關於發布的服務
本文件概略說明如何使用 Private Service Connect,讓服務使用者存取服務。
服務供應者可以使用 Private Service Connect,透過虛擬私有雲網路中的內部 IP 位址發布服務。服務消費者可使用虛擬私有雲網路中的內部 IP 位址存取已發布的服務。
如要讓消費者使用服務,您必須建立一或多個專用子網路。接著,您可以建立參照這些子網路的服務附件。服務附件可以有不同的連線偏好設定。
服務用戶類型
有兩種消費者可以連線至 Private Service Connect 服務:
端點是根據轉送規則建立。
端點可讓服務使用者將消費者虛擬私有雲網路中的流量傳送至服務供應商虛擬私有雲網路中的服務 (按一下可放大)。
後端會根據負載平衡器運作。
使用全域外部應用程式負載平衡器的後端,可讓有網際網路存取權的服務使用者將流量傳送至服務供應商的虛擬私有雲網路中的服務 (按一下可放大)。
網路位址轉譯 (NAT) 子網路
Private Service Connect 服務附件會使用一或多個 NAT 子網路 (也稱為 Private Service Connect 子網路) 進行設定。來自消費者 VPC 網路的封包會使用來源 NAT (SNAT) 進行轉譯,以便將原始來源 IP 位址轉換為生產者 VPC 網路中 NAT 子網路的來源 IP 位址。
服務附件可以有多個 NAT 子網路。您隨時可以將其他 NAT 子網路新增至服務附件,且不會中斷流量。
雖然服務附件可以設定多個 NAT 子網路,但 NAT 子網路只能用於一個服務附件。
Private Service Connect NAT 子網路無法用於虛擬機器 (VM) 執行個體或轉送規則等資源。子網路只用於提供傳入消費者連線的 SNAT IP 位址。
網路位址轉譯 (NAT) 子網路大小
子網路大小會決定可連線至服務的使用者數量。如果 NAT 子網路中的所有 IP 位址都已用盡,則任何額外的 Private Service Connect 連線都會失敗。請考慮以下事項:
每個連結至服務連結的端點或後端,都會從 NAT 子網路使用一個 IP 位址。
TCP 或 UDP 連線、用戶端或消費者虛擬私有雲端網路的數量,不會影響 NAT 子網路的 IP 位址用量。
如果使用者採用連線傳播功能,則每個端點會為每個連線傳播的虛擬私有雲端網路輻條使用額外的 IP 位址。
您可以設定傳播連線限制,控制系統建立的傳播連線數量。
在預估端點和後端需要多少 IP 位址時,請考量使用Private Service Connect 的多點存取的任何多租戶服務或使用者。
網路位址轉譯 (NAT) 子網路監控
為確保 Private Service Connect 連線不會因 NAT 子網路中的 IP 位址無法使用而失敗,建議您採取以下做法:
- 監控
private_service_connect/producer/used_nat_ip_addresses服務附件指標。請確認使用的 NAT IP 位址數量不超過服務附加元件的 NAT 子網路容量。 - 監控服務附件連線的連線狀態。如果連線的狀態為「需要注意」,則附件中的網路位址轉譯 (NAT) 子網路可能沒有其他可用的 IP 位址。
- 針對多租用戶服務,您可以使用連線限制,確保單一消費者不會耗盡服務附件的 NAT 子網路容量。
如有需要,NAT 子網路可隨時新增至服務附件,且不會中斷流量。
網路位址轉譯 (NAT) 規格
設計要發布的服務時,請考量 Private Service Connect NAT 的下列特性:
UDP 對應閒置逾時時間為 30 秒,無法設定。
TCP 已建立連線閒置逾時時間為 20 分鐘,無法設定。
如要避免用戶端連線逾時的問題,請採取下列任一做法:
請確認所有連線的持續時間都少於 20 分鐘。
確保部分流量傳送頻率高於每 20 分鐘一次。您可以在應用程式中使用心跳或保活功能,或使用 TCP 保活功能。舉例來說,您可以在區域性內部應用程式負載平衡器或區域性內部 Proxy 網路負載平衡器的目標 Proxy 中設定保留連線。
TCP 臨時連線閒置逾時時間為 30 秒,無法設定。
任何 5 元組 (NAT 子網路來源 IP 位址和來源通訊埠,加上目的地通訊協定、IP 位址和目的地通訊埠) 都必須經過兩分鐘的延遲才能重複使用。
Private Service Connect 的 SNAT 不支援 IP 片段。
連線數上限
