Esta página foi traduzida pela API Cloud Translation.

Acerca dos serviços publicados

Este documento oferece uma vista geral da utilização do Private Service Connect para disponibilizar um serviço aos consumidores de serviços.

Enquanto produtor de serviços, pode usar o Private Service Connect para publicar serviços através de endereços IP internos na sua rede VPC. Os seus serviços publicados são acessíveis aos consumidores de serviços através de endereços IP internos nas respetivas redes VPC.

Para disponibilizar um serviço aos consumidores, cria uma ou mais sub-redes dedicadas. Em seguida, cria uma associação de serviços que se refere a essas sub-redes. A associação de serviços pode ter preferências de ligação diferentes.

Tipos de consumidores de serviços

Existem dois tipos de consumidores que podem estabelecer ligação a um serviço do Private Service Connect:

Os pontos finais baseiam-se numa regra de encaminhamento.

Um ponto final permite que os consumidores de serviços enviem tráfego da rede VPC do consumidor para os serviços na rede VPC do produtor de serviços (clique para aumentar).

Os back-ends baseiam-se num balanceador de carga.

Um back-end que usa um Application Load Balancer externo global permite que os consumidores de serviços com acesso à Internet enviem tráfego para serviços na rede VPC do produtor de serviços (clique para aumentar).

Sub-redes NAT

As associações de serviços do Private Service Connect estão configuradas com uma ou mais sub-redes NAT (também denominadas sub-redes do Private Service Connect). Os pacotes da rede VPC do consumidor são traduzidos através da NAT de origem (SNAT) para que os respetivos endereços IP de origem originais sejam convertidos em endereços IP de origem da sub-rede NAT na rede VPC do produtor.

As associações de serviços podem ter várias sub-redes NAT. Pode adicionar sub-redes NAT ao anexo de serviço em qualquer altura sem interromper o tráfego.

Embora um anexo de serviço possa ter várias sub-redes NAT configuradas, não é possível usar uma sub-rede NAT em mais do que um anexo de serviço.

Não é possível usar sub-redes NAT do Private Service Connect para recursos, como instâncias de máquinas virtuais (VM) ou regras de encaminhamento. As sub-redes são usadas apenas para fornecer endereços IP para SNAT de ligações de consumidores recebidas.

Dimensionamento da sub-rede NAT

O tamanho da sub-rede determina quantos consumidores se podem ligar ao seu serviço. Se todos os endereços IP na sub-rede NAT forem consumidos, as ligações adicionais do Private Service Connect falham. Considere o seguinte:

É consumido um endereço IP da sub-rede NAT para cada ponto final ou back-end que esteja ligado à associação de serviço.

O número de ligações TCP ou UDP, clientes ou redes VPC de consumidor não afeta o consumo de endereços IP da sub-rede NAT.
Se a propagação de ligações for usada pelos consumidores, é consumido um endereço IP adicional para cada VPC spoke para o qual as ligações são propagadas, para cada ponto final.

Pode controlar o número de associações propagadas criadas configurando o limite de associações propagadas.
Quando estimar quantos endereços IP precisa para pontos finais e back-ends, tenha em conta os serviços multitenant ou os consumidores que usam o acesso multiponto para o Private Service Connect.

/29/24

Monitorização de sub-redes NAT

Para ajudar a garantir que as ligações do Private Service Connect não falham devido a endereços IP indisponíveis numa sub-rede NAT, recomendamos o seguinte:

Monitorize a private_service_connect/producer/used_nat_ip_addresses métrica de associação de serviços. Certifique-se de que o número de endereços IP NAT usados não excede a capacidade das sub-redes NAT de uma associação de serviço.
Monitorize o estado da ligação das ligações de anexos de serviços. Se uma ligação tiver o estado Requer atenção, pode não haver mais endereços IP disponíveis nas sub-redes NAT do anexo.
Para serviços multiinquilinos, pode usar os Limites de ligação para ajudar a garantir que um único consumidor não esgota a capacidade das sub-redes NAT de uma associação de serviço.

Se necessário, pode adicionar sub-redes NAT ao anexo de serviço em qualquer altura sem interromper o tráfego.

Especificações de NAT

Considere as seguintes caraterísticas da NAT do Private Service Connect quando criar o serviço que está a publicar:

O tempo limite de inatividade do mapeamento UDP é de 30 segundos e não pode ser configurado.
O tempo limite de inatividade da ligação estabelecida de TCP é de 20 minutos e não pode ser configurado.

