专用服务访问通道

本页面简要介绍专用服务访问通道。

Google 和第三方（统称为“服务提供方”）可以提供 VPC 托管的服务，即在托管于 VPC 网络中的虚拟机上运行的服务。通过专用服务访问通道，您可以在自己的 VPC 网络和服务提供方的 VPC 网络之间创建专用连接来访问这些服务。专用连接会在您的 VPC 网络和服务提供方的网络之间建立 VPC 网络对等互连连接。

专用服务访问通道流量在 Google 网络内部传输，而不是通过公共互联网传输。VPC 网络中的实例可以使用其内部 IPv4 地址访问服务。您的实例可以具有外部 IP 地址，但专用服务访问通道不需要且不使用外部 IP 地址。

支持的服务

以下 Google VPC 托管的服务支持专用服务访问通道：

• AI Platform Training
• AlloyDB for PostgreSQL
• Apigee
• Backup and DR Service
• Cloud Build
• Cloud Intrusion Detection System
• Cloud SQL（不支持 DNS 对等互连）
• Cloud TPU
• 融合 Enterprise Cloud 与 IBM Power for Google Cloud
• Filestore
• Google Cloud Managed Lustre
• Google Cloud VMware Engine
• Looker (Google Cloud Core)
• Memorystore for Memcached
• Memorystore for Redis
• Vertex AI

专用服务访问通道和 VPC 网络对等互连

在专用连接中，服务提供方网络和您的网络通过 VPC 网络对等互连进行连接。为了使这两个网络之间的路由正常工作，这两个网络必须使用不同的 IP 地址范围。为避免重叠，您需要在您的网络中创建一个或多个分配的范围，以用于专用连接。

在 VPC 网络中分配范围时，该范围不能用于其他资源，例如子网或自定义静态路由的目的地。

如需了解如何选择分配的范围，请参阅为分配的范围选择 IP 地址范围。

专用服务访问通道工作流

使用专用服务访问通道时，资源会同时部署在您的 VPC 网络和服务提供方的网络中。以下步骤概述了该流程：

1. 作为服务使用方，您部署具有专用服务访问通道的服务实例。具体细节可能因您部署的服务而异。以下步骤可能由您执行，也可能由服务提供方在服务实例部署过程中自动执行：

   1. 您在 VPC 网络中分配 IP 地址范围。 此分配的范围专为服务提供方预留。

   2. 您创建与服务提供方的专用连接，并指定您创建的已分配范围。

   3. 您预配服务实例（例如 Cloud SQL 实例），并引用您创建的专用连接。

2. 服务提供方为您的服务实例预配资源。

   1. 服务提供方为您的服务实例创建一个项目。该项目是独立的，这意味着没有其他客户共享该项目，服务使用方只需要为自己预配的资源付费。

   2. 在该项目中，服务提供方创建一个专供您使用的 VPC 网络。

   3. 在该网络中，服务提供方创建一个子网。此子网的 IP 地址范围是从您提供的已分配范围中选择的。服务提供方通常会选择 /29 到 /24 CIDR 地址块。您不能选择或修改服务提供方的子网 IP 地址范围。

   4. 系统会从新子网为服务实例分配一个 IP 地址。

3. 专用连接变为活跃状态。

   1. VPC 网络对等互连连接已建立。

   2. 您的 VPC 网络从服务提供方的网络导入路由。

   3. 您的网络中的虚拟机可以使用服务实例的内部 IP 地址与其通信。流量完全在 Google 的网络中传输，不会通过公共互联网传输。

创建初始部署后，您可以执行以下操作：

• 预配更多资源：当您为同一服务预配其他资源时，如果现有子网有空间，服务提供方会将这些资源放置在现有子网中。如果子网已满，系统会从分配的范围中在该区域内创建一个新子网。