單一生產端 VM 最多可接受來自單一 Private Service Connect 使用者 (端點或後端) 的 64,512 個 TCP 並行連線和 64,512 個 UDP 連線。Private Service Connect 端點在所有供應端後端中可收到的 TCP 和 UDP 連線總數沒有限制。當用戶端 VM 啟動與 Private Service Connect 端點的 TCP 或 UDP 連線時,可以使用所有 65,536 個來源通訊埠。所有網路位址轉譯作業都是在供應者主機上完成,因此不需要集中分配的 NAT 通訊埠集區。
服務連結
服務供應商會透過服務附件公開服務。
- 如要公開服務,服務供應者會建立參照目標服務的服務連結。目標服務可以是下列任一項目:
- 負載平衡器的轉送規則
- Secure Web Proxy 執行個體
服務連結 URI 的格式如下:
projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
您可以將服務附件與單一目標服務建立關聯。您無法將多個服務附件與特定目標服務建立關聯。
連線偏好設定
每個服務連結都有連線偏好設定,可指定是否自動接受連線要求。可能的做法有以下三種:
- 自動接受所有連線。服務附件會自動接受來自任何使用者的所有傳入連線要求。自動接受功能可由封鎖傳入連線的機構政策覆寫。
- 接受所選聯播網的連線。只有在用戶端虛擬私有雲網路位於服務連結的用戶接受清單中時,服務連結才會接受傳入連線要求。
- 接受所選專案的連線。只有在用戶專案位於服務附件的用戶接受清單中時,服務附件才會接受傳入連線要求。
建議您接受所選專案或網路的連線。如果您透過其他方式控管消費者存取權,且想啟用服務的開放式存取權,自動接受所有連線可能就很適合。
連線狀態
服務連結的連線狀態會說明連線狀態。詳情請參閱「連線狀態」。
消費者接受和拒絕名單
消費者接受清單和消費者拒絕清單是服務附件的安全性功能。接受和拒絕清單可讓服務供應商指定哪些使用者可以與其服務建立 Private Service Connect 連線。消費者接受清單會指定是否接受連線,而消費者拒絕清單則會指定是否拒絕連線。這兩份清單都會根據連線資源的虛擬私有雲網路或專案,指定消費者。如果您同時將專案或網路新增至接受清單和拒絕清單,系統就會拒絕該專案或網路的連線要求。不支援依資料夾指定消費者。
您可以使用消費者接受清單和消費者拒絕清單指定專案或 VPC 網路,但不能同時指定這兩者。您可以將清單從一種類型變更為另一種類型,而不會中斷連線,但必須在單一更新中進行變更。否則,部分連線可能會暫時變更為待處理狀態。
消費者清單可控制端點是否能連線至已發布服務,但無法控制誰能向該端點傳送要求。舉例來說,假設用戶有一個共用虛擬私有雲網路,且有兩個服務專案附加至該網路。如果已發布的服務在消費者接受清單中包含 service-project1,而在消費者拒絕清單中包含 service-project2,則適用下列規定:
-
service-project1中的消費者可以建立連結至已發布服務的端點。 -
service-project2中的消費者無法建立連結至已發布服務的端點。 -
如果沒有防火牆規則或政策禁止該流量,
service-project2中的用戶端就能將要求傳送至service-project1中的端點。
如要瞭解消費者接受清單與機構政策的互動方式,請參閱「消費者接受清單與機構政策的互動關係」。
消費者接受清單限制
消費者接受清單有連線限制。這些限制會設定服務附加元件可從指定的使用者專案或 VPC 網路接受的 Private Service Connect 端點和後端連線總數。
供應者可以使用連線限制,避免個別使用者耗盡供應者 VPC 網路中的 IP 位址或資源配額。每個接受的 Private Service Connect 連線都會從用戶專案或 VPC 網路的設定限制中扣除。您建立或更新消費者接受名單時,系統會設定這些限制。說明服務附件時,您可以查看服務附件的連結。
傳播連線不計入這些限制。
舉例來說,假設服務附件有消費者接受清單,其中包含 project-1 和 project-2,兩者都設有一個連線限制。project-1 專案要求兩個連線、project-2 要求一個連線,而 project-3 要求一個連線。由於 project-1 的連線數量上限為 1,因此系統會接受第一個連線,而第二個連線則處於待處理狀態。系統已接受 project-2 的連線要求,而 project-3 的連線要求仍處於待處理狀態。只要提高 project-1 的上限,即可接受來自 project-1 的第二個連線。如果 project-3 新增至消費者接受清單,該連線就會從待處理變更為已接受。