Para evitar problemas com o tempo limite das ligações de clientes, faça uma das seguintes ações:
- Certifique-se de que todas as ligações duram menos de 20 minutos.
- Certifique-se de que algum tráfego é enviado com mais frequência do que uma vez a cada 20 minutos. Pode usar um sinal de pulsação ou um sinal de manutenção na sua aplicação, ou sinais de manutenção TCP. Por exemplo, pode configurar um keepalive no proxy de destino de um Application Load Balancer interno regional ou de um Network Load Balancer de proxy interno regional.
O limite de tempo de inatividade da ligação transitória TCP é de 30 segundos e não pode ser configurado.
Existe um atraso de dois minutos antes de qualquer tuplo de 5 elementos (endereço IP de origem da sub-rede NAT e porta de origem, além do protocolo de destino, do endereço IP e da porta de destino) poder ser reutilizado.
O SNAT para o Private Service Connect não suporta fragmentos de IP.

Número máximo de ligações

Uma única VM de produtor pode aceitar um máximo de 64 512 ligações TCP simultâneas e 64 512 ligações UDP de um único consumidor do Private Service Connect (ponto final ou back-end). Não existe um limite para o número total de ligações TCP e UDP que um ponto final do Private Service Connect pode receber de forma agregada em todos os back-ends do produtor. As VMs cliente podem usar todas as 65 536 portas de origem ao iniciar ligações TCP ou UDP a um ponto final do Private Service Connect. Toda a tradução de endereços de rede é feita localmente no anfitrião produtor, o que não requer um conjunto de portas NAT atribuído centralmente.

Anexos de serviços

Os produtores de serviços expõem o respetivo serviço através de uma associação do serviço.

Para expor um serviço, um produtor de serviços cria uma associação do serviço que faz referência a um serviço de destino. O serviço de destino pode ser um dos seguintes:
- A regra de encaminhamento de um balanceador de carga
- Uma instância do Secure Web Proxy

O URI do anexo de serviço tem este formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Pode associar um anexo de serviço a um único serviço de destino. Não pode associar vários anexos de serviços a um determinado serviço de destino.

Preferências de ligação

Cada anexo de serviço tem uma preferência de ligação que especifica se os pedidos de ligação são aceites automaticamente. Existem três opções:

Aceitar automaticamente todas as ligações. A associação de serviço aceita automaticamente todos os pedidos de ligação de entrada de qualquer consumidor. A aceitação automática pode ser substituída por uma política da organização que bloqueia as ligações recebidas.
Aceitar ligações para redes selecionadas. O anexo de serviço só aceita pedidos de ligação de entrada se a rede VPC do consumidor estiver na lista de aceitação de consumidores do anexo de serviço.
Aceitar associações para projetos selecionados. O anexo de serviço só aceita pedidos de ligação de entrada se o projeto do consumidor estiver na lista de aceitação de consumidores do anexo de serviço.

Recomendamos que aceite associações para projetos ou redes selecionados. A aceitação automática de todas as ligações pode ser adequada se controlar o acesso do consumidor por outros meios e quiser ativar o acesso permissivo ao seu serviço.

Estados da ligação

As associações de serviços têm estados de ligação que descrevem o estado das respetivas ligações. Para mais informações, consulte o artigo Estados da ligação.

Listas de aceitação e rejeição de consumidores

As listas de aceitação de consumidores e as listas de rejeição de consumidores são uma funcionalidade de segurança dos anexos de serviços. As listas de aceitação e rejeição permitem que os produtores de serviços especifiquem que consumidores podem estabelecer ligações do Private Service Connect aos respetivos serviços. As listas de aceitação de consumidores especificam se uma ligação é aceite e as listas de rejeição de consumidores especificam se uma ligação é rejeitada. Ambas as listas permitem especificar consumidores pela rede VPC ou pelo projeto do recurso de ligação. Se adicionar um projeto ou uma rede à lista de aceitação e à lista de recusa, os pedidos de ligação desse projeto ou rede são rejeitados. A especificação de consumidores por pasta não é suportada.

As listas de aceitação e as listas de rejeição de consumidores permitem-lhe especificar projetos ou redes VPC, mas não ambos ao mesmo tempo. Pode alterar uma lista de um tipo para o outro sem interromper as associações, mas tem de fazer a alteração numa única atualização. Caso contrário, algumas ligações podem mudar temporariamente para o estado pendente.

As listas de consumidores controlam se um ponto final pode estabelecer ligação a um serviço publicado, mas não controlam quem pode enviar pedidos a esse ponto final. Por exemplo, suponhamos que um consumidor tem uma rede de VPC partilhada com dois projetos de serviço associados. Se um serviço publicado tiver service-project1 na lista de aceitação de consumidores e service-project2 na lista de rejeição de consumidores, aplica-se o seguinte:

Um consumidor em service-project1 pode criar um ponto final que se liga ao serviço publicado.
Um consumidor em service-project2 não pode criar um ponto final que se ligue ao serviço publicado.
Um cliente em service-project2 pode enviar pedidos para o ponto final em service-project1, se não existirem regras ou políticas de firewall que impeçam esse tráfego.

