Private Service Connect permite que los consumidores accedan a los servicios administrados de forma privada desde su red de nube privada virtual (VPC). Del mismo modo, permite a los productores de servicios administrados alojar estos servicios en sus propias redes de VPC independientes y proyectos, y ofrecer una conexión privada a sus consumidores. Las conexiones de Private Service Connect no son transitivas entre los radios de VPC. La propagación de los servicios de Private Service Connect a través del concentrador de Network Connectivity Center permite que cualquier otra VPC de radio en el mismo concentrador pueda acceder a estos servicios a través de la tabla de rutas.
Network Connectivity Center también admite la propagación de extremos regionales. Para obtener más información sobre los extremos regionales, consulta Información sobre el acceso a extremos regionales a través de extremos de Private Service Connect.
La función de propagación de conexiones de Private Service Connect de Network Connectivity Center beneficia los siguientes casos de uso:
Puedes usar una red de VPC de servicios comunes para crear varios extremos del consumidor de Private Service Connect. Al agregar una sola red de VPC de servicios comunes al concentrador de Network Connectivity Center, todos los extremos del consumidor de Private Service Connect en la red de VPC se vuelven accesibles de forma transitiva para otros radios de VPC a través del concentrador de Network Connectivity Center. Esta conectividad elimina la necesidad de administrar de forma individual cada extremo de Private Service Connect en cada red de VPC.
Puedes acceder a los servicios administrados en una red de radio de VPC desde redes locales a las que se puede acceder a través de radios híbridos.
Cuando conectas un radio de VPC a un concentrador que tiene habilitadas las conexiones, Network Connectivity Center se crean conexiones propagadas en ese radio para cualquier extremo conectado al mismo concentrador, a menos que se excluya la subred del extremo de la exportación. Después de agregar una red de VPC a un concentrador de Network Connectivity Center como un radio de VPC, los extremos nuevos de Private Service Connect también se propagan, a menos que la subred del extremo se excluya de la exportación.
Para configurar un concentrador con una conexión propagada de Private Service Connect habilitada, el administrador del concentrador debe crear un concentrador con la propagación de Private Service Connect o actualizar la configuración de propagación mediante la marca --export-psc. Luego, el administrador del concentrador debe agregar las redes de VPC como radios al concentrador. El propietario del radio puede usar las marcas --exclude-export-ranges y --include-export-ranges para excluir las subredes asignadas específicas de Private Service Connect del enrutamiento de Network Connectivity Center para que no se pueda acceder a las subredes especificadas desde otras redes de VPC, lo que las mantiene privadas para la red de VPC local.
Para obtener información sobre las conexiones propagadas de Private Service Connect, consulta Acerca de las conexiones propagadas.
Para obtener información sobre las marcas --exclude-export-ranges y --include-export-ranges, consulta Conectividad de VPC con filtros de exportación.
Si deseas obtener información detallada sobre cómo configurar un concentrador para una conexión propagada de Private Service Connect, consulta Configura un concentrador.
Límite de propagación de conexiones
Para obtener más información sobre los límites de las conexiones propagadas, consulta Límite de conexiones propagadas.
Consideraciones
Ten en cuenta lo siguiente antes de habilitar una conexión propagada de Private Service Connect:
Una conexión propagada de Private Service Connect solo funciona con radios de VPC.
No se admiten las conexiones propagadas de Private Service Connect IPv6 en los radios de VPC.
Si necesitas que las conexiones de Private Service Connect propagadas estén disponibles para las redes locales conectadas a radios híbridos, haz lo siguiente:
Tu concentrador de Network Connectivity Center debe tener solo una red de VPC de enrutamiento que contenga todos sus radios híbridos.
La única red de VPC de enrutamiento del concentrador también debe ser un radio de VPC.
Si un concentrador tiene dos o más redes de VPC de enrutamiento, ninguna de ellas puede ser también un radio de VPC. En consecuencia, los concentradores con dos o más redes de VPC de enrutamiento no pueden hacer que las conexiones de Private Service Connect propagadas estén disponibles para las redes locales.
Para que la propagación de Private Service Connect funcione con radios híbridos, la red de VPC de enrutamiento también debe agregarse como un radio de VPC.
