關於透過端點存取已發布的服務
本文件概要說明如何使用 Private Service Connect 端點,連線至其他虛擬私有雲網路中的服務。您可以連線至自有服務,或是其他服務供應者 (包括 Google) 提供的服務。
用戶端會使用內部 IP 位址連線至端點。Private Service Connect 會執行網路位址轉譯 (NAT),將要求轉送至服務。
如要進一步瞭解已發布服務,請參閱「關於已發布服務」。
功能和相容性
在下表中,勾號表示支援某項功能,「無」符號則表示不支援某項功能。
消費者設定
下表列出端點支援的設定選項和功能,這些端點可存取已發布的服務。
| 目標製作人 | 消費者設定 (端點) | ||||||
|---|---|---|---|---|---|---|---|
| 全球消費者存取權 | 混合式存取 | 自動 DNS 設定 (僅限 IPv4) |
虛擬私有雲網路對等互連存取權 | Network Connectivity Center 連線傳播 (僅限 IPv4) | 支援的 IPv4 端點目標服務 | 支援的 IPv6 端點目標服務 | |
| 跨區域內部應用程式負載平衡器 (預先發布版) |
|
|
|||||
| 內部直通式網路負載平衡器 | 僅限負載平衡器已啟用全域存取權 (已知問題) |
|
|
||||
| 內部通訊協定轉送 (目標執行個體) | 只有在生產端轉送規則已啟用全域存取權時才會發生 (已知問題) |
|
|
||||
| 通訊埠對應服務 | 只有在生產端轉送規則已啟用全域存取權的情況下 |
|
|
||||
| 區域性內部應用程式負載平衡器 | 只有在服務附件建立前,在負載平衡器上啟用全域存取權的情況下 |
|
|
||||
| 區域性內部 Proxy 網路負載平衡器 | 只有在服務附件建立前,在負載平衡器上啟用全域存取權的情況下 |
|
|
||||
| Secure Web Proxy |
|
|
|||||
Producer 設定
下表列出端點存取的已發布服務支援的設定選項和功能。
| 製作人類型 | 生產端設定 (已發布服務) | |||
|---|---|---|---|---|
| 支援的製作者後端 | PROXY 通訊協定 (僅限 TCP 流量) | 工作階段相依性模式 | IP 版本 | |
| 跨區域內部應用程式負載平衡器 (預先發布版) |
|
不適用 |
|
|
| 內部直通式網路負載平衡器 |
|
NONE (5 組合) CLIENT_IP_PORT_PROTO |
|
|
| 內部通訊協定轉送 (目標執行個體) |
|
不適用 |
|
|
| 通訊埠對應服務 |
|
不適用 |
|
|
| 區域性內部應用程式負載平衡器 |
|
不適用 |
|
|
| 區域性內部 Proxy 網路負載平衡器 |
|
不適用 |
|
|
| Secure Web Proxy |
|
不適用 |
|
|
不同的負載平衡器支援不同的通訊埠設定;有些負載平衡器支援單一通訊埠,有些支援一系列通訊埠,有些則支援所有通訊埠。詳情請參閱「連接埠規格」。
限制
存取已發布服務的端點有以下限制:
您無法在與您要存取的已發布服務相同的 VPC 網路中建立端點。
封包鏡像無法為 Private Service Connect 發布的服務流量鏡像封包。
Private Service Connect 不支援所有具有負載平衡器下一個躍點的靜態路徑。詳情請參閱「含有負載平衡器下一個躍點的靜態路徑」。
連線能力測試無法測試 IPv6 端點與已發布服務之間的連線能力。
內部部署存取
您用來存取 Google API 的端點,可透過支援的連線內部部署主機存取。詳情請參閱「透過混合式網路存取端點」。
規格
- Private Service Connect 端點必須與端點目標的已發布服務位於相同區域。
- 端點必須建立在包含目標服務的虛擬私有雲網路以外的虛擬私有雲網路中。
- 如果您使用的是共用虛擬私有雲,可以在主專案或服務專案中 建立端點。
- 根據預設,只有與端點位於相同區域和相同虛擬私有雲網路 (或共用虛擬私有雲網路) 的用戶端,才能存取端點。如要瞭解如何在其他區域提供端點,請參閱「全球存取權」。
-
您指派給端點的 IP 位址必須來自一般子網路。
- 您可以使用僅限 IPv4 子網路或雙重堆疊子網路的 IPv4 位址。
- 如果子網路有內部 IPv6 位址範圍,您可以使用僅限 IPv6 的預先發布版或雙重堆疊子網路的 IPv6 位址。