連線協調
連線協調功能會判斷服務附加元件的接受或拒絕清單更新是否會影響現有的 Private Service Connect 連線。啟用連線協調功能後,更新接受或拒絕清單可能會終止現有連線。先前遭到拒絕的連線可以變成已接受。如果停用連線協調功能,更新接受或拒絕清單只會影響新的和待處理的連線。
舉例來說,假設服務附件有幾個來自 Project-A 的已接受連線。Project-A 位於服務附件的接受清單中。將 Project-A 從接受清單中移除,即可更新服務附件。
如果啟用連線比對功能,Project-A 的所有現有連線都會轉移至 PENDING,這會終止兩個 VPC 網路之間的網路連線,並立即停止網路流量。
如果停用連線協調功能,Project-A 的現有連線不會受到影響。網路流量仍可透過現有的 Private Service Connect 連線傳送。不過,系統不允許建立任何新的 Private Service Connect 連線。
如要瞭解如何為新服務附件設定連線重整,請參閱「發布具有明確核准功能的服務」。
如要瞭解如何為現有服務附件設定連線重整,請參閱「設定連線重整」。
傳播連線
使用端點連線至服務附件的消費者可以啟用連線傳播功能。傳播連線可讓消費者虛擬私有雲輪輻中的負載存取供應商虛擬私有雲網路中的代管服務,就好像兩個虛擬私有雲網路透過端點直接連線一樣。每個傳播連線都會使用服務連結的 NAT 子網路中的 IP 位址。
查看已發布服務的詳細資料時,您可以查看與已連結端點相關聯的傳播連線數量。這個計數不會納入遭供應端傳播連線限制封鎖的傳播連線。
傳播連線限制
各服務連結均設有傳播連線數量的限制,服務供應商可用來限制單一用戶能建立的服務連結傳播連線數量。如未指定,預設傳播連線數量限制為 250 個。
- 如果服務連結的連線偏好為
ACCEPT_MANUAL,這項限制會套用至消費者接受清單中的各個專案或 VPC 網路。 - 如果連線偏好為
ACCEPT_AUTOMATIC,這項限制則會套用至含有已連線端點的各個專案。
如果消費者超過傳播連線限制,系統就不會再建立傳播連線。如要建立更多已傳布的端點,您可以增加已傳布的連線限制。當您提高這個限制時,Network Connectivity Center 會建立遭限制的已傳播連線,前提是新連線不會超過更新後的上限。更新這項限制不會影響現有的已複製連線。
避免配額用盡
總數:任何消費者可存取供應商虛擬私有雲網路的 Private Service Connect 端點和已傳播的連線數量,由 PSC ILB consumer forwarding rules per producer VPC network 配額控制。特別是對於多租戶服務,請務必避免耗盡這個配額。
您可以使用下列限制,避免配額用盡:
- 用戶接受清單的連線限制會控制 Private Service Connect 端點的總數,這些端點可從單一用戶虛擬私有雲網路或專案建立服務連結。降低這些限制不會影響現有連線。這些限制不適用於傳播連線。
- 傳播連線限制可控制單一消費者能建立的服務連結傳播連線總數。降低此限制不會影響現有的已套用設定的連線。
範例
以下範例說明傳播的連線限制和消費者接受清單限制如何與 PSC ILB consumer forwarding rules per producer VPC network 配額搭配運作。
假設消費者在輻射狀虛擬私有雲網路 spoke-vpc-1 中建立了兩個端點。這兩個端點都連結至 producer-vpc-1 中的 service-attachment-1。輪輻連線至已啟用連線傳播功能的 Network Connectivity Center 中樞,且沒有其他輪輻連線至該中樞。
服務供應者已將 service-attachment-1 設為消費者接受清單限制,即接受清單中每個專案的限制為四個。供應者已將傳播連線限制設為 2,指定單一專案最多可有兩個傳播連線。
這個範例設定包含兩個端點,且沒有任何已傳播的連線 (按一下可放大)。
此設定的配額和限制用量如下:
| 配額 / 限制 | 用量 | 說明 |
|---|---|---|
| 每個供應商虛擬私有雲網路的 PSC ILB 用戶轉送規則 | 2 | 每個端點一個 |
consumer-project-1 的服務連結接受清單連線限制 |
2 | 每個端點一個 |
consumer-project-1 的服務連結傳播連線限制 |
