Private Service Connect consente ai consumer di accedere ai servizi gestiti privatamente dall'interno della propria rete Virtual Private Cloud (VPC). Allo stesso modo, consente ai producer di servizi gestiti di ospitare questi servizi nei propri progetti e reti VPC separati e di offrire una connessione privata ai propri consumer. Le connessioni Private Service Connect non sono transitive tra gli spoke VPC. La propagazione dei servizi Private Service Connect tramite l'hub Network Connectivity Center (NCC) consente a questi servizi di essere raggiungibili da qualsiasi altro spoke VPC nello stesso hub tramite la tabella di routing.
NCC supporta anche la propagazione degli endpoint regionali. Per saperne di più sugli endpoint regionali, consulta Informazioni sull'accesso agli endpoint regionali tramite gli endpoint Private Service Connect.
La funzionalità di propagazione della connessione Private Service Connect di NCC avvantaggia i seguenti casi d'uso:
Puoi utilizzare una rete VPC di servizi comuni per creare più endpoint consumer Private Service Connect. Se aggiungi una singola rete VPC di servizi comuni all'hub NCC, tutti gli endpoint consumer di Private Service Connect nella rete VPC diventano accessibili in modo transitivo ad altri spoke VPC tramite l'hub NCC. Questa connettività elimina la necessità di gestire individualmente ogni endpoint Private Service Connect in ogni rete VPC.
Puoi accedere ai servizi gestiti in una rete VPC spoke da reti on-premise raggiungibili dagli spoke ibridi.
Quando connetti uno spoke VPC a un hub con le connessioni propagate attive, NCC crea connessioni propagate nello spoke per tutti gli endpoint collegati allo stesso hub, a meno che la subnet dell'endpoint non sia esclusa dall'esportazione. Dopo che una rete VPC viene aggiunta a un hub NCC come spoke VPC, vengono propagati anche i nuovi endpoint Private Service Connect, a meno che la subnet dell'endpoint non sia esclusa dall'esportazione.
Per configurare un hub con una connessione propagata di Private Service Connect attivata, l'amministratore dell'hub deve creare un hub con la propagazione di Private Service Connect o aggiornare l'impostazione di propagazione utilizzando il flag --export-psc. Quindi, l'amministratore dell'hub deve aggiungere le reti VPC come spoke all'hub. Il proprietario dello spoke può utilizzare i flag --exclude-export-ranges e --include-export-ranges per escludere subnet allocate di Private Service Connect specifiche dal routing NCC, in modo che le subnet specificate non possano essere raggiunte da altre reti VPC, mantenendole così private per la rete VPC locale.
Per informazioni sulle connessioni propagate di Private Service Connect, consulta Informazioni sulle connessioni propagate.
Per informazioni sui flag --exclude-export-ranges e
--include-export-ranges, vedi Connettività VPC con filtri di esportazione.
Per informazioni dettagliate sulla configurazione di un hub per una connessione propagata di Private Service Connect, consulta Configurare un hub.
Limite di propagazione della connessione
Per maggiori dettagli sui limiti delle connessioni propagate, vedi Limite di connessioni propagate.
Considerazioni
Prima di attivare una connessione propagata di Private Service Connect, tieni presente quanto segue:
Una connessione propagata di Private Service Connect funziona solo con gli spoke VPC.
Le connessioni propagate IPv6 di Private Service Connect tra gli spoke VPC non sono supportate.
Se devi rendere disponibili le connessioni Private Service Connect propagate alle reti on-premise connesse agli spoke ibridi:
L'hub NCC deve avere una sola rete VPC di routing che contenga tutti i suoi spoke ibridi.
L'unica rete VPC di routing dell'hub deve essere anche uno spoke VPC.
Se un hub ha due o più reti VPC di routing, nessuna delle reti VPC di routing può essere anche spoke VPC. Di conseguenza, gli hub con due o più reti VPC di routing non possono rendere disponibili le connessioni Private Service Connect propagate alle reti on-premise.
Affinché la propagazione di Private Service Connect funzioni con gli spoke ibridi, è necessario aggiungere anche la rete VPC di routing come spoke VPC.
