Acerca de las políticas de conexión de servicio

En este documento, se explica cómo los administradores de red pueden usar políticas de conexión de servicio para proporcionar conectividad a instancias de servicio administrado compatibles a través de la automatización de la conectividad del servicio. Antes de leer este documento, asegúrate de conocer los conceptos que se explican en Acerca de la automatización de la conectividad de servicios.

Especificaciones

Las políticas de conexión de servicio tienen las siguientes especificaciones:

  • Solo puedes crear una política de conexión de servicio para cada combinación de red, región y clase de servicio. Por ejemplo, solo puedes tener una política de conexión de servicio para vpc1 en us-central1 para google-cloud-sql. Esta validación significa que solo una política de conexión de servicio rige un extremo de Private Service Connect determinado.

  • Los administradores de instancias de servicio pueden usar la API o la IU administrativa del servicio para implementar ese servicio y configurar la conectividad a través de la automatización de conectividad de servicios.

  • Si se bloquea la creación o eliminación de un extremo a través de la automatización de la conectividad del servicio, un proceso automatizado reintenta periódicamente la operación hasta que se resuelva el problema de bloqueo.

  • Las subredes que se incluyen en la configuración de la política de conexión de servicio proporcionan direcciones IP que se asignan a los extremos de Private Service Connect. Estas direcciones IP se asignan automáticamente y se devuelven al grupo de la subred a medida que se crean y borran las instancias de servicio administrado.

    Las subredes deben ser subredes normales y deben estar en la misma región que la política de conexión de servicio. Las subredes regulares son diferentes de las subredes de Private Service Connect.

    Como práctica recomendada, te sugerimos que evites usar las subredes para otros recursos. Si otros recursos consumen direcciones IP de la subred, es posible que te quedes sin direcciones IP para asignar a los extremos.

  • Los servicios administrados que usan políticas de conexión de servicio pueden admitir la conexión a instancias de servicio con extremos IPv4, extremos IPv6 o ambos. Si el servicio admite IPv4 e IPv6, los administradores de instancias de servicio pueden elegir una versión de IP cuando implementan una instancia de servicio.

  • Puedes usar políticas de conexión de servicio con la VPC compartida.

  • De forma predeterminada, la instancia de servicio y los extremos que se conectan a ella deben estar en el mismo proyecto (o, en el caso de la VPC compartida, en proyectos conectados).

    Los servicios de Google compatibles te permiten configurar un alcance de instancia de servicio personalizado.

  • Es posible que los extremos creados a través de la automatización de la conectividad de servicios tengan etiquetas aplicadas por el productor de servicios. Para obtener más información sobre las etiquetas, consulta Organiza recursos con etiquetas.

  • Si deseas usar la automatización del servicio de Private Service Connect con varias redes de VPC que se encuentran en el mismo proyecto, crea una política de conexión de servicio para cada red.

  • De manera opcional, puedes configurar un límite de conexiones para especificar la cantidad máxima de conexiones de Private Service Connect que un productor de servicios determinado puede crear en la red de VPC y la región de la política.

  • Los extremos que se crean a través de políticas de conexión de servicio pueden estar disponibles en otras redes de VPC a través de la propagación de conexiones.

Autorización

Las políticas de conexión de servicio permiten que los consumidores deleguen la implementación de la conectividad a los servicios administrados. El productor de servicios no tiene acceso directo ni privilegios de IAM para el proyecto del consumidor. y configura un mapa de conexiones de servicios en su propio proyecto.

Cuando se crea o actualiza el mapa de conexión de servicio, por lo general, en respuesta a una solicitud de un administrador de servicios de consumidor a la API o la IU administrativa del servicio administrado, la automatización de la conectividad del servicio realiza una serie de verificaciones de autorización. Si todas las verificaciones se realizan correctamente, los extremos de Private Service Connect se crean según lo especificado en la solicitud.

Para obtener información sobre la autorización, consulta Modelo de autorización.

Políticas de conexión en redes de VPC compartida

Las políticas de conexión de servicio pueden automatizar la conectividad a instancias de servicio que se encuentran en proyectos host o en proyectos de servicio adjuntos.

Si usas una VPC compartida, debes crear la política de conexión de servicio en el proyecto host. Los extremos se crean en el proyecto especificado en la configuración de la instancia de servicio.

