Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על Private Service Connect

‫MySQL | PostgreSQL | SQL Server

בדף הזה מוסברים מושגים שקשורים ל-Private Service Connect. אפשר להשתמש ב-Private Service Connect כדי:

להתחבר למופע Cloud SQL מכמה רשתות VPC ששייכות לקבוצות, לצוותים, לפרויקטים או לארגונים שונים.
מתחברים למופע ראשי או לכל אחד מהרפליקות לקריאה שלו.

נקודת קצה של Private Service Connect

אתם יכולים להשתמש בנקודות קצה של Private Service Connect כדי לגשת באופן פרטי למופעי Cloud SQL מרשתות ה-VPC של הצרכנים. נקודות הקצה האלה הן כתובות IP פנימיות שמשויכות לכלל העברה שמפנה אל שירות מצורף של מכונת Cloud SQL.

אתם יכולים לאפשר ל-Cloud SQL ליצור את נקודת הקצה באופן אוטומטי, או ליצור את נקודת הקצה באופן ידני.

כדי שמערכת Cloud SQL תיצור את נקודת הקצה באופן אוטומטי, צריך לבצע את הפעולות הבאות:

יוצרים מדיניות לחיבור שירות ברשתות ה-VPC.
יוצרים מכונה של Cloud SQL עם Private Service Connect שמופעל עבור המכונה, ומגדירים את המכונה כך שתיצור נקודת קצה באופן אוטומטי. במהלך יצירת המכונה, מציינים פרמטרים של חיבור אוטומטי, כמו רשתות VPC ופרויקטים.

‫Cloud SQL מאתר את מדיניות חיבור השירות ברשתות האלה ויוצר נקודת קצה (endpoint) של Private Service Connect שמפנה לקובץ המצורף של השירות של המכונה.

אחרי שיוצרים את המופע ו-Cloud SQL יוצר את נקודת הקצה, הלקוחות ברשתות ה-VPC המתאימות יכולים להתחבר למופע מנקודת הקצה, באמצעות כתובת IP או רשומת DNS.

כדי ליצור את נקודת הקצה באופן ידני:

יוצרים מכונה של Cloud SQL עם Private Service Connect שמופעל עבור המכונה.
מקבלים את ה-URI של השירות המצורף שנדרש כדי ליצור את נקודת הקצה באופן ידני.
שומרים כתובת IP פנימית ברשת ה-VPC של נקודת הקצה ויוצרים נקודת קצה עם הכתובת הזו.

אחרי שיוצרים את המופע ו-Cloud SQL יוצר את נקודת הקצה, הלקוחות ברשתות ה-VPC המתאימות יכולים להתחבר למופע מנקודת הקצה, באמצעות כתובת IP או רשומת DNS.

מדיניות חיבור לשירות

מדיניות חיבור לשירות מאפשרת לכם להעניק הרשאה לסוג שירות מסוים ליצור חיבור Private Service Connect בין רשתות VPC. כתוצאה מכך, אתם יכולים להקצות נקודות קצה של Private Service Connect באופן אוטומטי.

אפשר ליצור מדיניות אחת לכל שילוב של סוג שירות, אזור ורשת VPC. המדיניות קובעת את האוטומציה של קישוריות השירות לשילוב הספציפי הזה. כשמגדירים מדיניות, בוחרים תת-רשת. רשת המשנה משמשת להקצאת כתובות IP לנקודות הקצה שאתם יוצרים באמצעות המדיניות. אם כמה כללי מדיניות לחיבור שירות משתפים את אותו אזור, אפשר להשתמש מחדש באותה רשת משנה לכל כללי המדיניות.

לדוגמה, אם רוצים להשתמש באוטומציה של קישוריות שירות עם שני שירותים בשלושה אזורים שונים, צריך ליצור שישה כללי מדיניות. אפשר להשתמש במינימום של שלושה תת-רשתות: אחת לכל אזור.

אחרי שיוצרים מדיניות של חיבור לשירות, אפשר לעדכן רק את רשתות המשנה ואת מגבלת החיבור של המדיניות. אם אתם צריכים לעדכן שדות אחרים, אתם יכולים לעשות את זה באופן הבא:

מסירים את כל החיבורים שמשתמשים במדיניות.
מוחקים את המדיניות.
יוצרים מדיניות חדשה.

קובץ מצורף עם השירות

כשיוצרים מופע Cloud SQL ומגדירים את המופע לשימוש ב-Private Service Connect, ‏ Cloud SQL יוצר באופן אוטומטי קובץ מצורף לשירות עבור המופע. שירות מצורף הוא נקודת צירוף שרשתות VPC משתמשות בה כדי לגשת למופע.

אתם יוצרים נקודת קצה של Private Service Connect שרשת ה-VPC משתמשת בה כדי להתחבר לצירוף השירות. כך הרשת יכולה לגשת למופע.

לכל מופע Cloud SQL יש קובץ מצורף אחד לשירות שאליו נקודת הקצה של Private Service Connect יכולה להתחבר דרך רשת ה-VPC. אם יש כמה רשתות, לכל רשת יש נקודת קצה משלה.

