Tornar o serviço acessível de outras redes VPC

Neste tutorial, mostramos como disponibilizar um serviço balanceado por carga de outras redes VPC usando o Private Service Connect.

Por padrão, o balanceador de carga de rede de passagem interna criado no tutorial anterior está disponível apenas na própria rede VPC. Com o Private Service Connect, é possível publicar o serviço para disponibilizá-lo a recursos em outras redes VPC.

Este tutorial é destinado a arquitetos de nuvem e de rede, administradores de rede e de TI.

Objetivos

  • Criar o serviço publicado
  • Criar uma regra de firewall para o tráfego de serviços publicados
  • Acessar o URI do anexo de serviço

Custos

Neste documento, você vai usar os seguintes componentes faturáveis do Google Cloud:

Para gerar uma estimativa de custo baseada na sua projeção de uso, utilize a calculadora de preços.

Novos usuários do Google Cloud podem estar qualificados para um teste sem custo financeiro.

Ao concluir as tarefas descritas neste documento, é possível evitar o faturamento contínuo excluindo os recursos criados. Para mais informações, consulte Limpeza.

Antes de começar

  1. Siga as etapas do tutorial anterior, Criar um serviço com balanceamento de carga.
  2. Selecione o projeto de produtor de serviços (PRODUCER_PROJECT) que você selecionou ou criou no tutorial anterior. Use esse projeto para as etapas deste tutorial.

Criar o serviço publicado

Para disponibilizar o serviço em outras redes VPC, você o publica. Para publicar um serviço, crie os seguintes recursos na mesma rede e região do balanceador de carga:

  • Uma sub-rede do Private Service Connect que fornece endereços IP para conversão de endereços de rede (NAT) entre as redes do produtor e do consumidor.
  • Um anexo de serviço.

Estas instruções criam um serviço publicado que pode ser acessado de qualquer projeto. Em um ambiente de produção, você pode limitar quais redes ou projetos podem acessar o serviço.

Console

  1. No console do Google Cloud , acesse a página Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique em Publicar serviço.

  4. Na seção Detalhes do destino, selecione Balanceador de carga.

  5. Selecione Balanceador de carga de rede de passagem interna.

  6. Selecione o balanceador de carga interno que você criou, service-lb.

  7. Em Nome do serviço, insira published-service.

  8. Crie uma sub-rede do Private Service Connect para NAT:

    1. Clique em Sub-redes e em Reservar nova sub-rede.
    2. Em Nome, insira nat-subnet.
    3. Em Região, selecione REGION.
    4. Em Intervalo IPv4, insira 10.10.20.0/22.
    5. Clique em Adicionar.

  9. Em Preferência de conexão, selecione Aceitar automaticamente todas as conexões.

  10. Clique em Adicionar serviço.

gcloud

  1. Crie uma sub-rede do Private Service Connect usando o comando gcloud compute networks subnets create.

    gcloud compute networks subnets create nat-subnet \
  --network=service-network \
  --region=REGION \
  --range=10.10.20.0/22 \
  --purpose=PRIVATE_SERVICE_CONNECT

  2. Para publicar o serviço, use o comando gcloud compute service-attachments create.

    gcloud compute service-attachments create published-service \
  --region=REGION \
  --target-service=projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/service-rule \
  --connection-preference=ACCEPT_AUTOMATIC \
  --nat-subnets=nat-subnet

    Substitua:

    • PRODUCER_PROJECT: o ID do projeto do produtor.
    • REGION: a região do anexo de serviço. Ela precisa ser a mesma região do endereço IP da regra de encaminhamento de destino.

Criar uma regra de firewall para o tráfego de serviços publicados

Crie uma regra de firewall para permitir que o tráfego da sub-rede NAT do Private Service Connect alcance as VMs de back-end do balanceador de carga.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. Para permitir que o tráfego da sub-rede NAT do Private Service Connect alcance as VMs de back-end do balanceador de carga, clique em Criar regra de firewall e use as seguintes configurações:

    • Em Nome, insira fw-allow-nat.
    • Em Rede, selecione service-network.
    • Em Prioridade, digite 1000.
    • Em Direção de tráfego, selecione Entrada.
    • Em Ação se houver correspondência, selecione Permitir.
    • Em Destinos, selecione Specified target tags.
    • Em Tags de destino, insira allow-nat.
    • Em Filtro de origem, selecione Intervalos IPv4.
    • Em Intervalos IPv4 de origem, insira 10.10.20.0/22.
    • Em Protocolos e portas, selecione Permitir todos.

  3. Clique em Criar.

gcloud

  1. Crie a regra de firewall fw-allow-nat para permitir a comunicação da sub-rede NAT do Private Service Connect com os back-ends de VM:

    gcloud compute firewall-rules create fw-allow-nat \
    --network=service-network \
    --action=allow \
    --direction=ingress \
    --source-ranges=10.10.20.0/22 \
    --rules=tcp,udp,icmp

Acessar o URI do anexo de serviço

Use o URI do anexo de serviço para configurar o endpoint no próximo tutorial, Acessar o serviço de outra rede VPC.

Console

  1. No console do Google Cloud , acesse a página Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique na guia Serviços publicados.

  3. Clique no serviço que você quer visualizar.

    O campo Anexo de serviço contém o URI do anexo de serviço.

gcloud

  1. Confira os detalhes do serviço publicado usando o comando gcloud compute service-attachments describe.

    O campo selfLink contém o URI do anexo de serviço.

    gcloud compute service-attachments describe \
    published-service --region=REGION

    Substitua REGION pela região que contém a vinculação de serviço.

A seguir