Si creas una política de conexión de servicio en una red de VPC compartida y, luego, implementas una instancia de servicio en un proyecto de servicio, la automatización de la conectividad del servicio comparte las subredes asociadas con la política de conexión de servicio actualizando la cuenta de servicio de Network Connectivity del proyecto de servicio. A esta cuenta de servicio se le otorga el rol de usuario de la red de Compute (roles/compute.networkUser) en las subredes compartidas.

Para ver un ejemplo de implementación, consulta VPC compartida.

Políticas de conexión con permiso de instancia de servicio personalizado

De forma predeterminada, la automatización de la conectividad de servicios crea extremos para instancias de servicio y políticas de conexión de servicio asociadas que se encuentran en el mismo proyecto deGoogle Cloud (o, en el caso de la VPC compartida, en proyectos conectados). En el caso de los servicios de Google compatibles, las instancias de servicio y los extremos de conexión también pueden estar en diferentes proyectos u organizaciones.

No todos los servicios de Google admiten la configuración de un permiso de instancia de servicio personalizado. Para determinar si un servicio admite un alcance de instancia de servicio personalizado, consulta la documentación del servicio específico.

Usa el parámetro de configuración Alcance de la instancia de servicio (--producer-instance-location) para configurar la conectividad con instancias de servicio que se encuentran en otros nodos de Resource Manager (proyectos, carpetas y organizaciones).

  • Si se establece en no_producer_instance_location, los extremos se crean solo en el mismo proyecto. Este es el valor predeterminado.
  • Si se establece en custom_resource_hierarchy_levels, debes especificar la lista de nodos de Resource Manager en el campo --allowed-google-producers-resource-hierarchy-level.

Si actualizas el alcance de la instancia de servicio para una política de conexión de servicio, los extremos existentes no se verán afectados.

Para ver un ejemplo de implementación, consulta Servicios de Google con alcance personalizado de la instancia de servicio.

Versiones de IP del extremo

Las posibles versiones de IP de los extremos que se conectan a las instancias de servicio (IPv4, IPv6 o ambas) las determina el productor de servicios, no la automatización de la conectividad del servicio. Si el servicio admite IPv4 e IPv6, los administradores de instancias de servicio pueden elegir una versión de IP cuando implementan una instancia a través de la API administrativa de un servicio. Para obtener información sobre las versiones de IP compatibles con un servicio, consulta la documentación del servicio.

Cuando un administrador de instancias de servicio elige una versión de IP, la automatización de conectividad de servicios verifica la política de conexión de servicio para identificar subredes compatibles que se puedan usar para crear direcciones IP de extremos:

  • Las subredes solo IPv4 admiten extremos IPv4.
  • Las subredes de pila doble admiten extremos IPv4 e IPv6.
  • Las subredes solo IPv6 admiten extremos IPv6.

Si la política de conexión de servicio no tiene una subred compatible, la solicitud falla y no se crea ningún extremo.

Además, la versión de IP del extremo debe ser compatible con la versión de IP de la instancia de servicio, que se determina según la regla de reenvío del adjunto de servicio asociado. Private Service Connect admite las siguientes combinaciones de versiones de IP:

  • Extremo de IPv4 al adjunto de servicio IPv4
  • Extremo de IPv6 al adjunto de servicio IPv6

  • Extremo de IPv6 al adjunto de servicio IPv4

    En esta configuración, Private Service Connect traduce automáticamente entre las dos versiones de IP.

No se admite la conexión de un extremo IPv4 a un adjunto de servicio IPv6.

Si quieres permitir que los clientes IPv4 e IPv6 accedan a una instancia de servicio administrado, configura la conectividad para extremos IPv4 e IPv6 independientes que se conecten al mismo servicio.

Limitaciones

  • Las políticas de conexión de servicio solo admiten la automatización de la creación de extremos de Private Service Connect. No se admite la creación de backends de Private Service Connect ni adjuntos de servicio.
  • No puedes borrar de forma directa los extremos de Private Service Connect que se crean a través de la automatización de la conectividad del servicio. Para activar la eliminación de estos extremos, realiza el retiro de conectividad del servicio.
  • Solo puedes actualizar las subredes y el límite de conexiones para una política de conexión de servicio. Si deseas actualizar otros campos, borra la política y crea una nueva.

Precios

Los precios de Private Service Connect se describen en la página de precios de VPC.

Próximos pasos