Esta página foi traduzida pela API Cloud Translation.

Sobre os back-ends do Private Service Connect

Uma forma de acessar as APIs e os serviços publicados do Google é criar um endpoint do Private Service Connect (com base em uma regra de encaminhamento) ou um back-end do Private Service Connect (baseado em um balanceador de carga). O tema deste guia são os back-ends do Private Service Connect.

Os back-ends do Private Service Connect usam um balanceador de carga configurado com back-ends de grupo de endpoints da rede (NEG, na sigla em inglês). Anteriormente, essa configuração era chamada de endpoint do Private Service Connect com controles do serviço HTTP(S) do consumidor.

O acesso a APIs e serviços por meio de um balanceador de carga gerenciado pelo consumidor oferece vários benefícios. Os balanceadores de carga podem atuar como um ponto centralizado para a aplicação de políticas de segurança (como políticas do Google Cloud Armor e políticas de SSL) ou de roteamento (como mapas de URLGoogle Cloud ). Eles incluem métricas e geração de registros centralizadas que um serviço publicado pode não incluir. Assim os consumidores controlam o próprio roteamento e failover.

A Figura 1 mostra um balanceador de carga com um NEG do Private Service Connect conectado a um serviço publicado. O tráfego do cliente vai para um balanceador de carga que processa o tráfego e o encaminha a um back-end do Private Service Connect, que é mapeado para um serviço publicado em execução em uma rede VPC diferente.

**Figura 1.** Com um balanceador de carga de aplicativo externo global, os consumidores de serviços com acesso à Internet podem enviar tráfego a serviços na rede VPC do produtor (clique para ampliar).

Visão geral da implantação

Para acessar APIs e serviços por meio de back-ends do Private Service Connect, faça o seguinte:

Identifique a API ou o serviço ao qual você quer se conectar.

Para APIs do Google: selecione um endpoint de serviço regional.

Para serviços publicados: solicite o URI do anexo de serviço ao produtor.
Implante um balanceador de carga para enviar tráfego ao serviço publicado. Escolha um balanceador de carga que atenda aos seus requisitos, incluindo se você tem clientes internos, de Internet ou precisa de isolamento regional. Também é possível reutilizar um balanceador de carga.
Implante os NEGs do Private Service Connect e adicione-os ao serviço de back-end do balanceador de carga. Crie NEGs do Private Service Connect que fazem referência ao serviço publicado. Em seguida, adicione os NEGs ao serviço de back-end do balanceador de carga para que ele possa enviar tráfego.

Balanceadores de carga e destinos compatíveis

É possível usar um back-end para acessar um serviço publicado ou uma API do Google compatível.

Consulte a documentação de balanceamento de carga para mais informações sobre o balanceador a que você quer adicionar um back-end do Private Service Connect.

Para informações sobre balanceadores de carga de aplicativo externos e globais, consulte Visão geral do balanceador de carga de aplicativo externo.
Para informações sobre balanceadores de carga de aplicativo internos e balanceadores de carga de aplicativo internos entre regiões, consulte Visão geral do balanceador de carga de aplicativo interno
Para informações sobre balanceadores de carga de rede de proxy externo regional, consulte Visão geral do balanceador de carga de rede de proxy externo regional.
Para informações sobre balanceadores de carga de rede de proxy externo regional, consulte Visão geral do balanceador de carga de rede de proxy externo regional.
Para informações sobre balanceadores de carga de rede de proxy externo, consulte a visão geral nesta página.

Destinos de serviço publicados

Um back-end do Private Service Connect para serviços publicados requer dois balanceadores de carga: um do consumidor e um do produtor.

Configuração do consumidor

Nesta tabela, descrevemos os balanceadores de carga do consumidor compatíveis com os back-ends do Private Service Connect para serviços publicados, incluindo quais protocolos de serviço de back-end podem ser usados com cada balanceador. Os balanceadores de carga do consumidor podem acessar serviços publicados hospedados em balanceadores de carga de produtor compatíveis.