Poiché il filtro
--exclude-export-rangesnon è modificabile per uno spoke dopo la sua creazione, ti consigliamo di creare due subnet per ospitare gli endpoint Private Service Connect: una subnet per gli endpoint Private Service Connect solo all'interno della rete VPC e l'altra per gli endpoint Private Service Connect condivisi con l'hub. Quando aggiungi la rete VPC a un hub come spoke, aggiungi l'intervallo di indirizzi IP della subnet che ospita la rete VPC solo all'interno della rete VPC al filtro--exclude-export-rangesin modo che non venga condivisa con l'hub.Gli endpoint di Private Service Connect che utilizzano intervalli di indirizzi IP pubblici utilizzati privatamente non vengono propagati all'hub NCC.
Se una subnet in uno spoke VPC è configurata con NAT privata per accedere all'hub NCC, il traffico dalla subnet al servizio Private Service Connect propagato viene eliminato. Se il gateway Private NAT è configurato con
--nat-all-subnet-ip-ranges, la propagazione di Private Service Connect tramite NCC non funziona per tutte le subnet in questo VPC spoke. Per farlo funzionare da subnet non sovrapposte di questo VPC spoke, utilizza--nat-custom-subnet-ip-rangesper il gateway NAT privato. Non utilizzare NAT per instradare il traffico da subnet non sovrapposte all'hub NCC.Lo stato di propagazione potrebbe non essere preciso se crei, elimini e ricrei l'endpoint Private Service Connect in un breve periodo di tempo. Tuttavia, dopo un po' di tempo, lo stato di propagazione diventa preciso e riflette lo stato effettivo della connessione propagata. L'operazione potrebbe richiedere fino a 15 minuti.
La propagazione della connessione Private Service Connect è asincrona dopo la creazione o l'eliminazione dello spoke. Quando uno spoke VPC viene rimosso da un hub, potrebbe essere necessario del tempo per aggiornare le connessioni Private Service Connect propagate. Mentre l'aggiornamento della connessione di propagazione di Private Service Connect è in corso, il traffico dalla VM all'interno della rete VPC può fluire al backend, anche dopo che lo spoke VPC è stato aggiunto a un nuovo hub. Per evitare il flusso di traffico verso il backend, prima di aggiungere lo spoke a un altro hub, assicurati che tutte le voci di stato di propagazione per la rete VPC nell'hub precedente, sia come spoke di origine che come spoke di destinazione, vengano eliminate.
Stato di propagazione della connessione Private Service Connect
NCC ti consente di visualizzare lo stato della propagazione della connessione Private Service Connect all'interno di un hub NCC. Puoi visualizzare un riepilogo degli stati o visualizzare in dettaglio errori specifici per visualizzarne i dettagli.
La tabella seguente elenca i codici di stato di propagazione e il relativo significato.
| Codice | Messaggio |
|---|---|
| Pronto | La connessione Private Service Connect propagata è pronta. |
| Propagating | La propagazione della connessione Private Service Connect è in attesa. Si tratta di uno stato temporaneo. |
| Errore, limite di connessioni propagate dal producer superato | La propagazione della connessione Private Service Connect propagata non è riuscita perché la rete VPC o il progetto dello spoke di destinazione ha superato il limite di connessioni di propagazione impostato dal producer. Per risolvere il problema, consulta la documentazione del produttore o contatta il suo team di assistenza. |
| Errore, spazio IP NAT del producer esaurito | La propagazione della connessione Private Service Connect non è riuscita
perché lo spazio IP NAT della subnet è esaurito. È equivalente allo stato
Needs attention della connessione PSC. Per maggiori dettagli, consulta
Stati della connessione
nella documentazione di Private Service Connect.
|
| Errore, quota del producer superata | La propagazione della connessione Private Service Connect non è riuscita perché la quota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK nella rete VPC producer è stata superata.
|
| Errore, quota consumer superata | La propagazione della connessione Private Service Connect non è riuscita perché la quota
PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK nella rete VPC consumer
è stata superata.
|
Per informazioni su come visualizzare gli stati di propagazione della connessione Private Service Connect, consulta Visualizzare lo stato di propagazione della connessione Private Service Connect. Per informazioni sulla risoluzione dei problemi di propagazione della connessione Private Service Connect, consulta Risolvere gli errori di propagazione della connessione Private Service Connect.
Passaggi successivi
- Per creare hub e spoke, vedi Utilizzo di hub e spoke.
- Per visualizzare un elenco dei partner le cui soluzioni sono integrate con NCC, consulta Partner NCC.
- Per trovare soluzioni ai problemi comuni, consulta la sezione Risoluzione dei problemi.
- Per ottenere dettagli sui comandi API e Google Cloud CLI, consulta API e riferimenti.