透過 Network Connectivity Center 傳播 Private Service Connect 連線

Private Service Connect 可讓用戶在其虛擬私有雲 (VPC) 網路中,以私人方式存取代管服務。同樣地,這項功能可讓代管服務供應商在各自的獨立虛擬私有雲網路和專案中代管這些服務,並為消費者提供私人連線。Private Service Connect 連線在虛擬私有雲輪輻之間並非傳遞式。透過 Network Connectivity Center 中樞傳播 Private Service Connect 服務後,這些服務即可透過路由表,由同一個中樞的任何其他輪輻虛擬私有雲存取。

Network Connectivity Center 也支援區域端點傳播。如要進一步瞭解區域端點,請參閱「關於透過 Private Service Connect 端點存取區域端點」。

Network Connectivity Center Private Service Connect 連線傳播功能可用於以下用途:

  • 您可以使用共用服務 VPC 網路建立多個 Private Service Connect 消費者端點。只要將單一通用服務 VPC 網路新增至 Network Connectivity Center 中樞,VPC 網路中的所有 Private Service Connect 用戶端點就能透過 Network Connectivity Center 中樞,間接存取其他 VPC 輪輻。有了這項連線功能,您就無須個別管理每個 VPC 網路中的 Private Service Connect 端點。

  • 您可以透過混合式輪輻連線存取虛擬私有雲輪輻網路中的代管服務。

當您將虛擬私有雲輪輻連結至已啟用傳播連線的中樞時,Network Connectivity Center 會為連結至同一中樞的所有端點,在該輪輻中建立傳播連線,除非您已排除端點的子網路,不讓該子網路匯出。將 VPC 網路新增至 Network Connectivity Center 中樞做為 VPC 輪輻後,除非將端點的子網路排除在匯出作業之外,否則也會傳播新的 Private Service Connect 端點。

如要設定啟用 Private Service Connect 傳播連線的中樞,中樞管理員必須使用 Private Service Connect 傳播功能建立中樞,或是使用 --export-psc 旗標更新傳播設定。接著,中樞管理員必須將虛擬私有雲網路新增為中樞的輪輻。輪輻擁有者可以使用 --exclude-export-ranges--include-export-ranges 標記,從 Network Connectivity Center 路由中排除特定 Private Service Connect 已分配的子網路,這樣其他虛擬私人雲端網路就無法存取特定子網路,進而將這些子網路保留給本機虛擬私人雲端網路使用。

如要瞭解 Private Service Connect 傳播連線,請參閱「關於傳播連線」。

如要瞭解 --exclude-export-ranges--include-export-ranges 旗標,請參閱使用匯出篩選器的 VPC 連線

如要進一步瞭解如何為 Private Service Connect 已傳播的連線設定中樞,請參閱「設定中樞」一文。

連線傳播限制

如要進一步瞭解傳播連線限制,請參閱「傳播連線限制」。

注意事項

啟用 Private Service Connect 傳播連線前,請考量下列事項:

  • Private Service Connect 傳播連線僅適用於虛擬私有雲輪輻。

  • 系統不支援 Private Service Connect IPv6 在虛擬私有雲輪輻中傳播的連線。

  • 如果您需要將已傳播的 Private Service Connect 連線提供給連線至混合型輻射狀結構的內部部署網路,請按照下列步驟操作:

    • Network Connectivity Center 中樞只能有一個路由虛擬私有雲網路,其中包含所有混合式輪輻。

    • 中樞的單一轉送 VPC 網路也必須是 VPC 輪輻。

    如果中樞有兩個以上的路由 VPC 網路,則這些路由 VPC 網路都不能同時是 VPC 輪輻。因此,如果中樞含有兩個以上的路由虛擬私有雲網路,就無法將傳播的 Private Service Connect 連線提供給內部部署網路。