Balanceador de carga do consumidor	Protocolos	Versão do IP
Balanceador de carga de aplicativo interno entre regiões	HTTP HTTPS HTTP2	IPv4
Balanceador de carga de rede de proxy interno entre regiões	TCP	IPv4
Balanceador de carga de aplicativo externo global Observação: o balanceador de carga de aplicativo clássico não é compatível.	HTTP HTTPS HTTP2	IPv4
Balanceador de carga de rede de proxy externo global Para associar esse balanceador de carga a um NEG do Private Service Connect, use a CLI do Google Cloud ou envie uma solicitação de API. Observação: o balanceador de carga de rede de proxy clássico não é compatível.	TCP/SSL	IPv4
Balanceador de carga de aplicativo externo regional	HTTP HTTPS HTTP2	IPv4
Balanceador de carga de rede de proxy externo regional	TCP	IPv4
Balanceador de carga de aplicativo interno e regional	HTTP HTTPS HTTP2	IPv4
Balanceador de carga de rede de proxy interno regional	TCP	IPv4

Configuração do produtor

Nesta tabela, descrevemos a configuração dos balanceadores de carga do produtor que são compatíveis com os back-ends do Private Service Connect para serviços publicados.

Tipo de produtor	Configuração do produtor (serviço publicado)
Tipo de produtor	Back-ends de produtor compatíveis	Protocolos da regra de encaminhamento	Portas da regra de encaminhamento	Protocolo PROXY	Versão do IP	Suporte de integridade do Private Service Connect
Balanceador de carga de aplicativo interno entre regiões	NEGs zonais GCE_VM_IP_PORT NEGs híbridos NEGs sem servidor NEGs do Private Service Connect Grupos de instâncias	TCP HTTP HTTPS HTTP/2 gRPC	Dá suporte a uma, várias ou todas as portas		IPv4
Balanceador de carga de rede interno de passagem	NEGs zonais GCE_VM_IP Grupos de instâncias	TCP	Consulte Configuração da porta do produtor		IPv4
Balanceador de carga de aplicativo interno e regional	NEGs zonais GCE_VM_IP_PORT NEGs híbridos NEGs sem servidor NEGs do Private Service Connect Grupos de instâncias	HTTP HTTPS HTTP/2	Dá suporte a uma única porta		IPv4
Balanceador de carga de rede de proxy interno regional	NEGs zonais GCE_VM_IP_PORT NEGs híbridos NEGs do Private Service Connect Grupos de instâncias	TCP	Dá suporte a uma única porta		IPv4
Secure Web Proxy	Não relevante	Não relevante	Não relevante		IPv4

Para conferir um exemplo de configuração de back-end que usa um balanceador de carga de aplicativo externo global, consulte Acessar serviços publicados por meio de back-ends.

Destinos regionais de APIs do Google

Nesta tabela, descrevemos quais balanceadores de carga podem usar um back-end do Private Service Connect para acessar as APIs regionais do Google.

Para ver um exemplo de configuração que usa um balanceador de carga de aplicativo interno, consulte Acessar APIs do Google por meio de back-ends.

Configuração	Detalhes
Configuração do consumidor (back-end do Private Service Connect)
Balanceadores de carga de consumidores compatíveis	Balanceador de carga de aplicativo interno Protocolos: HTTPS Balanceador de carga de aplicativo externo regional Protocolos: HTTPS
Versão de IP	IPv4
Produtor
Serviços compatíveis	APIs regionais do Google compatíveis

Destinos globais de APIs do Google

Esta tabela mostra quais balanceadores de carga podem usar um back-end do Private Service Connect para acessar uma API global do Google.