Para obter informações sobre como as listas de aceitação de consumidores interagem com as políticas da organização, consulte o artigo Interação entre as listas de aceitação de consumidores e as políticas da organização.

Limites da lista de aceitação de consumidores

As listas de aceitação de consumidores têm limites de associação. Estes limites definem o número total de ligações de back-end e de pontos finais do Private Service Connect que uma associação de serviço pode aceitar do projeto consumidor ou da rede VPC especificados.

Os produtores podem usar limites de ligação para impedir que os consumidores individuais esgotem os endereços IP ou as quotas de recursos na rede VPC do produtor. Cada ligação do Private Service Connect aceite é subtraída ao limite configurado para um projeto ou uma rede VPC do consumidor. Os limites são definidos quando cria ou atualiza listas de aceitação de consumidores. Pode ver as associações de um anexo de serviço quando descreve um anexo de serviço.

As associações propagadas não contam para estes limites.

Por exemplo, considere um caso em que uma associação de serviço tem uma lista de aceitação de consumidores que inclui project-1 e project-2, ambos com um limite de uma ligação. O projeto project-1 pede duas associações, o projeto project-2 pede uma associação e o projeto project-3 pede uma associação. Uma vez que o project-1 tem um limite de uma ligação, a primeira ligação é aceite e a segunda permanece pendente. A associação de project-2 foi aceite e a associação de project-3 continua pendente. A segunda ligação de project-1 pode ser aceite aumentando o limite para project-1. Se project-3 for adicionado à lista de aceitação do consumidor, essa associação passa de pendente para aceite.

Conciliação da ligação

A conciliação de ligações determina se as atualizações às listas de aceitação ou rejeição de um anexo de serviço podem afetar as ligações existentes do Private Service Connect. Se a conciliação de associações estiver ativada, a atualização das listas de aceitação ou rejeição pode terminar as associações existentes. As associações que foram rejeitadas anteriormente podem ser aceites. Se a conciliação de associações estiver desativada, a atualização das listas de aceitação ou rejeição só afeta as associações novas e pendentes.

Por exemplo, considere uma associação de serviço que tenha várias ligações aceites de Project-A. Project-A está na lista de aceitação do anexo de serviço. O anexo de serviço é atualizado removendo Project-A da lista de aceitação.

Se a conciliação de ligações estiver ativada, todas as ligações existentes de Project-A transitam para PENDING, o que termina a conetividade de rede entre as duas redes VPC e interrompe imediatamente o tráfego de rede.

Se a conciliação de associações estiver desativada, as associações existentes de Project-A não são afetadas. O tráfego de rede pode continuar a fluir através das ligações do Private Service Connect existentes. No entanto, não são permitidas novas ligações do Private Service Connect.

Para obter informações sobre a configuração da conciliação de ligações para novas associações de serviços, consulte o artigo Publique um serviço com aprovação explícita.

Para ver informações sobre a configuração da conciliação de associações para anexos de serviços existentes, consulte o artigo Configurar a conciliação de associações.

Ligações propagadas

Os consumidores que se ligam à sua associação de serviços através de pontos finais podem ativar a propagação de ligações. As ligações propagadas permitem que as cargas de trabalho nos raios da VPC do consumidor acedam aos serviços geridos nas redes VPC do produtor como se as duas redes VPC estivessem diretamente ligadas através de pontos finais. Cada ligação propagada consome um endereço IP da sub-rede NAT do anexo de serviço.

Pode ver o número de associações propagadas associadas a um ponto final ligado quando vê os detalhes de um serviço publicado. Esta contagem não inclui associações propagadas que são bloqueadas pelo limite de associações propagadas do produtor.

Limite de associação propagado

As associações de serviços têm um limite de ligações propagadas, o que permite aos produtores de serviços limitar o número de ligações propagadas que podem ser estabelecidas à associação de serviços a partir de um único consumidor. Se não for especificado, o limite de ligações propagado predefinido é 250.

Se a preferência de ligação do anexo de serviço for ACCEPT_MANUAL, o limite aplica-se a cada projeto ou rede VPC que esteja listado na lista de aceitação de consumidores.
Se a preferência de ligação for ACCEPT_AUTOMATIC, o limite aplica-se a cada projeto que contenha um ponto final ligado.