0 | 沒有傳播的連線 |
假設 consumer-project-1 將另一個名為 spoke-vpc-2 的輪輻連線至與 spoke-vpc-1 相同的 Network Connectivity Center 中樞。這會在 consumer-project-1 中建立兩個已傳播的連線,每個現有端點一個。
這個設定範例包含兩個端點和兩個已傳播的連線 (按一下可放大)。
此設定的配額和限制用量如下:
| 配額 / 限制 | 用量 | 說明 |
|---|---|---|
| 每個供應商虛擬私有雲網路的 PSC ILB 用戶轉送規則 | 4 | 每個端點和每個傳播連線各一個 |
consumer-project-1 的服務連結接受清單連線限制 |
2 | 每個端點一個 |
consumer-project-1 的服務連結傳播連線限制 |
2 | 每個傳播連線一個 |
Consumer-project-1 已用盡傳播連線限制。如果使用者新增其他 VPC 輻條,Private Service Connect 不會建立任何新的傳播連線。
假設另一個使用者在 consumer-project-2 中有兩個虛擬私有雲輪輻。輪輻會連線至已啟用傳播連線的 Network Connectivity Center 中樞。其中一個虛擬私有雲輪輻包含連結至 service-attachment-1 的單一端點。
這個範例設定包含三個端點和三個已套用的連線 (按一下可放大)。
此設定的配額和限制用量如下:
| 配額 / 限制 | 用量 | 說明 |
|---|---|---|
| 每個供應商虛擬私有雲網路的 PSC ILB 用戶轉送規則 | 6 | consumer-project-1 中的四個和 consumer-project-2 中的兩個 |
consumer-project-1 的服務連結接受清單連線限制 |
2 | consumer-project-1 中的每個端點各一個 |
consumer-project-2 的服務連結接受清單連線限制 |
1 | consumer-project-2 中的每個端點各一個 |
consumer-project-1 的服務連結傳播連線限制 |
2 | consumer-project-1 中每個傳播連線各一個 |
consumer-project-2 的服務連結傳播連線限制 |
1 | consumer-project-2 中每個傳播連線各一個 |
DNS 設定
如要瞭解已發布服務的 DNS 設定,以及連線至已發布服務的端點,請參閱「服務的 DNS 設定」。
多區域設定
您可以建立下列設定,讓服務在多個地區提供服務。
產生來源設定:
消費者設定:
建立後端以存取已發布服務。後端是以全域外部應用程式負載平衡器為基礎,並包含下列設定:
每個區域中都有一個 Private Service Connect NEG,指向該區域的服務附件。
含有 NEG 後端的後端服務。
在這個設定中,端點會使用預設的全球負載平衡政策轉送流量,也就是先依據健康狀態,然後依據離用戶端最近的位置。
使用全域外部應用程式負載平衡器,可讓有網際網路存取權的服務使用者將流量傳送至服務供應商虛擬私有雲網路中的服務。由於服務已部署在多個區域,負載平衡器可以將流量轉送至最近的健康區域中的 NEG (按一下可放大)。
IP 版本轉譯
對於連線至已發布服務 (服務連結) 的 Private Service Connect 端點,消費者轉送規則的 IP 位址 IP 版本會決定端點的 IP 版本,以及端點的流量。IP 位址可以來自僅限 IPv4、僅限 IPv6 (預先發布版) 或雙重堆疊子網路。端點的 IP 版本可以是 IPv4 或 IPv6,但不能同時是這兩者。
對於已發布的服務,服務附件的 IP 版本會由相關聯的轉送規則或 Secure Web Proxy 執行個體的 IP 位址決定。這個 IP 位址必須與服務附件 NAT 子網路的堆疊類型相容。NAT 子網路可以是僅限 IPv4 或雙重堆疊子網路。如果 NAT 子網路是雙堆疊子網路,系統會使用 IPv4 或 IPv6 位址範圍,但不會同時使用兩者。Private Service Connect 不支援使用僅支援 IPv6 的子網路 (預先發布版) 做為 NAT 子網路。
Private Service Connect 不支援將 IPv4 端點連線至 IPv6 服務附件。在這種情況下,端點建立作業會失敗,並顯示下列錯誤訊息:
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
