關於 Private Service Connect 介面
本頁面提供 Private Service Connect 介面總覽。
Private Service Connect 介面是一種資源,可讓供應商虛擬私有雲 (VPC) 網路啟動與用戶虛擬私有雲網路中各種目的地的連線。生產端和消費端網路可以位於不同的專案和機構。
如要建立 Private Service Connect 介面連線,您需要至少有兩個網路介面的虛擬機器 (VM) 執行個體。第一個介面會連線至供應商虛擬私有雲網路中的子網路。其他介面可以是 Private Service Connect 介面,要求連線至不同用戶虛擬私有雲網路中的網路連結。如果連線獲得接受, Google Cloud 會從網路連結指定的消費者子網路,為 Private Service Connect 介面指派內部 IP 位址。
透過這個 Private Service Connect 介面連線,生產者和消費者機構可以設定虛擬私有雲網路,讓兩個網路連線並使用內部 IP 位址通訊。舉例來說,生產端機構可以更新生產端虛擬私有雲網路,為消費者子網路新增路徑。
圖 1. 在生產端虛擬私有雲網路中,vm-1 有兩個網路介面。一個虛擬網路介面 (vNIC) 會連線至生產端網路中的子網路。另一個介面是虛擬 Private Service Connect 介面,可連線至消費者網路中的網路連結 (按一下可放大)。
Private Service Connect 介面與網路連結之間的連線,類似於 Private Service Connect端點與服務連結之間的連線,但有兩項主要差異:
- 有了 Private Service Connect 介面,供應商虛擬私有雲網路就能啟動與用戶虛擬私有雲網路的連線 (代管服務輸出)。端點則以相反方向運作,可讓消費者虛擬私有雲網路啟動與生產者虛擬私有雲網路的連線 (代管服務傳入)。
- Private Service Connect 介面連線是可遞移的。 也就是說,供應商網路中的工作負載可以啟動與連線至消費者虛擬私有雲網路的其他工作負載之間的連線。Private Service Connect 端點只能啟動與供應商虛擬私有雲網路的連線。
圖 2:服務使用者可透過 Private Service Connect 端點啟動與服務供應商的連線,服務供應商則可透過 Private Service Connect 介面啟動與服務使用者的連線 (按一下可放大)。
連線至其他網路中的工作負載
由於 Private Service Connect 介面連線具有遞移性,如果用戶虛擬私有雲網路設定允許,供應商虛擬私有雲網路中的資源就能與連線至用戶網路的工作負載通訊。包含下列項目:
- 透過 Cloud VPN 通道、Cloud Interconnect 或 VPC 網路對等互連連線至消費者 VPC 網路的網路中的工作負載。
- 工作負載具有外部 IP 位址,可透過 Cloud NAT 從消費者虛擬私有雲網路存取。
- 可透過私人 Google 存取權或 VPC Service Controls 從消費者 VPC 網路連線的 Google API 和服務。如要搭配 Private Service Connect 介面使用 VPC Service Controls,必須進行額外設定。
- 可透過 Private Service Connect 端點和後端,從消費者虛擬私有雲網路存取的已發布服務和 Google API。
- 連線至用戶虛擬私有雲網路的虛擬私有雲輪輻中的工作負載。
圖 3:透過 Private Service Connect 介面連線連結至用戶端虛擬私有雲網路的供應商虛擬私有雲網路,可以與連結至用戶端虛擬私有雲的工作負載通訊 (按一下即可放大)。
應用實例
Private Service Connect 介面的應用實例包括:需要啟動與用戶虛擬私有雲網路連線的受管理服務,以便存取用戶資料。服務也可能需要透過 VPN 或 Cloud Interconnect 連線,存取消費者內部部署網路中提供的資料或服務,或是存取第三方服務。Private Service Connect 介面連線可滿足所有這些需求。
另一個用途是提供 API 閘道的代管服務。當服務收到不同 API 的呼叫時,會使用 Private Service Connect 介面,啟動與用戶虛擬私有雲網路的連線。閘道服務會將 API 要求傳送至後端目標,由後端目標處理要求。
Private Service Connect 介面和 Private Service Connect 端點是互補的,可在同一個虛擬私有雲網路中一起使用。
舉例來說,圖 4 說明提供分析功能的代管服務網路設定。分析服務可使用 Private Service Connect 介面,啟動與消費者虛擬私有雲網路的連線。消費者網路中的 Private Service Connect 端點可讓分析服務啟動與其他虛擬私有雲網路中資料庫服務的連線。從分析服務到資料庫服務的流量會通過消費者網路,讓消費者監控這兩個服務之間的流量,並提供安全防護。
圖 4:在這個範例設定中,Private Service Connect 介面和 Private Service Connect 端點是互補的。透過這個介面,分析服務可以啟動與用戶端虛擬私有雲網路的連線。端點可讓分析服務從消費者虛擬私有雲網路發起連線至資料庫服務 (按一下可放大)。
Private Service Connect 介面類型
Private Service Connect 介面有兩種:
虛擬 Private Service Connect 介面是以 Compute Engine VM 使用的虛擬網路介面 (vNIC) 為基礎。
下表說明虛擬和動態 Private Service Connect 介面的主要差異:
| 類型 | 每個 VM 的 Private Service Connect 介面數量上限 | 介面管理 | 支援的客體作業系統 |
|---|---|---|---|
| 虛擬 Private Service Connect 介面 | 最多 9 個 (取決於 vCPU 數量) | 在建立 VM 時新增,並在刪除 VM 時移除 | Linux、Windows |
| 動態 Private Service Connect 介面 | 最多 15 個 (視 vCPU 數量而定) | 隨時新增;可獨立於 VM 移除 | 僅適用於 Linux |
如果您預期介面設定在 VM 的生命週期內保持不變,請考慮使用虛擬 Private Service Connect 介面。
如果符合下列條件,請考慮使用動態 Private Service Connect 介面:
- 您需要動態管理與消費者 VPC 網路的連線。
- 您需要每個 VM 更多 Private Service Connect 介面。
- 您必須避免在 Private Service Connect 介面變更期間發生停機。
規格
Private Service Connect 介面是一種特殊的網路介面,可連線至網路連結。
網路介面規格也適用於 Private Service Connect 介面。
下列規格適用於兩種 Private Service Connect 介面:
- 使用 Private Service Connect 介面的 VM 至少需要兩個網路介面。第一個網路介面一律是預設網路介面,名稱為
nic0。這個介面會連線至生產端子網路。第二個介面是 Private Service Connect 介面,用於要求連線至用戶端子網路。 - 當消費者專案接受來自 Private Service Connect 介面的「連線」時, Google Cloud會使用網路連結子網路中的 IP 位址設定介面:
- 系統會從子網路的主要 IP 位址範圍指派內部 IPv4 位址。
- 如果網路附件的子網路是雙重堆疊,且 Private Service Connect 介面也是雙重堆疊,系統會從子網路的 IPv6 範圍指派內部 IPv6 位址。
- 您無法將僅支援 IPv6 的子網路 (搶先版) 用於網路附件。
- 如果網路連結沒有足夠的 IP 位址可供 Private Service Connect 介面分配,介面建立作業就會失敗並傳回錯誤:
- 如果是在建立 VM 時發生失敗,系統不會建立 VM。
- 如果是在將動態 Private Service Connect 介面新增至現有 VM 時發生失敗,系統不會新增介面。
- 您必須手動設定 Private Service Connect 介面 VM 的客體 OS,才能透過該介面轉送流量。
- Private Service Connect 介面支援別名 IP 範圍。別名 IP 範圍必須來自網路附件子網路的主要 IPv4 位址範圍。
- Google Cloud 驗證指派給 Private Service Connect 介面的 IP 位址,是否與連線至 VM 其他網路介面的子網路位址範圍重疊。如果沒有足夠的可用位址,VM 建立作業就會失敗。
- Private Service Connect 介面的通訊方式與網路介面相同。
- 網路連結與 Private Service Connect 介面之間的連線是雙向且可遞移的。供應商虛擬私有雲網路中的工作負載可以發起連線,連線至與用戶虛擬私有雲網路連線的工作負載。
- 動態和虛擬 Private Service Connect 介面可共存在同一個 VM 上。
- Private Service Connect 介面支援 VPC Service Controls。如要使用這項組合,必須額外設定路由。
虛擬 Private Service Connect 介面規格
以下規格適用於虛擬 Private Service Connect 介面。
- 虛擬 Private Service Connect 介面只能在建立 VM 時建立,且只能透過刪除相關聯的 VM 移除。
- 您可以在單一 VM 上建立最多七個虛擬 Private Service Connect 介面,視 VM 中的 vCPU 數量而定。
動態 Private Service Connect 介面規格
以下規格適用於動態 Private Service Connect 介面。
- 動態 NIC 的屬性和限制也適用於動態 Private Service Connect 介面。
- 您可以隨時新增或移除動態 Private Service Connect 介面,無須重新啟動 VM。
- 單一 VM 最多可有 15 個動態 Private Service Connect 介面,視 VM 中的 vCPU 數量而定。
- 網路介面的最大傳輸單位 (MTU) 會設為所連線 VPC 網路的 MTU。動態 Private Service Connect 介面的 MTU 必須小於或等於其上層網路介面的 MTU,否則介面建立作業會失敗並顯示錯誤。
限制
Private Service Connect 介面連線只能透過下列方式終止:
- 生產者刪除介面的 VM。
- 供應商移除動態 Private Service Connect 介面。
- 消費者刪除與 Private Service Connect 介面連線的專案。這項動作會停止介面的 VM。
- 消費者在連線至 Private Service Connect 介面的專案中停用 Compute Engine API。這項動作會停止介面的 VM。
如果 VM 有多個 Private Service Connect 介面,每個介面都必須連線至不重複的網路連結,且每個網路連結都必須位於不同的用戶端 VPC 網路。
您無法將外部 (公開宣傳) IP 位址指派給 Private Service Connect 介面。
使用 Windows 客戶作業系統的 VM 不支援動態 Private Service Connect 介面。雖然 API 不會禁止這項設定,但封包不會流動,因為 Windows 訪客作業系統驅動程式不支援動態 NIC。
Private Service Connect 介面無法做為內部轉送規則的下一個躍點。
您無法直接將 Private Service Connect 介面與 Google Kubernetes Engine (GKE) 節點或 Pod 建立關聯。不過,透過在 Proxy VM 上設定的 Private Service Connect 介面,GKE 仍可輸出服務。
具有 Private Service Connect 介面的 VM 無法成為以 Compute Engine VM 為目標的後端服務。這是因為 VM 必須與後端服務位於同一專案。
定價
Private Service Connect 介面的定價說明請見 VPC 定價頁面。