1. Introducción
En este codelab, implementarás un balanceador de cargas de proxy TCP interno y un grupo de extremos de red (NEG) híbrido, publicado como un servicio de productor de PSC. El NEG constará de la dirección IP y el puerto de la base de datos autohospedada en varias nubes, p. ej., JIRA, Confluence, SharePoint.
Private Service Connect es una función de las redes de Google Cloud que permite a los consumidores acceder a los servicios administrados de forma privada desde su red de VPC. Del mismo modo, permite a los productores de servicios administrados alojar estos servicios en su propia red de VPC o de múltiples nubes, y ofrecer una conexión privada a sus consumidores. Por ejemplo, cuando usas Private Service Connect para acceder a una base de datos entre nubes, eres el productor del servicio y Google (Agentspace) es el consumidor del servicio.
Qué aprenderás
- Requisitos de red para Agentspace
- Prácticas recomendadas para redes de Agentspace
- Crea un servicio de productor de Private Service Connect
Requisitos
- Proyecto de Google Cloud con permisos de propietario
2. Qué compilarás
Establecerás una red de productor, agentspace-psc-demo, para implementar el balanceador de cargas de proxy TCP interno y el NEG híbrido publicado como un servicio a través de Private Service Connect (PSC).
3. Requisitos de red
A continuación, se desglosan los requisitos de red para la red del productor. En este codelab, el consumidor es Agentspace.
Componentes | Descripción |
VPC (agentspace-psc-demo) | VPC en modo personalizado |
Subred de NAT de PSC | Los paquetes de la red de VPC del consumidor se traducen mediante NAT de origen (SNAT) para que sus direcciones IP de origen originales se conviertan en direcciones IP de origen de la subred NAT en la red de VPC del productor. La NAT de PSC admite una subred /29 por adjunto de servicio. |
Subred de la regla de reenvío de PSC | Se usa para asignar una dirección IP al balanceador de cargas de proxy TCP interno regional.La subred de la regla de reenvío se considera una subred normal. |
Subred de solo proxy | A cada uno de los proxies del balanceador de cargas se le asigna una dirección IP interna. Los paquetes enviados desde un proxy a una VM de backend o un grupo de extremos de red tienen una dirección IP de origen de la subred de solo proxy.Se recomienda una subred /23, aunque se admite la subred mínima /26. Se requiere una subred de proxy regional por región. |
NEG híbrido | Los servicios locales y otros servicios en la nube se tratan como cualquier otro backend de Cloud Load Balancing. La diferencia clave es que usas un NEG de conectividad híbrida para configurar los extremos de estos backends. Los extremos deben ser combinaciones válidas de IP y puerto a las que pueda acceder tu balanceador de cargas mediante productos de conectividad híbrida, como Cloud VPN o Cloud Interconnect. |
Servicio de backend | Un servicio de backend actúa como puente entre tu balanceador de cargas y tus recursos de backend. En el instructivo, el servicio de backend está asociado con el NEG híbrido. |
4. Prácticas recomendadas
- AgentSpace admite el acceso entre nubes a bases de datos autoalojadas implementadas de forma local o en recursos de procesamiento (p.ej., VMs de AWS EC2 y Azure) cuando se publica como productor de servicios.
- El tráfico a la base de datos entre nubes se originará en la subred del proxy regional. Por lo tanto, las reglas de firewall deben actualizarse para incluir este tráfico en la lista de entidades permitidas.
- Aunque Cloud Router anuncia la subred de solo proxy de forma predeterminada, confirma que la red entre nubes haya aprendido esta subred.
- Verifica que la red de VPC de Agentspace haya aprendido la subred o la dirección IP del host de la base de datos entre nubes.
- Habilita el acceso global en la regla de reenvío del productor antes de crear el adjunto de servicio.
- Habilita el acceso global cuando crees el extremo de Agentspace.
5. Topología del codelab
6. Configuración y requisitos
Configuración del entorno de autoaprendizaje
- Accede a Google Cloud Console y crea un proyecto nuevo o reutiliza uno existente. Si aún no tienes una cuenta de Gmail o de Google Workspace, debes crear una.
- El Nombre del proyecto es el nombre visible de los participantes de este proyecto. Es una cadena de caracteres que no se utiliza en las APIs de Google. Puedes actualizarla cuando quieras.
