Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על גישה לשירותים שפורסמו דרך נקודות קצה

במאמר הזה מוסבר איך להתחבר לשירותים ברשת VPC אחרת באמצעות נקודות קצה של Private Service Connect. אתם יכולים להתחבר לשירותים שלכם או לשירותים שסופקו על ידי ספקי שירותים אחרים, כולל Google.

הלקוחות מתחברים לנקודת הקצה באמצעות כתובות IP פנימיות. ‫Private Service Connect מבצע תרגום כתובות רשת (NAT) כדי לנתב את הבקשה לשירות.

מידע נוסף על שירותים שפורסמו זמין במאמר מידע על שירותים שפורסמו.

נקודת קצה של Private Service Connect מתחברת באופן פרטי לשירות מנוהל שמארח ברשת VPC אחרת. — נקודת קצה של Private Service Connect מאפשרת לצרכני שירות לשלוח תעבורה מרשת ה-VPC של הצרכן לשירותים ברשת ה-VPC של ספק השירות. הצרכן, נקודת הקצה והשירות צריכים להיות באותו אזור. (לחצו כדי להגדיל).

תכונות ותאימות

בטבלאות הבאות, הסימן מציין שיש תמיכה בתכונה, והסימן מציין שאין תמיכה בתכונה.

הגדרות של צרכנים

בטבלה הבאה מפורטות אפשרויות ההגדרה הנתמכות והיכולות של נקודות קצה שמאפשרות גישה לשירותים שפורסמו.

יצרן היעד	הגדרות של צרכן (נקודת קצה)
יצרן היעד	גישה גלובלית לצרכנים	גישה היברידית	הגדרה אוטומטית של DNS (IPv4 בלבד)	גישה לקישור בין רשתות VPC שכנות (peering)	הפצת חיבור NCC (IPv4 בלבד)	שירותי יעד נתמכים לנקודות קצה של IPv4	שירותי יעד נתמכים לנקודות קצה של IPv6
מאזן עומסים פנימי של אפליקציות (ALB) חוצה אזורים						שירותי IPv4	שירותי IPv4
מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי	רק אם הגישה הגלובלית מופעלת במאזן העומסים (בעיה מוכרת)					שירותי IPv4	שירותי IPv4 שירותי IPv6
העברת פרוטוקול פנימית (מופע יעד)	רק אם הגישה הגלובלית מופעלת בכלל ההעברה של הספק (בעיה ידועה)					שירותי IPv4	שירותי IPv4 שירותי IPv6
שירותי מיפוי יציאות	רק אם הגישה הגלובלית מופעלת בכלל ההעברה של הספק					שירותי IPv4	שירותי IPv4 שירותי IPv6
מאזן עומסים פנימי אזורי של אפליקציות (ALB)	רק אם הגישה הגלובלית מופעלת במאזן העומסים לפני שנוצרת ההצמדה לשירות					שירותי IPv4	שירותי IPv4
מאזן עומסי רשת פנימי אזורי בשרת proxy	רק אם הגישה הגלובלית מופעלת במאזן העומסים לפני שנוצרת ההצמדה לשירות					שירותי IPv4	שירותי IPv4
Secure Web Proxy						שירותי IPv4	שירותי IPv4

הגדרות אישיות של יוצר

בטבלה הזו מפורטות האפשרויות והיכולות הנתמכות של שירותים שפורסמו ושיש אליהם גישה דרך נקודות קצה.

