Private Service Connect 接口简介
本页面简要介绍了 Private Service Connect 接口。
Private Service Connect 接口是一种资源,允许提供方 Virtual Private Cloud (VPC) 网络发起与使用方 VPC 网络中的各种目的地的连接。提供方网络与使用方网络可以位于不同的项目和组织中。
创建 Private Service Connect 接口时,您需要创建至少有两个网络接口的虚拟机实例。第一个接口连接到提供方 VPC 网络中的子网。第二个接口是 Private Service Connect 接口,用于请求与使用方网络中的网络连接的连接。如果接受连接,Google Cloud 会向 Private Service Connect 接口分配由网络连接指定的使用方子网中的内部 IP 地址。
通过此 Private Service Connect 接口连接,提供方和使用方组织可以配置其 VPC 网络,以使这两个网络连接并可以使用内部 IP 地址进行通信。例如,提供方组织可以更新提供方 VPC 网络,以为使用方子网添加路由。
Private Service Connect 接口与网络连接之间的连接类似于 Private Service Connect 端点与服务连接之间的连接,但存在两个主要区别:
- Private Service Connect 接口允许提供方 VPC 网络发起与使用方 VPC 网络的连接(托管式服务出站流量)。端点反向工作,让使用方 VPC 网络发起与提供方 VPC 网络的连接(托管式服务入站流量)。
- Private Service Connect 接口连接具有传递性。 这意味着提供方网络中的工作负载可以发起与连接到使用方 VPC 网络的其他工作负载的连接。Private Service Connect 端点只能发起与提供方 VPC 网络的连接。
连接到其他网络中的工作负载
由于 Private Service Connect 接口连接具有传递性,因此如果使用方 VPC 网络配置允许,则提供方 VPC 网络中的资源可以与连接到使用方网络的工作负载通信。其中包括以下内容:
- 通过 Cloud VPN 隧道、Cloud Interconnect 或 VPC 网络对等互连连接到使用方 VPC 网络的网络中的工作负载。
- 具有可通过 Cloud NAT 从使用方 VPC 网络访问的外部 IP 地址的工作负载。
- 可通过专用 Google 访问通道或 VPC Service Controls 从使用方 VPC 网络访问的 Google API 和服务。如需将 VPC Service Controls 与 Private Service Connect 接口搭配使用,需要进行额外配置。
- 可通过 Private Service Connect 端点和后端从使用方 VPC 网络访问的已发布服务和 Google API。
- 连接到使用方 VPC 网络的 VPC spoke 中的工作负载。
实际使用示例
Private Service Connect 接口的一个示例使用场景是托管式服务需要发起与使用方 VPC 网络的连接以访问使用方数据。该服务可能还需要通过 VPN 或 Cloud Interconnect 连接或者从第三方服务访问使用方的本地网络中提供的数据或服务。Private Service Connect 接口连接可以满足所有这些要求。
另一个应用场景是托管式服务提供 API 网关。当该服务收到针对不同 API 的调用时,它会使用 Private Service Connect 接口发起与使用方 VPC 网络的连接。网关服务会将 API 请求发送到处理该请求的后端目标。
Private Service Connect 接口和 Private Service Connect 端点互为补充,可以在同一 VPC 网络中一起使用。
例如,图 4 描述了提供分析的托管式服务的网络配置。分析服务可以使用 Private Service Connect 接口发起与使用方 VPC 网络的连接。使用方网络中的 Private Service Connect 端点允许分析服务发起与另一个 VPC 网络中的数据库服务的连接。从分析服务到数据库服务的流量流经使用方网络,以便使用方监控这两项服务之间的流量并保护其安全。
规格
- Private Service Connect 接口是一种与网络连接关联的特殊类型的网络接口。网络接口规范也适用于 Private Service Connect 接口。
- 为 Private Service Connect 接口创建虚拟机时,至少需要创建两个网络接口。第一个网络接口始终是名为
nic0
的默认网络接口。此接口连接到提供方子网。第二个接口是 Private Service Connect 接口,用于请求与使用方子网的连接。单个虚拟机上最多可以包含 7 个 Private Service Connect 接口。 - 当使用方项目接受来自 Private Service Connect 接口的连接时,Google Cloud 会使用网络连接子网中的 IP 地址配置该接口:
- 内部 IPv4 地址从子网的主要 IP 地址范围中分配。
- 如果网络连接的子网是双栈,并且 Private Service Connect 接口也是双栈,系统会从子网的 IPv6 范围分配内部 IPv6 地址。
- Private Service Connect 接口支持别名 IP 范围。别名 IP 范围必须来自网络连接子网的主要 IPv4 地址范围。
- Google Cloud 可确保分配给 Private Service Connect 接口的 IP 地址与连接到虚拟机的其他网络接口的子网地址范围不重叠。如果没有足够的可用地址,虚拟机创建过程将失败。
- Private Service Connect 接口的通信方式与网络接口相同。
- 网络连接与 Private Service Connect 接口之间的连接是双向的,具有传递性。提供方 VPC 网络中的工作负载可以发起与连接到使用方 VPC 网络的工作负载的连接。
限制
Private Service Connect 接口连接只能通过以下方式终止:
- 提供方删除接口的虚拟机。
- 使用方删除连接到 Private Service Connect 接口的项目。此操作会停止相应接口的虚拟机。
- 使用方在连接到 Private Service Connect 接口的项目中停用 Compute Engine API。此操作会停止相应接口的虚拟机。
Private Service Connect 接口不支持外部 IP 地址。
Private Service Connect 接口不能是内部转发规则的下一个跃点。
您无法直接将 Private Service Connect 接口与 Google Kubernetes Engine (GKE) 节点或 Pod 相关联。但是,通过在代理虚拟机上配置的 Private Service Connect 接口,GKE 可以实现服务出站流量。
价格
如需了解 Private Service Connect 接口的价格,请参阅 VPC 价格页面。