Configuração	Detalhes
Configuração do consumidor (back-end do Private Service Connect)
Balanceadores de carga de consumidores compatíveis	Balanceador de carga de aplicativo externo global Observação: o balanceador de carga de aplicativo clássico não é compatível. Balanceador de carga de aplicativo interno entre regiões
Versão de IP	IPv4
Produtor
Serviços compatíveis	Bigtable: `bigtable.googleapis.com` e `bigtableadmin.googleapis.com` Cloud Logging: `logging.googleapis.com` Spanner: `spanner.googleapis.com` Cloud Storage: `storage.googleapis.com` Pub/Sub: `pubsub.googleapis.com`

Status da conexão

É possível conferir o status da conexão dos endpoints, dos back-ends e dos anexos de serviço do Private Service Connect. Os recursos de consumidor e produtor que formam os dois lados de uma conexão sempre têm o mesmo status. É possível conferir o status da conexão ao conferir os detalhes do endpoint, descrever um back-end ou consultar os detalhes de um serviço publicado.

Confira os status possíveis na tabela abaixo.

Status da conexão	Descrição
Aceito	A conexão do Private Service Connect foi estabelecida. As duas redes VPC têm conectividade, e a conexão está funcionando normalmente.
Pendente	A conexão do Private Service Connect não foi estabelecida, e não há passagem de tráfego entre as duas redes. Uma conexão pode ter esse status pelos seguintes motivos: O anexo de serviço requer aprovação explícita, e o consumidor não está na lista de aceitação. O número de conexões excede o limite de conexões do anexo de serviço. O número de conexões propagadas associadas a um endpoint excede o limite de conexões propagadas do anexo de serviço. As conexões bloqueadas por esses motivos permanecem no estado pendente indefinidamente até que o problema seja resolvido.
Rejeitada	A conexão do Private Service Connect não foi estabelecida. Não há passagem de tráfego entre as duas redes. Uma conexão pode ter esse status pelos seguintes motivos: Uma política da organização dos produtores rejeitou a conexão. A conexão foi rejeitada devido à lista de clientes recusados.
Requer atenção	Há um problema no lado do produtor da conexão. É possível que parte do tráfego passe pelas duas redes, mas algumas conexões não funcionem. Por exemplo, talvez a sub-rede NAT do produtor esteja esgotada e não seja possível alocar endereços IP para novas conexões.
Fechada	O anexo de serviço foi excluído, e a conexão do Private Service Connect foi encerrada. Não há passagem de tráfego entre as duas redes. Uma conexão fechada é um estado terminal. Para restaurar a conexão, recrie o anexo de serviço e o endpoint ou back-end.

Especificações

Todos os back-ends do Private Service Connect têm as seguintes especificações:

Somente os balanceadores de carga com suporte podem usar NEGs do Private Service Connect como back-ends.
Os NEGs do Private Service Connect não podem ser misturados com outros tipos de NEG no mesmo serviço de back-end. No entanto, apps auto-hospedados e serviços gerenciados podem ser back-ends do mesmo balanceador de carga, desde que façam parte de serviços de back-end separados.
Os serviços de back-end com NEGs do Private Service Connect não são compatíveis com verificações de integridade. Os recursos da verificação de integridade não são configurados com serviços de back-end usados para o Private Service Connect.
Os serviços de back-end com NEGs do Private Service Connect não dão suporte a afinidade da sessão.
Se um NEG do Private Service Connect se referir a um anexo de serviço, esse anexo precisará estar em uma rede VPC diferente do NEG e do balanceador de carga.
Os NEGs do Private Service Connect não podem fazer referência a anexos que estão configurados para serviços de mapeamento de portas.

Os back-ends do Private Service Connect usados em serviços de back-end globais têm outras especificações:

Vários NEGs do Private Service Connect podem ficar no mesmo serviço de back-end, desde que sejam de regiões diferentes. Não é possível adicionar vários NEGs do Private Service Connect da mesma região ao mesmo serviço de back-end.
É possível aproveitar o failover automático entre regiões associando vários NEGs do Private Service Connect ao mesmo serviço de back-end. Para mais informações, consulte a seção a seguir.

