Acerca de los backends de Private Service Connect
Puedes acceder a las APIs de Google y a los servicios publicados creando un punto final de Private Service Connect (basado en una regla de reenvío) o un backend de Private Service Connect (basado en un balanceador de carga). Esta guía se centra en los backends de Private Service Connect.
Los backends de Private Service Connect usan un balanceador de carga configurado con backends de grupo de endpoints de red (NEG) de Private Service Connect. Anteriormente, esta configuración se denominaba punto final de Private Service Connect con controles de servicio HTTP o HTTPS de consumidor.
Acceder a APIs y servicios a través de un balanceador de carga gestionado por el consumidor ofrece varias ventajas. Los balanceadores de carga pueden actuar como un punto de aplicación de políticas centralizado en el que se aplican políticas de seguridad (como las políticas de Google Cloud Armor y las políticas de SSL) o políticas de enrutamiento (como los Google Cloud mapas de URLs). Proporcionan métricas y registros centralizados que un servicio publicado podría no proporcionar, y permiten a los consumidores controlar su propio enrutamiento y conmutación por error.
En la figura 1 se muestra un balanceador de carga con un NEG de Private Service Connect que se conecta a un servicio publicado. El tráfico de clientes se dirige a un balanceador de carga que procesa el tráfico y, a continuación, lo enruta a un backend de Private Service Connect que se asigna a un servicio publicado que se ejecuta en otra red de VPC.
Imagen 1. Con un balanceador de carga de aplicaciones externo global, los consumidores de servicios con acceso a Internet pueden enviar tráfico a los servicios de la red de VPC del productor de servicios (haz clic para ampliar).
Resumen de la implementación
Para acceder a las APIs y los servicios a través de los backends de Private Service Connect, haz lo siguiente:
Identifica la API o el servicio al que quieras conectarte.
En el caso de las APIs de Google, selecciona un punto final de servicio regional.
En el caso de los servicios publicados, pide al productor del servicio el URI de la vinculación de servicio.
Implementa un balanceador de carga para enviar tráfico a tu servicio publicado. Elige un balanceador de carga que se ajuste a tus requisitos, como si tienes clientes de Internet o internos, o si necesitas aislamiento regional. También puede reutilizar un balanceador de carga que ya tenga.
Implementa los NEGs de Private Service Connect y añádelos al servicio de backend de tu balanceador de carga. Crea NEGs de Private Service Connect que hagan referencia al servicio publicado. A continuación, añade las NEG al servicio de backend del balanceador de carga para que este pueda enviarles tráfico.
Balanceadores de carga y destinos admitidos
Puedes usar un backend para acceder a un servicio publicado o a una API de Google compatible.
Consulta la documentación sobre balanceo de carga para obtener más información sobre el balanceador de carga al que quieras añadir un backend de Private Service Connect.
- Para obtener información sobre los balanceadores de carga de aplicación externos globales y regionales, consulta la descripción general de los balanceadores de carga de aplicación externos.
- Para obtener información sobre los balanceadores de carga de aplicación internos y los balanceadores de carga de aplicación internos entre regiones, consulta la descripción general de los balanceadores de carga de aplicación internos.
- Para obtener información sobre los balanceadores de carga de red con proxy internos regionales, consulta el resumen de los balanceadores de carga de red con proxy internos regionales.
- Para obtener información sobre los balanceadores de carga de red de proxy externo regionales, consulta el artículo sobre los balanceadores de carga de red de proxy externo regionales.
- Para obtener información sobre los balanceadores de carga de red con proxy externos globales, consulta el artículo Descripción general de los balanceadores de carga de red con proxy externos.
Objetivos de servicio publicado
Un backend de Private Service Connect para servicios publicados requiere dos balanceadores de carga: un balanceador de carga de consumidor y un balanceador de carga de productor.
Configuración de consumidor
En esta tabla se describen los balanceadores de carga del consumidor que admiten los backends de Private Service Connect para los servicios publicados, así como los protocolos de servicio de backend que se pueden usar con cada balanceador de carga del consumidor. Los balanceadores de carga de consumidor pueden acceder a los servicios publicados que se alojan en balanceadores de carga de productor compatibles.
| Balanceador de carga de consumidor | Protocolos | Versión de IP | Conmutación por error entre regiones |
|---|---|---|---|
|
IPv4 | ||
|
IPv4 | ||
|
Balanceador de carga de aplicación externo global Nota: No se admite el balanceador de carga de aplicaciones clásico. |
|
IPv4 | |
|
Balanceador de carga de red con proxy externo global Para asociar este balanceador de carga a un NEG de Private Service Connect, usa la CLI de Google Cloud o envía una solicitud de API. Nota: No se admite el balanceador de carga de red de proxy clásico. |
|
IPv4 | |
|
IPv4 | ||
|
IPv4 | ||
|
IPv4 | ||
|
IPv4 |
Configuración del productor
En esta tabla se describe la configuración de los balanceadores de carga de productores que admiten los backends de Private Service Connect para los servicios publicados.
