Mit Private Service Connect können Nutzer privat aus ihrem VPC-Netzwerk (Virtual Private Cloud) auf verwaltete Dienste zugreifen. Ebenso können Ersteller verwalteter Dienste diese Dienste in ihren eigenen separaten VPC-Netzwerken und -Projekten hosten und ihren Nutzern eine private Verbindung bieten. Private Service Connect-Verbindungen sind nicht transitiv zwischen VPC-Spokes. Durch die Weitergabe von Private Service Connect-Diensten über den Network Connectivity Center-Hub können diese Dienste über die Routentabelle von jedem anderen Spoke-VPC im selben Hub aus erreicht werden.
Das Network Connectivity Center unterstützt auch die Weitergabe regionaler Endpunkte. Weitere Informationen zu regionalen Endpunkten finden Sie unter Zugriff auf regionale Endpunkte über Private Service Connect-Endpunkte.
Die Funktion zum Weiterleiten von Private Service Connect-Verbindungen im Network Connectivity Center bietet Vorteile für die folgenden Anwendungsfälle:
Sie können ein VPC-Netzwerk für gemeinsame Dienste verwenden, um mehrere Private Service Connect-Nutzerendpunkte zu erstellen. Wenn Sie dem Network Connectivity Center-Hub ein einzelnes VPC-Netzwerk für gemeinsame Dienste hinzufügen, sind alle Private Service Connect-Nutzerendpunkte im VPC-Netzwerk transitiv über den Network Connectivity Center-Hub für andere VPC-Spokes zugänglich. Durch diese Verbindung müssen Sie nicht jeden Private Service Connect-Endpunkt in jedem VPC-Netzwerk einzeln verwalten.
Sie können über lokale Netzwerke, die über Hybrid-Spokes erreichbar sind, auf verwaltete Dienste in einem VPC-Spoke-Netzwerk zugreifen.
Wenn Sie einen VPC-Spoke mit einem Hub verbinden, für den weitergeleitete Verbindungen aktiviert sind, erstellt Network Connectivity Center weitergeleitete Verbindungen in diesem Spoke für alle Endpunkte, die mit demselben Hub verbunden sind, sofern das Subnetz des Endpunkts nicht vom Export ausgeschlossen ist. Nachdem ein VPC-Netzwerk als VPC-Spoke zu einem Network Connectivity Center-Hub hinzugefügt wurde, werden auch neue Private Service Connect-Endpunkte weitergegeben, sofern das Subnetz des Endpunkts nicht vom Export ausgeschlossen ist.
Um einen Hub mit einer weitergegebenen Private Service Connect-Verbindung einzurichten, muss der Hubadministrator einen Hub mit Private Service Connect-Weitergabe erstellen oder die Weitergabeeinstellung mit dem Flag --export-psc aktualisieren. Anschließend muss der Hub-Administrator die VPC-Netzwerke als Spokes zum Hub hinzufügen. Der Spoke-Inhaber kann die Flags --exclude-export-ranges und --include-export-ranges verwenden, um bestimmte Private Service Connect-Subnetze aus dem Network Connectivity Center-Routing auszuschließen. So kann verhindert werden, dass auf bestimmte Subnetze von anderen VPC-Netzwerken aus zugegriffen werden kann. Dadurch bleiben sie für das lokale VPC-Netzwerk privat.
Informationen zu von Private Service Connect weitergegebenen Verbindungen finden Sie unter Weitergegebene Verbindungen.
Informationen zu den Flags --exclude-export-ranges und --include-export-ranges finden Sie unter VPC-Konnektivität mit Exportfiltern.
Ausführliche Informationen zum Einrichten eines Hubs für eine über Private Service Connect weitergeleitete Verbindung finden Sie unter Hub konfigurieren.
Limit für die Verbindungsweitergabe
Weitere Informationen zu Limits für weitergegebene Verbindungen finden Sie unter Limit für weitergegebene Verbindungen.
Hinweise
Beachten Sie Folgendes, bevor Sie eine über Private Service Connect weitergeleitete Verbindung aktivieren:
Eine weitergeleitete Private Service Connect-Verbindung funktioniert nur mit VPC-Spokes.
Über VPC-Spokes weitergeleitete Private Service Connect-IPv6-Verbindungen werden nicht unterstützt.
So machen Sie weitergeleitete Private Service Connect-Verbindungen für lokale Netzwerke verfügbar, die mit Hybrid-Spokes verbunden sind:
Ihr Network Connectivity Center-Hub darf nur ein Routing-VPC-Netzwerk haben, das alle seine Hybrid-Spokes enthält.
Das einzelne VPC-Netzwerk des Hubs muss auch ein VPC-Spoke sein.
Wenn ein Hub zwei oder mehr VPC-Routingnetzwerke hat, kann keines der VPC-Routingnetzwerke auch ein VPC-Spoke sein. Daher können Hubs mit zwei oder mehr Routing-VPC-Netzwerken keine weitergeleiteten Private Service Connect-Verbindungen für lokale Netzwerke bereitstellen.
Damit die Private Service Connect-Weiterleitung mit Hybrid-Spokes funktioniert, muss das Routing-VPC-Netzwerk auch als VPC-Spoke hinzugefügt werden.
