Acerca do mapeamento de portas do Private Service Connect

Esta página oferece uma vista geral do mapeamento de portas do Private Service Connect.

O mapeamento de portas do Private Service Connect permite que as instâncias de máquinas virtuais (VMs) do consumidor comuniquem de forma privada com portas de serviço específicas em VMs do produtor específicas através de um único ponto final do Private Service Connect.

Um consumidor de serviços envia tráfego para várias portas de destino do cliente do ponto final. O Private Service Connect usa mapeamentos definidos pelo produtor para encaminhar o tráfego para a porta de serviço e a VM do produtor especificados. Em alguns contextos de rede, esta abordagem também é conhecida como encaminhamento de portas.

Mapeamento de portas versus Private Service Connect normal

Os serviços geridos são frequentemente concebidos como clusters de VMs, em que diferentes VMs representam instâncias separadas do mesmo serviço. Cada MV expõe as mesmas operações nas mesmas portas. Por exemplo, um serviço de base de dados pode usar a porta 1000 para operações de leitura da base de dados e a porta 2000 para operações de escrita da base de dados. As VMs de consumidor comunicam com instâncias de serviço específicas segmentando portas nas VMs associadas à instância de serviço.

Uma ligação normal (com balanceamento de carga) entre um ponto final do Private Service Connect e uma associação do serviço não é ideal para esta situação. Com uma ligação normal do Private Service Connect, as VMs do consumidor enviam tráfego para um ou mais portos do endereço IP do ponto final. Todo o tráfego é equilibrado em termos de carga e enviado para qualquer VM de produtor em bom estado de funcionamento configurada como back-end para a porta que recebe o tráfego.

Por outro lado, o mapeamento de portas do Private Service Connect elimina o balanceamento de carga. Esta abordagem permite que as VMs de consumidor segmentem portas de serviço específicas de VMs de produtor específicas com base na porta de destino do cliente que recebe o tráfego.

O Private Service Connect o mapeamento de portas encaminha o tráfego das portas de destino do cliente de um ponto final para as portas de serviço das VMs do produtor com base no mapeamento que é configurado para um NEG de mapeamento de portas (clique para aumentar).

O mapeamento de portas do Private Service Connect permite que as VMs consumidoras comuniquem com VMs produtoras específicas através do seguinte processo:

  1. A VM do consumidor envia pacotes para o endereço IP do ponto final, usando uma porta de destino do cliente designada. A porta de destino do cliente funciona como um identificador exclusivo para a VM e a porta de destino pretendidas do pacote.
  2. O Private Service Connect usa o mapeamento da porta de destino do cliente que recebe o tráfego para determinar o destino do pacote.
  3. O Private Service Connect encaminha o tráfego para a VM de destino e a porta de serviço.

Por exemplo, na figura 1, os pacotes são encaminhados da seguinte forma:

  • Os pacotes enviados para a porta de destino do cliente 1001 do ponto final são encaminhados para a porta de serviço 1000 de vm-1.
  • Os pacotes enviados para a porta de destino do cliente 1002 do ponto final são encaminhados para a porta de serviço 2000 de vm-1.
  • Os pacotes enviados para a porta de destino do cliente 1003 do ponto final são encaminhados para a porta de serviço 1000 de vm-2.
  • Os pacotes enviados para a porta de destino do cliente 1004 do ponto final são encaminhados para a porta de serviço 2000 de vm-2.

Implementação

A implementação de uma ligação de mapeamento de portas do Private Service Connect difere da implementação de uma ligação de ponto final do Private Service Connect normal para serviços publicados das seguintes formas:

  1. O produtor de serviços cria um serviço de mapeamento de portas. Os serviços de mapeamento de portas usam grupos de pontos finais de rede (NEGs) de mapeamento de portas. Esta configuração é semelhante a um balanceador de carga de rede de passagem interno, mas o tráfego não é balanceado.
  2. O produtor de serviços configura os pontos finais da rede do NEG de mapeamento de portas para especificar mapeamentos das portas de destino do cliente de um ponto final do Private Service Connect para portas de serviço de VMs de produtor específicas.
  3. O produtor do serviço cria uma associação do serviço que está associada à regra de encaminhamento do respetivo serviço de mapeamento de portas.
  4. O produtor do serviço partilha as portas de destino do cliente e as respetivas associações com o consumidor do serviço. Isto não é processado automaticamente por Google Cloud.
  5. O consumidor de serviços configura cargas de trabalho para comunicar com serviços geridos através dos mapeamentos de portas definidos pelo produtor.

