適用於地端部署或其他雲端供應商的私人連線

本頁說明如何設定 Integration Connectors 與後端服務的私人連線,例如在內部資料中心或其他雲端服務供應商中代管的 MySQL、Postgres 和 SQL Server。

下圖顯示從 Integration Connectors 到地端部署網路中代管的後端服務的私人網路連線設定。

本頁假設您熟悉下列概念:

注意事項

建立 PSC 服務附件時,請考量下列重點:

  • 身為服務供應商,您必須設定 PSC 服務連結,讓整合連接器可用來取用服務。服務附件準備就緒後,您可以設定連線,以便使用端點附件取用服務附件。
  • PSC 服務連結和負載平衡器必須位於同一個 VPC 中的不同子網路。具體來說,服務附加元件必須位於 NAT 子網路中。
  • 在後端 VM 上執行的軟體必須回應負載平衡的流量,以及傳送至每個轉送規則 IP 位址的健康狀態檢查探測器 (軟體必須監聽 0.0.0.0:<port>,而非指派給網路介面的特定 IP 位址)。詳情請參閱「健康狀態檢查」一文。
  • 設定防火牆規則,以利流量流動。

    Ingress 規則

    • PSC 服務附件子網路的流量必須能到達 ILB 子網路。
    • 在 ILB 的子網路中,ILB 必須能夠將流量傳送至後端系統。
    • 健康狀態檢查探針必須能夠存取後端系統。Google Cloud 健康狀態檢查探針具有固定的 IP 範圍 (35.191.0.0/16, 130.211.0.0/22),因此這些 IP 可以傳送流量至後端伺服器。

    輸出規則

    除非設定特定拒絕規則,否則 Google Cloud 專案會預設啟用外送流量。

  • 所有 Google Cloud 元件 (例如 PSC 服務附件和負載平衡器) 都必須位於同一個區域。

  • 後端系統不得開放給公用網路,否則可能會造成安全性問題。不過,請確認後端系統在下列情況下接受流量:

    Proxy 型/HTTP(s) 負載平衡器 (第 4 層 Proxy ILB、第 7 層 ILB):所有新要求都來自負載平衡器。因此,後端必須接受來自虛擬私有雲網路 Proxy 子網路的要求。詳情請參閱以 Envoy 為基礎的負載平衡器適用的僅限 Proxy 子網路

設定私人連線

如要設定私人連線,請執行下列工作:

  1. 建立 PSC 服務連結。
  2. 建立端點連結,以便使用 PSC 服務連結。
  3. 設定連線以使用端點連結。

建立 PSC 服務連結

如要透過 Integration Connectors 建立私人連線,您必須使用 PSC 服務連結,將服務公開給 Integration Connectors。服務附件一律會指定負載平衡器。因此,如果您的服務並未在負載平衡器後方,就必須設定負載平衡器。

如要建立 PSC 服務連結,請按照下列步驟操作:
  1. 建立健康檢查探針,然後建立負載平衡器。如要瞭解如何設定區域性內部 Proxy 網路負載平衡器,請參閱「設定區域性內部 Proxy 網路負載平衡器,並使用混合式連線」一文。
  2. 在與服務負載平衡器相同的地區建立服務附件。如要瞭解如何建立服務連結,請參閱「發布服務」。

建立端點連結

端點連結為 IP 位址

如需建立端點附件做為 IP 位址的操作說明,請參閱「建立端點附件做為 IP 位址」。

端點連結做為主機名稱

在某些情況下 (例如啟用 TLS 的後端),目的地會要求您使用主機名稱,而非私人 IP 來執行 TLS 驗證。如果您使用私人 DNS 而非 IP 位址做為主機目的地,除了建立端點附件做為 IP 位址之外,您還必須設定受管理的可用區。如要瞭解如何建立端點附件做為主機名稱,請參閱「建立端點附件做為主機名稱」。

日後,當您設定連線以使用端點附件時,即可選取這個端點附件。

設定要使用端點連結的連線

建立端點連結後,請在連線中使用端點連結。建立新連線或更新現有連線時,請在「目的地」部分中,將「端點連結」選為「目的地類型」,然後從「端點連結」清單中選取您建立的端點連結。

如果您建立了代管區域,請選取「主機位址」做為「目的地類型」,並使用建立代管區域時建立的 A 記錄。

疑難排解提示

如果您遇到私人連線問題,請按照本節列出的規範避免常見問題。

  • 如要確認端點連結已正確設定,並建立 PSC 連線,請檢查連線狀態。詳情請參閱「驗證端點附件連線」。
  • 請確認防火牆規則的設定如下:
    • 必須允許來自 PSC 服務附件子網路的流量到達後端服務。
    • 負載平衡器必須能夠將流量傳送至後端系統。混合型 NEG 僅支援 Proxy 負載平衡器。負載平衡器的 Proxy 要求會從該區域的 Proxy 專用子網路發出。因此,您需要設定防火牆規則,允許來自僅限 Proxy 子網路範圍的請求傳送至後端。
    • 健康狀態檢查探針必須能夠存取後端系統。Google Cloud 健康狀態檢查探測器的 IP 範圍固定為 35.191.0.0/16 和 130.211.0.0/22。因此,您必須允許這些 IP 位址將流量傳送至後端伺服器。
  • 您可以使用 Google Cloud 連線測試找出網路設定中的任何缺口。詳情請參閱「建立及執行連線測試」。
  • 請確認防火牆規則已在內部部署或其他雲端環境中更新,以便允許 Google Cloud 地區的僅限 Proxy 子網路流量。