מידע על שירותים שפורסמו

במסמך הזה מוסבר איך משתמשים ב-Private Service Connect כדי להפוך שירות לזמין לצרכני שירותים.

בתור בעלים של שירות מנוהל, אתם יכולים להשתמש ב-Private Service Connect כדי לפרסם שירותים באמצעות כתובות IP פנימיות ברשת ה-VPC שלכם. צרכני השירותים יכולים לגשת לשירותים שפרסמתם באמצעות כתובות IP פנימיות ברשתות ה-VPC שלהם.

כדי להפוך שירות לזמין לצרכנים, יוצרים רשתות משנה ייעודיות. לאחר מכן יוצרים קובץ מצורף לשירות שמפנה לתתי הרשתות האלה. יכולות להיות העדפות חיבור שונות ל-Service Attachment.

סוגי צרכני שירות

יש שני סוגים של צרכנים שיכולים להתחבר לשירות Private Service Connect:

נקודות הקצה מבוססות על כלל העברה.

נקודת קצה מאפשרת לצרכני שירות לשלוח תנועה מרשת ה-VPC של הצרכן לשירותים ברשת ה-VPC של ספק השירות (אפשר ללחוץ כדי להגדיל).

הקצה העורפי מבוסס על מאזן עומסים.

קצה עורפי שמשתמש במאזן עומסים גלובלי חיצוני של אפליקציות מאפשר לצרכני שירות עם גישה לאינטרנט לשלוח תעבורה לשירותים ברשת ה-VPC של ספק השירות (לחצו להגדלה).

תת-רשתות NAT

קובצי שירות מצורפים של Private Service Connect מוגדרים עם תת-רשת אחת או יותר של NAT (שנקראת גם תת-רשת של Private Service Connect). מנות מרשת ה-VPC של הצרכן מתורגמות באמצעות NAT של מקור (SNAT), כך שכתובות ה-IP המקוריות שלהן מומרות לכתובות IP של מקור מרשת המשנה של ה-NAT ברשת ה-VPC של היצרן.

לצירופי שירות יכולים להיות כמה רשתות משנה של NAT. אפשר להוסיף רשתות משנה של NAT לחיבור השירות בכל שלב בלי להפריע לתנועה.

אפשר להגדיר כמה רשתות משנה של NAT לחיבור שירות, אבל אי אפשר להשתמש ברשת משנה של NAT ביותר מחיבור שירות אחד.

אי אפשר להשתמש ברשתות משנה של NAT ב-Private Service Connect למשאבים כמו מכונות וירטואליות (VM) או כללי העברה. תתי הרשתות משמשות רק כדי לספק כתובות IP ל-SNAT של חיבורים נכנסים של צרכנים.

הגדרת גודל של רשת משנה מסוג NAT

גודל רשת המשנה קובע כמה צרכנים יכולים להתחבר לשירות שלכם. אם כל כתובות ה-IP ברשת המשנה של ה-NAT נוצלו, כל חיבור נוסף של Private Service Connect ייכשל. כמה נקודות שכדאי לזכור:

לכל נקודת קצה או לכל קצה עורפי שמחוברים לצירוף השירות, נצרכת כתובת IP אחת מרשת המשנה של NAT.

מספר חיבורי ה-TCP או ה-UDP, הלקוחות או רשתות ה-VPC של הצרכנים לא משפיע על השימוש בכתובות IP מרשת המשנה של NAT.
אם צרכנים משתמשים בהפצה של חיבורים, נצרכת כתובת IP נוספת לכל רשת VPC שחיבורים מופצים אליה, לכל נקודת קצה.

כדי לקבוע כמה חיבורים מועברים ייצרו, צריך להגדיר את מגבלת החיבורים המועברים.
כשמעריכים כמה כתובות IP צריך לנקודות קצה ולשרתי קצה עורפיים, צריך לקחת בחשבון שירותים מרובי דיירים או צרכנים שמשתמשים בגישה מרובת נקודות ל-Private Service Connect.

