Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

關於網路連結

本頁面提供網路附件總覽。

網路連結是一種資源，可讓供應商虛擬私有雲 (VPC) 網路透過 Private Service Connect 介面，連線至用戶虛擬私有雲網路。

如果網路連結接受來自 Private Service Connect 介面的連線， Google Cloud會從網路連結指定的用戶端子網路，為介面分配內部 IP 位址。Private Service Connect 介面的虛擬機器 (VM) 執行個體至少還有一個連線至生產端子網路的正規網路介面。

透過這個 Private Service Connect 介面連線，供應商和用戶機構可以設定虛擬私有雲網路，讓兩個網路連線並使用內部 IP 位址通訊。舉例來說，生產端機構組織可以更新生產端虛擬私有雲網路，為用戶子網路新增路徑。

網路連結與 Private Service Connect 介面之間的連線，類似於 Private Service Connect 端點與服務連結之間的連線，但有兩項主要差異：

網路連結可讓生產端虛擬私有雲網路啟動與用戶端虛擬私有雲網路的連線 (代管服務輸出)。端點則反向運作，可讓消費者虛擬私有雲網路連線至生產者虛擬私有雲網路 (代管服務傳入)。
Private Service Connect 介面連線是可轉移的。也就是說，供應商虛擬私有雲網路中的工作負載可以與連線至消費者虛擬私有雲網路的其他虛擬私有雲網路中的工作負載建立連線。

舉例來說，服務用戶機構可能想提供受管理服務，讓服務存取僅適用於用戶虛擬私有雲網路的用戶資料。服務也可能需要透過 VPN 或 Cloud Interconnect 連線，存取地端部署提供的資料或服務，或是存取第三方服務。此外，消費者可能希望要求任何使用其資料的網際網路流量，都必須透過自己的輸出閘道傳輸。消費者可藉此監控流量並提供自訂安全性。

Private Service Connect 介面連線可滿足所有這些需求。

**圖 1.** 用戶端虛擬私有雲網路中的網路連結會連線至供應商虛擬私有雲網路中的兩個 Private Service Connect 介面 (按一下即可放大)。

規格

網路連結具有下列規格：

網路連結是區域性資源，代表 Private Service Connect 介面連線的用戶端。
網路連結可讓您明確或自動接受來自 Private Service Connect 介面的連線。
網路附件會與單一子網路建立關聯。您可以在網路附件中使用僅支援 IPv4、雙重堆疊或僅支援 IPv6 的子網路。詳情請參閱「子網路指派」。
接受連線要求後，系統會從網路連結的子網路為 Private Service Connect 介面分配 IP 位址。
多個 Private Service Connect 介面可以連線至同一個網路連結。
網路連結支援Shared VPC。您可以在服務專案中建立網路連結，但連結的子網路必須位於主專案中。
網路連結與 Private Service Connect 介面之間的連線是雙向的。
網路連結與 Private Service Connect 介面之間的連線是遞移性。供應商虛擬私有雲網路中的工作負載，可以與連線至用戶虛擬私有雲網路的工作負載通訊。
網路連結可連線至虛擬和動態 Private Service Connect 介面。

子網路指派

建立網路連結時，必須為其指派單一子網路。如果系統接受來自生產者介面的連線要求 (因為連結已設為自動接受連線，或生產者專案已納入接受清單)，系統就會從子網路的 IP 位址範圍為該介面分配 IP 位址。

這個子網路具有下列特徵：

必須是一般子網路。
子網路的堆疊類型可以是僅限 IPv4、雙重堆疊或僅限 IPv6。雙重堆疊和僅限 IPv6 的子網路必須有內部 IPv6 位址範圍。
子網路中的 IP 位址不會保留，您可以將其他資源指派給子網路。
如果子網路已指派給網路連結，就無法刪除。
您可以替換子網路，現有連線不受影響。子網路替換後建立的連線會使用新的子網路。
您可以擴展子網路的 CIDR 範圍，新的位址分配作業將使用擴展後的範圍。

授權政策

授權政策可控管網路連結是否接受來自 Private Service Connect 介面的新連線。您可以設定授權政策，自動接受所有連線，或只接受特定服務生產者的連線。

如要授權特定生產者，請將生產者的專案 ID 或服務類別 ID 新增至網路連結的接受清單。

服務類別 ID 是某些 Google 服務提供的專屬 ID，可簡化該服務的授權程序。如果生產端嘗試使用沒有權限的服務類別 ID 建立介面，作業就會失敗。為 Google 服務設定授權之前，請先查看服務的說明文件，確認是否需要服務類別 ID。

授權政策由網路附件的下列三個欄位組成：

連線偏好設定：可以是 ACCEPT_AUTOMATIC 或 ACCEPT_MANUAL。
- ACCEPT_AUTOMATIC：系統會自動接受新的連線。
- ACCEPT_MANUAL：新連線的狀態取決於網路附件的接受清單。
接受清單：網路連結的專案 ID 或服務類別 ID 清單，連線偏好設定為 ACCEPT_MANUAL。系統會接受這份清單中製作人提出的新連結要求。如果 Private Service Connect 介面要求連線，但供應商的專案 ID 或服務類別 ID 不在這個清單中，系統就會無法建立 Private Service Connect 介面的 VM。
拒絕清單：網路連結的專案 ID 或服務類別 ID 清單，這些網路連結的連線偏好為 ACCEPT_MANUAL。系統會明確拒絕來自供應者的連線，且這些供應者的專案 ID 或服務類別 ID 位於這份清單中，並導致 Private Service Connect 介面的 VM 建立作業失敗。

更新網路附件的接受或拒絕清單時，現有連線不會受到影響。更新後建立的連線會根據更新後的清單接受或拒絕。

接受和拒絕清單中的所有值必須屬於相同類型。您無法在同一授權政策中混用專案 ID 和服務類別 ID。

如果網路連結設為手動接受連線，且您將相同的專案 ID 或服務類別 ID 新增至接受和拒絕清單，系統會拒絕來自該生產端的連線要求。無法建立 Private Service Connect 介面的 VM。

連線

服務供應商建立 Private Service Connect 介面，要求連線至網路連結。對於部分 Google 服務，消費者可以透過服務的 API 觸發連線要求。

接受連線後，系統會建立邏輯連結或元組，其中包含網路連結和參照該連結的網路介面。生產端 VM 的介面在邏輯上屬於用戶端虛擬私有雲網路，但其生命週期由生產端管理。舉例來說，圖 1 中的網路附件有兩個連線。

您可以說明網路附件，查看已接受的連線。

限制

您只能更新網路附件的子網路、接受清單、拒絕清單和說明。如要更新其他欄位，請刪除附件並建立新附件。
如果網路連結有任何開啟的連線，就無法刪除。在這種情況下，生產者機構必須先刪除相關聯的 Private Service Connect 介面。
您無法將外部 (公開宣傳) IP 位址指派給 Private Service Connect 介面。

定價

如要瞭解網路附件的定價，請參閱 VPC 定價頁面。

配額

單一專案中每個區域可建立的網路附件數量有限。詳情請參閱虛擬私有雲說明文件中的專案配額。

後續步驟

建立及管理網路連結