關於網路連結

本頁面提供網路附件總覽。

網路連結是一種資源,可讓供應商虛擬私有雲 (VPC) 網路透過 Private Service Connect 介面,啟動與用戶端虛擬私有雲網路的連線。

如果網路連結接受來自 Private Service Connect 介面的連線, Google Cloud會從網路連結指定的消費者子網路,為介面分配內部 IP 位址。Private Service Connect 介面的虛擬機器 (VM) 執行個體至少還有一個連線至生產端子網路的網路介面。

透過這個 Private Service Connect 介面連線,生產者和消費者機構可以設定虛擬私有雲網路,讓兩個網路連線並使用內部 IP 位址通訊。舉例來說,生產端機構可以更新生產端虛擬私有雲網路,為消費者子網路新增路徑

網路連結與 Private Service Connect 介面之間的連線,類似於 Private Service Connect端點服務連結之間的連線,但有兩項主要差異:

  • 網路連結可讓生產端虛擬私有雲網路啟動與用戶端虛擬私有雲網路的連線 (代管服務輸出)。端點則以相反方向運作,可讓消費者虛擬私有雲網路啟動與生產者虛擬私有雲網路的連線 (代管服務傳入)。
  • Private Service Connect 介面連線是可遞移的。 也就是說,供應商虛擬私有雲網路中的工作負載可以啟動與連線至用戶虛擬私有雲網路的其他虛擬私有雲網路中工作負載的連線。

舉例來說,服務消費者機構可能想提供受管理服務,讓該服務存取僅在消費者 VPC 網路中提供的消費者資料。服務也可能需要透過 VPN 或 Cloud Interconnect 連線,存取地端部署、第三方服務提供的資料或服務。此外,消費者可能希望要求任何使用其資料的網際網路流量,都必須透過自己的輸出閘道傳輸。消費者可藉此監控流量並提供自訂安全性。

Private Service Connect 介面連線可滿足所有這些需求。

圖 1. 用戶端虛擬私有雲網路中的網路連結會連線至供應商虛擬私有雲網路中的兩個 Private Service Connect 介面 (按一下即可放大)。

規格

網路連結具有下列規格:

  • 網路連結是區域性資源,代表 Private Service Connect 介面連線的用戶端。
  • 網路連結可讓您明確或自動接受來自 Private Service Connect 介面的連線。

  • 網路附件會與單一子網路建立關聯。您可以搭配使用僅支援 IPv4 或雙重堆疊的子網路與網路附件。詳情請參閱子網路指派

    您無法將僅支援 IPv6 的子網路 (搶先版) 與網路附件搭配使用。

  • 接受連線要求後,系統會從網路連結的子網路為 Private Service Connect 介面分配 IP 位址。

  • 多個 Private Service Connect 介面可以連線至同一個網路連結。

  • 網路附件支援共用虛擬私有雲。您可以在服務專案中建立網路連結,但連結的子網路必須位於主專案中。

  • 網路連結與 Private Service Connect 介面之間的連線是雙向的。

  • 網路連結與 Private Service Connect 介面之間的連線是遞移性。供應商虛擬私有雲網路中的工作負載,可以與連線至用戶虛擬私有雲網路的工作負載通訊。

  • 網路連結可連線至虛擬和動態 Private Service Connect 介面。

子網路指派

建立網路連結時,必須為其指派單一子網路。如果系統接受來自生產者介面的連線要求 (因為連結已設定為自動接受連線,或生產者專案已納入接受清單),系統會從子網路的 IP 位址範圍為該介面分配 IP 位址。

這個子網路具有下列特徵:

  • 必須是一般子網路
  • 可以是僅限 IPv4 的子網路,也可以是具有內部 IPv6 位址範圍的雙重堆疊子網路。如要將 IPv6 流量傳送至 Private Service Connect 介面,請使用雙重堆疊子網路。不過,並非所有服務生產者都支援 IPv6。
  • 子網路中的 IP 位址不會保留,您可以將其他資源指派給子網路。
  • 如果子網路已指派給網路連結,就無法刪除。
  • 您可以替換子網路,現有連線不會受到影響。 子網路替換後建立的連線會使用新的子網路。
  • 您可以擴展子網路的 CIDR 範圍,新的位址分配作業將使用擴展後的範圍。

授權政策

授權政策可控管網路連結是否接受來自 Private Service Connect 介面的連線。授權政策由網路附件的下列三個欄位組成:

  • 連線偏好設定:可以是 ACCEPT_AUTOMATICACCEPT_MANUAL
    • ACCEPT_AUTOMATIC:系統會自動接受新的連線。
    • ACCEPT_MANUAL:新連線的狀態取決於網路附件的接受清單。
  • 接受清單:網路連結的專案 ID 清單,這些網路連結具有 ACCEPT_MANUAL 連線偏好設定。系統會接受來自這份清單中專案的新連線。如果 Private Service Connect 介面要求連線,且介面的專案不在這個清單中,則 Private Service Connect 介面的 VM 建立作業會失敗。
  • 拒絕清單:網路連結的專案 ID 清單,這些網路連結的連線偏好設定為 ACCEPT_MANUAL。系統會明確拒絕來自這份清單中專案的新連線,且 Private Service Connect 介面的 VM 建立作業會失敗。

如果網路連結設為手動接受連線,且您將生產端專案同時新增至接受和拒絕清單,系統會拒絕該專案的連線要求。無法建立 Private Service Connect 介面的 VM。

連線

當網路連結接受來自 Private Service Connect 介面的連線要求時,就會形成邏輯連線。這個連線是由網路附件和參照該附件的網路介面所組成的元組。供應商 VM 的介面在邏輯上屬於用戶虛擬私有雲網路,但其生命週期由供應商管理。舉例來說,圖 1 中的網路附件有兩個連線。

您可以透過描述網路附件,查看已接受的連線。

限制

  • 您只能更新網路附件的子網路、接受清單、拒絕清單和說明。如要更新其他欄位,請刪除附件並建立新的附件。
  • 如果網路連結有任何開啟的連線,就無法刪除。在這種情況下,生產者機構必須先刪除相關聯的 Private Service Connect 介面。
  • Private Service Connect 介面不支援外部 IP 位址。

定價

如要瞭解網路附件的定價,請參閱 VPC 定價頁面

配額

單一專案中,每個區域可建立的網路附件數量有限。詳情請參閱虛擬私有雲說明文件中的專案配額

後續步驟