Se um consumidor exceder o limite de associações propagadas, não são criadas mais associações propagadas. Para permitir a criação de mais pontos finais propagados, pode aumentar o limite de ligações propagadas. Quando aumenta este limite, o Network Connectivity Center cria associações propagadas que foram bloqueadas pelo limite, desde que as novas associações não excedam o limite atualizado. A atualização deste limite não afeta as associações propagadas existentes.

Prevenção do esgotamento da quota

O número total de pontos finais do Private Service Connect e ligações propagadas, de qualquer consumidor, que podem aceder à sua rede VPC de produtor é controlado pela PSC ILB consumer forwarding rules per producer VPC networkquota. Em particular, para os serviços multiinquilinos, é importante proteger contra o esgotamento desta quota.

Pode usar os seguintes limites para se proteger contra o esgotamento da quota:

Os limites de ligação da lista de aceitação de consumidores controlam o número total de pontos finais do Private Service Connect que podem criar ligações a uma associação de serviço a partir de um único projeto ou rede VPC de consumidor. A diminuição destes limites não afeta as associações existentes. Estes limites não se aplicam a associações propagadas.
Os limites de ligações propagadas controlam o número total de ligações propagadas que podem ser estabelecidas a uma associação de serviço a partir de um único consumidor. A diminuição deste limite não afeta as associações propagadas existentes.

Exemplo

O exemplo seguinte mostra como os limites de associação propagados e os limites da lista de aceitação de consumidores funcionam relativamente à quota de PSC ILB consumer forwarding rules per producer VPC network.

Considere um caso em que um consumidor criou dois pontos finais numa rede VPC spoke, spoke-vpc-1. Ambos os pontos finais ligam-se a service-attachment-1 em producer-vpc-1. O spoke está ligado a um hub do Network Connectivity Center com a propagação de ligações ativada e não existem outros spokes ligados a esse hub.

O produtor do serviço configurou service-attachment-1 para ter um limite de quatro na lista de aceitação para cada projeto na lista de aceitação. O produtor configurou um limite de propagação de duas ligações, especificando que um único projeto pode ter até duas ligações propagadas.

Esta configuração de exemplo contém dois pontos finais e nenhuma associação propagada (clique para aumentar).

A utilização de quotas e limites para esta configuração é a seguinte:

Quota / limite	Utilização	Explicação
Regras de encaminhamento do ILB da PSC por rede VPC do produtor	2	um por ponto final
Limite de ligação da lista de aceitação do consumidor de anexos de serviço para `consumer-project-1`	2	um por ponto final
Limite de ligações propagado da associação do serviço para `consumer-project-1`	0	não existem associações propagadas

Suponhamos que consumer-project-1 liga outro raio denominado spoke-vpc-2 ao mesmo hub do Network Connectivity Center que spoke-vpc-1. Esta ação cria duas associações propagadas em consumer-project-1, uma para cada ponto final existente.

Esta configuração de exemplo contém dois pontos finais e duas associações propagadas (clique para aumentar).

A utilização de quotas e limites para esta configuração é a seguinte:

Quota / limite	Utilização	Explicação
Regras de encaminhamento do ILB da PSC por rede VPC do produtor	4	Um por ponto final e um por ligação propagada
Limite de ligação da lista de aceitação do consumidor de anexos de serviço para `consumer-project-1`	2	um por ponto final
Limite de ligações propagado da associação do serviço para `consumer-project-1`	2	uma por associação propagada

Consumer-project-1 excedeu o limite de ligações propagadas. Se o consumidor adicionar outro spoke da VPC, o Private Service Connect não cria novas ligações propagadas.

Suponhamos que outro consumidor tem dois raios de VPC em consumer-project-2. Os raios ligam-se a um hub do Network Connectivity Center com ligações propagadas ativadas. Um dos raios da VPC contém um único ponto final que se liga a service-attachment-1.

Esta configuração de exemplo contém três pontos finais e três associações propagadas (clique para aumentar).

A utilização de quotas e limites para esta configuração é a seguinte:

Quota / limite	Utilização	Explicação
Regras de encaminhamento do ILB da PSC por rede VPC do produtor	6	quatro de `consumer-project-1` e dois de `consumer-project-2`
Limite de ligação da lista de aceitação do consumidor de anexos de serviço para `consumer-project-1`	2	um por ponto final em `consumer-project-1`
Limite de ligação da lista de aceitação do consumidor de anexos de serviço para `consumer-project-2`	1	um por ponto final em `consumer-project-2`
Limite de ligações propagado da associação do serviço para `consumer-project-1`	2	um por ligação propagada em `consumer-project-1`
Limite de ligações propagado da associação do serviço para `consumer-project-2`	1	um por ligação propagada em `consumer-project-2`

Configuração de DNS

Para obter informações sobre a configuração de DNS para serviços e pontos finais publicados que se ligam a serviços publicados, consulte Configuração de DNS para serviços.