מעקב אחרי רשתות משנה של NAT

כדי לוודא שחיבורים של Private Service Connect לא ייכשלו בגלל כתובות IP לא זמינות ברשת משנה של NAT, מומלץ לבצע את הפעולות הבאות:

עוקבים אחרי private_service_connect/producer/used_nat_ip_addresses מדד ההצמדה של השירות. מוודאים שמספר כתובות ה-IP של ה-NAT שנמצאות בשימוש לא חורג מהקיבולת של רשתות המשנה של ה-NAT בחיבור שירות.
לעקוב אחר סטטוס החיבור של חיבורים של שירותים מצורפים. אם הסטטוס של החיבור הוא נדרשת התייחסות, יכול להיות שלא נותרו כתובות IP זמינות ברשתות המשנה של ה-NAT בקובץ המצורף.
בשירותים מרובי דיירים, אפשר להשתמש במגבלות על חיבורים כדי לוודא שצרכן יחיד לא ינצל את כל הקיבולת של רשתות המשנה של NAT בחיבור שירות.

במקרה הצורך, אפשר להוסיף רשתות משנה של NAT ל-Service Attachment בכל שלב בלי להפריע לתנועה.

מפרט NAT

כשמתכננים את השירות שמפרסמים, כדאי לקחת בחשבון את המאפיינים הבאים של NAT ב-Private Service Connect:

הזמן הקצוב לתפוגה של מיפוי UDP הוא 30 שניות ואי אפשר להגדיר אותו.
הזמן הקצוב לתפוגה של חיבור TCP במצב סרק הוא 20 דקות, ואי אפשר להגדיר אותו.

כדי למנוע בעיות שקשורות לחיבורים של לקוחות שתם הזמן הקצוב שלהם לתפוגה, אפשר לנסות אחד מהפתרונות הבאים:
- מוודאים שכל החיבורים פעילים למשך פחות מ-20 דקות.
- חשוב לוודא שחלק מעומס התנועה הקל נשלח בתדירות גבוהה יותר מפעם ב-20 דקות. אתם יכולים להשתמש ב-heartbeat או ב-keepalive באפליקציה שלכם, או ב-TCP keepalives. לדוגמה, אפשר להגדיר keepalive בשרת proxy ליעד של מאזן עומסים אזורי פנימי של אפליקציות או של מאזן עומסי רשת אזורי פנימי בשרת proxy.
הזמן הקצוב לתפוגה של חיבור TCP זמני במצב לא פעיל הוא 30 שניות, ואי אפשר להגדיר אותו.
יש עיכוב של שתי דקות לפני שאפשר לעשות שימוש חוזר ב-5-tuple (כתובת IP של מקור ברשת משנה של NAT ויציאת מקור, בנוסף לפרוטוקול היעד, כתובת ה-IP ויציאת היעד).
‫SNAT ל-Private Service Connect לא תומך בפרגמנטים של כתובות IP.

מספר החיבורים המקסימלי

מכונה וירטואלית אחת של ספק יכולה לקבל לכל היותר 64,512 חיבורי TCP בו-זמניים ו-64,512 חיבורי UDP בו-זמניים מצרכן אחד של Private Service Connect (נקודת קצה או קצה עורפי). אין הגבלה על המספר הכולל של חיבורי TCP ו-UDP שיכולים להתקבל בנקודת קצה של Private Service Connect באופן מצטבר בכל קצוות העורף של הספק. מכונות וירטואליות של לקוחות יכולות להשתמש בכל 65,536 יציאות המקור כשהן יוזמות חיבורי TCP או UDP לנקודת קצה של Private Service Connect. כל תרגום כתובות הרשת מתבצע באופן מקומי במארח של המפיק, ולכן לא נדרש מאגר מרכזי של יציאות NAT.

קבצים מצורפים לשירות

הבעלים של השירות המנוהל חושפים את השירות שלהם באמצעות קובץ מצורף של שירות.

כדי לחשוף שירות, הבעלים של השירות המנוהל יוצר חיבור שירות שמפנה לשירות יעד. שירות היעד יכול להיות אחד מהבאים:
- כלל ההעברה של מאזן עומסים
- מופע של Secure Web Proxy

הפורמט של ה-URI של קובץ השירות המצורף הוא: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

לחיבור שירות יכול להיות רק שירות יעד אחד. עם זאת, כמה קבצים מצורפים של שירות יכולים לשתף את אותו שירות יעד.

