本頁面由 Cloud Translation API 翻譯而成。

Private Service Connect

本文件提供 Private Service Connect 的總覽。

Private Service Connect 是 Google Cloud 網路的功能，可讓用戶在虛擬私有雲網路中私下存取代管服務。同樣地，這項功能可讓代管服務供應商在自己的獨立虛擬私有雲網路中主機代管這些服務，並為消費者提供私人連線。舉例來說，如果您使用 Private Service Connect 存取 Cloud SQL，您就是服務消費者，而 Google 則是服務供應商。

有了 Private Service Connect，使用者就能使用自己的內部 IP 位址存取服務，無須離開虛擬私有雲網路。流量會完全保留在 Google Cloud內。Private Service Connect 可在使用者和供應者之間提供以服務為導向的存取權，並可精細控管服務的存取方式。

Private Service Connect 支援下列類型的受管理服務存取權：

已發布的 VPC 代管服務，包括：
- Google 發布的服務，例如 Apigee 或 GKE 控制層
- Private Service Connect 合作夥伴提供的第三方發布服務
- 機構內發布的服務，其中消費者和供應商可能是同一家公司內的兩個不同的 VPC 網路
Google API，例如 Cloud Storage 或 BigQuery

**圖 1.** Private Service Connect 可讓您將流量傳送至端點和後端，後者會將流量轉送至代管服務，包括 Google API 和已發布的服務。Private Service Connect 介面可讓代管服務啟動與用戶端虛擬私有雲網路的連線。

Private Service Connect 提供私人連線，具有下列特性：

以服務為導向的設計：供應者服務會透過負載平衡器發布，該負載平衡器會將單一 IP 位址公開給消費者虛擬私有雲網路。存取供應商服務的消費者流量是單向的，只能存取服務 IP 位址，而無法存取整個對等虛擬私有雲網路。
明確授權：Private Service Connect 提供授權模型，讓使用者和供應者可精細控管，確保只有指定的服務端點，而非其他資源，才能連線至服務。
沒有共用依附元件：消費者和生產者之間的流量會使用 NAT，因此消費者和生產者 VPC 網路之間不會有 IP 位址協調或其他共用資源依附元件。這種獨立性可簡化部署作業，讓您更輕鬆地擴充代管服務。
線路費率效能：Private Service Connect 流量會直接從消費者用戶端傳送至供應者後端，中間不會經過中繼或 Proxy。NAT 會直接在主機主機上執行，主機主機會代管消費者和生產者 VM，這可減少延遲並提高頻寬容量。Private Service Connect 的頻寬容量僅受限於直接通訊的用戶端和伺服器機器頻寬容量。

Private Service Connect 類型

Private Service Connect 有不同類型，可提供不同的功能和通訊模式。

服務供應商可透過建立 Private Service Connect 服務，將應用程式發布給消費者。服務使用者可透過下列其中一種 Private Service Connect 類型，直接存取這些 Private Service Connect 服務：

Private Service Connect 端點：使用轉送規則部署端點，為消費者提供對應至 Private Service Connect 服務的 IP 位址。
Private Service Connect 後端：後端會使用網路端點群組 (NEG) 進行部署，讓消費者在抵達 Private Service Connect 服務前，將流量導向至負載平衡器。

服務供應商可以使用 Private Service Connect 介面，啟動與服務用戶的連線。Private Service Connect 介面提供雙向通訊，可與端點和後端在同一個虛擬私有雲網路中使用。

端點

Private Service Connect 端點是用戶虛擬私有雲網路中的內部 IP 位址，該網路中的用戶端可以直接存取。您可以部署參照服務附件或Google API 套件的轉送規則，建立端點。

下圖顯示 Private Service Connect 端點，其目標是位於不同 VPC 網路和組織中執行的已發布服務。Private Service Connect 端點和已發布服務可讓兩家獨立公司透過內部 IP 位址進行通訊。詳情請參閱「關於透過端點存取已發布服務」。

**圖 2**：Private Service Connect 可讓您將流量傳送至端點，再由端點將流量轉送至其他虛擬私有雲網路中已發布的服務。

同樣地，Private Service Connect 端點也可用於存取 Google API，例如 Cloud Storage 或 BigQuery。這項功能與私人 Google 存取權類似，但您可以使用自己的內部 IP 位址做為端點。Private Service Connect 可讓您更直接控管路由，並視需要為網路建立盡可能多的端點。如需更多資訊，請參閱「關於透過端點存取 Google API」。

**圖 3**：Private Service Connect 可讓您將流量傳送至將流量轉送至 Google API 的端點。

後端

Private Service Connect 後端可讓負載平衡器透過 Private Service Connect 傳送流量，以便存取已發布服務或 Google API。 Google Cloud 後端會透過 Private Service Connect 網路端點群組 (NEG) 部署，該群組會參照供應商服務附件或支援的 Google API。將負載平衡器置於代管服務之前，可讓用戶享有比 Private Service Connect 端點更豐富的可視度和控管能力。後端可讓您建立下列設定：