Configuração de várias regiões

Pode disponibilizar um serviço em várias regiões criando as seguintes configurações.

Configuração do produtor:

Implemente o serviço em cada região. Cada instância regional do serviço tem de ser configurada num balanceador de carga que suporte o acesso por parte de um back-end.
Crie uma associação de serviço para publicar cada instância regional do serviço.

Configuração do consumidor:

Crie um back-end para aceder aos serviços publicados. O back-end baseia-se num balanceador de carga de aplicações externo global e inclui as seguintes configurações:
- Um NEG do Private Service Connect em cada região que aponta para a associação de serviço dessa região.
- Um serviço de back-end que contém os back-ends do NEG.

Nesta configuração, o ponto final encaminha o tráfego através da política de equilíbrio de carga global predefinida, primeiro por estado de funcionamento e, em seguida, pela localização mais próxima do cliente.

A utilização de um Application Load Balancer externo global permite que os consumidores de serviços com acesso à Internet enviem tráfego para serviços na rede VPC do produtor de serviços. Uma vez que o serviço está implementado em várias regiões, o balanceador de carga pode encaminhar o tráfego para um NEG na região saudável mais próxima (clique para aumentar).

Tradução da versão do IP

Para pontos finais do Private Service Connect que se ligam a serviços publicados (associações de serviços), a versão IP do endereço IP da regra de encaminhamento do consumidor determina a versão IP do ponto final e o tráfego que sai do ponto final. O endereço IP pode ser proveniente de uma sub-rede apenas IPv4, apenas IPv6 ou de pilha dupla. A versão IP do ponto final pode ser IPv4 ou IPv6, mas não ambas.

Para serviços publicados, a versão IP do anexo de serviço é determinada pelo endereço IP da regra de encaminhamento associada ou da instância do proxy Web seguro. Este endereço IP tem de ser compatível com o tipo de pilha da sub-rede NAT do anexo de serviço. A sub-rede NAT pode ser uma sub-rede apenas IPv4, apenas IPv6 ou de pilha dupla. Se a sub-rede NAT for uma sub-rede de pilha dupla, é usado o intervalo de endereços IPv4 ou IPv6, mas não ambos.

O Private Service Connect não suporta a ligação de um ponto final IPv4 a uma associação do serviço IPv6. Neste caso, a criação do ponto final falha com a seguinte mensagem de erro:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

As seguintes combinações são possíveis para as configurações suportadas:

Ponto final IPv4 para anexo de serviço IPv4
Ponto final IPv6 para anexo de serviço IPv6
Ponto final IPv6 para anexo de serviço IPv4

Nesta configuração, o Private Service Connect traduz automaticamente entre as duas versões de IP.

Para ligações entre backends do Private Service Connect e associações de serviços, as regras de encaminhamento do consumidor e do produtor têm de usar IPv4.

Funcionalidades e compatibilidade

Nas tabelas seguintes, uma marca de verificação indica que uma funcionalidade é suportada e um símbolo de não indica que uma funcionalidade não é suportada.

Consoante o balanceador de carga do produtor escolhido, o serviço do produtor pode suportar o acesso por pontos finais, back-ends ou ambos.

Apoio técnico para pontos finais

Esta secção resume as opções de configuração disponíveis para consumidores e produtores quando usam pontos finais para aceder a serviços publicados.

Configuração do consumidor

Esta tabela resume as opções de configuração e as capacidades suportadas dos pontos finais que acedem aos serviços publicados com base no tipo de produtor de destino.

Produtor de destino	Configuração do consumidor (ponto final)
Produtor de destino	Acesso global do consumidor	Acesso híbrido	Configuração automática de DNS (apenas IPv4)	Acesso ao intercâmbio da rede da VPC	Propagação da ligação do Network Connectivity Center (apenas IPv4)	Serviços de destino suportados para pontos finais IPv4	Serviços de destino suportados para pontos finais IPv6
Balanceador de carga de aplicações interno entre regiões						Serviços IPv4	Serviços IPv4
Balanceador de carga de rede de passagem interno	Apenas se o acesso global estiver ativado no equilibrador de carga (problema conhecido)					Serviços IPv4	Serviços IPv4 Serviços IPv6
Encaminhamento de protocolo interno (instância de destino)	Apenas se o acesso global estiver ativado na regra de encaminhamento do produtor (problema conhecido)					Serviços IPv4	Serviços IPv4 Serviços IPv6
Serviços de mapeamento de portas	Apenas se o acesso global estiver ativado na regra de encaminhamento do produtor					Serviços IPv4	Serviços IPv4 Serviços IPv6
Balanceador de carga de aplicações interno regional	Apenas se o acesso global estiver ativado no equilibrador de carga antes de o anexo de serviço ser criado					Serviços IPv4	Serviços IPv4
Balanceador de carga de rede de proxy interno regional	Apenas se o acesso global estiver ativado no equilibrador de carga antes de o anexo de serviço ser criado					Serviços IPv4	Serviços IPv4
Secure Web Proxy						Serviços IPv4	Serviços IPv4

Configuração do produtor

Esta tabela resume as opções de configuração e as capacidades suportadas dos serviços publicados aos quais os pontos finais acedem.

