网络连接简介

本页面简要介绍了网络连接。

网络连接是一种资源,允许提供方 Virtual Private Cloud (VPC) 网络通过 Private Service Connect 接口发起与使用方 VPC 网络的连接。

如果网络连接接受来自 Private Service Connect 接口的连接, Google Cloud会为该接口分配由网络连接指定的使用方子网的内部 IP 地址。Private Service Connect 接口的虚拟机实例至少还有一个连接到提供方子网的常规网络接口。

通过此 Private Service Connect 接口连接,提供方和使用方组织可以配置其 VPC 网络,以使这两个网络连接并可以使用内部 IP 地址进行通信。例如,提供方组织可以更新提供方 VPC 网络,以为使用方子网添加路由

网络连接和 Private Service Connect 接口之间的连接类似于 Private Service Connect 端点服务连接之间的连接,但存在以下两个主要区别:

  • 网络连接允许提供方 VPC 网络发起与使用方 VPC 网络的连接(托管式服务出站流量)。端点反向工作,让使用方 VPC 网络发起与提供方 VPC 网络的连接(托管式服务入站流量)。
  • Private Service Connect 接口连接具有传递性。 这意味着提供方 VPC 网络中的工作负载可以发起与连接到使用方 VPC 网络的其他 VPC 网络中的工作负载的连接。

例如,服务使用方组织可能需要向托管式服务提供对仅在使用方 VPC 网络中提供的使用方数据的访问权限。该服务可能还需要通过 VPN 或 Cloud Interconnect 连接或者从第三方服务访问本地提供的数据或服务。此外,使用方可能还想要求发往互联网的任何流量都通过自己的出站网关使用其数据传输。这样,使用方即可监控流量并提供自定义安全措施。

Private Service Connect 接口连接可以满足所有这些要求。

图 1. 使用方 VPC 网络中的网络连接与提供方 VPC 网络中的两个 Private Service Connect 接口进行连接(点击可放大)。

规格

网络连接具有以下规范:

  • 网络连接是区域级资源,代表 Private Service Connect 接口连接的使用方端。
  • 网络连接允许您明确或自动接受来自 Private Service Connect 接口的连接。

  • 网络连接与单个子网相关联。 您可以将仅 IPv4 子网或双栈子网与网络连接搭配使用。如需了解详情,请参阅子网分配

    您无法将仅限 IPv6 的子网(预览版)与网络连接搭配使用。

  • 接受连接请求后,系统会为 Private Service Connect 接口分配网络连接子网中的一个 IP 地址。

  • 多个 Private Service Connect 接口可以连接到同一网络连接。

  • 网络连接支持共享 VPC。您可以在服务项目中创建网络连接,但该连接的子网必须位于主机项目中。

  • 网络连接与 Private Service Connect 接口之间的连接是双向的。

  • 网络连接与 Private Service Connect 接口之间的连接具有传递性。提供方 VPC 网络中的工作负载可以与连接到使用方 VPC 网络的工作负载通信。

  • 网络连接可以同时连接到虚拟 Private Service Connect 接口和动态 Private Service Connect 接口。

子网分配

创建网络连接时,您必须为它分配一个子网。如果接受来自提供方接口的连接请求,因为该连接被配置为自动接受连接或者因为提供方项目包含在接受列表中,系统将为该接口分配子网 IP 地址范围中的 IP 地址。

此子网具有以下特征:

  • 它必须是常规子网
  • 它可以是仅 IPv4 的子网,也可以是具有内部 IPv6 地址范围的双栈子网。如果您想将 IPv6 流量发送到 Private Service Connect 接口,请使用双栈子网。不过,并非所有服务提供方都支持 IPv6。
  • 该子网中的 IP 地址未预留,因此您可以为该子网分配其他资源。
  • 您不能在该子网分配给网络连接时删除该子网。
  • 您可以替换子网,并且现有连接不受影响。替换子网后建立的连接会使用新子网。
  • 您可以扩展子网的 CIDR 范围,并且新地址分配将使用扩展的范围。

授权政策

授权政策用于控制网络连接是否接受来自 Private Service Connect 接口的连接。授权政策由网络连接的以下三个字段组成:

  • 连接偏好设置:可以是 ACCEPT_AUTOMATICACCEPT_MANUAL
    • ACCEPT_AUTOMATIC:系统会自动接受新连接。
    • ACCEPT_MANUAL:新连接的状态由网络连接的接受列表决定。
  • 接受列表:具有 ACCEPT_MANUAL 连接偏好设置的网络连接的项目 ID 列表。系统会接受来自此列表中项目的新连接。如果某个 Private Service Connect 接口请求连接,而该接口的项目不在此列表中,则 Private Service Connect 接口的虚拟机创建过程会失败。
  • 拒绝列表:具有 ACCEPT_MANUAL 连接偏好设置的网络连接的项目 ID 列表。系统会明确拒绝来自此列表中项目的新连接,并且无法创建 Private Service Connect 接口的虚拟机。

如果将网络连接配置为手动接受连接,并且您将提供方项目同时添加到接受和拒绝列表,则来自该项目的连接请求会被拒绝。Private Service Connect 接口的虚拟机创建过程会失败。

连接

当网络连接接受来自 Private Service Connect 接口的连接请求时,系统会建立逻辑连接。此连接是由网络连接和与之关联的网络接口组成的元组。提供方虚拟机的接口在逻辑上属于使用方 VPC 网络,但其生命周期由提供方管理。例如,图 1 中的网络连接有两个连接。

您可以在描述网络连接时查看接受的连接。

限制

  • 您只能更新网络连接的子网、接受列表、拒绝列表和说明。如果您想更新其他字段,请删除该连接并创建一个新的连接。
  • 如果网络连接有任何打开的连接,则无法删除。在这种情况下,提供方组织必须先删除关联的 Private Service Connect 接口。
  • Private Service Connect 接口不支持外部 IP 地址。

价格

如需了解网络连接价格,请参阅 VPC 价格页面

配额

在单个项目中可以在每个区域创建多少个网络连接是有限制的。如需了解详情,请参阅 VPC 文档中每个项目的配额

后续步骤