客戶擁有的網域和憑證，可用於管理服務
在不同區域的代管服務之間，由使用者控制故障轉移
集中式安全性設定和受管理服務的存取權控管

下圖顯示內部應用程式負載平衡器，該負載平衡器已部署 Private Service Connect 後端，並參照已發布的服務。設定中包含兩個負載平衡器：

提供服務流量控管、可見度和安全性的消費者負載平衡器。
供應者負載平衡器，可在服務後端負載平衡流量。

**圖 4**：Private Service Connect 可讓您將流量傳送至後端，後端會將流量轉送至已發布服務。

與 Private Service Connect 端點類似，後端也支援指定 Google API。下圖顯示內部應用程式負載平衡器，其指定 Cloud Storage 值區，並使用客戶擁有的網域終止流量。

**圖 5.** Private Service Connect 可讓您將流量傳送至後端，後者會將流量轉送至區域性 Google API。

介面

Private Service Connect 介面是一種特殊的網路介面，會使用網路連結。

服務供應商可以建立 Private Service Connect 介面，並要求連線至網路連結。如果服務使用者接受連線， Google Cloud 會從網路連結指定的用戶虛擬私有雲網路子網路中，分配介面的 IP 位址。Private Service Connect 介面的 VM 具有第二個標準網路介面，可連線至供應商的虛擬私有雲網路。

Private Service Connect 介面和網路連結之間的連線，與 Private Service Connect 端點和服務連結之間的連線類似，但有兩個主要差異：

有了 Private Service Connect 介面，供應商虛擬私有雲網路就能啟動與用戶虛擬私有雲網路 (代管服務出口) 的連線。端點會以相反方向運作，讓消費者虛擬私有雲網路啟動與供應商虛擬私有雲網路 (代管服務入口) 的連線。
Private Service Connect 介面連線是傳遞的。也就是說，產生者網路中的工作負載可以啟動與連線至消費者 VPC 網路的其他工作負載連線。Private Service Connect 端點只能啟動至供應者虛擬私有雲網路的連線。

**圖 6**：Private Service Connect 介面可讓服務供應商啟動與服務消費者的連線。

Private Service Connect 代管服務

代管服務是指由服務消費者以外的其他人擁有及管理的服務。Private Service Connect 可用於存取 Google 擁有的代管服務、第三方軟體即服務 (SaaS) 公司，或消費者公司內部的其他團隊。發布的服務和 Google API 都可以是 Private Service Connect 的目標。

已發布的服務

已發布的服務是指在供應商的虛擬私有雲網路中部署，並從消費者的虛擬私有雲網路存取的虛擬私有雲代管服務。發布服務可讓服務供應商在自己的 VPC 網路中擁有及控管服務的部署作業。發布的服務可包含下列項目：

Google 服務，例如 GKE、Apigee 或 Cloud Composer。這些服務會在 Google 管理的用戶群專案和虛擬私有雲網路中執行。
第三方服務：第三方提供對Google Cloud中已發布服務的私人存取權。
內部組織服務：單一公司有客戶透過不同虛擬私有雲網路存取內部應用程式。有些機構會使用不同的虛擬私有雲網路進行內部區隔。在這種情況下，一個團隊可以為在不同 VPC 網路中運作的其他團隊提供代管服務。

服務連結

服務連結是用來建立 Private Service Connect 已發布服務的資源。

您可以使用端點或後端存取服務附件。多個後端或端點可連線至相同的服務附件，讓多個虛擬私人雲端網路或多個使用者存取相同的服務執行個體。

服務連結會指定供應商負載平衡器，並讓消費者虛擬私有雲網路中的用戶端存取負載平衡器。服務附件設定定義下列項目：

用戶接受清單，定義哪些用戶可連線至服務。
NAT 子網路：翻譯流量來源的產生者 VPC 網路。
可選的 DNS 網域 (如有提供)，用於在消費者的 Cloud DNS 區域中自動建立的端點 DNS 記錄。

Google API

使用 Private Service Connect 存取 Google API 是使用私人 Google 存取權或 Google API 的公開網域名稱的替代方案。在本例中，生產端為 Google。

您可以使用端點或後端存取 Google API。

您可以使用端點指定全球 Google API 套件或單一區域性 Google API。
後端可讓您指定單一全球 Google API 或單一區域 Google API。

使用 Private Service Connect 可讓您執行下列操作：

建立一或多個內部 IP 位址，以便存取不同用途的 Google API。
在存取 Google API 時，將內部部署流量導向特定 IP 位址和區域。
透過支援的負載平衡器集中 Google API 流量，以便套用您自己的憑證、安全性政策或可觀察性。

後續步驟

瞭解如何透過端點存取已發布的服務。
瞭解如何透過端點存取 Google API。
瞭解後端。
瞭解發布服務。
完成程式碼研究室，使用 Private Service Connect 發布及使用 GKE 服務。