- El ID del proyecto es único en todos los proyectos de Google Cloud y es inmutable (no se puede cambiar después de configurarlo). La consola de Cloud genera automáticamente una cadena única. Por lo general, no importa cuál sea. En la mayoría de los codelabs, deberás hacer referencia al ID de tu proyecto (suele identificarse como
PROJECT_ID). Si no te gusta el ID que se generó, podrías generar otro aleatorio. También puedes probar uno propio y ver si está disponible. No se puede cambiar después de este paso y se usa el mismo durante todo el proyecto. - Recuerda que hay un tercer valor, un número de proyecto, que usan algunas APIs. Obtén más información sobre estos tres valores en la documentación.
- A continuación, deberás habilitar la facturación en la consola de Cloud para usar las APIs o los recursos de Cloud. Ejecutar este codelab no costará mucho, tal vez nada. Para cerrar recursos y evitar que se generen cobros más allá de este instructivo, puedes borrar los recursos que creaste o borrar el proyecto. Los usuarios nuevos de Google Cloud son aptos para participar en el programa Prueba gratuita de $300.
Inicia Cloud Shell
Si bien Google Cloud y Spanner se pueden operar de manera remota desde tu laptop, en este codelab usarás Google Cloud Shell, un entorno de línea de comandos que se ejecuta en la nube.
En Google Cloud Console, haz clic en el ícono de Cloud Shell en la barra de herramientas en la parte superior derecha:
El aprovisionamiento y la conexión al entorno deberían tomar solo unos minutos. Cuando termine el proceso, debería ver algo como lo siguiente:
Esta máquina virtual está cargada con todas las herramientas de desarrollo que necesitarás. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud, lo que permite mejorar considerablemente el rendimiento de la red y la autenticación. Todo tu trabajo en este codelab se puede hacer en un navegador. No es necesario que instales nada.
7. Antes de comenzar
Habilita las APIs
En Cloud Shell, asegúrate de que tu ID del proyecto esté configurado:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
zone=[YOUR-ZONE]
echo $project
echo $region
Habilita todos los servicios necesarios con el siguiente comando:
gcloud services enable compute.googleapis.com
8. Crea la red de VPC del productor
Red de VPC
En Cloud Shell, haz lo siguiente:
gcloud compute networks create agentspace-psc-demo --subnet-mode custom
Crear subredes
La subred de PSC se asociará con el adjunto de servicio de PSC para los fines de la traducción de direcciones de red.
Dentro de Cloud Shell, crea la subred de NAT de PSC:
gcloud compute networks subnets create producer-psc-nat-subnet --network agentspace-psc-demo --range 172.16.10.0/28 --region $region --purpose=PRIVATE_SERVICE_CONNECT
Dentro de Cloud Shell, crea la subred de la regla de reenvío del productor:
gcloud compute networks subnets create producer-psc-fr-subnet --network agentspace-psc-demo --range 172.16.20.0/28 --region $region --enable-private-ip-google-access
Dentro de Cloud Shell, crea la subred de solo proxy regional del productor, que la base de datos entre nubes observa como la IP de origen.
gcloud compute networks subnets create $region-proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=$region \
--network=agentspace-psc-demo \
--range=10.10.10.0/24
Reserva la dirección IP del balanceador de cargas
En Cloud Shell, reserva una dirección IP interna para el balanceador de cargas:
gcloud compute addresses create hybrid-neg-lb-ip \
--region=$region \
--subnet=producer-psc-fr-subnet
Dentro de Cloud Shell, consulta la dirección IP reservada.
gcloud compute addresses describe hybrid-neg-lb-ip \
--region=$region | grep -i address:
Resultado de ejemplo:
gcloud compute addresses describe hybrid-neg-lb-ip --region=$region | grep -i address:
address: 172.16.20.2
Configura el NEG híbrido
Crea un NEG híbrido y establece –network-endpoint-type en NON_GCP_PRIVATE_IP_PORT.