- IP 位址的 IP 版本會影響端點可連線至哪些已發布服務。詳情請參閱「 IP 版本轉譯」。
- IP 位址會計入專案的 靜態內部 IPv4 位址或 靜態內部 IPv6 位址配額。
- 建立端點連線至服務時,如果服務已設定 DNS 網域名稱,系統會在 VPC 網路中為端點自動建立私人 DNS 項目。
- 每個端點都有專屬的 IP 位址,也可選擇專屬的 DNS 名稱。
連線狀態
Private Service Connect 端點、後端和服務附件都有連線狀態,可說明連線狀態。 構成連線兩端的用戶和供應商資源一律會有相同的狀態。 您可以�查看端點詳細資料、 說明後端,或 查看已發布服務的詳細資料,來查看連線狀態。
下表說明可能的狀態。
| 連線狀態 | 說明 |
|---|---|
| 已接受 | 已建立 Private Service Connect 連線。兩個虛擬私有雲網路已連線,且連線正常運作。 |
| 待處理 | 未建立 Private Service Connect 連線,網路流量無法在兩個網路之間傳輸。連線可能會因為以下原因而處於這個狀態: 基於這些原因而遭到封鎖的連線會一直處於待處理狀態,直到根本問題解決為止。 |
| 已遭拒 | 未建立 Private Service Connect 連線。網路流量無法在兩個網路之間傳輸。連線可能會因為以下原因而處於這個狀態: |
| 需要處理或不明 | 連線的供應商端發生問題。部分流量或許可以在兩個網路之間流動,不過某些連線可能無法正常運作。舉例來說,生產端的 NAT 子網路可能已用盡,無法為新連線分配 IP 位址。 |
| 不開放 | 服務連結遭到刪除,Private Service Connect 連線已關閉。網路流量無法在兩個網路之間傳輸。 關閉的連線是終端狀態。如要恢復連線,必須重新建立服務連結和端點或後端。 |
IP 版本轉譯
對於連線至已發布服務 (服務連結) 的 Private Service Connect 端點,消費者轉送規則的 IP 位址 IP 版本會決定端點的 IP 版本,以及端點的流量。IP 位址可以來自僅限 IPv4、僅限 IPv6 (預先發布版) 或雙重堆疊子網路。端點的 IP 版本可以是 IPv4 或 IPv6,但不能同時是這兩者。
對於已發布的服務,服務附件的 IP 版本會由相關聯的轉送規則或 Secure Web Proxy 執行個體的 IP 位址決定。這個 IP 位址必須與服務附件 NAT 子網路的堆疊類型相容。NAT 子網路可以是僅限 IPv4 或雙重堆疊子網路。如果 NAT 子網路是雙堆疊子網路,系統會使用 IPv4 或 IPv6 位址範圍,但不會同時使用兩者。Private Service Connect 不支援使用僅支援 IPv6 的子網路 (預先發布版) 做為 NAT 子網路。
Private Service Connect 不支援將 IPv4 端點連線至 IPv6 服務附件。在這種情況下,端點建立作業會失敗,並顯示下列錯誤訊息:
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
支援的組合可搭配下列組合:
- IPv4 端點至 IPv4 服務附件
- IPv6 端點至 IPv6 服務附件
-
IPv6 端點至 IPv4 服務附件
在這種情況下,Private Service Connect 會自動在兩個 IP 版本之間進行轉譯。
連線傳播
透過傳播連線,在一個用戶 VPC 輪輻中透過 Private Service Connect 端點存取的服務,可由連線至同一個 Network Connectivity Center 中樞的其他用戶 VPC 輪輻以私密方式存取。
詳情請參閱「關於傳播連線」。
全域存取權
用於存取服務的 Private Service Connect 端點是區域資源。不過,您可以設定全球存取權,讓端點在其他地區提供服務。
全域存取權可讓任何區域的資源將流量傳送至 Private Service Connect 端點。您可以使用全球存取權,為多個地區代管的服務提供高可用性,或是讓用戶端存取與用戶端位於不同地區的服務。
下圖說明不同區域的用戶端如何存取相同的端點:
端點位於
us-west1中,且已設定全域存取權。us-west1中的 VM 可以將流量傳送至端點,且流量會保留在同一區域內。us-east1中的 VM 和內部部署網路中的 VM 也能連線至us-west1中的端點,即使位於不同區域也沒問題。虛線代表跨區域流量路徑。