Especificações

O mapeamento de portas do Private Service Connect tem as seguintes especificações:

  • Uma ligação de mapeamento de portas do Private Service Connect requer um ponto final do Private Service Connect numa rede da VPC do consumidor que se liga a uma associação do serviço numa rede da VPC do produtor.
  • A associação do serviço está associada a um serviço de mapeamento de portas. Os serviços de mapeamento de portas são configurados de forma semelhante aos balanceadores de carga de rede de passagem interna, mas o tráfego não é balanceado. Os serviços de mapeamento de portas são compostos pelo seguinte:
    • Uma regra de encaminhamento que se liga a um serviço de back-end. A regra de encaminhamento tem de ser configurada para tráfego TCP ou UDP. A regra de encaminhamento tem de ser configurada para encaminhar o tráfego para todas as portas de destino do cliente, por exemplo, especificando --ports=ALL na Google Cloud CLI. No entanto, só precisa de definir mapeamentos no NEG de mapeamento de portas para as portas de destino do cliente que planeia usar.
    • Um serviço de back-end configurado para usar um grupo de pontos finais da rede (NEG) de mapeamento de portas. Os produtores de serviços usam os pontos finais da rede do NEG de mapeamento de portas para definir mapeamentos únicos das portas de destino do cliente do ponto final do Private Service Connect para uma combinação da porta de serviço e da VM do produtor.
  • Em vez de equilibrar a carga do tráfego, o serviço de mapeamento de portas encaminha o tráfego com base apenas nos mapeamentos configurados no NEG de mapeamento de portas.
  • O serviço de produção tem de partilhar as portas de destino do cliente válidas e as respetivas associações com o consumidor. O Private Service Connect não partilha estas informações com o consumidor.
  • O consumidor tem de configurar as respetivas cargas de trabalho para comunicar com os serviços geridos através dos mapeamentos de portas definidos pelo produtor.
  • Os consumidores podem ativar o acesso global para pontos finais que se ligam a serviços de mapeamento de portas se o acesso global estiver ativado na regra de encaminhamento do serviço.
  • O mapeamento de portas do Private Service Connect suporta o acesso híbrido. Uma carga de trabalho no local de um consumidor pode alcançar VMs de produtor acedendo ao ponto final do Private Service Connect através de associações de VLAN para o Cloud Interconnect ou o Cloud VPN.
  • O mapeamento de portas do Private Service Connect suporta ligações propagadas (pré-visualização) para pontos finais que se ligam a serviços de mapeamento de portas.
  • Os serviços de mapeamento de portas podem ser publicados através de endereços IPv4 ou IPv6 (pré-visualização). Para mais informações, consulte o artigo Tradução da versão IP.

Limitações

  • As verificações de saúde não são suportadas em serviços de back-end que tenham NEGs de mapeamento de portas anexados. A validação impede a configuração de uma verificação de estado se o serviço de back-end tiver um NEG de mapeamento de portas.
  • O mapeamento de portas do Private Service Connect não suporta a ligação de várias associações de serviços ou regras de encaminhamento ao mesmo serviço de back-end de mapeamento de portas.
  • Não é possível aceder aos serviços de mapeamento de portas através de back-ends do Private Service Connect.

Use o balanceamento de carga com o mapeamento de portas do Private Service Connect

O mapeamento de portas do Private Service Connect encaminha o tráfego apenas com base na porta de destino do cliente que recebe o tráfego. Se quiser usar o balanceamento de carga com o mapeamento de portas do Private Service Connect, pode fazer o seguinte:

  • Pedir ao consumidor que implemente o equilíbrio de carga do lado do consumidor. O software que é executado em VMs de consumidor pode enviar tráfego para portas de destino do cliente alternadas.
  • Crie uma segunda associação de serviço na rede VPC do produtor que se ligue a um equilibrador de carga em vez de a um serviço de mapeamento de portas. Use as mesmas VMs que estão no NEG de mapeamento de portas como back-ends no serviço de back-end do balanceador de carga. O consumidor pode enviar tráfego que precisa de ser equilibrado por carga para um ponto final associado à segunda associação de serviço.

Quotas

Para informações sobre quotas e limites relacionados com o mapeamento de portas do Private Service Connect, consulte o artigo Quotas e limites.

Preços

Os preços do Private Service Connect estão descritos na página de preços da VPC.

O que se segue?