Private Service Connect

Neste documento, apresentamos uma vis�o geral do Private Service Connect.

O Private Service Connect � um recurso da rede do Google Cloud que permite que consumidores acessem servi�os gerenciados de maneira particular na rede VPC deles. Da mesma forma, ele permite que produtores do servi�o gerenciado hospedem esses servi�os em redes VPC separadas e ofere�am uma conex�o particular aos consumidores. Por exemplo, ao usar o Private Service Connect para acessar o Cloud SQL, voc� � o consumidor de servi�o e o Google � o produtor de servi�os.

Com o Private Service Connect, os consumidores podem usar os pr�prios endere�os IP internos para acessar servi�os sem sair das redes VPC. O tr�fego permanece inteiramente dentro do Google Cloud. O Private Service Connect fornece acesso orientado ao servi�o entre consumidores e produtores com controle granular sobre como os servi�os s�o acessados.

O Private Service Connect � compat�vel com acesso aos seguintes tipos de servi�os gerenciados:

• Servi�os publicados hospedados pela VPC, que incluem:
  • Servi�os publicados pelo Google, como a Apigee ou o plano de controle do GKE
  • Servi�os publicados de terceiros fornecidos por parceiros do Private Service Connect
  • Servi�os publicados dentro da organiza��o, em que o consumidor e o produtor podem ser duas redes VPC diferentes dentro da mesma empresa
• APIs do Google, como Cloud Storage ou BigQuery

O Private Service Connect fornece conectividade particular com as seguintes caracter�sticas:

• Design orientado a servi�os: os servi�os do produtor s�o publicados por meio de balanceadores de carga que exp�em um �nico endere�o IP � rede VPC do consumidor. O tr�fego do consumidor que acessa servi�os do produtor � unidirecional e s� pode acessar o endere�o IP do servi�o, em vez de ter acesso a uma rede VPC com peering inteira.
• Autoriza��o expl�cita: o Private Service Connect fornece um modelo de autoriza��o que fornece controle granular a consumidores e produtores, garantindo que apenas os endpoints do servi�o pretendidos e nenhum outro recurso possam se conectar a um servi�o do Google Analytics.
• Sem depend�ncias compartilhadas: o tr�fego entre consumidor e produtor usa NAT para que n�o haja coordena��o de endere�os IP ou outras depend�ncias de recursos compartilhados entre as redes VPC do consumidor e do produtor. Essa independ�ncia simplifica a implanta��o e permite escalonar servi�os gerenciados com mais facilidade.
• Desempenho da taxa de linha: o tr�fego do Private Service Connect vai diretamente dos clientes consumidores para os back-ends do produtor, sem saltos ou proxies intermedi�rios. O NAT � executado diretamente nas m�quinas host f�sicas, que hospedam as VMs de consumidor e produtor, o que reduz a lat�ncia e aumenta a capacidade da largura de banda. A capacidade de largura de banda do Private Service Connect � limitada apenas pela capacidade de largura de banda das m�quinas do servidor e do cliente que est�o se comunicando diretamente.

Tipos do Private Service Connect

O Private Service Connect est� dispon�vel em diferentes tipos que fornecem diferentes recursos e modos de comunica��o.

Os produtores de servi�o publicam aplicativos para os consumidores criando servi�os do Private Service Connect. Os consumidores de servi�o acessam os servi�os do Private Service Connect diretamente por meio de um destes tipos:

• Endpoints do Private Service Connect: os endpoints s�o implantados usando regras de encaminhamento que fornecem ao consumidor um endere�o IP que � mapeado para o servi�o do Private Service Connect.
• Back-ends do Private Service Connect: os back-ends s�o implantados usando grupos de endpoint da rede (NEGs, na sigla em ingl�s) que permitem aos consumidores direcionar o tr�fego para o balanceador de carga antes de alcan�ar um servi�o do Private Service Connect.

Os produtores de servi�os podem iniciar conex�es com os consumidores de servi�o usando as interfaces do Private Service Connect (visualiza��o). As interfaces do Private Service Connect fornecem comunica��o bidirecional e podem ser usadas na mesma rede VPC que os endpoints e back-ends.