שמות ורשומות DNS

במקרים שבהם מופעל Private Service Connect, מומלץ להשתמש בשם ה-DNS כי רשתות שונות יכולות להתחבר לאותה מכונה, ונקודות הקצה של Private Service Connect בכל רשת עשויות להיות עם כתובות IP שונות. בנוסף, שרת proxy ל-Cloud SQL Auth דורש שמות DNS כדי להתחבר למכונות האלה.

למופעי Cloud SQL שמופעל בהם Private Service Connect יכולים להיות שני סוגים של שמות DNS:

שם DNS לכל מופע. האפשרות הזו זמינה למכונות בכל המהדורות של Cloud SQL. למופע הראשי ולכל מופע משוכפל יש שמות DNS נפרדים לכל מופע.
שם DNS של נקודת קצה גלובלית לכתיבה. התכונה הזו זמינה למופעים במהדורת Cloud SQL Enterprise Plus, כדי לעזור בשחזור מתקדם מאסון (ADR). נקודת קצה לכתיבה היא שם DNS גלובלי שמקבל באופן אוטומטי את כתובת ה-IP של המופע הראשי הנוכחי. במקרה של מעבר לגיבוי אוטומטי של רפליקה או של פעולת מעבר, נקודת הקצה הזו של הכתיבה מפנה אוטומטית את החיבורים הנכנסים למופע הראשי החדש. שימוש בנקודת קצה לכתיבה מאפשר לכם להימנע משינויים בחיבור האפליקציה כשאתם מבצעים גיבוי של רפליקה או פעולת מעבר לגיבוי במקרה של הפסקת חשמל באזור, או תרגיל התאוששות מאסון.

כדי להגדיר שם DNS לכל מופע, אפשר לבחור ש-Cloud SQL ייצור עבורכם באופן אוטומטי רשומות DNS, או ליצור את שם ה-DNS באופן ידני.

אם אתם משתמשים בגישה הידנית, אתם יכולים לקבל את שם ה-DNS המומלץ לכל מופע מתגובת ה-API של בדיקת המופע, ואז ליצור את רשומת ה-DNS באזור DNS פרטי ברשת ה-VPC המתאימה. פרטים נוספים זמינים במאמר בנושא הגדרה ידנית של DNS.

תכונת האוטומציה של DNS

לחלופין, אפשר להשתמש בתכונת האוטומציה של DNS כדי לאפשר ל-Cloud SQL להקצות ולנהל באופן אוטומטי רשומות DNS עבור שם ה-DNS של כל מופע ברשתות ה-VPC המורשות של הלקוח.

למידע נוסף על הפעלה והגדרה של אוטומציה של DNS, אפשר לעיין במאמר בנושא יצירת מופע עם אוטומציה של DNS.

כשמשתמשים בתכונת האוטומציה של DNS במופעים של Cloud SQL במהדורת Enterprise Plus,‏ Cloud SQL גם מקצה ומנהל באופן אוטומטי רשומות DNS עבור שם ה-DNS הגלובלי של נקודת הקצה לכתיבה ברשתות ה-VPC המורשות של הלקוח.

לאוטומציה של DNS יש את המגבלות הבאות:

אי אפשר להתחבר משרת proxy לאימות או ממחברים של שפות אל שם DNS או אל נקודת קצה לכתיבה שנוצרו באמצעות אוטומציה של DNS לכל מופע.
אי אפשר להגדיר אוטומציה של DNS באמצעות Google Cloud המסוף או Terraform.

פרויקטים מורשים של Private Service Connect

פרויקטים מורשים משויכים לרשתות VPC, והם ספציפיים לכל מופע Cloud SQL. אם מופע לא נכלל באף אחד מהפרויקטים המותרים, אי אפשר להפעיל Private Service Connect עבור המופע.

בפרויקטים האלה, אפשר ליצור נקודות קצה של Private Service Connect לכל מופע. אם פרויקט לא מורשה באופן מפורש, עדיין אפשר ליצור נקודת קצה עבור המופעים בפרויקט, אבל נקודת הקצה נשארת במצב PENDING.

הפצה של נקודת קצה מסוג Private Service Connect

כברירת מחדל, חיבורים של Private Service Connect לא עוברים מרשתות VPC מקושרות. צריך ליצור נקודת קצה של Private Service Connect בכל רשת VPC שצריך לחבר למופע Cloud SQL. לדוגמה, אם יש לכם שלוש רשתות VPC שצריכות להתחבר למופע, אתם צריכים ליצור שלוש נקודות קצה של Private Service Connect – נקודת קצה אחת לכל רשת VPC.

עם זאת, אם מעבירים נקודות קצה של Private Service Connect דרך מרכז Network Connectivity Center, אפשר להגיע לנקודות הקצה האלה מכל רשת VPC מסוג spoke באותו מרכז. המרכז מספק מודל מרכזי לניהול קישוריות, שמאפשר לקשר בין רשתות VPC מסוג spoke לבין נקודות קצה של Private Service Connect.