• 删除资源：只有当您删除服务提供方网络中的某个子网内的所有服务资源时，该子网才会被删除。如需了解如何删除资源，请参阅相关服务提供方的文档。

示例

下图展示了如何使用专用连接来访问服务实例。

在此示例中，服务使用方 VPC 网络为 Google 服务分配了地址范围 10.240.0.0/16，并建立了使用已分配范围的专用连接。

• 分配给专用连接的分配范围是 10.240.0.0/16。

• Google 为服务使用方的资源创建了一个项目和一个 VPC 网络。VPC 网络使用 VPC 网络对等互连进行连接。

• 服务提供方创建了一个使用 IP 地址范围 10.240.0.0/24 的子网。

• 为 Cloud SQL 实例分配的 IP 地址是 10.240.0.2。

• 创建子网后，服务使用方网络从服务网络导入路由。

• 在服务使用方 VPC 网络中，目的地为 10.240.0.2 的请求会路由到专用连接，再路由到服务提供方的网络。

• 服务使用方在 europe-west1 中为其他 Google 服务部署服务实例。由于 Google 是服务提供方，因此可以使用同一项目和网络。不过，由于实例位于其他区域，因此需要新子网。Google 会创建一个使用 IP 地址范围 10.240.10.0/24 的新子网，并为服务实例分配 IP 地址 10.240.10.2。

服务实例的可达性

只有一个服务使用方 VPC 网络可以创建与给定的托管式服务实例的专用连接。不过，您可以通过以下方式使专用连接可供该 VPC 网络外部的资源使用：

• 如需使服务实例可从其他 VPC 网络进行访问，请考虑以下选项：
  • 通过 Network Connectivity Center 访问。
  • 通过共享 VPC 访问。
• 如需使服务实例可从连接的网络（例如本地网络）进行访问，请参阅通过混合连接访问。

如果这些选项都不适合您的应用场景，服务提供方可能会提供其他更合适的连接服务的方式，例如通过 Private Service Connect。如需了解详情，请参阅相应服务的文档。

通过 Network Connectivity Center 访问

对于通过专用服务访问通道提供的某些服务，您可以使用 Network Connectivity Center 创建提供方 VPC spoke，以便让 hub 上的其他 spoke 可以访问该服务。如需了解详情（包括支持哪些服务），请参阅提供方 VPC spoke。

通过共享 VPC 访问

如果您在使用共享 VPC，请在宿主项目中创建分配的 IP 范围和专用连接。这些任务通常必须由宿主项目中的网络管理员执行。设置宿主项目后，服务项目中的虚拟机实例即可使用专用连接。

通过混合连接访问

在混合网络场景中，本地网络通过 Cloud VPN 或 Cloud Interconnect 连接连接到 VPC 网络。 默认情况下，本地主机无法使用专用服务访问通道访问服务提供方的网络。

在 VPC 网络中，您可以使用自定义静态或动态路由将流量正确定向到本地网络。但是，服务提供方的网络不包含这些路由。创建专用连接后，VPC 网络和服务提供方网络仅交换子网路由。

服务提供方的网络包含一个通向互联网的默认路由 (0.0.0.0/0)。如果将默认路由导出到服务提供方的网络，则服务提供方网络会忽略该路由，因为其默认路由优先级较高。应改为定义并导出目的地更具体自定义路由。

如需了解详情，请参阅配置混合连接。

服务提供方网络

在专用连接的服务提供方一端是一个 VPC 网络，您可以在其中预配服务资源。服务提供方的网络专门为您创建，并且仅包含您的资源。

服务提供方网络中的资源类似于您的 VPC 网络中的其他资源。例如，VPC 网络中的其他资源可以通过内部 IP 地址来对其进行访问。您还可以在 VPC 网络中创建防火墙规则，控制对服务提供方网络的访问。

如需详细了解服务提供方端，请参阅 Service Infrastructure 文档中的启用专用服务访问通道。本文档仅供参考，并非启用或使用专用服务访问通道所需要。

价格

如需了解专用服务访问通道价格，请参阅 VPC 价格页面上的专用服务访问通道。

限制

专用服务访问通道存在以下限制：

• 由于专用连接作为 VPC 网络对等互连连接而实现，因此对等互连连接的行为和限制条件也适用于专用连接。例如，由于 VPC 网络对等互连不具有传递性，因此专用连接无法供对等互连 VPC 网络使用。

  如需了解详情，请参阅 VPC 网络对等互连、VPC 网络对等互连限制以及配额和限制。

• 只有一个服务使用方 VPC 网络可以创建连接到给定托管式服务实例的专用连接。不过，您可以通过一些方式使专用连接可供该 VPC 网络外部的资源使用。如需了解详情，请参阅服务实例的可达性。

• 您无法更改与分配的范围关联的 IP 地址范围。不过，您可以修改哪些分配的范围与专用连接关联。

• 不支持将 IPv6 地址范围与专用服务访问通道结合使用。

后续步骤

• 如需分配 IP 地址范围、创建专用连接或共享专用 DNS 区域，请参阅配置专用服务访问通道。