  • 如要讓 Private Service Connect 傳播功能與混合型輻條搭配運作,您必須將轉送 VPC 網路新增為 VPC 輻條。

  • Private Service Connect 連線傳播可能會延遲,且事件驅動通知可能會非同步處理;也就是說,傳送通知可能會在傳播連線後一段時間才發生。

  • 由於 --exclude-export-ranges 篩選器在建立輪輻後無法變更,因此建議您建立兩個子網路來代管 Private Service Connect 端點:一個子網路用於僅在虛擬私有雲網路內的 Private Service Connect 端點,另一個用於共用至中樞的 Private Service Connect 端點。將虛擬私有雲網路新增為中樞的輪輻時,請將主機為虛擬私有雲網路內部 VPC 網路的子網路 IP 位址範圍新增至 --exclude-export-ranges 篩選器,以便與中樞分開使用。

  • 如果虛擬私有雲輪輻中的子網路已設定私人 NAT 來存取 Network Connectivity Center 中樞,則從子網路傳送至已傳播 Private Service Connect 服務的流量就會中斷。如果 Private NAT 閘道是使用 --nat-all-subnet-ip-ranges 進行設定,則透過 Network Connectivity Center 進行的 Private Service Connect 傳播作業無法用於這個輪輻 VPC 中的所有子網路。如要讓私人 NAT 閘道從這個 VPC 輻射線的非重疊子網路運作,請使用 --nat-custom-subnet-ip-ranges。請勿使用 NAT 將流量從不重疊的子網路轉送至 Network Connectivity Center 中樞。

  • 如果您在短時間內建立、刪除及重新建立 Private Service Connect 端點,傳播狀態可能會不準確。不過,過一段時間後,傳播狀態就會變得正確,並反映已傳播連線的實際狀態。這項作業最多可能需要 15 分鐘。

  • 建立或刪除輻條後,Private Service Connect 連線傳播作業會以非同步方式進行。從中樞移除虛擬私有雲輪輻時,可能需要一段時間才能更新傳播的 Private Service Connect 連線。在 Private Service Connect 傳播連線更新作業進行期間,虛擬私有雲網路中的 VM 流量可流向後端,即使虛擬私有雲輪輻已加入新中樞也一樣。為避免流量流向後端,請先刪除先前中樞中虛擬私有雲網路的所有傳播狀態項目,無論是來源輪輻或目標輪輻皆然,再將輪輻新增至其他中樞。

Private Service Connect 連線傳播狀態

Network Connectivity Center 可讓您查看 Network Connectivity Center 中樞內 Private Service Connect 連線傳播的狀態。您可以查看狀態摘要,或深入查看特定錯誤的詳細資料。

下表列出傳播狀態代碼及其代表的意義。

程式碼 訊息
已就緒 傳播的 Private Service Connect 連線已就緒。
傳播 Private Service Connect 連線傳播作業處於待處理狀態。這是暫時狀態。
錯誤:供應端傳播連線數量超過限制 無法傳播 Private Service Connect 連線,因為目標輪輻的專案或虛擬私有雲網路已超過供應商設定的傳播連線限制。如要解決這個問題,請參閱製造商的說明文件,或與其支援團隊聯絡。
錯誤:供應端網路位址轉譯 (NAT) IP 空間已用盡 無法傳播 Private Service Connect 連線,因為網路位址轉譯 (NAT) IP 子網路空間已用盡。這相當於 PSC 連線的 Needs attention 狀態。詳情請參閱 Private Service Connect 說明文件中的「連線狀態」一節。
錯誤:超過供應端配額 因為供應商虛擬私有雲網路的 PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK 配額已超過,無法傳播 Private Service Connect 連線。
錯誤:超過用戶端配額 無法傳播 Private Service Connect 連線,因為已超過用戶虛擬私有雲網路的 PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK 配額。

如要瞭解如何查看 Private Service Connect 連線傳播狀態,請參閱「查看 Private Service Connect 連線傳播狀態」。如要瞭解 Private Service Connect 連線傳播的疑難排解資訊,請參閱「排解 Private Service Connect 連線傳播錯誤」。

後續步驟