Private Service Connect 可讓消費者從虛擬私有雲 (VPC) 網路內部,以私密方式存取代管服務。同樣地,代管服務生產端也能在自己的獨立虛擬私有雲網路和專案中代管這些服務,並為消費者提供私人連線。Private Service Connect 連線不會在虛擬私有雲輪輻之間傳輸。透過 Network Connectivity Center (NCC) 中樞傳播 Private Service Connect 服務後,同一個中樞內的其他輪輻虛擬私有雲即可透過路由表連上這些服務。
NCC 也支援區域端點傳播。如要進一步瞭解區域性端點,請參閱「透過 Private Service Connect 端點存取區域性端點」。
NCC Private Service Connect 連線傳播功能適用於下列用途:
您可以使用通用服務虛擬私有雲網路,建立多個 Private Service Connect 消費者端點。只要將單一通用服務虛擬私有雲網路新增至 NCC 中樞,虛擬私有雲網路中的所有 Private Service Connect 消費者端點,即可透過 NCC 中樞供其他虛擬私有雲輪輻間接存取。有了這項連線功能,您就不必在每個虛擬私有雲網路中,個別管理每個 Private Service Connect 端點。
您可以透過混合式輪輻,從可連線的內部部署網路存取虛擬私有雲輪輻網路中的代管服務。
將虛擬私有雲輪輻連至已啟用傳播連線的中樞時,NCC 會在該輪輻中為附加至相同中樞的任何端點建立傳播連線,除非端點的子網路已排除在匯出範圍外。將虛擬私有雲網路以虛擬私有雲輪輻的形式新增至 NCC 中樞後,系統也會傳播新的 Private Service Connect 端點,除非端點的子網路已從匯出作業中排除。
如要設定啟用 Private Service Connect 傳播連線的中心,中心管理員必須建立中心,並使用 Private Service Connect 傳播或 --export-psc 旗標更新傳播設定。接著,中樞管理員必須將虛擬私有雲網路新增為中樞的輪輻。輪輻擁有者可以使用 --exclude-export-ranges 和 --include-export-ranges 標記,從 NCC 路由中排除特定的 Private Service Connect 已分配子網路,這樣其他 VPC 網路就無法連線至指定的子網路,確保這些子網路僅供本機 VPC 網路使用。
如要瞭解 Private Service Connect 傳播連線,請參閱「關於傳播連線」。
如要瞭解 --exclude-export-ranges 和 --include-export-ranges 標記,請參閱「VPC connectivity with export filters」(使用匯出篩選器進行 VPC 連線)。
如要進一步瞭解如何為 Private Service Connect 傳播的連線設定中繼站,請參閱「設定中繼站」。
連線傳播限制
如要進一步瞭解傳播連線限制,請參閱「傳播連線限制」。
注意事項
啟用 Private Service Connect 傳播連線前,請注意下列事項:
Private Service Connect 傳播連線僅適用於虛擬私有雲輪輻。
不支援透過虛擬私有雲輪輻傳播的 Private Service Connect IPv6 連線。
如要讓連線至混合型 Spoke 的地端部署網路使用傳播的 Private Service Connect 連線,請按照下列步驟操作:
NCC 中樞只能有一個路由虛擬私有雲網路,其中包含所有混合式輪輻。
中樞的單一路由虛擬私有雲網路也必須是虛擬私有雲輪輻。
如果中樞有一個以上的路由虛擬私有雲網路,則這些網路都不能同時是虛擬私有雲輪輻。因此,如果中樞有兩個以上的路由虛擬私有雲網路,就無法將傳播的 Private Service Connect 連線提供給地端部署網路。
如要讓 Private Service Connect 傳播功能與混合式輪輻搭配運作,也必須將轉送虛擬私有雲網路新增為虛擬私有雲輪輻。
由於輪輻建立後,
