Acerca das interfaces do Private Service Connect
Esta página oferece uma vista geral das interfaces do Private Service Connect.
Uma interface do Private Service Connect é um recurso que permite a uma rede da nuvem virtual privada (VPC) de produtor iniciar ligações a vários destinos numa rede da VPC de consumidor. As redes de produtores e consumidores podem estar em projetos e organizações diferentes.
Para criar uma ligação de interface do Private Service Connect, precisa de uma instância de máquina virtual (VM) com, pelo menos, duas interfaces de rede. A primeira interface liga-se a uma sub-rede numa rede VPC do produtor. As outras interfaces podem ser interfaces do Private Service Connect que pedem ligações a anexos de rede em diferentes redes VPC do consumidor. Se uma ligação for aceite, Google Cloud atribui à interface do Private Service Connect um endereço IP interno da sub-rede do consumidor especificada pela associação da rede.
Esta ligação de interface do Private Service Connect permite que as organizações produtoras e consumidoras configurem as respetivas redes VPC para que as duas redes estejam ligadas e possam comunicar através de endereços IP internos. Por exemplo, a organização produtora pode atualizar a rede VPC do produtor para adicionar rotas para sub-redes de consumidores.
Figura 1. Numa rede de VPC do produtor, vm-1 tem duas interfaces de rede. Uma interface de rede virtual (vNIC) liga-se a uma sub-rede na rede do produtor. A outra interface é uma interface do Private Service Connect virtual que se liga a uma associação de rede numa rede de consumidor (clique para aumentar).
Uma ligação entre uma interface do Private Service Connect e uma associação de rede é semelhante à ligação entre um ponto final do Private Service Connect e uma associação do serviço, mas tem duas diferenças importantes:
- Uma interface do Private Service Connect permite que uma rede VPC do produtor inicie ligações a uma rede VPC do consumidor (saída do serviço gerido). Um ponto final funciona na direção inversa, permitindo que uma rede VPC do consumidor inicie ligações a uma rede VPC do produtor (entrada de serviço gerido).
- Uma ligação de interface do Private Service Connect é transitiva. Isto significa que as cargas de trabalho numa rede de produtor podem iniciar ligações a outras cargas de trabalho que estão ligadas à rede VPC do consumidor. Os pontos finais do Private Service Connect só podem iniciar ligações à rede VPC do produtor.
Figura 2. Os pontos finais do Private Service Connect permitem que os consumidores de serviços iniciem ligações aos produtores de serviços, enquanto as interfaces do Private Service Connect permitem que os produtores de serviços iniciem ligações aos consumidores de serviços (clique para aumentar).
Estabelecer ligação a cargas de trabalho noutras redes
Uma vez que as ligações de interface do Private Service Connect são transitivas, se a configuração da rede VPC do consumidor o permitir, os recursos nas redes VPC do produtor podem comunicar com cargas de trabalho que estão ligadas à rede do consumidor. Isto inclui o seguinte:
- Cargas de trabalho em redes ligadas à rede VPC do consumidor através de túneis do Cloud VPN, Cloud Interconnect ou intercâmbio da rede da VPC.
- Cargas de trabalho com endereços IP externos acessíveis a partir da rede VPC do consumidor através do Cloud NAT.
- APIs e serviços Google acessíveis a partir da rede VPC do consumidor através do acesso privado Google ou dos VPC Service Controls. É necessária configuração adicional para usar os VPC Service Controls com interfaces do Private Service Connect.
- Serviços publicados e APIs Google acessíveis a partir da rede VPC do consumidor através de pontos finais e serviços de back-end.
- Cargas de trabalho em raios da VPC que estão ligados à rede VPC do consumidor.
Figura 3. Uma rede da VPC do produtor que está ligada a uma rede da VPC do consumidor através de uma ligação de interface do Private Service Connect pode comunicar com cargas de trabalho que estão ligadas à rede da VPC do consumidor (clique para aumentar).
Exemplos de utilização
Um exemplo de utilização das interfaces do Private Service Connect é um serviço gerido que precisa de iniciar ligações a uma rede VPC do consumidor para aceder aos dados do consumidor. O serviço também pode precisar de acesso a dados ou serviços disponíveis numa rede no local de um consumidor, através de uma ligação VPN ou Cloud Interconnect, ou de um serviço de terceiros. Uma ligação de interface do Private Service Connect pode cumprir todos estes requisitos.