Dentro de Cloud Shell, crea un NEG híbrido que se use para acceder a la base de datos local:
gcloud compute network-endpoint-groups create on-prem-hybrid-neg \
--network-endpoint-type=NON_GCP_PRIVATE_IP_PORT \
--network=agentspace-psc-demo \
--zone=$zone
Dentro de Cloud Shell, actualiza el NEG híbrido con la IP:puerto de la base de datos entre nubes, 192.168.10.10 y el puerto 443 según la arquitectura de referencia:
gcloud compute network-endpoint-groups update on-prem-hybrid-neg \
--add-endpoint=ip=192.168.10.10,port=443 \
--zone=$zone
Crea una verificación de estado regional
Dentro de Cloud Shell, crea una verificación de estado que sondee el puerto de la base de datos local, 443:
gcloud compute health-checks create tcp on-prem-443-healthcheck \
--region=$region \
--port=443
Crea una política de firewall de red y reglas de firewall
En Cloud Shell, haz lo siguiente:
gcloud compute network-firewall-policies create agentspace-psc-demo-policy --global
gcloud compute network-firewall-policies associations create --firewall-policy agentspace-psc-demo-policy --network agentspace-psc-demo --name agentspace-psc-demo --global-firewall-policy
La siguiente regla de firewall permite el tráfico del rango de la subred de NAT de PSC a todas las instancias de la red.
En Cloud Shell, haz lo siguiente:
gcloud compute network-firewall-policies rules create 2001 --action ALLOW --firewall-policy agentspace-psc-demo-policy --description "allow traffic from PSC NAT subnet" --direction INGRESS --src-ip-ranges 172.16.10.0/28 --global-firewall-policy --layer4-configs=tcp
9. Crea el servicio de productor
Crea componentes del balanceador de cargas
Dentro de Cloud Shell, crea un servicio de backend::
gcloud compute backend-services create producer-backend-svc --region=$region --load-balancing-scheme=INTERNAL_MANAGED --protocol=TCP --region=$region --health-checks=on-prem-443-healthcheck --health-checks-region=$region
Dentro de Cloud Shell, agrega el backend de NEG híbrido al servicio de backend:
gcloud compute backend-services add-backend producer-backend-svc --network-endpoint-group=on-prem-hybrid-neg --network-endpoint-group-zone=$zone --balancing-mode=CONNECTION --max-connections=100 --region=$region
En Cloud Shell, crea un proxy TCP de destino para enrutar las solicitudes a tu servicio de backend:
gcloud compute target-tcp-proxies create producer-lb-tcp-proxy \
--backend-service=producer-backend-svc \
--region=$region
En la siguiente sintaxis, crea una regla de reenvío (balanceador de cargas de proxy TCP interno) con el acceso global habilitado.
En Cloud Shell, haz lo siguiente:
gcloud compute forwarding-rules create producer-hybrid-neg-fr \
--load-balancing-scheme=INTERNAL_MANAGED \
--network-tier=PREMIUM \
--network=agentspace-psc-demo \
--subnet=producer-psc-fr-subnet \
--address=hybrid-neg-lb-ip \
--target-tcp-proxy=producer-lb-tcp-proxy \
--target-tcp-proxy-region=$region \
--region=$region \
--allow-global-access \
--ports=443
Crea un adjunto de servicio
Para publicar un servicio, debes crear un adjunto de servicio. Puedes publicar el servicio con aprobación automática o explícita.
- Para publicar el servicio y permitir automáticamente que cualquier consumidor se conecte a él, sigue las instrucciones en Publica un servicio con aprobación automática.
- Para publicar el servicio con la aprobación explícita del consumidor, en la configuración de conexión del adjunto de servicio, selecciona Aceptar conexiones para los proyectos seleccionados y deja en blanco el campo Proyectos aceptados.
- Después de generar el adjunto de servicio, los extremos del consumidor que soliciten acceso al servicio del productor entrarán en un estado pendiente de forma inicial. Para autorizar la conexión, el productor debe aceptar el proyecto desde el que se originó la solicitud del extremo del consumidor.
Dentro de Cloud Shell, crea el adjunto de servicio cc-database1-svc-attachment con aprobación automática:
gcloud compute service-attachments create cc-database1-svc-attachment --region=$region --producer-forwarding-rule=producer-hybrid-neg-fr --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=producer-psc-nat-subnet
A continuación, obtén y anota el adjunto de servicio que se indica en el URI selfLink que comienza con projects para configurar el extremo de PSC en Agentspace.
