En esta página, se describen conceptos asociados con Private Service Connect. Puedes usar Private Service Connect para los siguientes fines:
- Conectarte a una instancia de Cloud SQL desde varias redes de VPC que pertenezcan a organizaciones, grupos, equipos o proyectos diferentes
- Conectarte a una instancia principal o a cualquiera de sus réplicas de lectura
Extremo de Private Service Connect
Puedes usar los extremos de Private Service Connect para acceder a las instancias de Cloud SQL de forma privada desde las redes de VPC de tus consumidores. Estos extremos son direcciones IP internas asociadas con una regla de reenvío que hace referencia a un adjunto de servicio de una instancia de Cloud SQL.
Puedes hacer que Cloud SQL cree el extremo automáticamente o puedes crearlo de forma manual.
Para que Cloud SQL cree el extremo automáticamente, haz lo siguiente:
- Crea una política de conexión de servicio en tus redes de VPC.
Crear una instancia de Cloud SQL con Private Service Connect habilitado para la instancia y configurarla para crear un extremo automáticamente Mientras creas la instancia, especifica los parámetros de conexión automática, como los proyectos y las redes de VPC.
Cloud SQL localiza la política de conexión de servicio en estas redes y crea un extremo de Private Service Connect que apunta al adjunto de servicio de la instancia.
Después de que crees la instancia y Cloud SQL cree el extremo, los clientes en las redes de VPC correspondientes pueden conectarse a la instancia desde el extremo, ya sea a través de una dirección IP o un registro DNS. Esta función para que Cloud SQL cree el extremo automáticamente está disponible en Vista previa.
Para crear el extremo de forma manual, haz lo siguiente:
- Crea una instancia de Cloud SQL con Private Service Connect habilitado para la instancia.
- Obtén el URI del adjunto de servicio que necesitas para crear el extremo de forma manual.
Reserva una dirección IP interna en tu red de VPC para el extremo y crea un extremo con esa dirección.
Después de que crees la instancia y Cloud SQL cree el extremo, los clientes en las redes de VPC correspondientes pueden conectarse a la instancia desde el extremo, ya sea a través de una dirección IP o un registro DNS.
Política de conexión de servicios
Una política de conexión de servicio te permite autorizar una clase de servicio específica para crear una conexión de Private Service Connect entre redes de VPC. Como resultado, puedes aprovisionar automáticamente los extremos de Private Service Connect. Esta función está disponible en vista previa.
Puedes crear un máximo de una política para cada combinación de clase de servicio, región y red de VPC. Una política dicta la automatización de la conectividad del servicio para esa combinación específica. Cuando configuras una política, debes seleccionar una subred. La subred se usa para asignar direcciones IP para los extremos que crees a través de la política. Si varias políticas de conexión de servicio comparten la misma región, puedes volver a usar la misma subred para todas las políticas.
Por ejemplo, si quieres usar la automatización de conectividad de servicios con dos servicios en tres regiones diferentes, crea seis políticas. Puedes usar un mínimo de tres subredes: una para cada región.
Después de crear una política de conexión de servicio, solo puedes actualizar las subredes y el límite de conexiones de la política. Si necesitas actualizar otros campos, haz lo siguiente:
- Quita todas las conexiones que usen la política.
- Borra la política.
- Crea una política nueva.
Adjunto de servicio
Cuando creas una instancia de Cloud SQL y la configuras para que use Private Service Connect, Cloud SQL crea un adjunto de servicio para la instancia de forma automática. Un adjunto de servicio es un punto de conexión que usan las redes de VPC para acceder a la instancia.
Crea un extremo de Private Service Connect que la red de VPC usará para conectarse al adjunto de servicio. Esto permite que la red acceda a la instancia.
Cada instancia de Cloud SQL tiene un adjunto de servicio al que el extremo de Private Service Connect puede conectarse a través de la red de VPC. Si hay varias redes, cada una de ellas tiene su propio extremo.
Nombres y registros DNS
En el caso de las instancias con Private Service Connect habilitado, te recomendamos que uses el nombre de DNS, ya que diferentes redes pueden conectarse a la misma instancia y los extremos de Private Service Connect en cada red pueden tener direcciones IP diferentes. Además, el proxy de autenticación de Cloud SQL requiere nombres de DNS para conectarse a estas instancias.
Cloud SQL no crea registros DNS de forma automática. En su lugar, se proporciona un nombre de DNS sugerido a partir de la respuesta de la API de búsqueda de instancias. Te recomendamos que crees el registro DNS en una zona del DNS privado en la red de VPC correspondiente. Esto proporciona una manera coherente de conectarse desde diferentes redes.
Proyectos de Private Service Connect permitidos
Los proyectos permitidos son proyectos asociados con redes de VPC y son específicos de cada instancia de Cloud SQL. Si una instancia no se encuentra en ningún proyecto permitido, no puedes habilitar Private Service Connect para la instancia.
En estos proyectos, puedes crear extremos de Private Service Connect para cada instancia. Si un proyecto no se permite de forma explícita, puedes crear un extremo para las instancias del proyecto, pero este permanece en un estado PENDING
.
Propagación del extremo de Private Service Connect
De forma predeterminada, las conexiones de Private Service Connect no son transitivas de las redes de VPC con intercambio. Debes crear un extremo de Private Service Connect en cada red de VPC que necesite conectarse a tu instancia de Cloud SQL. Por ejemplo, si tienes tres redes de VPC que deben conectarse a tu instancia, debes crear tres extremos de Private Service Connect: uno para cada red de VPC.
Sin embargo, cuando se propagan los extremos de Private Service Connect a través del concentrador de Network Connectivity Center, cualquier otra red de VPC de radio en el mismo concentrador puede acceder a estos extremos. El concentrador proporciona un modelo de administración de conectividad centralizado para interconectar redes de VPC de radio a los extremos de Private Service Connect.
La función de propagación de conexiones en Network Connectivity Center beneficia el siguiente caso de uso para las implementaciones de Private Service Connect:
Puedes usar una red de VPC de servicios común para crear varios extremos de Private Service Connect. Cuando se agrega una sola red de VPC de servicios comunes al concentrador de Network Connectivity Center, todos los extremos de Private Service Connect en la red de VPC se vuelven accesibles de manera transitiva a otras redes de VPC de radio a través del concentrador. Esta conectividad elimina la necesidad de administrar cada extremo de Private Service Connect en cada red de VPC de forma individual.
Si quieres aprender a usar el concentrador de Network Connectivity Center para propagar extremos de Private Service Connect a redes de VPC de radio, consulta el codelab de propagación de Network Connectivity Center: Private Service Connect.
¿Qué sigue?
- Obtén más información sobre IP privada.
- Obtén más información sobre cómo conectarte a una instancia mediante Private Service Connect.