Esta página descreve os conceitos associados ao Private Service Connect. Você pode usar o Private Service Connect para as seguintes finalidades:
- Conecte-se a uma instância do Cloud SQL a partir de várias redes VPC que pertencem a diferentes grupos, equipes, projetos ou organizações
- Conecte-se a uma instância primária ou a qualquer uma de suas réplicas de leitura
Ponto de extremidade do Private Service Connect
Você pode usar endpoints do Private Service Connect para acessar instâncias do Cloud SQL de forma privada a partir das suas redes VPC de consumidor. Esses endpoints são endereços IP internos associados a uma regra de encaminhamento que faz referência a um anexo de serviço de uma instância do Cloud SQL.
Você pode deixar que o Cloud SQL crie o endpoint automaticamente ou manualmente.
Para que o Cloud SQL crie o endpoint automaticamente, faça o seguinte:
- Crie uma política de conexão de serviço em suas redes VPC.
Crie uma instância do Cloud SQL com o Private Service Connect habilitado para a instância e configure-a para criar um endpoint automaticamente. Ao criar a instância, especifique parâmetros de conexão automática, como redes VPC e projetos.
O Cloud SQL localiza a política de conexão de serviço nessas redes e cria um ponto de extremidade do Private Service Connect que aponta para o anexo de serviço da instância.
Após criar a instância e o Cloud SQL criar o endpoint, os clientes nas redes VPC correspondentes podem se conectar à instância a partir do endpoint, por meio de um endereço IP ou de um registro DNS. Este recurso para que o Cloud SQL crie o endpoint automaticamente está disponível na versão de visualização .
Para criar o ponto de extremidade manualmente, faça o seguinte:
- Crie uma instância do Cloud SQL com o Private Service Connect habilitado para a instância.
- Obtenha o URI do anexo de serviço necessário para criar o ponto de extremidade manualmente.
Reserve um endereço IP interno na sua rede VPC para o endpoint e crie um endpoint com esse endereço.
Depois que você cria a instância e o Cloud SQL cria o endpoint, os clientes nas redes VPC correspondentes podem se conectar à instância a partir do endpoint, por meio de um endereço IP ou de um registro DNS .
Política de conexão de serviço
Uma política de conexão de serviço permite que você autorize uma classe de serviço específica a criar uma conexão do Private Service Connect entre redes VPC. Como resultado, você pode provisionar endpoints do Private Service Connect automaticamente. Isso está disponível na versão de visualização .
Você pode criar no máximo uma política para cada classe de serviço, região e combinação de rede VPC. Uma política determina a automação da conectividade de serviço para essa combinação específica. Ao configurar uma política, você seleciona uma sub-rede. A sub-rede é usada para alocar endereços IP para os endpoints criados por meio da política. Se várias políticas de conexão de serviço compartilharem a mesma região, você poderá reutilizar a mesma sub-rede para todas as políticas.
Por exemplo, se você quiser usar a automação de conectividade de serviço com dois serviços em três regiões diferentes, crie seis políticas. Você pode usar no mínimo três sub-redes: uma para cada região.
Após criar uma política de conexão de serviço, você só poderá atualizar as sub-redes e o limite de conexão da política. Se precisar atualizar outros campos, faça o seguinte:
- Remova todas as conexões que usam a política.
- Excluir a política.
- Crie uma nova política.
Anexo de serviço
Ao criar uma instância do Cloud SQL e configurá-la para usar o Private Service Connect, o Cloud SQL cria automaticamente um anexo de serviço para a instância. Um anexo de serviço é um ponto de conexão que as redes VPC usam para acessar a instância.
Crie um endpoint do Private Service Connect que a rede VPC usa para se conectar ao anexo de serviço. Isso permite que a rede acesse a instância.
Cada instância do Cloud SQL possui um anexo de serviço ao qual o endpoint do Private Service Connect pode se conectar por meio da rede VPC. Se houver várias redes, cada rede terá seu próprio endpoint.
Nomes e registros DNS
Para instâncias com o Private Service Connect habilitado, recomendamos usar o nome DNS, pois diferentes redes podem se conectar à mesma instância e os endpoints do Private Service Connect em cada rede podem ter endereços IP diferentes. Além disso, o Cloud SQL Auth Proxy requer nomes DNS para se conectar a essas instâncias.
O Cloud SQL não cria registros DNS automaticamente. Em vez disso, um nome DNS sugerido é fornecido pela resposta da API de pesquisa de instância. Recomendamos que você crie o registro DNS em uma zona DNS privada na rede VPC correspondente. Isso proporciona uma maneira consistente de se conectar a partir de diferentes redes.
Projetos de conexão de serviço privado permitidos
Os projetos permitidos estão associados a redes VPC e são específicos para cada instância do Cloud SQL. Se uma instância não estiver contida em nenhum projeto permitido, você não poderá habilitar o Private Service Connect para ela.
Para esses projetos, você pode criar endpoints do Private Service Connect para cada instância. Se um projeto não for explicitamente permitido, você ainda poderá criar um endpoint para as instâncias no projeto, mas o endpoint permanecerá no estado PENDING .
Propagação de ponto de extremidade do Private Service Connect
Por padrão, as conexões do Private Service Connect não são transitivas de redes VPC emparelhadas. Você precisa criar um endpoint do Private Service Connect em cada rede VPC que precisa se conectar à sua instância do Cloud SQL. Por exemplo, se você tiver três redes VPC que precisam se conectar à sua instância, precisará criar três endpoints do Private Service Connect — um endpoint para cada rede VPC.
No entanto, ao propagar endpoints do Private Service Connect por meio do hub do Network Connectivity Center , esses endpoints podem ser acessados por qualquer outra rede VPC spoke no mesmo hub. O hub fornece um modelo de gerenciamento de conectividade centralizado para interconectar redes VPC spoke a endpoints do Private Service Connect.
O recurso de propagação de conexão no Network Connectivity Center beneficia o seguinte caso de uso para implantações do Private Service Connect:
Você pode usar uma rede VPC de serviços comuns para criar vários endpoints do Private Service Connect. Ao adicionar uma única rede VPC de serviços comuns ao hub do Network Connectivity Center, todos os endpoints do Private Service Connect na rede VPC se tornam acessíveis transitivamente a outras redes VPC spoke por meio do hub. Essa conectividade elimina a necessidade de gerenciar cada endpoint do Private Service Connect em cada rede VPC individualmente.
Para saber como usar o hub do Network Connectivity Center para propagar endpoints do Private Service Connect para redes VPC spoke, consulte o codelab Network Connectivity Center — Propagação do Private Service Connect .
O que vem a seguir
- Saiba mais sobre IP privado .
- Saiba mais sobre como se conectar a uma instância usando o Private Service Connect .