支援的組合可搭配下列組合:
- IPv4 端點至 IPv4 服務附件
- IPv6 端點至 IPv6 服務附件
-
IPv6 端點至 IPv4 服務附件
在這種情況下,Private Service Connect 會自動在兩個 IP 版本之間進行轉譯。
針對 Private Service Connect 後端和服務連結之間的連線,使用者和供應者轉送規則都必須使用 IPv4。
功能和相容性
在下表中,勾號表示支援某項功能,「無」符號則表示不支援某項功能。
視所選的生產端負載平衡器而定,生產端服務可支援端點或後端的存取權,或兩者皆可。
支援端點
本節將概述消費者和生產者使用端點存取發布服務時,可用的設定選項。
消費者設定
下表根據目標產生器類型,列出端點支援的設定選項和功能,可用於存取已發布服務。
| 目標製作人 | 消費者設定 (端點) | ||||||
|---|---|---|---|---|---|---|---|
| 全球消費者存取權 | 混合式存取 | 自動 DNS 設定 (僅限 IPv4) |
虛擬私有雲網路對等互連存取權 | Network Connectivity Center 連線傳播 (僅限 IPv4) | 支援的 IPv4 端點目標服務 | 支援的 IPv6 端點目標服務 | |
| 跨區域內部應用程式負載平衡器 (預先發布版) |
|
|
|||||
| 內部直通式網路負載平衡器 | 僅限負載平衡器已啟用全域存取權 (已知問題) |
|
|
||||
| 內部通訊協定轉送 (目標執行個體) | 只有在生產端轉送規則已啟用全域存取權時才會發生 (已知問題) |
|
|
||||
| 通訊埠對應服務 | 只有在生產端轉送規則已啟用全域存取權的情況下 |
|
|
||||
| 區域性內部應用程式負載平衡器 | 只有在服務附件建立前,在負載平衡器上啟用全域存取權的情況下 |
|
|
||||
| 區域性內部 Proxy 網路負載平衡器 | 只有在服務附件建立前,在負載平衡器上啟用全域存取權的情況下 |
|
|
||||
| Secure Web Proxy |
|
|
|||||
Producer 設定
下表列出端點可存取的已發布服務支援的設定選項和功能。
| 製作人類型 | 生產端設定 (已發布服務) | |||
|---|---|---|---|---|
| 支援的製作者後端 | PROXY 通訊協定 (僅限 TCP 流量) | 工作階段相依性模式 | IP 版本 | |
| 跨區域內部應用程式負載平衡器 (預先發布版) |
|
不適用 |
|
|
| 內部直通式網路負載平衡器 |
|
NONE (5 組合) CLIENT_IP_PORT_PROTO |
|
|
| 內部通訊協定轉送 (目標執行個體) |
|
不適用 |
|
|
| 通訊埠對應服務 |
|
不適用 |
|
|
| 區域性內部應用程式負載平衡器 |
|
不適用 |
|
|
| 區域性內部 Proxy 網路負載平衡器 |
|
不適用 |
|
|
| Secure Web Proxy |
|
不適用 |
|
|
不同的負載平衡器支援不同的通訊埠設定;有些負載平衡器支援單一通訊埠,有些支援一系列通訊埠,有些則支援所有通訊埠。詳情請參閱「連接埠規格」。
支援後端
已發布服務的 Private Service Connect 後端需要兩個負載平衡器:消費者負載平衡器和供應者負載平衡器。本節將概述使用後端存取發布服務時,消費者和生產者可用的設定選項。
消費者設定
下表說明 Private Service Connect 後端支援的已發布服務用戶負載平衡器,包括可與各個用戶負載平衡器搭配使用的後端服務通訊協定。消費者負載平衡器可以存取由支援的供應端負載平衡器代管的發布服務。
| 消費者負載平衡器 | 通訊協定 | IP 版本 |
|---|---|---|
|
IPv4 | |
|
IPv4 | |
|
注意:不支援 Classic Application Load Balancer。 |
|
IPv4 |
|
如要將這個負載平衡器與 Private Service Connect NEG 建立關聯,請使用 Google Cloud CLI 或傳送 API 要求。 注意:系統不支援傳統 Proxy Network Load Balancer。 |
|
IPv4 |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 |
Producer 設定