קבצים מצורפים של שירותים מאפשרים לכם לשלוט בגישה לשירות שפרסמתם, לראות את החיבורים ולהגדיר מגבלות על החיבורים. מידע נוסף זמין במאמר שליטה בגישה לשירותים שפורסמו.

סטטוסים של חיבורים

לצירופי שירות יש סטטוסי חיבור שמתארים את מצב החיבורים שלהם. מידע נוסף מופיע במאמר סטטוסים של חיבורים.

הגדרת DNS

מידע על הגדרת DNS לשירותים שפורסמו ולנקודות קצה שמתחברות לשירותים שפורסמו זמין במאמר הגדרת DNS לשירותים.

הגדרה של מספר אזורים ליתירות כשל

כדי להפוך שירות לזמין בכמה אזורים, צריך ליצור את ההגדרות הבאות.

הגדרת המפיק:

פורסים את השירות בכל אזור. כל מופע אזורי של השירות צריך להיות מוגדר במאזן עומסים אזורי שתומך בגישה של קצה עורפי.
יוצרים קובץ מצורף לשירות כדי לפרסם כל מופע אזורי של השירות.

הגדרות לצרכנים:

יוצרים קצה עורפי מסוג Private Service Connect כדי לגשת לשירותים שפורסמו. הבק-אנד צריך להתבסס על מאזן עומסים (LB) שתומך ביתירות כשל בין אזורים ולכלול את ההגדרה הבאה:
- קבוצת נקודות קצה ברשת (NEG) של Private Service Connect בכל אזור שמצביעה על קובץ מצורף עם השירות באותו אזור
- שירות גלובלי לקצה העורפי שמכיל את הקצוות העורפיים של ה-NEG

ההגדרה הזו תומכת במעבר אוטומטי לגיבוי במקרה של כשל באזור אחר. במעבר גיבוי אוטומטי, אם מופע של שירות באזור מסוים הופך ללא תקין, מאזן העומסים של הצרכן מפסיק להפנות תעבורה לשירות הזה ומפנה אותה במקום זאת למופע תקין של שירות באזור חלופי.

שימוש במאזן עומסים חיצוני גלובלי של אפליקציות (ALB) מאפשר לצרכני השירות עם גישה לאינטרנט לשלוח תעבורה לשירותים ברשת ה-VPC של בעלים של שירות מנוהל. מכיוון שהשירות נפרס בכמה אזורים, מאזן העומסים של הצרכן יכול לנתב תנועה למופע שירות תקין באזור חלופי (אפשר ללחוץ כדי להגדיל).

מידע נוסף על מעבר לגיבוי בעקבות כשל באזורים שונים:

תרגום של גרסת ה-IP

בנקודות קצה של Private Service Connect שמחוברות לשירותים שפורסמו (קבצים מצורפים של שירותים), גרסת ה-IP של כתובת ה-IP של כלל ההעברה של הצרכן קובעת את גרסת ה-IP של נקודת הקצה והתנועה שיוצאת מנקודת הקצה. כתובת ה-IP יכולה להגיע מרשת משנה עם IPv4 בלבד, IPv6 בלבד או עם שניהם (dual-stack). גרסת ה-IP של נקודת הקצה יכולה להיות IPv4 או IPv6, אבל לא שתיהן.

בשירותים שפורסמו, גרסת ה-IP של קובץ ה-Service Attachment נקבעת לפי כתובת ה-IP של כלל ההעברה המשויך או של מופע Secure Web Proxy. כתובת ה-IP הזו צריכה להיות תואמת לסוג הערימה של רשת המשנה של NAT בחיבור השירות. רשת המשנה של NAT יכולה להיות רשת משנה של IPv4 בלבד, IPv6 בלבד או רשת משנה עם תמיכה כפולה. אם רשת המשנה של NAT היא רשת משנה עם תמיכה כפולה, נעשה שימוש בטווח כתובות IPv4 או IPv6, אבל לא בשניהם.