具備全球存取權的 Private Service Connect 端點可讓服務使用者將消費者虛擬私有雲網路中的流量傳送至服務供應商的虛擬私有雲網路中的服務。用戶端可以與端點位於相同或不同的區域 (按一下可放大)。
全域存取權規格
您可以隨時為端點啟用或關閉全球存取權。
- 啟用全域存取權不會導致現有連線的流量中斷。
- 關閉全域存取權後,系統會終止端點所在區域以外的所有連線。
並非所有 Private Service Connect 服務都支援全域存取的端點。請洽詢服務供應者,確認其服務是否支援全球存取權。詳情請參閱「支援的設定」。
全球存取功能不會為多個全球存取端點提供單一全球 IP 位址或 DNS 名稱。
共用虛擬私有雲
服務專案管理員可以在共用虛擬私有雲服務專案中建立端點,這些端點會使用共用虛擬私有雲網路的 IP 位址。設定與一般端點相同,但端點會使用共用虛擬私人雲端網路的共用子網路保留的 IP 位址。
IP 位址資源可在服務專案或主機專案中保留。IP 位址的來源必須是與服務專案共用的子網路。
如需更多資訊,請參閱「使用共用虛擬私有雲網路的 IP 位址建立端點」。
VPC Service Controls
VPC Service Controls 和 Private Service Connect 彼此相容。如果部署 Private Service Connect 端點的 VPC 網路位於 VPC Service Controls 範圍內,則該端點就屬於同一個範圍。透過端點存取的任何 VPC Service Controls 支援服務,都必須遵守該 VPC Service Controls 範圍的政策。
建立端點時,系統會在消費者專案和生產端專案之間發出控制平面 API 呼叫,以建立 Private Service Connect 連線。在非同一個 VPC Service Controls 範圍內的消費者和生產者專案之間建立 Private Service Connect 連線,不需要使用出口政策明確授權。透過端點與 VPC Service Controls 支援的服務進行通訊時,會受到 VPC Service Controls 範圍的保護。
含負載平衡器下一個躍點的靜態路徑
您可以設定靜態路徑,以便使用內部直通式網路負載平衡器的轉送規則做為下一個躍點 (--next-hop-ilb)。Private Service Connect 不支援這類路徑。
當路由和端點位於相同的虛擬私有雲網路和區域時,您可以使用使用 --next-hop-ilb 指定內部轉送 Network Load Balancer 轉送規則的名稱的靜態路由,傳送及接收 Private Service Connect 端點的流量。
Private Service Connect 不支援下列路由設定:
- 使用
--next-hop-ilb指定內部直通式網路負載平衡器轉送規則的 IP 位址靜態路徑。 - 使用
--next-hop-ilb指定 Private Service Connect 端點轉送規則的名稱或 IP 位址的靜態路由。
記錄
您可以在子網路中啟用虛擬私有雲流量記錄檔,這些子網路包含使用端點存取其他虛擬私有雲網路中的服務的 VM。記錄會顯示 VM 和端點之間的流量。
您可以使用稽核記錄查看端點的連線狀態變更。端點的連線狀態變更會記錄在資源類型 GCE 轉送規則的系統事件中繼資料中。您可以篩選
pscConnectionStatus來查看這些項目。舉例來說,當服務供應者允許來自專案的連線時,端點的連線狀態就會從
PENDING變更為ACCEPTED,而這項變更會反映在稽核記錄中。
定價
VPC 定價頁面說明瞭 Private Service Connect 的定價。
配額
您可以建立的端點數量 (用於存取已發布服務) 受 PSC Internal LB Forwarding Rules 配額控制。詳情請參閱配額。
機構政策限制
機構政策管理員可以使用 constraints/compute.disablePrivateServiceConnectCreationForConsumers 限制,定義使用者無法建立轉送規則的端點類型組合。
如要瞭解如何建立使用這項限制的機構政策,請參閱「依據連線類型禁止消費者部署端點」。