专用服务访问通道
本页面简要介绍专用服务访问通道。
Google 和第三方(统称为“服务提供方”)可以提供托管在 VPC 网络中的服务。通过专用服务访问通道,您可以使用专用连接来访问这些 Google 和第三方服务的内部 IP 地址。如果您希望 VPC 网络中的虚拟机实例使用内部 IP 地址而不是外部 IP 地址,这将非常有用。如需详细了解如何使用专用服务访问通道,请参阅配置专用服务访问通道。
如需使用专用服务访问通道,您必须先分配内部 IPv4 地址范围,然后创建专用连接。分配的范围是预留的 CIDR 块,不能在您的本地 VPC 网络中使用。它仅为服务提供方预留,可防止您的 VPC 网络与服务提供方的 VPC 网络重叠。
专用连接将您的 VPC 网络与服务提供方的 VPC 网络相链接。此连接允许 VPC 网络中的虚拟机实例使用内部 IPv4 地址访问服务资源。您的实例可以具有外部 IP 地址,但专用服务访问通道不需要且不使用外部 IP 地址。
如果服务提供方提供多种服务,您只需要一个专用连接。创建专用连接时,您会使用 Service Networking API 进行创建。但是,Google Cloud 将此连接实现为 VPC 网络与服务提供方 VPC 网络之间的 VPC 网络对等互连连接。您的 VPC 网络将其显示为对等互连连接;要删除该专用连接,您必须删除对等互连连接。
不支持将 IPv6 地址范围与专用服务访问通道结合使用。
您只能对支持专用服务访问通道的服务使用该通道。创建专用连接之前,请向服务提供方咨询。
服务提供方网络
在专用连接的服务提供方一端是一个 VPC 网络,您可以在其中预配服务资源。服务提供方的网络专门为您创建,并且仅包含您的资源。
服务提供方网络中的资源类似于您的 VPC 网络中的其他资源。例如,VPC 网络中的其他资源可以通过内部 IP 地址来对其进行访问。您还可以在 VPC 网络中创建防火墙规则,控制对服务提供方网络的访问。
如需详细了解服务提供方,请参阅 Service Infrastructure 文档中的启用专用服务访问通道。本文档仅供参考,并非启用或使用专用服务访问通道所需要。
专用服务访问通道和本地连接
在混合网络场景中,本地网络通过 Cloud VPN 或 Cloud Interconnect 连接连接到 VPC 网络。默认情况下,本地主机无法使用专用服务访问通道访问服务提供方的网络。
在 VPC 网络中,您可以使用自定义静态或动态路由将流量正确定向到本地网络。但是,服务提供方的网络不包含这些路由。创建专用连接后,VPC 网络和服务提供方网络仅交换子网路由。
服务提供方的网络包含一个通向互联网的默认路由 (0.0.0.0/0
)。如果将默认路由导出到服务提供方的网络,则服务提供方网络会忽略该路由,因为其默认路由优先级较高。应改为定义并导出目标更具体的自定义路由。如需了解详情,请参阅路由顺序。
您必须导出 VPC 网络的自定义路由,使服务提供方的网络可以导入这些路由,并将流量正确地路由到您的本地网络。 更新与专用连接关联的 VPC 对等互连配置,以导出自定义路由。
使用 Network Connectivity Center 实现服务传递性
对于通过专用服务访问通道提供的某些服务,您可以使用 Network Connectivity Center 创建提供方 VPC spoke,以便 hub 上的其他 spoke 能够访问该服务。如需了解详情(包括支持哪些服务),请参阅提供方 VPC spoke。
注意事项
在配置专用服务访问通道之前,请先了解选择 VPC 网络和 IP 地址范围的注意事项。
支持的服务
以下 Google 服务支持专用服务访问通道:
- AI Platform Training
- AlloyDB for PostgreSQL
- Apigee
- 备份和灾难恢复
- Cloud Build
- Cloud Intrusion Detection System
- Cloud SQL(不支持 DNS 对等互连)
- Cloud TPU
- 融合 Enterprise Cloud 与 IBM Power for Google Cloud
- Filestore
- Google Cloud VMware Engine
- Looker (Google Cloud Core)
- Memorystore for Memcached
- Memorystore for Redis
- Vertex AI
示例
在下例中,客户 VPC 网络为 Google 服务分配了地址范围 10.240.0.0/16
,并建立了一个专用连接来使用分配的范围。每个 Google 服务都利用分配的块创建一个子网,在特定区域中预配新的资源,例如 Cloud SQL 实例。
- 分配给专用连接的分配范围是
10.240.0.0/16
。通过此分配,Google 服务可以创建子网来预配新资源。 - 在专用连接的 Google 服务端,Google 会为客户创建一个项目。该项目是独立的,这意味着没有其他客户共享该项目,并且客户只需要为客户预配的资源付费。 Google 还会在此隔离的项目中创建一个 VPC 网络,并使用 VPC 网络对等互连将其连接到客户网络。
- 每项 Google 服务都会创建一个子网,用于预配资源。子网的 IP 地址范围是在分配的 IP 地址范围内的 CIDR 块。CIDR 块由服务选择,通常具有
/29
到/24
IP 地址范围。您无法修改服务提供方的子网。服务在现有区域子网(以前由该服务创建)中预配新资源。如果子网已满,该服务便会在同一区域中创建新子网。 - 创建子网后,客户网络会从服务网络导入路由。
- 如果服务支持,客户网络中的虚拟机实例可以访问任何区域中的服务资源。一些服务可能不支持跨区域通信。如需了解详情,请查看相关服务的文档。
- 为 Cloud SQL 实例分配的 IP 地址是
10.240.0.2
。在客户 VPC 网络中,目标为10.240.0.2
的请求会路由到专用连接,再路由到服务提供方的网络。到达服务网络后,服务网络会包含将请求定向到正确资源的路由。 - VPC 网络之间的流量在 Google 网络内部传输,而不是通过公共互联网传输。
价格
如需了解专用服务访问通道价格,请参阅 VPC 价格页面上的专用服务访问通道。
后续步骤
- 如需分配 IP 地址范围、创建专用连接或共享专用 DNS 区域,请参阅配置专用服务访问通道。