ב-Private Service Connect אין תמיכה בחיבור של נקודת קצה IPv4 לקובץ מצורף של שירות IPv6. במקרה כזה, יצירת נקודת הקצה נכשלת ומוצגת הודעת השגיאה הבאה:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

אלה השילובים האפשריים של הגדרות נתמכות:

נקודת קצה של IPv4 לחיבור שירות של IPv4
נקודת קצה של IPv6 לצירוף שירות של IPv6
נקודת קצה של IPv6 לחיבור שירות IPv4

בהגדרה הזו, Private Service Connect מתרגם אוטומטית בין שתי גרסאות ה-IP.

בחיבורים בין קצה עורפי של Private Service Connect לבין קבצים מצורפים של שירותים, כללי ההעברה של הצרכן ושל הספק חייבים להשתמש ב-IPv4.

תכונות ותאימות

בטבלאות הבאות, הסימן מציין שיש תמיכה בתכונה, והסימן מציין שאין תמיכה בתכונה.

בהתאם למאזן העומסים של שירות ההפקה שנבחר, שירות ההפקה יכול לתמוך בגישה באמצעות נקודות קצה, קצוות עורפיים או שניהם.

תמיכה בנקודות קצה

בסעיף הזה מפורטות אפשרויות ההגדרה שזמינות לצרכנים ולספקים כשמשתמשים בנקודות קצה כדי לגשת לשירותים שפורסמו.

הגדרות של צרכנים

בטבלה הבאה מפורטות אפשרויות ההגדרה והיכולות הנתמכות של נקודות קצה שמאפשרות גישה לשירותים שפורסמו, על סמך סוג היעד של המפיק.

יצרן היעד	הגדרות של צרכן (נקודת קצה)
יצרן היעד	גישה גלובלית לצרכנים	גישה היברידית	הגדרה אוטומטית של DNS (IPv4 בלבד)	גישה לקישור בין רשתות VPC שכנות (peering)	הפצת חיבור NCC (IPv4 בלבד)	שירותי יעד נתמכים לנקודות קצה של IPv4	שירותי יעד נתמכים לנקודות קצה של IPv6
מאזן עומסים פנימי של אפליקציות (ALB) חוצה אזורים						שירותי IPv4	שירותי IPv4
מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי	רק אם הגישה הגלובלית מופעלת במאזן העומסים (בעיה מוכרת)					שירותי IPv4	שירותי IPv4 שירותי IPv6
העברת פרוטוקול פנימית (מופע יעד)	רק אם הגישה הגלובלית מופעלת בכלל ההעברה של הספק (בעיה ידועה)					שירותי IPv4	שירותי IPv4 שירותי IPv6
שירותי מיפוי יציאות	רק אם הגישה הגלובלית מופעלת בכלל ההעברה של הספק					שירותי IPv4	שירותי IPv4 שירותי IPv6
מאזן עומסים פנימי אזורי של אפליקציות (ALB)	רק אם הגישה הגלובלית מופעלת במאזן העומסים לפני שנוצרת ההצמדה לשירות					שירותי IPv4	שירותי IPv4
מאזן עומסי רשת פנימי אזורי בשרת proxy	רק אם הגישה הגלובלית מופעלת במאזן העומסים לפני שנוצרת ההצמדה לשירות					שירותי IPv4	שירותי IPv4
Secure Web Proxy						שירותי IPv4	שירותי IPv4

הגדרות אישיות של יוצר

בטבלה הבאה מפורטות אפשרויות ההגדרה והיכולות הנתמכות של שירותים שפורסמו ושיש אליהם גישה דרך נקודות קצה.