סוג המפיק	הגדרות של הבעלים של שירות מנוהל (שירות שפורסם)
סוג המפיק	מערכות קצה עורפיות נתמכות של יוצרים	פרוטוקול PROXY (תנועת TCP בלבד)	גרסת IP
מאזן עומסים פנימי של אפליקציות (ALB) חוצה אזורים	‫GCE_VM_IP_PORT zonal NEGs קבוצות NEG היברידיות קבוצות NEGs ללא שרת (serverless) קבוצות של נקודות קצה ברשת (NEGs) ב-Private Service Connect קבוצות של מכונות		IPv4
מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי	‫GCE_VM_IP zonal NEGs קבוצות של מכונות		IPv4 IPv6
העברת פרוטוקול פנימית (מופע יעד)	לא רלוונטי		IPv4 IPv6
שירותי מיפוי יציאות	‫NEG למיפוי יציאות		IPv4 IPv6
מאזן עומסים פנימי אזורי של אפליקציות (ALB)	‫GCE_VM_IP_PORT zonal NEGs קבוצות NEG היברידיות קבוצות NEGs ללא שרת (serverless) קבוצות של נקודות קצה ברשת (NEGs) ב-Private Service Connect קבוצות של מכונות קבוצות אזוריות של נקודות קצה ברשת האינטרנט (NEGs)		IPv4
מאזן עומסי רשת פנימי אזורי בשרת proxy	‫GCE_VM_IP_PORT zonal NEGs קבוצות NEG היברידיות קבוצות של נקודות קצה ברשת (NEGs) ב-Private Service Connect קבוצות של מכונות		IPv4
Secure Web Proxy	לא רלוונטי		IPv4

מאזני עומסים שונים תומכים בהגדרות שונות של יציאות. חלקם תומכים ביציאה אחת, חלקם תומכים בטווח של יציאות וחלקם תומכים בכל היציאות. מידע נוסף זמין במאמר בנושא מפרטים של יציאות.

מגבלות

לנקודות קצה שיש להן גישה לשירות שפורסם יש את המגבלות הבאות:

אי אפשר ליצור נקודת קצה באותה רשת VPC כמו השירות שפורסם שאליו אתם ניגשים.
אי אפשר לשכפל חבילות נתונים באמצעות Packet Mirroring לתעבורה של שירותים שפורסמו ב-Private Service Connect.
לא כל המסלולים הסטטיים עם קפיצות למאזן עומסים נתמכים ב-Private Service Connect. מידע נוסף מופיע במאמר בנושא Static routes with load balancer next hops (מסלולים סטטיים עם מאזן עומסים של קפיצות הבאות).
בדיקות קישוריות לא יכולות לבדוק קישוריות בין נקודת קצה של IPv6 לבין שירות שפורסם.

גישה מקומית

אפשר לגשת לנקודות קצה שמשמשות לגישה ל-Google APIs ממארחים מקומיים מקושרים נתמכים. מידע נוסף זמין במאמר גישה לנקודות קצה מרשתות היברידיות.

מפרטים

צריך ליצור נקודות קצה מסוג Private Service Connect באותו אזור שבו נמצא השירות שפורסם ומוגדר כיעד של נקודת הקצה.
נקודת הקצה צריכה להיווצר ברשת VPC שונה מרשת ה-VPC שמכילה את שירות היעד.
אם אתם משתמשים ב-VPC משותף, אתם יכולים ליצור את נקודת הקצה בפרויקט המארח או בפרויקט השירות.
כברירת מחדל, אפשר לגשת לנקודת הקצה רק מלקוחות שנמצאים באותו אזור ובאותה רשת VPC (או באותה רשת VPC משותפת) כמו נקודת הקצה. מידע על הפיכת נקודות קצה לזמינות באזורים אחרים זמין במאמר גישה גלובלית.
כתובת ה-IP שאתם מקצים לנקודת הקצה צריכה להיות מתוך תת-רשת רגילה.
- אפשר להשתמש בכתובת IPv4 מתת-רשת IPv4 בלבד או מתת-רשת עם תמיכה כפולה.
- אפשר להשתמש בכתובת IPv6 מרשת משנה עם IPv6 בלבד או מרשת משנה עם תמיכה כפולה, אם לרשת המשנה יש טווח כתובות IPv6 פנימיות.
- גרסת ה-IP של כתובת ה-IP משפיעה על השירותים שפורסמו ושאליהם נקודת הקצה יכולה להתחבר. מידע נוסף זמין במאמר בנושא תרגום גרסת IP.
- כתובת ה-IP נספרת במסגרת מכסת הפרויקט של כתובות IPv4 פנימיות סטטיות או של כתובות IPv6 פנימיות סטטיות.
כשיוצרים נקודת קצה כדי להתחבר לשירות, אם לשירות מוגדר שם דומיין DNS, נוצרים באופן אוטומטי ברשת ה-VPC שלכם רשומות DNS פרטיות עבור נקודת הקצה.
לכל נקודת קצה יש כתובת IP ייחודית משלה, ואפשרותית גם שם DNS ייחודי משלה.