Failover automático entre regiões

Ao acessar serviços publicados usando back-ends do Private Service Connect baseados em balanceadores de carga globais ou entre regiões, você aproveita o failover automático entre regiões.

Com o failover automático, se uma instância de serviço em uma região ficar sem integridade, o balanceador de carga do consumidor vai parar de rotear o tráfego para a instância sem integridade e vai rotear o tráfego para uma instância de serviço íntegra em uma região alternativa.

Para oferecer suporte ao failover automático, o produtor e o consumidor de serviços precisam configurar os recursos para uma implantação multirregional, conforme descrito nesta seção. Para informações sobre outros requisitos do produtor para failover com a integridade do Private Service Connect, consulte Especificações de integridade do Private Service Connect.

Configuração do produtor:

Implante o serviço em cada região. Cada instância regional do serviço precisa ser configurada em um balanceador de carga regional que seja compatível com acesso por um back-end.
Crie um anexo de serviço para publicar cada instância regional do serviço.

Configuração do consumidor:

Crie um back-end do Private Service Connect para acessar serviços publicados. O back-end precisa ser baseado em um balanceador de carga que ofereça suporte a failover entre regiões e incluir a seguinte configuração:
- Um NEG do Private Service Connect em cada região que aponta para o anexo de serviço dessa região
- Um serviço de back-end global que contém os back-ends de NEG

Um balanceador de carga de aplicativo externo global com vários NEGs do Private Service Connect se conecta a um serviço publicado em várias regiões. Essa implantação multirregional permite que o balanceador de carga do consumidor faça failover quando uma instância de serviço fica sem integridade, roteando o tráfego para uma instância de serviço íntegra em uma região alternativa (clique para ampliar).

O failover automático pode ser acionado de duas maneiras:

Failover com detecção de outliers:o mecanismo de failover padrão do balanceador de carga, que é ativado por padrão em implantações multirregionais. O tráfego é desviado dos NEGs do Private Service Connect que recebem uma alta taxa de erros do serviço publicado.
Failover avançado com integridade do Private Service Connect:os produtores de serviços podem configurar a integridade do Private Service Connect para fornecer sinais de integridade mais detalhados para os serviços deles.

Failover por detecção de outliers

Quando vários NEGs do Private Service Connect são configurados em um serviço de back-end global, a detecção de outlier é ativada automaticamente no serviço de back-end.

Quando a detecção de outliers identifica falhas nas respostas enviadas por um serviço publicado, como códigos de resposta 5xx, o balanceador de carga do consumidor faz failover, redirecionando temporariamente o tráfego para uma instância de serviço íntegra em uma região alternativa.

É possível substituir a política padrão de detecção de outliers aplicando sua própria configuração de detecção de outliers ao serviço de back-end ou desativar o recurso configurando um único NEG do Private Service Connect no serviço de back-end e roteando 100% do tráfego para esse NEG.

Failover aprimorado com a integridade do Private Service Connect

Com a integridade do Private Service Connect, um balanceador de carga do consumidor pode fazer failover com base em um sinal de integridade direta configurado pelo produtor de serviços.

O produtor define condições que criam um único estado de integridade composto para cada instância de serviço regional publicada. O estado de integridade composto é baseado na integridade dos back-ends do serviço, como instâncias de VM ou endpoints de rede. Por exemplo, um produtor pode especificar que o serviço será considerado íntegro somente quando uma determinada porcentagem das instâncias de back-end estiver íntegra.

Para balanceadores de carga compatíveis em implantações multirregionais, não é necessária nenhuma configuração adicional dos consumidores para usar indicadores de integridade do Private Service Connect.

Para informações sobre como os produtores de serviços podem configurar a integridade do Private Service Connect, consulte Sobre a integridade do Private Service Connect.

Preços

Para obter informações sobre preços, consulte as seguintes seções da página de preços da VPC: