關於服務連線政策

本文說明網路管理員如何透過服務連線自動化功能,使用服務連線政策為支援的受管理服務執行個體提供連線。閱讀本文前,請務必先熟悉「關於服務連線自動化」一文中的概念。

規格

服務連線政策的規格如下:

  • 每個網路、區域和服務類別組合只能建立一項服務連線政策。舉例來說,google-cloud-sqlus-central1 中只能有一個 vpc1 的服務連線政策。這項驗證表示只有一項服務連線政策會控管特定 Private Service Connect 端點。

  • 服務執行個體管理員可以使用服務的管理 API 或 UI 部署該服務,並透過服務連線自動化功能設定連線。

  • 如果系統封鎖透過服務連線自動化建立或刪除端點的作業,自動程序會定期重試作業,直到封鎖問題解決為止。

  • 服務連線政策設定中包含的子網路會提供指派給 Private Service Connect 端點的 IP 位址。這些 IP 位址會自動分配,並在建立及刪除代管服務執行個體時,返回子網路的集區。

    子網路必須是一般子網路,且必須與服務連線政策位於相同區域。一般子網路與 Private Service Connect 子網路不同。

    建議您避免將子網路用於其他資源。如果其他資源耗用子網路的 IP 位址,您可能會沒有足夠的 IP 位址可指派給端點。

  • 使用服務連線政策的代管服務可能支援透過 IPv4 端點、IPv6 端點或兩者連線至服務執行個體。如果服務同時支援 IPv4 和 IPv6,服務執行個體管理員就能在部署服務執行個體時選擇 IP 版本。

  • 您可以搭配共用虛擬私有雲使用服務連線政策

  • 根據預設,服務執行個體和連線至服務執行個體的端點必須位於相同專案中 (如果是共用虛擬私有雲,則必須位於已連線的專案中)。

    支援的 Google 服務可讓您設定自訂服務執行個體範圍

  • 透過服務連線自動化建立的端點,可能會套用服務供應商的標籤。如要進一步瞭解標籤,請參閱「使用標籤整理資源」。

  • 如要搭配使用 Private Service Connect 服務自動化功能,並在同一專案中有多個虛擬私有雲網路,請為每個網路建立服務連線政策。

  • 您可以選擇設定連線限制,指定特定服務供應商可在政策的虛擬私有雲網路和區域中建立的 Private Service Connect 連線數量上限。

  • 透過服務連線政策建立的端點,可透過連線傳播在其他虛擬私有雲網路中提供。

授權

服務連線政策可讓消費者將連線部署作業委派給受管理服務。服務供應商沒有消費者專案的直接存取權或 IAM 權限。而是由供應商在自己的專案中設定服務連線地圖。

建立或更新服務連線對應時 (通常是為了回應用戶端服務管理員對受管理服務管理 API 或 UI 的要求),服務連線自動化功能會執行一系列授權檢查。如果所有檢查都通過,系統會按照要求建立 Private Service Connect 端點。

如要瞭解授權,請參閱授權模式

共用虛擬私有雲網路中的連線政策

服務連線政策可自動連線至位於主專案或附加服務專案的服務執行個體。

如果您使用共用虛擬私有雲,則必須在主專案中建立服務連線政策。系統會在服務執行個體設定中指定的專案建立端點。

如果您在共用虛擬私有雲網路中建立服務連線政策,並在服務專案中部署服務執行個體,服務連線自動化功能會更新服務專案的網路連線服務帳戶,分享與服務連線政策相關聯的子網路。這個服務帳戶已獲授予共用子網路的Compute 網路使用者角色 (roles/compute.networkUser)。

如需部署範例,請參閱共用虛擬私有雲

具有自訂服務執行個體範圍的連線政策

根據預設,服務連線自動化功能會為服務執行個體和相關聯的服務連線政策建立端點,這些端點位於相同的Google Cloud 專案中 (如果是共用虛擬私有雲,則位於已連線的專案中)。對於支援的 Google 服務,服務執行個體和連線端點也可以位於不同的專案或機構。

並非所有 Google 服務都支援設定自訂服務執行個體範圍。 如要判斷服務是否支援自訂服務執行個體範圍,請參閱特定服務的文件。

使用「服務執行個體範圍」 (--producer-instance-location) 設定,設定與其他 Resource Manager 節點 (專案、資料夾和機構) 中服務執行個體的連線。

  • 如果設為 no_producer_instance_location,則只會在同一個專案中建立端點。這是預設值。
  • 如果設為 custom_resource_hierarchy_levels,請在 --allowed-google-producers-resource-hierarchy-level 欄位中指定 Resource Manager 節點清單。

更新服務連線政策的服務執行個體範圍時,現有端點不會受到影響。

如需部署範例,請參閱「Google 服務 (自訂服務執行個體範圍)」。

端點 IP 版本

連線至服務執行個體的端點可能使用的 IP 版本 (IPv4、IPv6 或兩者) 由服務生產者決定,而非服務連線自動化功能。如果服務同時支援 IPv4 和 IPv6,服務執行個體管理員就能透過服務的管理 API 部署執行個體時,選擇 IP 版本。如要瞭解服務支援的 IP 版本,請參閱服務的 說明文件。

服務執行個體管理員選擇 IP 版本後,服務連線自動化功能會檢查服務連線政策,找出可建立端點 IP 位址的相容子網路:

  • 僅支援 IPv4 的子網路支援 IPv4 端點。
  • 雙重堆疊子網路同時支援 IPv4 和 IPv6 端點。
  • 僅支援 IPv6 的子網路 (搶先版) 支援 IPv6 端點。

如果服務連線政策沒有相容的子網路,要求就會失敗,且不會建立任何端點。

此外,端點的 IP 版本必須與服務執行個體的 IP 版本相容,而服務執行個體的 IP 版本是由相關聯服務連結的轉送規則決定。Private Service Connect 支援下列 IP 版本組合:

  • 從 IPv4 端點到 IPv4 服務附件
  • 從 IPv6 端點到 IPv6 服務附件

  • 從 IPv6 端點到 IPv4 服務附件

    使用這項設定時,Private Service Connect 會自動在這兩個 IP 版本之間轉換。

系統不支援將 IPv4 端點連線至 IPv6 服務附件。

如要讓 IPv4 和 IPv6 用戶端存取受管理服務執行個體,請為連線至相同服務的個別 IPv4 和 IPv6 端點設定連線。

限制

  • 服務連線政策僅支援自動建立 Private Service Connect 端點。不支援建立 Private Service Connect 後端或服務附件。
  • 您無法直接刪除透過服務連線自動化建立的 Private Service Connect 端點。如要觸發刪除這些端點,請停用服務連線
  • 您只能更新服務連線政策的子網路和連線限制。如要更新其他欄位,請刪除政策,然後建立新政策

定價

Private Service Connect 的定價說明請見 VPC 定價頁面

後續步驟