selfLink: projects/<your-project-id>/regions/<your-region>/serviceAttachments/cc-database1-svc-attachment
En Cloud Shell, haz lo siguiente:
gcloud compute service-attachments describe cc-database1-svc-attachment --region=$region
Ejemplo de resultado esperado:
connectionPreference: ACCEPT_AUTOMATIC
creationTimestamp: '2025-07-06T16:05:14.706-07:00'
description: ''
enableProxyProtocol: false
fingerprint: rXjeAOjb41k=
id: '1726139744351862725'
kind: compute#serviceAttachment
name: cc-database1-svc-attachment
natSubnets:
- https://www.googleapis.com/compute/v1/projects/$project/regions/us-central1/subnetworks/producer-psc-nat-subnet
pscServiceAttachmentId:
high: '54619734758392808'
low: '1726139744351862725'
reconcileConnections: false
region: https://www.googleapis.com/compute/v1/projects/$project/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$project/regions/us-central1/serviceAttachments/cc-database1-svc-attachment
targetService: https://www.googleapis.com/compute/v1/projects/$project/regions/us-central1/forwardingRules/producer-hybrid-neg-fr
En la consola de Cloud, navega a:
Servicios de red → Private Service Connect → Servicios publicados
10. Establece una conexión de extremo de PSC en Agentspace
Antes de asociar el adjunto de servicio del productor a Agentspace, asegúrate de que se completen las siguientes validaciones:
- El firewall de red entre nubes permite la subred del proxy regional.
- La red multinube aprendió la subred de proxy regional.
- La VPC de Agentspace aprendió la IP del host o la subred de la base de datos entre nubes.
Asocia el URI del adjunto de servicio de Producers a Agentspace y asegúrate de que esté seleccionado el acceso global. A continuación, se muestra un ejemplo de habilitación del acceso global con la arquitectura de referencia Service Attachment.
Para finalizar la conexión de redes privadas, consulta las fuentes de datos de terceros de Agentspace para obtener más instrucciones.
Valida el extremo de PSC en la consola de Cloud
Para confirmar que se estableció correctamente una conexión de PSC entre Agentspace (el consumidor) y el productor, verifica el proyecto de arrendatario de Agentspace vinculado al servicio del productor. Puedes encontrarlo en “Proyectos conectados”. El ID del proyecto de usuario se asigna de forma aleatoria, pero siempre terminará con "tp".
Desde la consola de Cloud, puedes validar la conexión de PSC. En la consola de Cloud, navega a:
Servicios de red → Private Service Connect → Servicio publicado y, luego, selecciona el servicio cc-database1-svc-attachment.
11. Limpia
Borra los componentes del lab desde una sola terminal de Cloud Shell
gcloud compute service-attachments delete cc-database1-svc-attachment --region=$region -q
gcloud compute forwarding-rules delete producer-hybrid-neg-fr --region=$region -q
gcloud compute target-tcp-proxies delete producer-lb-tcp-proxy --region=$region -q
gcloud compute backend-services delete producer-backend-svc --region=$region -q
gcloud compute network-firewall-policies rules delete 2001 --firewall-policy agentspace-psc-demo-policy --global-firewall-policy -q
gcloud compute network-firewall-policies associations delete --firewall-policy=agentspace-psc-demo-policy --name=agentspace-psc-demo --global-firewall-policy -q
gcloud compute network-firewall-policies delete agentspace-psc-demo-policy --global -q
gcloud compute network-endpoint-groups delete on-prem-hybrid-neg --zone=$zone -q
gcloud compute addresses delete hybrid-neg-lb-ip --region=$region -q
gcloud compute networks subnets delete $region-proxy-only-subnet --region=$region -q
gcloud compute networks subnets delete producer-psc-nat-subnet --region=$region -q
gcloud compute networks subnets delete producer-psc-fr-subnet --region=$region -q
gcloud compute health-checks delete on-prem-443-healthcheck --region=us-central1 -q
gcloud compute networks delete agentspace-psc-demo -q
12. Felicitaciones
Felicitaciones. Configuraste y publicaste correctamente un servicio de Producer con Private Service Connect.
Creaste la infraestructura del productor, aprendiste a crear un NEG híbrido y un servicio del productor, y asociaste la vinculación del servicio a Agentspace.
Cosmopup cree que los codelabs son increíbles.
¿Qué sigue?
Consulta algunos codelabs sobre los siguientes temas:
- Usa Private Service Connect para publicar y consumir servicios
- Conéctate a servicios locales a través de redes híbridas con Private Service Connect y un balanceador de cargas de proxy TCP interno
- Acceso a todos los codelabs publicados de Private Service Connect