Endpoints

Os endpoints do Private Service Connect s�o endere�os IP internos em uma rede VPC do consumidor que podem ser acessados diretamente pelos clientes nessa rede. Os endpoints s�o criados com a implanta��o de uma regra de encaminhamento que faz refer�ncia a um anexo de servi�o ou a um pacote de APIs do Google.

O diagrama a seguir mostra um endpoint do Private Service Connect que visa um servi�o publicado que est� sendo executado em uma rede VPC e organiza��o separadas. Os endpoints publicados e os servi�os publicados do Private Service Connect permitem que duas empresas independentes se comuniquem usando endere�os IP internos. Para mais informa��es, consulte Sobre como acessar servi�os publicados por meio de endpoints.

Da mesma forma, um endpoint do Private Service Connect pode ser usado para acessar APIs do Google, como o Cloud Storage ou o BigQuery. Essa funcionalidade � semelhante ao Acesso privado do Google, mas � poss�vel usar seus pr�prios endere�os IP internos para endpoints. O Private Service Connect permite controlar mais diretamente o roteamento e criar quantos endpoints forem necess�rios para sua rede. Para mais informa��es, consulte Sobre como acessar APIs do Google por endpoints.

Back-ends

Os back-ends do Private Service Connect permitem que os balanceadores de carga do Google Cloud enviem tr�fego por meio do Private Service Connect para alcan�ar servi�os publicados ou APIs do Google. Os back-ends s�o implantados por meio de grupos de endpoints da rede (NEGs, na sigla em ingl�s) do Private Service Connect que fazem refer�ncia a um anexo de servi�o do produtor ou a uma API compat�vel do Google. Colocar um balanceador de carga na frente de um servi�o gerenciado fornece ao consumidor mais visibilidade e controle do que � poss�vel por meio de um endpoint do Private Service Connect. Os back-ends permitem criar configura��es como as seguintes:

• Dom�nios e certificados do cliente na frente de servi�os gerenciados
• Failover controlado pelo consumidor entre servi�os gerenciados em diferentes regi�es
• Configura��o centralizada de seguran�a e controle de acesso para servi�os gerenciados

O diagrama a seguir mostra um balanceador de carga de aplicativo interno implantado com back-ends do Private Service Connect que fazem refer�ncia a um servi�o publicado. H� dois balanceadores de carga na configura��o:

• O balanceador de carga do consumidor que fornece controle, visibilidade e seguran�a do tr�fego para o servi�o.
• O balanceador de carga do produtor que faz o balanceamento de carga do tr�fego pelos back-ends de servi�o.

Assim como os endpoints do Private Service Connect, os back-ends tamb�m s�o compat�veis com a segmenta��o de APIs do Google. O diagrama a seguir mostra um balanceador de carga de aplicativo interno que tem como destino um bucket do Cloud Storage e encerra o tr�fego usando um dom�nio de propriedade do cliente.

Interfaces

Uma interface do Private Service Connect � um tipo especial de interface de rede que se refere a um anexo de rede.

Um produtor de servi�o pode criar uma interface do Private Service Connect e solicitar uma conex�o com um anexo de rede. Se o consumidor de servi�o aceitar a conex�o, o Google Cloud alocar� a interface um endere�o IP de uma sub-rede na rede VPC do consumidor especificada pelo anexo de rede. A VM da interface do Private Service Connect tem uma segunda interface de rede padr�o que se conecta � rede VPC do produtor.

Uma conex�o entre uma interface do Private Service Connect e um anexo de rede � semelhante � conex�o entre um Private Service Connectendpoint e umanexo de servi�o, mas h� duas diferen�as principais:

• Uma interface do Private Service Connect permite que uma rede VPC do produtor inicie conex�es com uma rede VPC do consumidor (sa�da de servi�o gerenciado). Um endpoint funciona na dire��o inversa, permitindo que uma rede VPC do consumidor inicie conex�es com uma rede VPC do produtor (entrada de servi�o gerenciado).
• Uma conex�o de interface do Private Service Connect � transitiva. Isso significa que as cargas de trabalho em uma rede do produtor podem iniciar conex�es com outras cargas de trabalho que est�o conectadas � rede VPC do consumidor. Os endpoints do Private Service Connect s� podem iniciar conex�es com a rede VPC do produtor.