| Tipo de productor | Configuración del productor (servicio publicado) | |||||
|---|---|---|---|---|---|---|
| Back-ends de productores admitidos | Protocolos de reglas de reenvío | Puertos de reglas de reenvío | Protocolo PROXY | Versión de IP | Asistencia de Private Service Connect | |
| Balanceador de carga de aplicación interno entre regiones |
|
|
Admite uno, varios o todos los puertos | IPv4 | ||
| Balanceador de carga de red de paso a través interno |
|
|
Consulta Configuración de puertos de productores. | IPv4 | ||
| Balanceador de carga de aplicación interno regional |
|
|
Admite un solo puerto | IPv4 | ||
| Balanceador de carga de red de proxy interno regional |
|
|
Admite un solo puerto | IPv4 | ||
| Proxy web seguro |
|
|
No aplicable | IPv4 | ||
Para ver un ejemplo de configuración de backend que usa un balanceador de carga de aplicación externo global, consulta Acceder a servicios publicados a través de backends.
Destinos regionales de las APIs de Google
En esta tabla se describe qué balanceadores de carga pueden usar un backend de Private Service Connect para acceder a las APIs regionales de Google.
Para ver un ejemplo de configuración que usa un balanceador de carga de aplicaciones interno, consulta Acceder a las APIs de Google a través de backends.
| Configuración | Detalles |
|---|---|
| Configuración del consumidor (backend de Private Service Connect) | |
| Balanceadores de carga de consumidor admitidos |
|
| Versión de IP | IPv4 |
| Producer | |
| Servicios admitidos | APIs de Google regionales admitidas |
Destinos de las APIs de Google globales
En esta tabla se describe qué balanceadores de carga pueden usar un backend de Private Service Connect para acceder a una API de Google global.
| Configuración | Detalles |
|---|---|
| Configuración del consumidor (backend de Private Service Connect) | |
| Balanceadores de carga de consumidor admitidos |
|
| Versión de IP | IPv4 |
| Producer | |
| Servicios admitidos |
|
Estados de conexión
Los endpoints, los backends y los adjuntos de servicio de Private Service Connect tienen un estado de conexión que describe el estado de su conexión. Los recursos de consumidor y productor que forman los dos extremos de una conexión siempre tienen el mismo estado. Puedes ver los estados de conexión cuando consultas los detalles de un punto final, describes un backend o consultas los detalles de un servicio publicado.
En la siguiente tabla se describen los posibles estados.
| Estado de conexión | Descripción |
|---|---|
| Aceptado | Se ha establecido la conexión de Private Service Connect. Las dos redes de VPC tienen conectividad y la conexión funciona correctamente. |
| Pendiente | La conexión de Private Service Connect no se establece y el tráfico de red no puede desplazarse entre las dos redes. Una conexión puede tener este estado por los siguientes motivos:
Las conexiones que se bloquean por estos motivos permanecen en estado pendiente indefinidamente hasta que se resuelve el problema subyacente. |
| Rechazado | La conexión de Private Service Connect no se ha establecido. El tráfico de red no puede viajar entre las dos redes. Una conexión puede tener este estado por los siguientes motivos:
|
| Requiere atención | Hay un problema en el lado del productor de la conexión. Es posible que parte del tráfico pueda fluir entre las dos redes, pero algunas conexiones podrían no funcionar. Por ejemplo, es posible que la subred NAT del productor se haya agotado y no pueda asignar direcciones IP a las nuevas conexiones. |
| Cerrada | Se ha eliminado la vinculación de servicio y se ha cerrado la conexión de Private Service Connect. El tráfico de red no puede viajar entre las dos redes. Una conexión cerrada es un estado terminal. Para restaurar la conexión, debes volver a crear tanto el adjunto de servicio como el endpoint o el backend. |
Especificaciones
Todos los back-ends de Private Service Connect tienen las siguientes especificaciones:
- Solo los balanceadores de carga compatibles pueden usar NEGs de Private Service Connect como backends.
- Los NEGs de Private Service Connect no se pueden mezclar con otros tipos de NEGs en el mismo servicio de backend. Sin embargo, las aplicaciones autohospedadas y los servicios gestionados pueden ser back-ends del mismo balanceador de carga siempre que formen parte de servicios de back-end independientes.
- Los servicios de backend con NEGs de Private Service Connect no admiten comprobaciones de estado. Los recursos de comprobación de estado no están configurados con los servicios de backend que se usan en Private Service Connect.
- Los servicios de backend con NEGs de Private Service Connect no admiten la afinidades de sesión.
- Si un NEG de Private Service Connect hace referencia a una vinculación de servicio, esta debe estar en una red de VPC distinta del NEG y del balanceador de carga.
- Los NEGs de Private Service Connect no pueden hacer referencia a vinculaciones de servicio configuradas para servicios de asignación de puertos.