Outro exemplo de utilização é um serviço gerido que fornece um gateway de API. À medida que o serviço recebe chamadas para diferentes APIs, usa interfaces do Private Service Connect para iniciar ligações a redes VPC de consumidores. O serviço de gateway envia pedidos de API para destinos de back-end que processam os pedidos.
As interfaces do Private Service Connect e os pontos finais do Private Service Connect são complementares e podem ser usados em conjunto na mesma rede VPC.
Por exemplo, a figura 4 descreve a configuração de rede de um serviço gerido que fornece estatísticas. O serviço de estatísticas pode iniciar ligações à rede VPC do consumidor através de uma interface do Private Service Connect. Um ponto final do Private Service Connect na rede do consumidor permite que o serviço de estatísticas inicie ligações a um serviço de base de dados noutra rede VPC. O tráfego do serviço de estatísticas para o serviço de base de dados passa pela rede do consumidor, o que permite ao consumidor monitorizar e fornecer segurança para o tráfego entre os dois serviços.
Figura 4. As interfaces do Private Service Connect e os pontos finais do Private Service Connect são complementares nesta configuração de exemplo. A interface permite que o serviço de estatísticas inicie ligações à rede VPC do consumidor. O ponto final permite que o serviço de estatísticas inicie ligações a partir da rede VPC do consumidor para o serviço de base de dados (clique para aumentar).
Tipos de interfaces do Private Service Connect
Existem dois tipos de interfaces do Private Service Connect:
As interfaces virtuais do Private Service Connect baseiam-se nas interfaces de rede virtual (vNICs) que são usadas pelas VMs do Compute Engine.
As interfaces dinâmicas do Private Service Connect (pré-visualização) baseiam-se em NICs dinâmicas.
As principais diferenças entre as interfaces do Private Service Connect virtuais e dinâmicas são descritas na tabela seguinte:
| Tipo | Número máximo de interfaces do Private Service Connect por VM | Gestão de interfaces | SO convidado suportado |
|---|---|---|---|
| Interface do Private Service Connect virtual | Até 9 (depende do número de vCPUs) | Adicionada no momento da criação da VM; removida com a eliminação da VM | Linux, Windows |
| Interface dinâmica do Private Service Connect | Até 15 (depende do número de vCPUs) | Adicionado em qualquer altura; pode ser removido independentemente da MV | Apenas Linux |
Considere usar interfaces virtuais do Private Service Connect quando espera que a configuração da interface permaneça inalterada durante todo o ciclo de vida da VM.
Considere usar interfaces dinâmicas do Private Service Connect quando se verificar o seguinte:
- Tem de gerir dinamicamente as ligações às redes VPC do consumidor.
- Precisa de mais interfaces do Private Service Connect por VM.
- Tem de evitar o tempo de inatividade durante as alterações à interface do Private Service Connect.
Especificações
Uma interface do Private Service Connect é um tipo especial de interface de rede que se liga a uma associação da rede.
As especificações da interface de rede também se aplicam às interfaces do Private Service Connect.
As seguintes especificações aplicam-se a ambos os tipos de interfaces do Private Service Connect:
- Uma VM que usa interfaces do Private Service Connect requer, pelo menos, duas interfaces de rede. A primeira interface de rede é
sempre a interface de rede predefinida, denominada
nic0. Esta interface liga-se a uma sub-rede de produção. A segunda interface é uma interface do Private Service Connect que pede uma ligação a uma sub-rede do consumidor. - Quando um projeto consumidor aceita uma ligação
de uma interface do Private Service Connect, Google Cloud
configura a interface com endereços IP da sub-rede
da associação de rede:
- É atribuído um endereço IPv4 interno a partir do intervalo de endereços IP principal da sub-rede.
- Se a sub-rede da ligação de rede for de pilha dupla e a interface do Private Service Connect for de pilha dupla, é atribuído um endereço IPv6 interno a partir do intervalo IPv6 da sub-rede.
- Não pode usar sub-redes apenas IPv6 para anexos de rede.
- Se uma associação de rede não tiver endereços IP suficientes para atribuir às interfaces do Private Service Connect, a criação da interface falha e devolve um erro:
- Se a falha ocorrer ao criar uma VM, a VM não é criada.
- Se a falha ocorrer ao adicionar uma interface dinâmica do Private Service Connect a uma VM existente, a interface não é adicionada.