Da der
--exclude-export-ranges-Filter für einen Spoke nach der Erstellung des Spoke nicht mehr geändert werden kann, empfehlen wir, zwei Subnetze für Private Service Connect-Endpunkte zu erstellen: ein Subnetz für Private Service Connect-Endpunkte, die nur innerhalb des VPC-Netzwerks verwendet werden, und das andere für die Private Service Connect-Endpunkte, die für den Hub freigegeben sind. Wenn Sie das VPC-Netzwerk einem Hub als Spoke hinzufügen, fügen Sie den IP-Adressbereich des Subnetzes, in dem sich das VPC-Netzwerk befindet, das nur innerhalb des VPC-Netzwerks verwendet wird, dem Filter--exclude-export-rangeshinzu, damit es nicht für den Hub freigegeben wird.Wenn ein Subnetz in einem VPC-Spoke für den Zugriff auf den Network Connectivity Center-Hub mit privatem NAT konfiguriert ist, wird der Traffic vom Subnetz zum weitergeleiteten Private Service Connect-Dienst verworfen. Wenn das private NAT-Gateway mit
--nat-all-subnet-ip-rangeskonfiguriert ist, funktioniert die Private Service Connect-Weiterleitung über Network Connectivity Center nicht für alle Subnetze in dieser Spoke-VPC. Damit es in nicht überlappenden Subnetzen dieses VPC-Spokes funktioniert, verwenden Sie--nat-custom-subnet-ip-rangesfür das private NAT-Gateway. Verwenden Sie kein NAT, um Traffic von nicht überlappenden Subnetzen zum Network Connectivity Center-Hub weiterzuleiten.Der Weiterleitungsstatus ist möglicherweise ungenau, wenn Sie den Private Service Connect-Endpunkt innerhalb eines kurzen Zeitraums erstellen, löschen und neu erstellen. Nach einiger Zeit wird der Weiterleitungsstatus jedoch korrekt und spiegelt den tatsächlichen Status der weitergeleiteten Verbindung wider. Das kann bis zu 15 Minuten dauern.
Die Weitergabe von Private Service Connect-Verbindungen erfolgt nach dem Erstellen oder Löschen von Spoke-VLANs asynchron. Wenn ein VPC-Spoke aus einem Hub entfernt wird, kann es einige Zeit dauern, bis weitergegebene Private Service Connect-Verbindungen aktualisiert werden. Während die Aktualisierung der Private Service Connect-Weiterleitungsverbindung läuft, kann der Traffic von der VM im VPC-Netzwerk zum Backend fließen, auch nachdem der VPC-Spoke einem neuen Hub hinzugefügt wurde. Damit kein Traffic an das Backend gesendet wird, müssen Sie vor dem Hinzufügen des Spokes zu einem anderen Hub alle Einträge zum Weiterleitungsstatus für das VPC-Netzwerk im vorherigen Hub löschen, unabhängig davon, ob es sich um einen Quell- oder Ziel-Spoke handelt.
Status der Private Service Connect-Verbindungsweitergabe
Mit dem Network Connectivity Center können Sie den Status der Private Service Connect-Verbindungsweitergabe in einem Network Connectivity Center-Hub ansehen. Sie können sich eine Zusammenfassung der Status ansehen oder bestimmte Fehler aufschlüsseln, um Fehlerdetails zu sehen.
In der folgenden Tabelle sind die Statuscodes für die Weitergabe und ihre Bedeutung aufgeführt.
| Code | Nachricht |
|---|---|
| Bereit | Die weitergegebene Private Service Connect-Verbindung ist bereit. |
| Wird übertragen | Die Weitergabe der Private Service Connect-Verbindung steht noch aus. Dies ist ein vorübergehender Zustand. |
| Fehler: Vom Ersteller weitergegebenes Verbindungslimit überschritten | Die Weitergabe der weitergeleiteten Private Service Connect-Verbindung ist fehlgeschlagen, weil das VPC-Netzwerk oder das Projekt des Ziel-Spokes das vom Ersteller festgelegte Weitergabe-Verbindungslimit überschritten hat. Weitere Informationen zur Behebung dieses Problems finden Sie in der Dokumentation des Herstellers oder wenden Sie sich an das Supportteam des Herstellers. |
| Fehler: NAT-IP-Bereich des Erstellers erschöpft | Die Private Service Connect-Verbindungsweitergabe ist fehlgeschlagen, weil der NAT-IP-Subnetzbereich ausgeschöpft ist. Dies entspricht dem Status Needs attention der PSC-Verbindung. Weitere Informationen finden Sie in der Private Service Connect-Dokumentation unter Verbindungsstatus.
|
| Fehler: Erstellerkontingent überschritten | Die Private Service Connect-Verbindungsweitergabe ist fehlgeschlagen, weil das Kontingent PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK im Ersteller-VPC-Netzwerk überschritten wurde.
|
| Fehler: Nutzerkontingent überschritten | Die Weitergabe der Private Service Connect-Verbindung ist fehlgeschlagen, weil das Kontingent PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK im VPC-Netzwerk des Nutzers überschritten wurde.
|
Informationen zum Aufrufen von Weiterleitungsstatus für Private Service Connect-Verbindungen finden Sie unter Weiterleitungsstatus für Private Service Connect-Verbindungen ansehen. Informationen zur Fehlerbehebung bei der Weitergabe von Private Service Connect-Verbindungen finden Sie unter Fehlerbehebung bei der Weitergabe von Private Service Connect-Verbindungen.
Nächste Schritte
- Informationen zum Erstellen von Hubs und Spokes finden Sie unter Mit Hubs und Spokes arbeiten.
- Eine Liste der Partner, deren Lösungen in das Network Connectivity Center eingebunden sind, finden Sie unter Network Connectivity Center-Partner.
- Lösungen für häufige Probleme finden Sie unter Fehlerbehebung.
- Ausführliche Informationen zur API und zu Google Cloud CLI-Befehlen finden Sie unter APIs und Referenz.