Debido a que el filtro
--exclude-export-rangesno es mutable para un radio después de crearlo, te recomendamos que crees dos subredes a fin de alojar extremos de Private Service Connect: una subred para la red de VPC, solo extremos de Private Service Connect y el otro para los extremos de Private Service Connect que se comparten con el concentrador. Cuando agregas la red de VPC a una como radio, agrega el rango de direcciones IP de la subred que aloja la red de VPC solo dentro de la red de VPC en el filtro--exclude-export-rangespara que no se comparta con el concentrador.Si una subred en un radio de VPC está configurada con NAT privada para acceder al concentrador de Network Connectivity Center, se descarta el tráfico de la subred al servicio propagado de Private Service Connect. Si la puerta de enlace de NAT privada está configurada con
--nat-all-subnet-ip-ranges, la propagación de Private Service Connect a través de Network Connectivity Center no funciona para todas las subredes de esta VPC de radio. Para que funcione desde subredes no superpuestas de esta VPC de radio, usa--nat-custom-subnet-ip-rangespara la puerta de enlace de NAT privada. No uses NAT para enrutar el tráfico de subredes que no se superponen al concentrador de Network Connectivity Center.El estado de propagación podría ser impreciso si creas, borras y vuelves a crear el extremo de Private Service Connect en un período breve. Sin embargo, después de un tiempo, el estado de propagación se vuelve preciso y refleja el estado real de la conexión propagada. Este proceso podría tardar hasta 15 minutos.
La propagación de la conexión de Private Service Connect es asíncrona después de la creación o eliminación del radio. Cuando se quita un radio de VPC de un concentrador, puede tardar un tiempo en actualizar las conexiones propagadas de Private Service Connect. Mientras se actualiza la conexión de propagación de Private Service Connect, el tráfico de la VM dentro de la red de VPC puede fluir hacia el backend, incluso después de que se agregue el radio de VPC a un concentrador nuevo. Para evitar el flujo de tráfico hacia el backend, antes de agregar el radio a otro concentrador, asegúrate de que se borren todas las entradas de estado de propagación de la red de VPC en el concentrador anterior, ya sea como radio de origen o radio de destino.
Estado de propagación de la conexión de Private Service Connect
Network Connectivity Center te permite ver el estado de la propagación de la conexión de Private Service Connect dentro de un concentrador de Network Connectivity Center. Puedes ver un resumen de los estados o profundizar en errores específicos para ver sus detalles.
En la siguiente tabla, se enumeran los códigos de estado de propagación y su significado.
| Código | Mensaje |
|---|---|
| Ready | La conexión de Private Service Connect propagada está lista. |
| Propagación | La propagación de la conexión de Private Service Connect está pendiente. Este es un estado transitorio. |
| Error: Se superó el límite de conexiones propagadas del productor | La propagación de la conexión de Private Service Connect propagada falló porque la red de VPC o el proyecto del radio de destino superaron el límite de conexiones de propagación establecido por el productor. Para solucionar este problema, consulta la documentación del productor o comunícate con su equipo de asistencia al cliente. |
| Error: Se agotó el espacio de IP de NAT del productor | No se pudo propagar la conexión de Private Service Connect porque se agotó el espacio de subred de IP de NAT. Es equivalente al estado Needs attention de la conexión de PSC. Para obtener más información, consulta Estados de conexión en la documentación de Private Service Connect.
|
| Error, se superó la cuota del productor | Falló la propagación de la conexión de Private Service Connect porque se excedió la cuota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK en la red de VPC del productor.
|
| Error: Se superó la cuota del consumidor | Falló la propagación de la conexión de Private Service Connect porque se excedió la cuota de PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK en la red de VPC del consumidor.
|
Para obtener información sobre cómo ver los estados de propagación de la conexión de Private Service Connect, consulta Cómo ver el estado de propagación de la conexión de Private Service Connect. Para obtener información sobre la solución de problemas relacionados con la propagación de conexiones de Private Service Connect, consulta Soluciona problemas de errores de propagación de conexiones de Private Service Connect.
¿Qué sigue?
- Para crear concentradores y radios, consulta Trabaja con concentradores y radios.
- Para ver una lista de socios cuyas soluciones están integradas en Network Connectivity Center, consulta Socios de Network Connectivity Center.
- Para encontrar soluciones a problemas comunes, consulta Solución de problemas.
- Para obtener detalles sobre los comandos de la API y Google Cloud CLI, consulta APIs y referencia.