--exclude-export-ranges篩選器就無法變更,因此建議您建立兩個子網路來代管 Private Service Connect 端點,一個子網路用於僅限虛擬私有雲網路的 Private Service Connect 端點,另一個則用於與中樞共用的 Private Service Connect 端點。將虛擬私有雲網路新增至中樞做為輪輻時,請將僅限虛擬私有雲網路的虛擬私有雲網路所代管子網路的 IP 位址範圍新增至--exclude-export-ranges篩選器,以免與中樞共用。使用私用公開 IP 位址範圍的 Private Service Connect 端點不會傳播至 NCC 中樞。
如果虛擬私有雲輪輻中的子網路已設定 Private NAT 來存取 NCC 中樞,則子網路傳送至傳播的 Private Service Connect 服務的流量會遭到捨棄。如果 Private NAT 閘道已設定
--nat-all-subnet-ip-ranges,則透過 NCC 傳播 Private Service Connect 的功能,無法用於這個輪輻虛擬私有雲中的所有子網路。如要從這個虛擬私有雲端 Spoke 的不重疊子網路運作,請使用--nat-custom-subnet-ip-ranges做為 Private NAT 閘道。請勿使用 NAT 將流量從不重疊的子網路轉送至 NCC 中樞。如果在短時間內建立、刪除及重新建立 Private Service Connect 端點,傳播狀態可能不準確。不過一段時間後,傳播狀態就會準確反映傳播連結的實際狀態。這項作業最多可能需要 15 分鐘才能完成。
建立或刪除 Spoke 後,Private Service Connect 連線傳播作業會以非同步方式進行。從中樞移除 VPC 輪輻後,系統可能需要一段時間,才能更新傳播的 Private Service Connect 連線。Private Service Connect 傳播連線更新作業進行期間,即使虛擬私有雲輪輻已新增至新的中樞,虛擬私有雲網路中的 VM 流量仍可流向後端。為避免流量流向後端,請先刪除先前中樞網路中 VPC 網路的所有傳播狀態項目 (無論是來源輪輻或目標輪輻),再將輪輻新增至其他中樞網路。
Private Service Connect 連線傳播狀態
您可以在 NCC 中樞內查看 Private Service Connect 連線傳播狀態。您可以查看狀態摘要,或深入瞭解特定錯誤,查看錯誤詳細資料。
下表列出傳播狀態碼及其意義。
| 程式碼 | 訊息 |
|---|---|
| 準備 | 傳播的 Private Service Connect 連線已就緒。 |
| 傳播 | Private Service Connect 連線傳播作業尚未完成。這是暫時狀態。 |
| 錯誤:超過供應端傳播連線限制 | 無法傳播 Private Service Connect 連線,因為目標輪輻的專案或虛擬私有雲網路已超過供應商設定的傳播連線限制。如要解決這個問題,請參閱製作工具的說明文件,或與支援團隊聯絡。 |
| 錯誤:供應端 NAT IP 空間已用盡 | 無法傳播 Private Service Connect 連線,因為網路位址轉譯 (NAT) IP 子網路空間已用盡。這相當於 PSC 連線的
Needs attention狀態。詳情請參閱 Private Service Connect 說明文件中的「連線狀態」。 |
| 錯誤:超過供應端配額 | 無法傳播 Private Service Connect 連線,因為已超過供應商虛擬私有雲網路的 PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK 配額。 |
| 錯誤:超過用戶端配額 | 無法傳播 Private Service Connect 連線,因為已超過用戶虛擬私有雲網路的 PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK 配額。 |
如要瞭解如何查看 Private Service Connect 連線傳播狀態,請參閱「查看 Private Service Connect 連線傳播狀態」。如需 Private Service Connect 連線傳播問題的疑難排解資訊,請參閱「排解 Private Service Connect 連線傳播錯誤」。
後續步驟
- 如要建立中樞和輪輻,請參閱「與中樞和輪輻搭配使用」。
- 如要查看解決方案已與 NCC 整合的合作夥伴清單,請參閱 NCC 合作夥伴。
- 如要瞭解常見問題的解決方案,請參閱「疑難排解」。
- 如要瞭解 API 和 Google Cloud CLI 指令的詳細資料,請參閱「API 和參考資料」。