En este tutorial se explica cómo hacer que un servicio con balanceo de carga esté disponible desde otras redes de VPC mediante Private Service Connect.
De forma predeterminada, el balanceador de carga de red de paso a través interno que has creado en el tutorial anterior solo está disponible en su propia red de VPC. Con Private Service Connect, puedes publicar el servicio para que esté disponible para los recursos de otras redes de VPC.
Este tutorial está dirigido a arquitectos de nube, arquitectos de redes, administradores de redes y administradores de TI.
Objetivos
- Crear el servicio publicado
- Crear una regla de cortafuegos para el tráfico de servicios publicados
- Obtener el URI de la vinculación de servicio
Costes
En este documento, se utilizan los siguientes componentes facturables de Google Cloud:
Para generar una estimación de costes basada en el uso previsto,
utiliza la calculadora de precios.
Cuando termines las tareas que se describen en este documento, puedes evitar que se te siga facturando eliminando los recursos que has creado. Para obtener más información, consulta la sección Limpiar.
Antes de empezar
- Completa los pasos del tutorial anterior, Crear un servicio con balanceo de carga.
- Selecciona el proyecto de productor de servicios (
PRODUCER_PROJECT) que hayas seleccionado o creado en el tutorial anterior. Usa este proyecto para seguir los pasos de este tutorial.
Crear el servicio publicado
Para que el servicio esté disponible en otras redes de VPC, debes publicarlo. Para publicar un servicio, crea los siguientes recursos en la misma red y región que el balanceador de carga:
- Una subred de Private Service Connect que proporciona direcciones IP para la traducción de direcciones de red (NAT) entre las redes del productor y del consumidor.
- Una vinculación de servicio.
Con estas instrucciones se crea un servicio publicado al que se puede acceder desde cualquier proyecto. En un entorno de producción, puede que prefieras limitar las redes o los proyectos que pueden acceder al servicio.
Consola
En la Google Cloud consola, ve a la página Private Service Connect.
Haz clic en la pestaña Servicios publicados.
Haz clic en Publicar servicio.
En la sección Detalles del destino, selecciona Balanceador de carga.
Selecciona Balanceador de carga de red de paso a través interno.
Selecciona el balanceador de carga interno que has creado
service-lb.En Nombre del servicio, escribe
published-service.Crea una subred de Private Service Connect para NAT:
- Haz clic en Subredes y, a continuación, en Reservar nueva subred.
- En Nombre, escribe
nat-subnet. - En Región, selecciona
REGION. - En Intervalo de IPv4, introduce
10.10.20.0/22. - Haz clic en Añadir.
En Preferencia de conexión, selecciona Aceptar todas las conexiones automáticamente.
Haz clic en Añadir servicio.
gcloud
Crea una subred de Private Service Connect con el comando
gcloud compute networks subnets create.gcloud compute networks subnets create nat-subnet \ --network=service-network \ --region=REGION \ --range=10.10.20.0/22 \ --purpose=PRIVATE_SERVICE_CONNECT
Para publicar el servicio, usa el comando
gcloud compute service-attachments create.gcloud compute service-attachments create published-service \ --region=REGION \ --target-service=projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/service-rule \ --connection-preference=ACCEPT_AUTOMATIC \ --nat-subnets=nat-subnet
Haz los cambios siguientes:
PRODUCER_PROJECT: el ID del proyecto productor.REGION: la región del archivo adjunto de servicio. Debe ser la misma región que la dirección IP de la regla de reenvío de destino.
Crear una regla de cortafuegos para el tráfico de servicios publicados
Crea una regla de cortafuegos para permitir que el tráfico de la subred NAT de Private Service Connect llegue a las VMs de backend del balanceador de carga.
Consola
En la Google Cloud consola, ve a la página Políticas de cortafuegos.
Para permitir que el tráfico de la subred NAT de Private Service Connect llegue a las VMs de backend del balanceador de carga, haga clic en Crear regla de cortafuegos y utilice los siguientes ajustes:
- En Nombre, escribe
fw-allow-nat. - En Red, selecciona
service-network. - En Prioridad, introduce
1000. - En Dirección del tráfico, selecciona Entrada.
- En Acción tras coincidencia, selecciona Permitir.
- En Destinos, seleccione Etiquetas de destino especificadas.
- En Etiquetas de destino, escribe
allow-nat. - En Filtro de origen, selecciona Intervalos de IPv4.
- En Intervalos IPv4 de origen, introduce
10.10.20.0/22. - En Protocolos y puertos, selecciona Permitir todo.
- En Nombre, escribe
Haz clic en Crear.
gcloud
Crea la regla de cortafuegos
fw-allow-natpara permitir la comunicación desde la subred NAT de Private Service Connect a los backends de la VM:gcloud compute firewall-rules create fw-allow-nat \ --network=service-network \ --action=allow \ --direction=ingress \ --source-ranges=10.10.20.0/22 \ --rules=tcp,udp,icmp
Obtener el URI de la vinculación de servicio
En el siguiente tutorial, Acceder al servicio desde otra red de VPC, usarás el URI de la vinculación de servicio para configurar el punto final.
Consola
En la Google Cloud consola, ve a la página Private Service Connect.
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que quieras ver.
El campo Vinculación de servicio contiene el URI de la vinculación de servicio.
gcloud
Para ver los detalles del servicio publicado, usa el
gcloud compute service-attachments describecomando.El campo
selfLinkcontiene el URI de la vinculación de servicio.gcloud compute service-attachments describe \ published-service --region=REGIONSustituye
REGIONpor la región que contiene el adjunto de servicio.