סטטוסים של חיבורים

לנקודות קצה, לקצוות עורפיים ולחיבורי שירות של Private Service Connect יש סטטוסים של חיבור שמתארים את מצב החיבורים שלהם. למשאבי הצרכן והבעלים שיוצרים את שני הצדדים של החיבור תמיד יש את אותו סטטוס. אפשר לראות את סטטוס החיבור כשמציגים את פרטי נקודת הקצה, מתארים את ה-backend או מציגים את הפרטים של שירות שפורסם.

בטבלה הבאה מפורטים הסטטוסים האפשריים.

סטטוס החיבור	תיאור
אושרה	החיבור ל-Private Service Connect נוצר. יש קישוריות בין שתי רשתות ה-VPC, והחיבור פועל כרגיל.
בהמתנה	החיבור של Private Service Connect לא נוצר, ולא ניתן להעביר תנועה ברשת בין שתי הרשתות. יכול להיות שהסטטוס של החיבור יהיה כזה מהסיבות הבאות: נדרש אישור מפורש לצירוף השירות, והצרכן לא נמצא ברשימת הצרכנים המורשים. מספר החיבורים חורג ממגבלת החיבורים של קובץ השירות. חיבורים שנחסמו מהסיבות האלה יישארו במצב 'בהמתנה' לזמן בלתי מוגבל עד שהבעיה הבסיסית תיפתר.
נדחתה	החיבור ל-Private Service Connect לא נוצר. תעבורת הנתונים ברשת לא יכולה לעבור בין שתי הרשתות. יכול להיות שהסטטוס של החיבור יהיה כזה מהסיבות הבאות: מדיניות הארגון של היצרן דחתה את החיבור. ‫A consumer reject list rejected the connection.
נדרשת התייחסות	יש בעיה בצד של המפיק בחיבור. יכול להיות שחלק מעומס התנועה הקל יעבור בין שתי הרשתות, אבל יכול להיות שחלק מהחיבורים לא יפעלו. לדוגמה, יכול להיות שרשת המשנה של NAT של היצרן מלאה ואין אפשרות להקצות כתובות IP לחיבורים חדשים.
סגור	הקובץ המצורף עם השירות נמחק, והחיבור של Private Service Connect נסגר. תעבורת הנתונים ברשת לא יכולה לעבור בין שתי הרשתות. חיבור סגור הוא מצב סופי. כדי לשחזר את החיבור, צריך ליצור מחדש את קובץ השירות ואת נקודת הקצה או את ה-backend.

תרגום של גרסת ה-IP

בנקודות קצה של Private Service Connect שמחוברות לשירותים שפורסמו (קבצים מצורפים של שירותים), גרסת ה-IP של כתובת ה-IP של כלל ההעברה של הצרכן קובעת את גרסת ה-IP של נקודת הקצה והתנועה שיוצאת מנקודת הקצה. כתובת ה-IP יכולה להגיע מרשת משנה עם IPv4 בלבד, IPv6 בלבד או עם שניהם (dual-stack). גרסת ה-IP של נקודת הקצה יכולה להיות IPv4 או IPv6, אבל לא שתיהן.

בשירותים שפורסמו, גרסת ה-IP של קובץ ה-Service Attachment נקבעת לפי כתובת ה-IP של כלל ההעברה המשויך או של מופע Secure Web Proxy. כתובת ה-IP הזו צריכה להיות תואמת לסוג הערימה של רשת המשנה של NAT בחיבור השירות. רשת המשנה של NAT יכולה להיות רשת משנה של IPv4 בלבד, IPv6 בלבד או רשת משנה עם תמיכה כפולה. אם רשת המשנה של NAT היא רשת משנה עם תמיכה כפולה, נעשה שימוש בטווח כתובות IPv4 או IPv6, אבל לא בשניהם.

ב-Private Service Connect אין תמיכה בחיבור של נקודת קצה IPv4 לקובץ מצורף של שירות IPv6. במקרה כזה, יצירת נקודת הקצה נכשלת ומוצגת הודעת השגיאה הבאה:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

אלה השילובים האפשריים של הגדרות נתמכות:

נקודת קצה של IPv4 לחיבור שירות של IPv4
נקודת קצה של IPv6 לצירוף שירות של IPv6
נקודת קצה של IPv6 לחיבור שירות IPv4

בהגדרה הזו, Private Service Connect מתרגם אוטומטית בין שתי גרסאות ה-IP.