סוג המפיק	הגדרות של הבעלים של שירות מנוהל (שירות שפורסם)
סוג המפיק	מערכות קצה עורפיות נתמכות של יוצרים	פרוטוקול PROXY (תנועת TCP בלבד)	גרסת IP
מאזן עומסים פנימי של אפליקציות (ALB) חוצה אזורים	‫GCE_VM_IP_PORT zonal NEGs קבוצות NEG היברידיות קבוצות NEGs ללא שרת (serverless) קבוצות של נקודות קצה ברשת (NEGs) ב-Private Service Connect קבוצות של מכונות		IPv4
מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי	‫GCE_VM_IP zonal NEGs קבוצות של מכונות		IPv4 IPv6
העברת פרוטוקול פנימית (מופע יעד)	לא רלוונטי		IPv4 IPv6
שירותי מיפוי יציאות	‫NEG למיפוי יציאות		IPv4 IPv6
מאזן עומסים פנימי אזורי של אפליקציות (ALB)	‫GCE_VM_IP_PORT zonal NEGs קבוצות NEG היברידיות קבוצות NEGs ללא שרת (serverless) קבוצות של נקודות קצה ברשת (NEGs) ב-Private Service Connect קבוצות של מכונות קבוצות אזוריות של נקודות קצה ברשת האינטרנט (NEGs)		IPv4
מאזן עומסי רשת פנימי אזורי בשרת proxy	‫GCE_VM_IP_PORT zonal NEGs קבוצות NEG היברידיות קבוצות של נקודות קצה ברשת (NEGs) ב-Private Service Connect קבוצות של מכונות		IPv4
Secure Web Proxy	לא רלוונטי		IPv4

מאזני עומסים שונים תומכים בהגדרות שונות של יציאות. חלקם תומכים ביציאה אחת, חלקם תומכים בטווח של יציאות וחלקם תומכים בכל היציאות. מידע נוסף זמין במאמר בנושא מפרטים של יציאות.

תמיכה בשרתי קצה עורפיים

קצה עורפי מסוג Private Service Connect לשירותים שפורסמו דורש שני מאזני עומסים – מאזן עומסים של צרכן ומאזן עומסים של בעלים. בקטע הזה מפורטות אפשרויות ההגדרה שזמינות לצרכנים ולספקים כשמשתמשים בשרתי קצה עורפיים כדי לגשת לשירותים שפורסמו.

הגדרות של צרכנים

בטבלה הזו מתוארים מאזני העומסים של הצרכנים שנתמכים על ידי קצוות עורפיים מסוג Private Service Connect לשירותים שפורסמו, כולל פרוטוקולי שירות הקצה העורפי שאפשר להשתמש בהם עם כל מאזן עומסים של צרכן. מאזני העומסים של הצרכנים יכולים לגשת לשירותים שפורסמו ומאוחסנים במאזני עומסים נתמכים של ספקים.

מאזן עומסים לצרכנים	פרוטוקולים	גרסת IP
מאזן עומסים פנימי של אפליקציות (ALB) חוצה אזורים	HTTP HTTPS HTTP2	IPv4
מאזן עומסי רשת פנימי לשרת proxy בין אזורים	TCP	IPv4
מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) שימו לב: אין תמיכה במאזן עומסים קלאסי של אפליקציות. אין תמיכה בהתחברות למאזני עומסי רשת פנימיים אזוריים של שרת proxy של יצרן.	HTTP HTTPS HTTP2	IPv4
מאזן עומסי רשת גלובלי חיצוני בשרת proxy כדי לשייך את איזון העומסים הזה ל-NEG של Private Service Connect, משתמשים ב-Google Cloud CLI או שולחים בקשת API. הערה: אין תמיכה במאזן עומסי רשת קלאסי.	TCP/SSL	IPv4
‫Regional external Application Load Balancer	HTTP HTTPS HTTP2	IPv4
מאזן עומסי רשת אזורי חיצוני בשרת proxy	TCP	IPv4
מאזן עומסים פנימי אזורי של אפליקציות (ALB)	HTTP HTTPS HTTP2	IPv4
מאזן עומסי רשת פנימי אזורי בשרת proxy	TCP	IPv4

הגדרות אישיות של יוצר

בטבלה הזו מתוארת ההגדרה של מאזני עומסים של שירותים מנוהלים שנתמכים על ידי קצוות עורפיים של Private Service Connect לשירותים שפורסמו.

