Torne o serviço acessível a partir de outras redes VPC

Este tutorial mostra como disponibilizar um serviço com balanceamento de carga a partir de outras redes VPC através do Private Service Connect.

Por predefinição, o balanceador de carga de rede de passagem interno que criou no tutorial anterior só está disponível na respetiva rede de VPC. Com o Private Service Connect, pode publicar o serviço para o tornar disponível para recursos noutras redes VPC.

Este tutorial destina-se a arquitetos de nuvem, arquitetos de rede, administradores de rede e administradores de TI.

Objetivos

  • Crie o serviço publicado
  • Crie uma regra de firewall para o tráfego de serviços publicados
  • Obtenha o URI do anexo de serviço

Custos

Neste documento, usa os seguintes componentes faturáveis do Google Cloud:

Para gerar uma estimativa de custos com base na sua utilização projetada, use a calculadora de preços.

Os novos Google Cloud utilizadores podem ser elegíveis para uma avaliação sem custo financeiro.

Quando terminar as tarefas descritas neste documento, pode evitar a faturação contínua eliminando os recursos que criou. Para mais informações, consulte o artigo Limpe.

Antes de começar

  1. Conclua os passos no tutorial anterior, Crie um serviço com balanceamento de carga.
  2. Selecione o projeto do produtor de serviços (PRODUCER_PROJECT) que selecionou ou criou no tutorial anterior. Use este projeto para os passos neste tutorial.

Crie o serviço publicado

Para disponibilizar o serviço a partir de outras redes VPC, tem de publicar o serviço. Para publicar um serviço, crie os seguintes recursos na mesma rede e região que o balanceador de carga:

  • Uma sub-rede do Private Service Connect que fornece endereços IP para a tradução de endereços de rede (NAT) entre as redes do produtor e do consumidor.
  • Um anexo de serviço.

Estas instruções criam um serviço publicado acessível a partir de qualquer projeto. Num ambiente de produção, pode optar por limitar as redes ou os projetos que podem aceder ao serviço.

Consola

  1. Na Google Cloud consola, aceda à página Private Service Connect.

    Aceda ao Private Service Connect

  2. Clique no separador Serviços publicados.

  3. Clique em Publicar serviço.

  4. Na secção Detalhes do destino, selecione Equilibrador de carga.

  5. Selecione Balanceador de carga de rede de encaminhamento interno

  6. Selecione o balanceador de carga interno que criou, service-lb.

  7. Em Nome do serviço, introduza published-service.

  8. Crie uma sub-rede do Private Service Connect para NAT:

    1. Clique em Sub-redes e, de seguida, em Reservar nova sub-rede.
    2. Em Nome, introduza nat-subnet.
    3. Para Região, selecione REGION.
    4. Para o intervalo de IPv4, introduza 10.10.20.0/22.
    5. Clique em Adicionar.

  9. Em Preferência de ligação, selecione Aceitar automaticamente todas as ligações.

  10. Clique em Adicionar serviço.

gcloud

  1. Crie uma sub-rede do Private Service Connect com o comando gcloud compute networks subnets create .

    gcloud compute networks subnets create nat-subnet \
  --network=service-network \
  --region=REGION \
  --range=10.10.20.0/22 \
  --purpose=PRIVATE_SERVICE_CONNECT

  2. Para publicar o serviço, use o comando gcloud compute service-attachments create.

    gcloud compute service-attachments create published-service \
  --region=REGION \
  --target-service=projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/service-rule \
  --connection-preference=ACCEPT_AUTOMATIC \
  --nat-subnets=nat-subnet

    Substitua o seguinte:

    • PRODUCER_PROJECT: o ID do projeto produtor.
    • REGION: a região do anexo de serviço. Tem de ser a mesma região que o endereço IP da regra de encaminhamento de destino.

Crie uma regra de firewall para o tráfego de serviços publicados

Crie uma regra de firewall para permitir que o tráfego da sub-rede NAT do Private Service Connect alcance as VMs de back-end do balanceador de carga.

Consola

  1. Na Google Cloud consola, aceda à página Políticas de firewall.

    Aceder às políticas de firewall

  2. Para permitir que o tráfego da sub-rede NAT do Private Service Connect alcance as VMs de back-end do equilibrador de carga, clique em Criar regra de firewall e use as seguintes definições:

    • Em Nome, introduza fw-allow-nat.
    • Para Rede, selecione service-network.
    • Para Prioridade, introduza 1000.
    • Para Direção do tráfego, selecione Entrada.
    • Para Ação em caso de correspondência, selecione Permitir.
    • Em Segmentações, selecione Etiquetas de segmentação especificadas.
    • Para Etiquetas de segmentação, introduza allow-nat.
    • Para o Filtro de origem, selecione Intervalos IPv4.
    • Para Intervalos de IPv4 de origem, introduza 10.10.20.0/22.
    • Para Protocolos e portas, selecione Permitir tudo.

  3. Clique em Criar.

gcloud

  1. Crie a regra de firewall fw-allow-nat para permitir a comunicação da sub-rede NAT do Private Service Connect para os backends de VMs:

    gcloud compute firewall-rules create fw-allow-nat \
    --network=service-network \
    --action=allow \
    --direction=ingress \
    --source-ranges=10.10.20.0/22 \
    --rules=tcp,udp,icmp

Obtenha o URI do anexo de serviço

Use o URI da associação de serviço para configurar o ponto final no tutorial seguinte, Aceda ao serviço a partir de outra rede VPC.

Consola

  1. Na Google Cloud consola, aceda à página Private Service Connect.

    Aceda ao Private Service Connect

  2. Clique no separador Serviços publicados.

  3. Clique no serviço que quer ver.

    O campo Associação do serviço contém o URI da associação do serviço.

gcloud

  1. Veja detalhes do serviço publicado através do gcloud compute service-attachments describecomando.

    O campo selfLink contém o URI do anexo de serviço.

    gcloud compute service-attachments describe \
    published-service --region=REGION

    Substitua REGION pela região que contém a associação de serviço.

O que se segue?