Tipo de produtor	Configuração do produtor (serviço publicado)
Tipo de produtor	Back-ends de produtores suportados	Protocolo PROXY (apenas tráfego TCP)	Versão do IP
Balanceador de carga de aplicações interno entre regiões	NEGs zonais GCE_VM_IP_PORT NEGs híbridos NEGs sem servidor NEGs do Private Service Connect Grupos de instâncias		IPv4
Balanceador de carga de rede de passagem interno	NEGs zonais GCE_VM_IP Grupos de instâncias		IPv4 IPv6
Encaminhamento de protocolo interno (instância de destino)	Não aplicável		IPv4 IPv6
Serviços de mapeamento de portas	NEG de mapeamento de portas		IPv4 IPv6
Balanceador de carga de aplicações interno regional	NEGs zonais GCE_VM_IP_PORT NEGs híbridos NEGs sem servidor NEGs do Private Service Connect Grupos de instâncias		IPv4
Balanceador de carga de rede de proxy interno regional	NEGs zonais GCE_VM_IP_PORT NEGs híbridos NEGs do Private Service Connect Grupos de instâncias		IPv4
Secure Web Proxy	Não aplicável		IPv4

Os diferentes equilibradores de carga suportam diferentes configurações de portas. Alguns equilibradores de carga suportam uma única porta, outros suportam um intervalo de portas e outros suportam todas as portas. Para mais informações, consulte as especificações das portas.

Apoio técnico para backends

Um back-end do Private Service Connect para serviços publicados requer dois balanceadores de carga: um balanceador de carga do consumidor e um balanceador de carga do produtor. Esta secção resume as opções de configuração disponíveis para consumidores e produtores quando usam back-ends para aceder a serviços publicados.

Configuração do consumidor

Esta tabela descreve os balanceadores de carga do consumidor suportados pelos back-ends do Private Service Connect para serviços publicados, incluindo os protocolos de serviço de back-end que podem ser usados com cada balanceador de carga do consumidor. Os balanceadores de carga do consumidor podem aceder a serviços publicados alojados em balanceadores de carga do produtor suportados.

Balanceador de carga de consumidor	Protocolos	Versão do IP
Balanceador de carga de aplicações interno entre regiões	HTTP HTTPS HTTP2	IPv4
Balanceador de carga de rede de proxy interno entre regiões	TCP	IPv4
Balanceador de carga de aplicações externo global (suporta várias regiões) Nota: o equilibrador de carga de aplicações clássico não é suportado.	HTTP HTTPS HTTP2	IPv4
Balanceador de carga de rede de proxy externo global Para associar este balanceador de carga a um NEG do Private Service Connect, use a CLI do Google Cloud ou envie um pedido de API. Nota: o equilibrador de carga de rede de proxy clássico não é suportado.	TCP/SSL	IPv4
Balanceador de carga de aplicações externo regional	HTTP HTTPS HTTP2	IPv4
Balanceador de carga de rede de proxy externo regional	TCP	IPv4
Balanceador de carga de aplicações interno regional	HTTP HTTPS HTTP2	IPv4
Balanceador de carga de rede de proxy interno regional	TCP	IPv4

Configuração do produtor

Esta tabela descreve a configuração dos balanceadores de carga do produtor que são suportados por back-ends do Private Service Connect para serviços publicados.

Tipo de produtor	Configuração do produtor (serviço publicado)
Tipo de produtor	Back-ends de produtores suportados	Protocolos de regras de encaminhamento	Portas de regras de encaminhamento	Protocolo PROXY	Versão do IP
Balanceador de carga de aplicações interno entre regiões	NEGs zonais GCE_VM_IP_PORT NEGs híbridos NEGs sem servidor NEGs do Private Service Connect Grupos de instâncias	TCP HTTP HTTPS HTTP/2 gRPC	Suporta uma, várias ou todas as portas		IPv4
Balanceador de carga de rede de passagem interno	NEGs zonais GCE_VM_IP Grupos de instâncias	TCP	Consulte a configuração da porta do produtor		IPv4
Balanceador de carga de aplicações interno regional	NEGs zonais GCE_VM_IP_PORT NEGs híbridos NEGs sem servidor NEGs do Private Service Connect Grupos de instâncias	HTTP HTTPS HTTP/2	Suporta uma única porta		IPv4
Balanceador de carga de rede de proxy interno regional	NEGs zonais GCE_VM_IP_PORT NEGs híbridos NEGs do Private Service Connect Grupos de instâncias	TCP	Suporta uma única porta		IPv4
Secure Web Proxy	Não aplicável	Não aplicável	Não aplicável		IPv4