התכונה 'הפצת חיבורים' ב-NCC מועילה לתרחיש השימוש הבא של פריסות Private Service Connect:

אתם יכולים להשתמש ברשת VPC של שירותים משותפים כדי ליצור כמה נקודות קצה של Private Service Connect. אם מוסיפים רשת VPC משותפת אחת של שירותים למרכז NCC, כל נקודות הקצה של Private Service Connect ברשת ה-VPC הופכות לנגישות באופן טרנזיטיבי לרשתות VPC אחרות מסוג spoke דרך המרכז. הקישוריות הזו מבטלת את הצורך לנהל כל נקודת קצה של Private Service Connect בכל רשת VPC בנפרד.

במאמר NCC—Private Service Connect propagation codelab מוסבר איך להשתמש במרכז NCC כדי להפיץ נקודות קצה של Private Service Connect לרשתות VPC מסוג spoke.

קצה עורפי של Private Service Connect

אתם יכולים להשתמש בבק-אנדים של Private Service Connect כחלופה לנקודות קצה (endpoints) של Private Service Connect כדי לגשת למופעים של Cloud SQL. כדי להקל על השימוש, מומלץ להתחבר למופעי Cloud SQL באמצעות נקודות קצה (endpoints) של Private Service Connect. כדי לקבל שליטה נוספת ולראות את הנתונים, אפשר להתחבר באמצעות בק-אנדים של Private Service Connect.

כדי להשתמש בבק-אנדים של Private Service Connect, צריך להגדיר את המשאבים הבאים לכל יציאת שרת שרוצים לגשת אליה במכונה מסוימת של Cloud SQL:

קבוצה של נקודות קצה ברשת (NEG) מסוג Private Service Connect, שצריכה להפנות לקובץ המצורף של השירות ולפורט שרת של מכונת Cloud SQL.
מאזן עומסי רשת פנימי מסוג Proxy (שכולל שירות לקצה העורפי, TCP Proxy ליעד וכלל העברה) עם קצה עורפי מסוג Private Service Connect NEG.

אלה יציאות ההצגה הנתמכות של SQL Server:

יציאת TCP ‏1433 לחיבורים ישירים לשרת מסד נתונים של SQL Server.
יציאת TCP‏ 3307 לחיבורים דרך Cloud SQL Auth Proxy.

חיבורים יוצאים של Private Service Connect

אתם יכולים לצרף ממשק Private Service Connect למכונות קיימות של Cloud SQL שמופעל בהן Private Service Connect באמצעות חיבור לרשת, כדי לאפשר למכונת Cloud SQL ליצור חיבורים יוצאים לרשת שלכם. כדי להתחבר לממשק Private Service Connect של הרשת, צריך ליצור קובץ מצורף חדש לרשת או להשתמש בקובץ מצורף קיים לרשת בתוך פרויקט Google Cloud .

אפשר להשתמש בקישוריות יוצאת כדי להעביר נתונים משרת חיצוני ברשת שלכם, להשתמש בשרת מקושר שדורש חיבור יוצא או לבצע העברה הומוגנית באמצעות Database Migration Service.

מגבלות

כשמשתמשים בממשק Private Service Connect עם רכיב Network Attachment כדי ליצור חיבורים יוצאים לרשת ממופע Cloud SQL, חשוב לשים לב להגבלות הבאות:

הפעלה או השבתה של קישוריות יוצאת של Private Service Connect מחייבות השבתה. הפעולה הזו תימשך כ-8 דקות, עם זמן השבתה משוער של 3 דקות.
אם אתם משתמשים בשם מארח או ב-DNS לחיבור היוצא, שם ה-DNS צריך להיות ניתן לפתרון באופן ציבורי ולפתור לטווח כתובות IP של RFC-1918.
אין תמיכה בכתובות IPv6.
אין תמיכה בכתובות IP ציבוריות.
אי אפשר להפעיל קישוריות יוצאת של Private Service Connect במכונת רפליקה לקריאה.
מעבר לגיבוי (Switchover) לא נתמך במקרים שבהם מופעלת קישוריות יוצאת של Private Service Connect במכונות וירטואליות.
אי אפשר להפעיל קישוריות יוצאת של Private Service Connect במכונה שיש לה רפליקה של DR.
אי אפשר להמיר את העותק של מכונה שמופעלת בה קישוריות יוצאת של Private Service Connect לעותק DR.
אם כתובת ה-IP של הקישוריות היוצאת מתנגשת עם כתובת ה-IP של eth0 או עם כלל ההעברה של Private Service Connect, יכול להיות שכתובת ה-IP לא תתחבר בצורה תקינה. מידע נוסף זמין במאמר סקירה כללית על Private Service Connect.
אם המופע שלכם מוגדר לגישה לשירותים פרטיים ול-Private Service Connect, לא תוכלו להפעיל קישוריות יוצאת של Private Service Connect למופע.
אם מפעילים קישוריות יוצאת של Private Service Connect למכונה, אי אפשר ליצור רפליקה למכונה הזו.

מידע נוסף על הגדרת קישוריות יוצאת למופע Cloud SQL זמין במאמר בנושא הגדרת קישוריות יוצאת.