私人服務存取權
本頁提供私人服務存取權的總覽。
Google 與第三方 (合稱為「服務供應商」) 可提供在虛擬私有雲網路上託管的服務。私人服務存取權可讓您透過私人連線,連線至這些 Google 和第三方服務的內部 IP 位址。如果您想讓虛擬私人雲端網路中的 VM 執行個體使用內部 IP 位址 (而非外部 IP 位址),私人服務存取就能派上用場。如要進一步瞭解如何使用私人服務存取權,請參閱「設定私人服務存取權」。
如要使用私人服務存取,您必須先分配內部 IPv4 位址範圍,然後建立私人連線。分配範圍是預留的 CIDR 區塊,無法在您的本機虛擬私人雲端網路中使用,而僅供服務供應商使用,避免您的虛擬私人雲端網路與服務供應商的虛擬私人雲端網路之間發生重疊情形。
私人連線會將您的虛擬私人雲端網路連結至服務供應商的虛擬私人雲端網路。您虛擬私有雲網路中的 VM 執行個體可透過這個連線,使用內部 IPv4 位址連線至服務資源。執行個體可以有外部 IP 位址,但私人服務存取權不需要也不會使用外部 IP 位址。
如果服務供應商提供多項服務,您只需要一個私人連線即可。私人連線是使用 Service Networking API 建立的,但 Google Cloud會將這個連線實作成您的虛擬私有雲網路和服務供應商的虛擬私有雲網路之間的虛擬私有雲網路對等互連連線。您的虛擬私人雲端網路會顯示該連線為對等互連連線,如要刪除這個私人連線,您必須刪除對等互連連線。
不支援使用 IPv6 位址範圍搭配私人服務存取權。
您只能在支援私人服務存取的服務使用私人服務存取。建立私人連線前,請先與服務供應商進行確認。
服務供應商網路
私人連線的服務供應商端是虛擬私人雲端網路,其中佈建了您的服務資源。服務供應商的網路是專為您建立,並且只包含您的資源。
服務供應商網路中的資源與您虛擬私有雲網路中的其他資源類似。舉例來說,虛擬私人雲端網路中的其他資源可透過內部 IP 位址連線至服務供應商網路中的資源。您也可以在自己的虛擬私人雲端網路中建立防火牆規則,控管服務供應商網路的存取權。
如要進一步瞭解服務供應商端,請參閱服務基礎架構說明文件的「啟用私人服務存取權」一節。這份說明文件僅供參考,略過不讀也可啟用或使用私人服務存取。
私人服務存取和內部部署連線能力
在混合式網路情境下,內部部署網路會透過 Cloud VPN 或 Cloud Interconnect 連線,連線至虛擬私有雲網路。根據預設,內部部署主機無法使用私人服務存取權,連線到服務供應商的網路。
在 VPC 網路中,您可能已有自訂的動態或靜態路徑,正確地將流量導向內部部署網路。然而,服務供應商的網路不包含那些相同的路徑。建立私人連線之後,VPC 網路和服務供應商網路只會交換子網路路徑。
服務供應商的網路包含連往網際網路的預設路徑 (0.0.0.0/0
)。如果您將預設路徑匯出至服務供應商的網路,系統會忽略該路徑,因為服務供應商網路的預設路徑具有優先順序。請改為定義並匯出具有更明確目的地的自訂路徑。詳情請參閱「轉送順序」。
您必須匯出 VPC 網路的自訂路徑,讓服務供應商的網路能夠匯入這些路徑,並將流量正確地轉送至內部部署網路。更新與私人連線相關聯的虛擬私有雲對等互連設定,以匯出自訂路徑。
使用 Network Connectivity Center 的服務傳遞性
對於可透過私人服務存取權存取的部分服務,您可以使用 Network Connectivity Center 建立供應商虛擬私有雲輪輻,讓中樞的其他輪輻也能存取該服務。如需進一步瞭解相關資訊 (包括支援哪些服務),請參閱「供應商虛擬私有雲輪輻」。
注意事項
設定私人服務存取權之前,請先瞭解選擇虛擬私有雲網路和 IP 位址範圍的注意事項。
支援的服務
下列 Google 服務支援私人服務存取權:
- AI 平台訓練
- PostgreSQL 適用的 AlloyDB
- Apigee
- 備份和災難復原
- Cloud Build
- 雲端入侵偵測系統
- Cloud SQL (不支援 DNS 對等連線)
- Cloud TPU
- Converge Enterprise Cloud 與 IBM Power for Google Cloud
- Filestore
- Google Cloud VMware Engine
- Looker (Google Cloud Core)
- Memorystore for Memcached
- Memorystore for Redis
- Vertex AI
範例
在下列範例中,客戶的虛擬私人雲端網路針對 Google 服務分配了 10.240.0.0/16
位址範圍,並建立了使用該分配範圍的私人連線。每個 Google 服務都會使用分配的區塊建立子網路,以便在指定地區中佈建新資源,例如 Cloud SQL 執行個體。
- 指派給私人連線的分配範圍為
10.240.0.0/16
,Google 服務可透過這個分配範圍建立子網路來佈建新資源。 - 在私人連線的 Google 服務端,Google 會為客戶建立專案。專案會獨立建立,代表沒有其他客戶會共用該專案,而且系統僅會針對客戶佈建的資源收取費用。Google 也會在這個隔離專案中建立 VPC 網路,並透過 VPC 網路對等互連將網路連結至客戶網路。
- 每個 Google 服務都會建立子網路來佈建資源。子網路的 IP 位址範圍是來自分配 IP 位址範圍的 CIDR 區塊。CIDR 區塊是由服務選擇,通常有
/29
到/24
IP 位址範圍。您無法修改服務供應商的子網路。服務會在其先前建立的現有地區子網路中佈建新資源。如果子網路已滿,服務會在相同地區中建立新的子網路。 - 建立子網路後,客戶網路會從服務網路匯入路徑。
- 客戶網路中的 VM 執行個體可存取任何地區中的服務資源 (如果服務提供相關支援)。不過有些服務可能不支援跨地區通訊。詳情請參閱相關服務的說明文件。
- 指派給 Cloud SQL 執行個體的 IP 位址為
10.240.0.2
。在客戶虛擬私人雲端網路中,目的地為10.240.0.2
的要求會透過私人連線轉送至服務供應商的網路。連上服務網路後,服務網路會包含可將要求導向正確資源的路徑。 - 虛擬私人雲端網路之間的流量是在 Google 的網路內傳輸,而非透過公開網際網路傳輸。
定價
如要瞭解私人服務存取權的價格,請參閱 VPC 價格頁面中的「私人服務存取權」。
後續步驟
- 如要分配 IP 位址範圍、建立私人連線或共用私人 DNS 區域,請參閱「設定私人服務存取權」。