הפצת חיבורים

בחיבורים עם הפצה, שירותים שאפשר לגשת אליהם ברשת מסוג spoke של צרכן באמצעות נקודות קצה של Private Service Connect, יכולים להיות נגישים באופן פרטי לרשתות אחרות מסוג spoke של צרכן שמחוברות לאותו מרכז (hub) של Network Connectivity Center.

מידע נוסף זמין במאמר מידע על חיבורים שהועברו.

גישה כללית

נקודות קצה של Private Service Connect שמשמשות לגישה לשירותים הם משאבים אזוריים. עם זאת, אפשר להגדיר גישה גלובלית כדי להפוך נקודת קצה לזמינה באזורים אחרים.

גישה גלובלית מאפשרת למשאבים בכל אזור לשלוח תעבורת נתונים לנקודות קצה של Private Service Connect. אתם יכולים להשתמש בגישה גלובלית כדי לספק זמינות גבוהה בשירותים שמארחים במספר אזורים, או כדי לאפשר ללקוחות לגשת לשירות שלא נמצא באותו אזור כמו הלקוח.

בתרשים הבא מוצגים לקוחות באזורים שונים שניגשים לאותה נקודת קצה:

נקודת הקצה נמצאת ב-us-west1 והוגדרה לה גישה גלובלית.
המכונה הווירטואלית ב-us-west1 יכולה לשלוח תעבורה לנקודת הקצה, והתעבורה נשארת באותו אזור.
המכונה הווירטואלית ב-us-east1 והמכונה הווירטואלית מהרשת המקומית יכולות גם להתחבר לנקודת הקצה ב-us-west1, גם אם הן באזורים שונים. הקווים המקווקווים מייצגים את נתיב התנועה בין האזורים.

נקודת קצה (endpoint) של Private Service Connect עם גישה גלובלית מאפשרת לצרכני שירות לשלוח תעבורה מרשת ה-VPC של הצרכן לשירותים ברשת ה-VPC של ספק השירות. הלקוח יכול להיות באותו אזור או באזור אחר כמו נקודת הקצה (לחיצה להגדלה).

המפרט של גישה גלובלית

אפשר להפעיל או להשבית את הגישה הגלובלית לנקודת קצה בכל שלב.
- הפעלת גישה גלובלית לא גורמת לשיבוש בתנועה של חיבורים קיימים.
- השבתת הגישה הגלובלית מפסיקה את כל החיבורים מאזורים אחרים, חוץ מהאזור שבו נמצאת נקודת הקצה.
לא כל השירותים של Private Service Connect תומכים בנקודות קצה עם גישה גלובלית. אם מקשרים נקודת קצה עם גישה גלובלית לשירות שלא מוגדר לגישה גלובלית, יכול להיות שהתנועה תישלח לשרתי קצה עורפיים לא תקינים ותיפסק (בעיה מוכרת).

כדאי לבדוק מול בעלים של שירות מנוהל כדי לוודא אם השירות שלו תומך בגישה גלובלית. מידע נוסף זמין במאמר תצורות נתמכות.
גישה גלובלית לא מספקת כתובת IP גלובלית אחת או שם DNS אחד לכמה נקודות קצה של גישה גלובלית.

VPC משותף

אדמינים של פרויקטים של שירות יכולים ליצור נקודות קצה בפרויקטים של שירות VPC משותף שמשתמשים בכתובות IP מרשתות VPC משותפות. ההגדרה זהה להגדרה של נקודת קצה רגילה, אבל נקודת הקצה משתמשת בכתובת IP ששמורה מרשת משנה משותפת של ה-VPC המשותף.

אפשר להזמין את משאב כתובת ה-IP בפרויקט השירות או בפרויקט המארח. מקור כתובת ה-IP חייב להיות רשת משנה שמשותפת עם פרויקט השירות.

מידע נוסף זמין במאמר בנושא יצירת נקודת קצה עם כתובת IP מרשת VPC משותפת.