下表說明 Private Service Connect 後端支援的供應者負載平衡器設定,適用於已發布的服務。
| 製作人類型 | 生產端設定 (已發布服務) | ||||
|---|---|---|---|---|---|
| 支援的製作者後端 | 轉送規則通訊協定 | 轉送規則通訊埠 | PROXY 通訊協定 | IP 版本 | |
| 跨區域內部應用程式負載平衡器 (預先發布版) |
|
|
支援一個、多個或所有通訊埠 | IPv4 | |
| 內部直通式網路負載平衡器 |
|
|
請參閱「供應者通訊埠設定」 | IPv4 | |
| 區域性內部應用程式負載平衡器 |
|
|
支援單一通訊埠 | IPv4 | |
| 區域性內部 Proxy 網路負載平衡器 |
|
|
支援單一通訊埠 | IPv4 | |
| Secure Web Proxy |
|
|
不適用 | IPv4 | |
供應者通訊埠設定
使用 Private Service Connect 發布內部直通式網路負載平衡器時,使用 Private Service Connect 後端存取服務的使用者必須知道要使用哪個通訊埠與服務通訊。為產生者內部直通式網路負載平衡器建立轉送規則時,請考量以下事項:
- 建議您向消費者說明產生者轉送規則中使用的連接埠,以便他們在建立 NEG 時指定連接埠。
如果消費者在建立 NEG 時未指定生產端通訊埠,系統會根據生產端轉送規則設定決定生產端通訊埠:
- 如果產生者轉送規則使用單一通訊埠,消費者後端也會使用相同的通訊埠。
如果產生者轉送規則使用多個通訊埠,則適用以下規定:
- 如果包含通訊埠
443,消費者後端會使用通訊埠443。 - 如果未納入通訊埠
443,消費者後端會在清單依字母順序排序後,使用清單中的第一個通訊埠。舉例來說,如果您指定通訊埠80和通訊埠1111,消費者後端會使用通訊埠1111。 變更生產者後端使用的連接埠可能會導致消費者服務中斷。
舉例來說,假設您建立已發布的服務,其中包含使用
443和8443通訊埠的轉送規則,以及在443和8443通訊埠上回應的後端 VM。當消費者後端連線至這項服務時,會使用通訊埠443進行通訊。如果您變更後端 VM,讓其只在
8443連接埠上回應,消費者後端就無法再存取已發布服務。
- 如果包含通訊埠
如果產生器轉送規則使用所有通訊埠,服務使用者在建立 NEG 時必須指定產生器通訊埠。如果未指定連接埠,消費者後端會使用連接埠
1,但這會導致無法運作。
共用虛擬私有雲
服務專案管理員可以在共用虛擬私有雲服務專案中建立服務附件,連結至共用虛擬私有雲網路中的資源。
設定方式與一般服務附件相同,但有以下例外:
- 供應商負載平衡器的轉送規則會與共用虛擬私有雲網路的 IP 位址建立關聯。轉送規則的子網路必須與服務專案共用。
- 服務附件會使用共用虛擬私有雲網路中的 Private Service Connect 子網路。這個子網路必須與服務專案共用。
記錄
您可以在包含後端 VM 的子網路上啟用虛擬私有雲流量記錄。記錄會顯示 Private Service Connect 子網路中後端 VM 與 IP 位址之間的流量。
VPC Service Controls
VPC Service Controls 和 Private Service Connect 彼此相容。如果部署 Private Service Connect 端點的 VPC 網路位於 VPC Service Controls 範圍內,則該端點就屬於同一個範圍。透過端點存取的任何 VPC Service Controls 支援服務,都必須遵守該 VPC Service Controls 範圍的政策。
建立端點時,系統會在消費者專案和生產端專案之間發出控制平面 API 呼叫,以建立 Private Service Connect 連線。在非同一個 VPC Service Controls 範圍內的消費者和生產者專案之間建立 Private Service Connect 連線,不需要使用出口政策明確授權。透過端點與 VPC Service Controls 支援的服務進行通訊時,會受到 VPC Service Controls 範圍的保護。
查看消費者連線資訊
根據預設,Private Service Connect 會將消費者的來源 IP 位址轉譯為服務供應商虛擬私有雲網路中 Private Service Connect 子網路的其中一個位址。如果您想查看消費者的原始來源 IP 位址,可以在發布服務時啟用 Proxy 通訊協定。Private Service Connect 支援 Proxy 2.0 通訊協定。