Configuração da porta do produtor

Quando um Network Load Balancer de encaminhamento interno é publicado através do Private Service Connect, os consumidores que usam back-ends do Private Service Connect para aceder ao serviço precisam de saber que porta usar para comunicar com o serviço. Considere o seguinte quando criar a regra de encaminhamento para o balanceador de carga de rede de passagem interna do produtor:

Recomendamos que comunique aos consumidores a porta usada na regra de encaminhamento do produtor, para que possam especificar a porta quando criarem um NEG.
Se os consumidores não especificarem uma porta do produtor quando criam os respetivos NEGs, a porta do produtor é determinada com base na configuração da regra de encaminhamento do produtor:
- Se a regra de encaminhamento do produtor usar uma única porta, o back-end do consumidor usa a mesma porta.
- Se a regra de encaminhamento do produtor usar várias portas, aplica-se o seguinte:
  - Se a porta 443 estiver incluída, o back-end do consumidor usa a porta 443.
  - Se a porta 443 não estiver incluída, o back-end do consumidor usa a primeira porta na lista, depois de a lista ser ordenada alfabeticamente. Por exemplo, se especificar a porta 80 e a porta 1111, o back-end do consumidor usa a porta 1111.
  - A alteração das portas usadas pelos back-ends do produtor pode resultar numa interrupção do serviço para os consumidores.
    
    Por exemplo, suponhamos que cria um serviço publicado com uma regra de encaminhamento que usa as portas 443 e 8443, e VMs de back-end que respondem nas portas 443 e 8443. Quando um back-end do consumidor se liga a este serviço, usa a porta 443 para comunicação.
    
    Se alterar as VMs de back-end para responderem apenas na porta 8443, o back-end do consumidor deixa de conseguir alcançar o serviço publicado.
Se a regra de encaminhamento do produtor usar todas as portas, o consumidor de serviços tem de especificar uma porta do produtor quando criar o NEG. Se não especificar uma porta, o back-end do consumidor usa a porta 1, que não funciona.

VPC partilhada

Os administradores do projeto de serviço podem criar associações de serviços em projetos de serviço de VPC partilhada que se ligam a recursos em redes de VPC partilhada.

A configuração é igual à de uma associação de serviço normal, exceto no seguinte:

A regra de encaminhamento do equilibrador de carga do produtor está associada a um endereço IP da rede da VPC partilhada. A sub-rede da regra de encaminhamento tem de ser partilhada com o projeto de serviço.
A associação de serviço usa uma sub-rede do Private Service Connect da rede da VPC partilhada. Esta sub-rede tem de ser partilhada com o projeto de serviço.

Registo

Pode ativar os registos de fluxo de VPC nas sub-redes que contêm as VMs de back-end. Os registos mostram fluxos entre as VMs de back-end e os endereços IP na sub-rede do Private Service Connect.

VPC Service Controls

Os VPC Service Controls e o Private Service Connect são compatíveis entre si. Se a rede VPC onde o ponto final do Private Service Connect está implementado estiver num perímetro do VPC Service Controls, o ponto final faz parte do mesmo perímetro. Todos os serviços suportados pelos VPC Service Controls que são acedidos através do ponto final estão sujeitos às políticas desse perímetro dos VPC Service Controls.

Quando cria um ponto final, são feitas chamadas de API do plano de controlo entre os projetos de consumidor e produtor para estabelecer uma ligação do Private Service Connect. O estabelecimento de uma ligação do Private Service Connect entre projetos de consumidor e produtor que não estejam no mesmo perímetro do VPC Service Controls não requer autorização explícita com políticas de saída. A comunicação com os serviços suportados pelos VPC Service Controls através do ponto final está protegida pelo perímetro dos VPC Service Controls.

Visualizar informações de associação de consumidores

Por predefinição, o Private Service Connect traduz o endereço IP de origem do consumidor num endereço numa das sub-redes do Private Service Connect na rede VPC do produtor de serviços. Se quiser ver o endereço IP de origem do consumidor, pode ativar o protocolo PROXY quando publicar um serviço. O Private Service Connect suporta a versão 2 do protocolo PROXY.

Nem todos os serviços suportam o protocolo PROXY. Para mais informações, consulte Funcionalidades e compatibilidade.