סוג המפיק	הגדרות של הבעלים של שירות מנוהל (שירות שפורסם)
סוג המפיק	מערכות קצה עורפיות נתמכות של יוצרים	פרוטוקולים של כללי העברה	יציאות של כלל העברה	פרוטוקול PROXY	גרסת IP	תמיכה ב-Private Service Connect
מאזן עומסים פנימי של אפליקציות (ALB) חוצה אזורים	‫GCE_VM_IP_PORT zonal NEGs קבוצות NEG היברידיות קבוצות NEGs ללא שרת (serverless) קבוצות של נקודות קצה ברשת (NEGs) ב-Private Service Connect קבוצות של מכונות	TCP HTTP HTTPS HTTP/2 gRPC	תמיכה ביציאה אחת, בכמה יציאות או בכל היציאות		IPv4
מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי	‫GCE_VM_IP zonal NEGs קבוצות של מכונות	TCP	הגדרת יציאה של יצרן		IPv4
מאזן עומסים פנימי אזורי של אפליקציות (ALB)	‫GCE_VM_IP_PORT zonal NEGs קבוצות NEG היברידיות קבוצות NEGs ללא שרת (serverless) קבוצות של נקודות קצה ברשת (NEGs) ב-Private Service Connect קבוצות של מכונות	HTTP HTTPS HTTP/2	תמיכה ביציאה אחת		IPv4
מאזן עומסי רשת פנימי אזורי בשרת proxy הערה: אין תמיכה בחיבורים ממאזני עומסים חיצוניים גלובליים של אפליקציות לצרכנים.	‫GCE_VM_IP_PORT zonal NEGs קבוצות NEG היברידיות קבוצות של נקודות קצה ברשת (NEGs) ב-Private Service Connect קבוצות של מכונות	TCP	תמיכה ביציאה אחת		IPv4
Secure Web Proxy	לא רלוונטי	לא רלוונטי	לא רלוונטי		IPv4

הגדרת יציאה של יצרן

כשמפרסמים מאזן עומסי רשת פנימי מסוג passthrough באמצעות Private Service Connect, צרכנים שמשתמשים בבקאנד של Private Service Connect כדי לגשת לשירות צריכים לדעת באיזה פורט להשתמש כדי לתקשר עם השירות. כשיוצרים את כלל ההעברה למאזן עומסי הרשת הפנימי להעברת סיגנל ללא שינוי של היצרן, כדאי לשים לב לנקודות הבאות:

מומלץ להודיע לצרכנים באיזה פורט נעשה שימוש בכלל ההעברה של ה-Producer, כדי שהם יוכלו לציין את הפורט כשהם יוצרים NEG.
אם הצרכנים לא מציינים יציאת יצרן כשהם יוצרים קבוצות NEG, יציאת היצרן נקבעת על סמך ההגדרה של כלל העברת התנועה של היצרן:
- אם כלל ההעברה של היצרן משתמש ביציאה אחת, קצה העורף של הצרכן משתמש באותה יציאה.
- אם כלל ההעברה של המפיק משתמש בכמה יציאות, התנאים הבאים חלים:
  - אם כוללים את היציאה 443, העורף של הצרכן משתמש ביציאה 443.
  - אם היציאה 443 לא נכללת, ה-backend של הצרכן משתמש ביציאה הראשונה ברשימה, אחרי שהרשימה ממוינת לפי סדר אלפביתי. לדוגמה, אם מציינים את יציאה 80 ואת יציאה 1111, העורף של הצרכן משתמש ביציאה 1111.
  - שינוי היציאות שבהן משתמשים השרתים העורפיים של הבעלים של השירות המנוהל עלול לגרום להפסקת השירות לצרכני השירות.
    
    לדוגמה, נניח שאתם יוצרים שירות שפורסם עם כלל העברה שמשתמש ביציאות 443 ו-8443, ומכונות וירטואליות של קצה עורפי שמגיבות ביציאות 443 ו-8443. כשבקצה העורפי של הצרכן מתחברים לשירות הזה, משתמשים ביציאה 443 לתקשורת.
    
    אם תשנו את מכונות ה-VM של ה-Backend כך שיגיבו רק ביציאה 8443, ה-Backend של הלקוח לא יוכל יותר להגיע לשירות שפורסם.
אם כלל ההעברה של הבעלים של השירות המנוהל משתמש בכל היציאות, צרכן השירות חייב לציין יציאה של הבעלים של השירות המנוהל כשהוא יוצר את ה-NEG. אם לא מציינים יציאה, ה-backend של הלקוח משתמש ביציאה 1, שלא פועלת.

