控管已發布服務的存取權
本頁面說明如何使用相關功能,控管對透過 Private Service Connect 發布的服務的存取權。
連線偏好設定
每個服務連結都有連線偏好設定,可控制是否自動接受連線。
- 自動接受所有連線。服務附件會自動接受來自任何消費者的所有連入連線要求。
- 明確接受所選消費者的連線。只有當消費者位於服務附件的消費者接受清單中,服務附件才會接受連入連線要求。您可以依專案、虛擬私有雲網路或個別 Private Service Connect 端點指定消費者 (預覽版)。您無法在同一個消費者接受或拒絕清單中,加入不同類型的消費者。
無論是哪種連線偏好設定,如果機構政策封鎖了連入連線,系統就會覆寫已接受的連線並拒絕連線。
建議您明確接受特定消費者建立的連結。如果您透過其他方式控管消費者存取權,並想對服務啟用寬鬆的存取權,自動接受所有連線可能就適合您。
消費者接受和拒絕名單
消費者接受清單和消費者拒絕清單是服務附件的安全功能。服務供應商可透過這些清單,指定哪些消費者可以建立 Private Service Connect 連線,存取他們的服務。如果服務附件設定為需要明確核准,只有當消費者位於接受清單中,且不在拒絕清單中時,系統才會接受新的連線。除非啟用連線協調功能,否則消費者名單的更新只會影響新連線。
消費者接受和拒絕清單可讓您透過下列任一方式指定消費者:
- 專案
- 虛擬私有雲網路
Private Service Connect 端點 (預先發布版)
這個方法不適用於 Private Service Connect 後端。
如果將同一位消費者同時加入接受和拒絕清單,該消費者就無法連線至服務附件。系統不支援依資料夾指定消費者。
服務附件的兩個消費者清單必須包含相同類型的消費者。舉例來說,如果您將專案新增至接受清單,就無法將虛擬私有雲網路或端點 URI 新增至任一清單,除非您以新類型的消費者取代接受清單中的專案。
如要發布可接受不同類型消費者的服務,您可以建立多個連線至同一服務的服務附件。每個服務連結都可以設定專屬的連線偏好設定和消費者清單。
您可以在不中斷連線的情況下,變更消費者清單中的消費者類型,但必須在單一更新中進行變更。否則作業會失敗。
接受和拒絕名單可新增的消費者人數上限如下:
- 消費者接受清單最多可新增 5,000 個值。
- 最多可將 64 個值新增至消費者拒絕清單。
消費者清單可控管端點或後端是否能連線至已發布的服務,但無法控管誰能將要求傳送至該端點。舉例來說,假設消費者有共用虛擬私有雲網路,並附加了兩個服務專案。如果已發布的服務在消費者接受清單中包含 service-project1,且在消費者拒絕清單中包含 service-project2,則適用下列情況:
-
service-project1中的消費者可以建立端點,連線至已發布的服務。 -
service-project2中的消費者無法建立連線至已發布服務的端點。 -
如果沒有防火牆規則或政策禁止該流量,
service-project2中的用戶端可以將要求傳送至service-project1中的端點。
如要瞭解消費者接受清單如何與機構政策互動,請參閱消費者接受清單與機構政策的互動。
消費者接受清單限制
消費者接受清單有連線限制。這些限制會設定服務連結可從指定用戶專案或虛擬私有雲網路接受的 Private Service Connect 端點和後端連線總數。指定 Private Service Connect 端點型接受清單的連線限制沒有任何效果,因為只有一個端點可以比對指定的 URI。
生產者可以設定連線限制,避免個別消費者耗盡生產者虛擬私有雲網路中的 IP 位址或資源配額。每接受一個 Private Service Connect 連線,就會從消費者專案或虛擬私有雲網路的設定限制中扣除。您可以在建立或更新消費者接受名單時設定限制。您可以說明服務附件時,查看服務附件的連線。
傳播連線不會計入這些限制。
舉例來說,假設服務附件的消費者接受清單包含 project-1 和 project-2,兩者都只能建立一個連線。專案 project-1 要求兩個連線,project-2 要求一個連線,project-3 則要求一個連線。由於「project-1」只能建立一個連線,因此系統會接受第一個連線,第二個連線則會維持待處理狀態。已接受 project-2 的連線要求,但 project-3 的連線要求仍待處理。如要接受來自 project-1 的第二個連線,請提高 project-1 的限制。如果將 project-3 新增至消費者接受清單,該連線就會從待處理狀態轉為已接受狀態。
連線協調
連線協調功能會判斷服務連結接受或拒絕清單的更新,是否會影響現有的 Private Service Connect 連線。啟用連線協調功能後,更新接受或拒絕清單可能會終止現有連線。先前遭拒的連線可以接受。如果停用連線協調功能,更新接受或拒絕清單只會影響新的連線和待處理的連線。