Se o protocolo PROXY estiver ativado, pode obter o endereço IP de origem do consumidor e o ID da ligação PSC (pscConnectionId) a partir do cabeçalho do protocolo PROXY.

O formato dos cabeçalhos do protocolo PROXY depende da versão IP do ponto final do consumidor. Se o balanceador de carga da associação de serviço tiver um endereço IPv6, os consumidores podem estabelecer ligação com endereços IPv4 e IPv6. Configure a sua aplicação para receber e ler cabeçalhos do protocolo PROXY para a versão IP do tráfego que vai receber.

Para o tráfego de consumidores que flui através de uma ligação propagada, o endereço IP de origem do consumidor e o ID da ligação do PSC referem-se ao ponto final do Private Service Connect que é propagado.

Quando ativa o protocolo PROXY para uma associação de serviço, a alteração aplica-se apenas a novas ligações. As ligações existentes não incluem o cabeçalho do protocolo PROXY.

Se ativar o protocolo PROXY, consulte a documentação do software do servidor Web de back-end para obter informações sobre a análise e o processamento de cabeçalhos do protocolo PROXY recebidos nos payloads TCP da ligação do cliente. Se o protocolo PROXY estiver ativado no anexo de serviço, mas o servidor Web de back-end não estiver configurado para processar cabeçalhos do protocolo PROXY, os pedidos Web podem ter um formato incorreto. Se os pedidos tiverem um formato incorreto, o servidor não consegue interpretá-los.

O ID da ligação do Private Service Connect (pscConnectionId) está codificado no cabeçalho do protocolo PROXY no formato tipo-comprimento-valor (TLV).

Campo	Comprimento do campo	Valor do campo
Tipo	1 byte	`0xE0` (PP2_TYPE_GCP)
Comprimento	2 bytes	`0x8` (8 bytes)
Valor	8 bytes	Os 8 bytes `pscConnectionId` na ordem da rede

Pode ver o valor de 8 bytes da pscConnectionId regra de encaminhamento de consumidores ou do anexo do serviço de produtor.

O valor pscConnectionId é globalmente único para todas as associações ativas num determinado momento. No entanto, ao longo do tempo, um pscConnectionId pode ser reutilizado nestes cenários:

Numa determinada rede da VPC, se eliminar um ponto final (regra de encaminhamento) e criar um novo ponto final com o mesmo endereço IP, pode ser usado o mesmo valor pscConnectionId.
Se eliminar uma rede VPC que contenha pontos finais (regras de encaminhamento), após um período de espera de sete dias, o valor pscConnectionId que foi usado para esses pontos finais pode ser usado para um ponto final diferente noutra rede VPC.

Pode usar valores pscConnectionId para depuração e para rastrear as origens dos pacotes.

Um ID de associação do serviço do Private Service Connect de 16 bytes separado (pscServiceAttachmentId) está disponível na associação do serviço do produtor. O valor pscServiceAttachmentId é um ID globalmente exclusivo que identifica uma associação do serviço do Private Service Connect. Pode usar o valor pscServiceAttachmentId para visibilidade e depuração. Este valor não está incluído no cabeçalho do protocolo PROXY.

Preços

Os preços do Private Service Connect estão descritos na página de preços da VPC.

Quotas

O número total de pontos finais do Private Service Connect e de ligações propagadas, de qualquer consumidor, que podem aceder à sua rede VPC de produtor é controlado pela PSC ILB consumer forwarding rules per producer VPC network quota.

Os pontos finais contribuem para esta quota até serem eliminados, mesmo que o anexo de serviço associado seja eliminado ou configurado para rejeitar a ligação. As ligações propagadas contribuem para esta quota até que o ponto final associado seja eliminado, mesmo que a propagação de ligações esteja desativada no hub do Network Connectivity Center ou o spoke da ligação propagada seja eliminado.

Acesso nas instalações

Os serviços do Private Service Connect são disponibilizados através de pontos finais. Estes pontos finais podem ser acedidos a partir de anfitriões no local ligados suportados. Para mais informações, consulte o artigo Aceda ao ponto final a partir de anfitriões no local.

Limitações

Os serviços publicados têm as seguintes limitações:

Os equilibradores de carga configurados com vários protocolos (protocolo definido como L3_DEFAULT) não são suportados.
A duplicação de pacotes não pode duplicar pacotes para o tráfego de serviços publicados do Private Service Connect.
Tem de usar a CLI Google Cloud ou a API para criar uma associação de serviço que aponte para uma regra de encaminhamento usada para encaminhamento de protocolo interno.

Para ver problemas e soluções alternativas, consulte os Problemas conhecidos.