Servi�os gerenciados do Private Service Connect

Os servi�os gerenciados s�o de propriedade e gerenciados por algu�m que n�o � o consumidor de servi�o. O Private Service Connect pode ser usado para acessar servi�os gerenciados de propriedade do Google, empresas de software como servi�o (SaaS) de terceiros ou outras equipes na empresa do pr�prio consumidor. Os servi�os publicados e as APIs do Google podem ser destinos do Private Service Connect.

Servi�os publicados

Servi�os publicados s�o servi�os hospedados na VPC implantados na rede VPC do produtor e acessados pela rede VPC do consumidor. A publica��o de um servi�o permite que o produtor seja o propriet�rio e controle a implanta��o do servi�o na pr�pria rede VPC. Os servi�os publicados podem incluir o seguinte:

• Servi�os do Google, como GKE, Apigee ou Cloud Composer. Esses servi�os s�o executados em projetos de locat�rio e redes VPC gerenciados pelo Google.
• Servi�os de terceiros, em que terceiros oferecem acesso particular a um servi�o publicado no Google Cloud.
• Servi�os intraorganizacionais, em que uma �nica empresa tem clientes que acessam aplicativos internos em diferentes redes VPC. Algumas organiza��es usam redes VPC separadas para segmenta��o interna. Com essa configura��o, uma equipe pode oferecer um servi�o gerenciado a uma equipe diferente que opere em uma rede VPC separada.

Anexos de servi�o

Anexos de servi�o s�o recursos usados para criar servi�os publicados do Private Service Connect.

Os anexos de servi�o podem ser acessados usando endpoints ou back-ends. V�rios back-ends ou endpoints podem se conectar ao mesmo anexo de servi�o, permitindo que v�rias redes VPC ou v�rios consumidores acessem a mesma inst�ncia de servi�o.

Um anexo de servi�o tem como alvo um balanceador de carga do produtor e permite que os clientes em uma rede VPC do consumidor acessem o balanceador de carga. A configura��o do anexo de servi�o define o seguinte:

• Uma lista de aceita��o de consumidores que define quais consumidores t�m permiss�o para se conectar ao servi�o.
• A sub-rede NAT de origem do tr�fego traduzido na rede VPC do produtor.
• Um dom�nio DNS opcional, se fornecido, que � usado nas entradas DNS para endpoints que s�o criadas automaticamente no ambiente Zona do Cloud DNS.

APIs do Google

Usar o Private Service Connect para acessar APIs do Google � uma alternativa ao uso do Acesso privado do Google ou dos nomes de dom�nio p�blico para APIs do Google. Nesse caso, o produtor � o Google.

As APIs do Google podem ser acessadas usando endpoints ou back-ends.

• Os endpoints permitem segmentar um pacote de servi�os globais APIs ou uma API �nica do Google regional.
• Os back-ends permitem que voc� segmente um �nico cliente global do Google API ou API �nica do Google regional.

Com o Private Service Connect, voc� pode fazer o seguinte:

• Crie um ou mais endere�os IP internos para acessar as APIs do Google em diferentes casos de uso.
• Direcionar o tr�fego local para regi�es e endere�os IP espec�ficos ao acessar as APIs do Google.
• Centralize o tr�fego da API do Google por meio de um balanceador de carga HTTP(S) para aplicar seus pr�prios certificados, pol�ticas de seguran�a ou observabilidade.

A seguir

• Conclua um dos seguintes codelabs:
  • Como usar o Private Service Connect para publicar e consumir servi�os
  • Como usar o Private Service Connect para publicar e consumir servi�os com o GKE
• Veja mais sobre como acessar os servi�os publicados por endpoints.
• Saiba mais sobre como acessar APIs do Google por endpoints.
• Saiba mais sobre back-ends.
• Saiba mais sobre servi�os de publica��o.