舉例來說,假設服務附件接受了來自 Project-A 的多個連線。Project-A 位於服務附件的接受清單中。從接受清單中移除 Project-A,即可更新服務附件。
如果啟用連線協調,所有現有連線都會從 Project-A 轉換為 PENDING,這會終止兩個虛擬私有雲網路之間的網路連線,並立即停止網路流量。
如果停用連線協調功能,現有的連線不會受到影響。Project-A網路流量仍可透過現有的 Private Service Connect 連線傳輸。不過,系統會禁止建立任何新的 Private Service Connect 連線。
如要瞭解如何為新的服務附件設定連線調節功能,請參閱「發布具有明確核准功能的服務」。
如要瞭解如何為現有服務附件設定連線調節,請參閱「設定連線調節」。
接受或拒絕 Private Service Connect 端點連線
如要接受或拒絕個別 Private Service Connect 端點連線,請將端點的 ID 型 URI 新增至服務連結的消費者清單。建議多租戶服務採用這種方法,因為可提供最精細的連線管理控制選項。透過 Private Service Connect 端點接受消費者僅適用於 Private Service Connect 端點,不支援 Private Service Connect 後端。
與專案或虛擬私有雲網路不同,您只能在消費者建立 Private Service Connect 端點後,接受或拒絕個別端點。這是因為在消費者建立端點之前,系統不會知道端點的專屬 URI。將端點新增至消費者接受清單的步驟如下:
- 生產者發布需要明確核准的服務,但未在消費者接受清單中新增任何值。
-
消費者會建立連線至已發布服務的端點。連線會顯示在服務附件中,狀態為
Pending。 - 如要找出待處理端點的 ID 型 URI,生產者可以說明附加服務,消費者則可以說明端點。
-
生產端會將端點的 ID 型 URI 新增至消費者接受清單。連線已建立,狀態會變更為
Accepted。
連線狀態
Private Service Connect 端點、後端和服務連結都有連線狀態,可說明連線狀態。 構成連線兩端的用戶和供應商資源一律會有相同的狀態。 您可以查看端點詳細資料、 說明後端,或 查看已發布服務的詳細資料,藉此查看連線狀態。
下表說明可能的狀態。
| 連線狀態 | 說明 |
|---|---|
| 已接受 | 已建立 Private Service Connect 連線。兩個虛擬私有雲網路已連線,且連線運作正常。 |
| 待處理 | 未建立 Private Service Connect 連線,網路流量無法在兩個網路之間傳輸。連線可能因為下列原因而處於這種狀態: 如果連線因上述原因遭到封鎖,就會無限期處於待處理狀態,直到解決根本問題為止。 |
| 已遭拒 | 尚未建立 Private Service Connect 連線。網路流量無法在兩個網路之間傳輸。連線可能因為下列原因而處於這種狀態: |
| 需要處理 | 連線的供應商端發生問題。部分流量或許可以在兩個網路之間傳送,不過某些連線可能無法正常運作。舉例來說,供應商的 NAT 子網路可能已用盡,無法為新的連線分配 IP 位址。 |
| 不開放 | 服務連結遭到刪除,Private Service Connect 連線已關閉。網路流量無法在兩個網路之間傳輸。 連線關閉是終端狀態,如要恢復連線,必須重新建立服務連結和端點或後端。 |
傳播連線
使用端點連線至服務連結的消費者可以啟用連線傳播。傳播連線可讓消費者虛擬私有雲輪輻中的工作負載存取供應商虛擬私有雲網路中的代管服務,就像兩個虛擬私有雲網路透過端點直接連線一樣。每個傳播連線都會耗用服務連結 NAT 子網路中的一個 IP 位址。
查看已發布服務的詳細資料時,您可以查看與已連線端點相關聯的傳播連線數量。這個計數不包括因供應端的傳播連線限制而遭到封鎖的傳播連線。
傳播連線限制
服務連結設有傳播連線數量的限制,服務供應商可用來限制單一用戶能建立的服務連結傳播連線數量。如未指定,預設傳播連線數量限制為 250 個。
- 如果服務連結的連線偏好為「ACCEPT_MANUAL」
ACCEPT_MANUAL,系統會根據消費者接受清單中的消費者類型套用限制:- 如果是以專案為準的消費者接受清單,這項限制會套用至清單中的每個專案。
- 如果是以 VPC 網路為準的消費者接受清單,這項限制會套用至清單中的每個網路。
- 如果是以 Private Service Connect 端點為準的消費者接受清單 (搶先版),這項限制會套用至清單中各個端點的專案。如果清單中有多個來自同一專案的端點,這些端點會共用單一限制。
- 如果連線偏好為
ACCEPT_AUTOMATIC,這項限制會套用至含有已連線端點的各個專案。