- Tem de configurar manualmente o SO convidado da VM de uma interface do Private Service Connect para encaminhar o tráfego através da interface.
- As interfaces do Private Service Connect suportam intervalos de IPs alternativos. Os intervalos de IP de alias têm de ser provenientes do intervalo de endereços IPv4 principal da sub-rede do anexo de rede.
- Google Cloud valida se os endereços IP atribuídos a uma interface do Private Service Connect não se sobrepõem aos intervalos de endereços das sub-redes ligadas às outras interfaces de rede da VM. Se não existirem endereços suficientes disponíveis, a criação da VM falha.
- Uma interface do Private Service Connect comunica da mesma forma que uma interface de rede.
- Uma ligação entre uma associação da rede e uma interface do Private Service Connect é bidirecional e transitiva. As cargas de trabalho na rede VPC do produtor podem iniciar ligações a cargas de trabalho ligadas à rede VPC do consumidor.
- As interfaces do Private Service Connect dinâmicas e virtuais podem coexistir na mesma VM.
- As interfaces do Private Service Connect suportam os VPC Service Controls. Esta combinação requer uma configuração de encaminhamento adicional.
Especificações da interface do Private Service Connect virtual
As seguintes especificações são específicas das interfaces virtuais do Private Service Connect.
- As interfaces virtuais do Private Service Connect só podem ser criadas no momento da criação da VM e só podem ser removidas eliminando a VM associada.
- Pode criar um máximo de nove interfaces virtuais do Private Service Connect numa única VM, consoante o número de vCPUs na VM.
Especificações da interface dinâmica do Private Service Connect
As seguintes especificações são específicas das interfaces dinâmicas do Private Service Connect.
- As propriedades e as limitações dos NICs dinâmicos também se aplicam às interfaces dinâmicas do Private Service Connect.
- Pode adicionar ou remover interfaces dinâmicas do Private Service Connect em qualquer altura, sem ter de reiniciar a VM.
- Uma única VM pode ter até 15 interfaces dinâmicas do Private Service Connect, dependendo do número de vCPUs na VM.
- A unidade de transmissão máxima (MTU) de uma interface de rede é definida como a MTU da rede de VPC à qual se liga. A MTU de uma interface dinâmica do Private Service Connect tem de ser inferior ou igual à MTU da respetiva interface de rede principal. Caso contrário, a criação da interface falha com um erro.
Limitações
Uma ligação de interface do Private Service Connect só pode ser terminada das seguintes formas:
- Um produtor elimina a VM da interface.
- Um produtor remove uma interface dinâmica do Private Service Connect.
- Um consumidor elimina um projeto que está ligado a uma interface do Private Service Connect. Esta ação para a VM da interface.
- Um consumidor desativa a API Compute Engine num projeto que está ligado a uma interface do Private Service Connect. Esta ação para a VM da interface.
Se uma VM tiver várias interfaces do Private Service Connect, cada interface tem de se ligar a uma associação de rede única, e cada associação de rede tem de estar numa rede VPC do consumidor diferente.
Não pode atribuir endereços IP externos (anunciados publicamente) a interfaces do Private Service Connect.
As interfaces dinâmicas do Private Service Connect não são suportadas em VMs que usam o SO convidado Windows. Embora esta configuração não seja impedida pela API, os pacotes não fluem porque os controladores do SO convidado do Windows não suportam NICs dinâmicos.
O suporte para interfaces dinâmicas do Private Service Connect em VMs do SO otimizado para contentores está limitado à milestone 129 ou posterior.
Uma interface do Private Service Connect não pode ser o próximo salto de uma regra de encaminhamento interno.
Não pode associar diretamente interfaces do Private Service Connect a nós ou pods do Google Kubernetes Engine (GKE). No entanto, a saída do serviço é possível com o GKE através de interfaces do Private Service Connect configuradas em VMs de proxy.
As VMs com interfaces do Private Service Connect não podem fazer parte de serviços de back-end que segmentam VMs do Compute Engine. Isto deve-se ao facto de as VMs terem de estar no mesmo projeto que o serviço de back-end.
Preços
Os preços das interfaces do Private Service Connect estão descritos na página de preços da VPC.
O que se segue?
- Saiba como criar e gerir interfaces do Private Service Connect.
- Conclua o codelab de serviços geridos da interface do Private Service Connect.