	una por extremo
Límite de conexiones propagadas del adjunto de servicio para `consumer-project-1`	2	una por conexión propagada

Consumer-project-1 agotó su límite de conexiones propagadas. Si el consumidor agrega otro radio de VPC, Private Service Connect no crea ninguna conexión propagada nueva.

Supongamos que otro consumidor tiene dos radios de VPC en consumer-project-2. Los radios se conectan a un concentrador de Network Connectivity Center con conexiones propagadas habilitadas. Uno de los radios de VPC contiene un único extremo que se conecta a service-attachment-1.

Esta configuración de ejemplo contiene tres extremos y tres conexiones propagadas (haz clic para ampliar).

El uso de cuotas y límites para esta configuración es el siguiente:

Cuota/Límite	Uso	Explicación
Reglas de reenvío del consumidor de ILB de PSC por red de VPC del productor	6	cuatro de `consumer-project-1` y dos de `consumer-project-2`
Límite de conexiones de la lista de aceptación del adjunto de servicio para `consumer-project-1`	2	una por extremo en `consumer-project-1`
Límite de conexiones de la lista de aceptación del adjunto de servicio para `consumer-project-2`	1	una por extremo en `consumer-project-2`
Límite de conexiones propagadas del adjunto de servicio para `consumer-project-1`	2	una por conexión propagada en `consumer-project-1`
Límite de conexiones propagadas del adjunto de servicio para `consumer-project-2`	1	una por conexión propagada en `consumer-project-2`