如果消費者超出傳播連線限制,系統就不會再建立傳播連線。如要允許建立更多傳播的端點,可以提高傳播的連線限制。提高這項限制後,只要新連線不超過更新後的限制,Network Connectivity Center 就會建立因限制而遭到封鎖的傳播連線。更新這項限制不會影響現有的傳播連線。
避免配額用盡
可存取生產者虛擬私有雲網路的 Private Service Connect 端點和傳播連線總數 (來自任何消費者),是由PSC ILB consumer forwarding rules per producer VPC network配額控管。尤其是多用戶群服務,請務必防範配額用盡的情況。
您可以設定下列限制,避免配額用盡:
- 消費者接受清單連線限制可控管可從單一消費者虛擬私有雲網路或專案建立連線至服務連結的 Private Service Connect 端點總數。調低這些限制不會影響現有連線。這些限制不適用於傳播連線。
- 傳播連線限制可控管單一消費者能建立的服務連結傳播連線總數。降低這項限制不會影響現有的傳播連線。
配額和連線限制範例
以下範例說明傳播的連線限制和消費者接受清單限制,如何與 PSC ILB consumer forwarding rules per producer VPC network 配額搭配運作。
假設消費者在輻射虛擬私有雲網路 spoke-vpc-1 中建立了兩個端點。兩個端點都會連線至 service-attachment-1 中的 producer-vpc-1。輪輻已連線至啟用連線傳播功能的 Network Connectivity Center 中樞,且該中樞沒有其他輪輻。
服務生產者已將 service-attachment-1 設為接受清單中每個專案的消費者接受清單限制為四個。供應商已設定兩個傳播連線限制,指定單一專案最多可有兩個傳播連線。
這個範例設定包含兩個端點,且沒有任何傳播的連線 (按一下可放大)。
這項設定的配額和用量限制如下:
| 配額 / 限制 | 用量 | 說明 |
|---|---|---|
| 每個供應商虛擬私有雲網路的 PSC ILB 用戶端轉送規則 | 2 | 每個端點一個 |
服務連結消費者接受清單連線限制 (consumer-project-1) |
2 | 每個端點一個 |
consumer-project-1的服務連結傳播連線限制 |
0 | 沒有傳播連線 |
假設 consumer-project-1 將另一個名為 spoke-vpc-2 的輪輻連線至與 spoke-vpc-1 相同的 Network Connectivity Center 中樞。這會在 consumer-project-1 中建立兩個傳播的連線,每個現有端點各一個。
這個設定範例包含兩個端點和兩個傳播的連線 (按一下可放大)。
這項設定的配額和用量限制如下:
| 配額 / 限制 | 用量 | 說明 |
|---|---|---|
| 每個供應商虛擬私有雲網路的 PSC ILB 用戶端轉送規則 | 4 | 每個端點各一個,每個傳播的連線各一個 |
服務連結消費者接受清單連線限制 (consumer-project-1) |
2 | 每個端點一個 |
consumer-project-1的服務連結傳播連線限制 |
2 | 每個傳播連線一個 |
Consumer-project-1已達到傳播連線限制。如果消費者新增另一個虛擬私有雲支點,Private Service Connect 不會建立任何新的傳播連線。
假設另一個消費者在 consumer-project-2 有兩個虛擬私有雲輪輻。輪輻會連線至已啟用傳播連線的 Network Connectivity Center 中樞。其中一個虛擬私有雲輪輻包含連線至 service-attachment-1 的單一端點。
這個設定範例包含三個端點和三個傳播的連線 (按一下可放大)。
這項設定的配額和用量限制如下:
| 配額 / 限制 | 用量 | 說明 |
|---|---|---|
| 每個供應商虛擬私有雲網路的 PSC ILB 用戶端轉送規則 | 6 | consumer-project-1 四個,consumer-project-2 兩個 |
服務連結消費者接受清單連線限制 (consumer-project-1) |
2 | 每個端點各一項 (consumer-project-1) |
服務連結消費者接受清單連線限制 (consumer-project-2) |
1 | 每個端點各一項 (consumer-project-2) |
consumer-project-1的服務連結傳播連線限制 |
2 | 每個傳播連線在 consumer-project-1 中各有一個 |
consumer-project-2的服務連結傳播連線限制 |
1 | 每個傳播連線在 consumer-project-2 中各有一個 |