Los backends de Private Service Connect que se usan en servicios de backend globales tienen especificaciones adicionales:
- Puede haber varios NEGs de Private Service Connect en el mismo servicio de backend siempre que sean de regiones diferentes. No puedes añadir varios NEGs de Private Service Connect de la misma región al mismo servicio de backend.
- Puedes aprovechar la conmutación por error automática entre regiones asociando varios NEGs de Private Service Connect al mismo servicio de backend. Para obtener más información, consulta la siguiente sección.
Conmutación por error automática entre regiones
Si accedes a servicios publicados mediante backends de Private Service Connect basados en balanceadores de carga globales o entre regiones, puedes aprovechar la conmutación por error automática entre regiones.
Con la conmutación por error automática, si una instancia de servicio de una región deja de estar en buen estado, el balanceador de carga del consumidor deja de enrutar el tráfico a esa instancia y lo enruta a una instancia de servicio en buen estado de otra región.
Para admitir la conmutación por error automática, tanto el productor como el consumidor del servicio deben configurar sus recursos para una implementación multirregional, tal como se describe en esta sección. Para obtener información sobre los requisitos adicionales de los productores para la conmutación por error con el estado de Private Service Connect, consulta las especificaciones del estado de Private Service Connect.
Configuración del productor:
- Implementa el servicio en cada región. Cada instancia regional del servicio debe configurarse en un balanceador de carga regional que admita el acceso mediante un backend.
- Crea un archivo adjunto de servicio para publicar cada instancia regional del servicio.
Configuración del consumidor:
- Crea un backend de Private Service Connect para acceder a los servicios publicados. El backend
debe basarse en un
balanceador de carga que admita la conmutación por error entre regiones
e incluir la siguiente configuración:
- Un NEG de Private Service Connect en cada región que apunte a la vinculación de servicio de esa región
- Un servicio de backend global que contiene los backends de NEG
Un balanceador de carga de aplicaciones externo global con varios NEGs de Private Service Connect se conecta a un servicio que se publica en varias regiones. Este despliegue multirregional permite que el balanceador de carga del consumidor conmute por error cuando una instancia de servicio no esté en buen estado, lo que dirige el tráfico a una instancia de servicio en buen estado de una región alternativa (haz clic para ampliar).
La conmutación por error automática se puede activar de dos formas:
Conmutación por error con detección de valores atípicos: el mecanismo de conmutación por error estándar del balanceador de carga, que está habilitado de forma predeterminada en los despliegues multirregionales. El tráfico se desvía de los NEGs de Private Service Connect que reciben una alta tasa de errores del servicio publicado.
Conmutación por error mejorada con el estado de Private Service Connect: los productores de servicios pueden configurar el estado de Private Service Connect para proporcionar señales de estado más detalladas de sus servicios.
Conmutación por error mediante la detección de valores atípicos
Cuando se configuran varios NEGs de Private Service Connect en un servicio de backend global, la detección de valores atípicos se habilita automáticamente en el servicio de backend.
Cuando la detección de valores atípicos identifica fallos en las respuestas enviadas por un servicio publicado, como los códigos de respuesta 5xx, el balanceador de carga del consumidor cambia, lo que redirige temporalmente el tráfico a una instancia de servicio correcta en una región alternativa.
Puedes sustituir la política de detección de valores atípicos predeterminada aplicando tu propia configuración de detección de valores atípicos al servicio de backend o inhabilitar la función configurando un único NEG de Private Service Connect en el servicio de backend y dirigiendo el 100% del tráfico a ese NEG.
Conmutación por error mejorada mediante el estado de Private Service Connect
Con el estado de Private Service Connect, un balanceador de carga de consumidor puede conmutar por error en función de una señal de estado directa configurada por el productor de servicios.
El productor define las condiciones que crean un único estado de salud compuesto para cada instancia de servicio publicada regional. El estado de salud compuesto se basa en el estado de los backends del servicio, como las instancias de máquina virtual o los endpoints de red. Por ejemplo, un productor puede especificar que su servicio se considera en buen estado solo cuando un determinado porcentaje de sus instancias de backend están en buen estado.
En el caso de los balanceadores de carga admitidos en implementaciones multirregión, los consumidores no tienen que hacer ninguna configuración adicional para usar las señales de estado de Private Service Connect.
Para obtener información sobre cómo pueden configurar los productores de servicios el estado de Private Service Connect, consulta Información sobre el estado de Private Service Connect.
Precios
Para obtener información sobre los precios, consulta las siguientes secciones de la página de precios de VPC:
Usar un backend de Private Service Connect para acceder a un servicio publicado.
Usar un backend de Private Service Connect para acceder a las APIs de Google
Siguientes pasos
- Crear un backend de Private Service Connect
- Acceder a las APIs regionales de Google a través de back-ends
- Acceder a las APIs de Google globales a través de back-ends
- Acceder a servicios publicados a través de back-ends