VPC Service Controls

‏VPC Service Controls ו-Private Service Connect תואמים זה לזה. אם רשת ה-VPC שבה נקודת הקצה של Private Service Connect נפרסת נמצאת בגבולות גזרה של VPC Service Controls, נקודת הקצה היא חלק מאותם גבולות גזרה. כל השירותים שנתמכים על ידי VPC Service Controls שאליהם ניגשים דרך נקודת הקצה כפופים למדיניות של גבולות הגזרה של VPC Service Controls.

כשיוצרים נקודת קצה, מתבצעות קריאות ל-API של מישור הבקרה בין פרויקט הצרכן לפרויקט הבעלים כדי ליצור חיבור Private Service Connect. כדי ליצור חיבור Private Service Connect בין פרויקטים של צרכנים וספקים שלא נמצאים באותו גבול גזרה של VPC Service Controls, לא נדרש אישור מפורש באמצעות מדיניות יציאה. התקשורת עם שירותים שנתמכים על ידי VPC Service Controls דרך נקודת הקצה מוגנת על ידי היקף ה-VPC Service Controls.

מסלולים סטטיים עם קפיצות הבאות של מאזן עומסים

אפשר להגדיר נתיבים סטטיים לשימוש בכלל ההעברה של מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי כנקודת הקפיצה הבאה (--next-hop-ilb). לא כל הנתיבים מהסוג הזה נתמכים ב-Private Service Connect.

אפשר להשתמש בנתיבים סטטיים שמשתמשים ב---next-hop-ilb כדי לציין את השם של כלל העברה של מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי, כדי לשלוח ולקבל תעבורה לנקודת קצה של Private Service Connect, כשהנתיב ונקודת הקצה נמצאים באותה רשת VPC ואותו אזור.

אין תמיכה בהגדרות הניתוב הבאות ב-Private Service Connect:

מסלולים סטטיים שמשתמשים ב---next-hop-ilb כדי לציין את כתובת ה-IP של כלל העברה של מאזן עומסי רשת פנימי מסוג העברת סיגנל ללא שינוי.
מסלולים סטטיים שמשתמשים ב---next-hop-ilb כדי לציין את השם או את כתובת ה-IP של כלל להעברת נקודת קצה של Private Service Connect.

רישום ביומן

אתם יכולים להפעיל את VPC Flow Logs ברשתות משנה שמכילות מכונות וירטואליות שניגשות לשירותים ברשת VPC אחרת באמצעות נקודות קצה. היומנים מציגים את התנועה בין המכונות הווירטואליות לבין נקודת הקצה.
אפשר לראות שינויים בסטטוס החיבור של נקודות קצה באמצעות יומני ביקורת. שינויים בסטטוס החיבור של נקודת הקצה מתועדים במטא-נתונים של אירועי המערכת עבור סוג המשאב כלל העברה של GCE. כדי לראות את הרשומות האלה, אפשר לסנן לפי pscConnectionStatus.

לדוגמה, כשבעלים של שירות מנוהל מאפשר חיבורים מהפרויקט שלכם, סטטוס החיבור של נקודת הקצה משתנה מ-PENDING ל-ACCEPTED, והשינוי הזה משתקף ביומני הביקורת.
- כדי לראות את יומני הביקורת, קראו את המאמר צפייה ביומנים.
- כדי להגדיר התראות על סמך יומני ביקורת, ראו ניהול התראות שמבוססות על יומנים.

תמחור

המחירים של Private Service Connect מפורטים בדף המחירים של VPC.

מכסות

מספר נקודות הקצה שאפשר ליצור כדי לגשת לשירותים שפורסמו מוגבל על ידי מכסת PSC Internal LB Forwarding Rules. מידע נוסף זמין במאמר בנושא מכסות.

מגבלות שקשורות למדיניות הארגון

אדמין של מדיניות הארגון יכול להשתמש באילוץ constraints/compute.disablePrivateServiceConnectCreationForConsumers כדי להגדיר את קבוצת סוגי נקודות הקצה שמשתמשים לא יכולים ליצור עבורן כללי העברה.

למידע על יצירת מדיניות ארגון שמשתמשת באילוץ הזה, ראו חסימת צרכנים מפריסת נקודות קצה לפי סוג החיבור.

המאמרים הבאים

גישה לשירותים שפורסמו באמצעות נקודות קצה