並非所有服務都支援 Proxy 通訊協定。詳情請參閱「功能和相容性」。
如果啟用 Proxy 通訊協定,您可以從 Proxy 通訊協定標頭取得消費者的來源 IP 位址和 PSC 連線 ID (pscConnectionId)。
Proxy 通訊協定標頭的格式取決於消費者端點的 IP 版本。如果服務附件的負載平衡器有 IPv6 位址,消費者就能同時連線至 IPv4 和 IPv6 位址。設定應用程式,以便接收及讀取所接收流量的 IP 版本 Proxy 通訊協定標頭。
對於透過傳播連線傳送的消費者流量,消費者的來源 IP 位址和 PSC 連線 ID 會參照傳播的 Private Service Connect 端點。
為服務附件啟用 Proxy 通訊協定後,變更只會套用至新連線。現有連線不包含 PROXY 通訊協定標頭。
如果您啟用 Proxy 通訊協定,請參閱後端網頁伺服器軟體的說明文件,瞭解如何剖析及處理用戶端連線 TCP 酬載中的傳入 Proxy 通訊協定標頭。如果服務附件啟用 Proxy 通訊協定,但後端網路伺服器未設定為處理 Proxy 通訊協定標頭,網路要求可能會格式錯誤。如果要求格式錯誤,伺服器就無法解讀要求。
Private Service Connect 連線 ID (pscConnectionId) 會以 Type-Length-Value (TLV) 格式編碼在 Proxy 通訊協定標頭中。
| 欄位 | 欄位長度 | 欄位值 |
|---|---|---|
| 類型 | 1 個位元組 | 0xE0 (PP2_TYPE_GCP)
|
| 長度 | 2 個位元組 | 0x8 (8 個位元組) |
| 值 | 8 個位元組 | 以網路順序排列的 8 個位元組 pscConnectionId |
您可以透過消費者轉送規則或生產者服務附件查看 8 個位元組的 pscConnectionId 值。
pscConnectionId 值在特定時間點對所有有效連線而言,都是全域唯一值。不過,隨著時間的推移,pscConnectionId 可能會在下列情況下重複使用:
在特定 VPC 網路中,如果您刪除端點 (轉送規則),並使用相同的 IP 位址建立新端點,可能會使用相同的
pscConnectionId值。如果您刪除包含端點 (轉送規則) 的 VPC 網路,在七天等待期過後,用於這些端點的
pscConnectionId值可能會用於其他 VPC 網路中的不同端點。
您可以使用 pscConnectionId 值進行偵錯,並追蹤封包來源。
生產端服務連結可提供獨立的 16 個位元組 Private Service Connect 服務連結 ID (pscServiceAttachmentId) ID。pscServiceAttachmentId 值是全球唯一的 ID,可用來識別 Private Service Connect 服務連結。您可以使用 pscServiceAttachmentId 值來設定可見度和偵錯功能。這個值不會包含在 Proxy 通訊協定標頭中。
定價
VPC 定價頁面說明瞭 Private Service Connect 的定價。
配額
任何消費者可存取供應商虛擬私有雲網路的 Private Service Connect 端點和傳播連線的總數,皆受PSC ILB consumer forwarding rules per producer VPC network 配額控制。
端點會在刪除前持續計算在配額中,即使相關服務連結已刪除或已設定為拒絕連線,也是如此。在刪除相關聯的端點之前,傳播的連線都會計入這個配額,即使在 Network Connectivity Center 中樞中停用連線傳播功能,或是刪除傳播連線的輪輻,也是如此。
內部部署存取
Private Service Connect 服務是透過端點提供。這些端點可透過支援的連線 on-premises 主機存取。詳情請參閱「透過 on-premises 主機存取端點」。
限制
發布的服務有下列限制:
- 系統不支援以
多個通訊協定設定的負載平衡器 (通訊協定設為
L3_DEFAULT)。 - 封包鏡像無法為 Private Service Connect 發布的服務流量鏡像封包。
- 您必須使用 Google Cloud CLI 或 API 建立服務附件,指向用於內部通訊協定轉送的轉送規則。
如要瞭解問題和解決方法,請參閱「已知問題」。