VPC משותף

אדמינים של פרויקטים של שירותים יכולים ליצור קבצים מצורפים לשירותים בפרויקטים של שירותים ב-VPC משותף, שמתחברים למשאבים ברשתות VPC משותפות.

ההגדרה זהה לזו של קובץ מצורף רגיל לשירות, למעט ההבדלים הבאים:

כלל ההעברה של מאזן העומסים של היצרן משויך לכתובת IP מרשת ה-VPC המשותפת. צריך לשתף את רשת המשנה של כלל ההעברה עם פרויקט השירות.
קובץ השירות המצורף משתמש ברשת משנה של Private Service Connect מרשת ה-VPC המשותפת. צריך לשתף את רשת המשנה הזו עם פרויקט השירות.

רישום ביומן

אפשר להפעיל את VPC Flow Logs ברשתות המשנה שמכילות את מכונות ה-VM של ה-Backend. היומנים מציגים את התנועה בין המכונות הווירטואליות של הקצה העורפי לבין כתובות ה-IP ברשת המשנה של Private Service Connect.

VPC Service Controls

‏VPC Service Controls ו-Private Service Connect תואמים זה לזה. אם רשת ה-VPC שבה נקודת הקצה של Private Service Connect נפרסת נמצאת בגבולות גזרה של VPC Service Controls, נקודת הקצה היא חלק מאותם גבולות גזרה. כל השירותים שנתמכים על ידי VPC Service Controls שאליהם ניגשים דרך נקודת הקצה כפופים למדיניות של גבולות הגזרה של VPC Service Controls.

כשיוצרים נקודת קצה, מתבצעות קריאות ל-API של מישור הבקרה בין פרויקט הצרכן לפרויקט הבעלים כדי ליצור חיבור Private Service Connect. כדי ליצור חיבור Private Service Connect בין פרויקטים של צרכנים וספקים שלא נמצאים באותו גבול גזרה של VPC Service Controls, לא נדרש אישור מפורש באמצעות מדיניות יציאה. התקשורת עם שירותים שנתמכים על ידי VPC Service Controls דרך נקודת הקצה מוגנת על ידי היקף ה-VPC Service Controls.

הצגת פרטי החיבור של הצרכן

כברירת מחדל, Private Service Connect מתרגם את כתובת ה-IP של המקור של הצרכן לכתובת באחת מתת-הרשתות של Private Service Connect ברשת ה-VPC של ספק השירות. אם רוצים לראות את כתובת ה-IP המקורית של הצרכן, אפשר להפעיל את פרוטוקול ה-PROXY כשמפרסמים שירות. ‫Private Service Connect תומך בפרוטוקול PROXY בגרסה 2.

לא כל השירותים תומכים בפרוטוקול PROXY. מידע נוסף זמין במאמר בנושא תכונות ותאימות.

אם פרוטוקול PROXY מופעל, אפשר לקבל את כתובת ה-IP של הצרכן ואת מזהה החיבור של PSC ‏ (pscConnectionId) מכותרת פרוטוקול PROXY.

הפורמט של כותרות פרוטוקול ה-PROXY תלוי בגרסת ה-IP של נקודת הקצה של הצרכן. אם למאזן העומסים של קובץ ה-Service Attachment יש כתובת IPv6, צרכנים יכולים להתחבר עם כתובות IPv4 ו-IPv6. מגדירים את האפליקציה כך שתקבל ותקרא כותרות של פרוטוקול PROXY עבור גרסת ה-IP של התנועה שהיא אמורה לקבל.

בתנועה של צרכנים שעוברת דרך חיבור שהועבר, כתובת ה-IP של המקור של הצרכן ומזהה החיבור של PSC מתייחסים לנקודת הקצה של Private Service Connect שהועברה.

כשמפעילים את פרוטוקול PROXY לצירוף שירות, השינוי חל רק על חיבורים חדשים. החיבורים הקיימים לא כוללים את כותרת פרוטוקול ה-PROXY.

אם מפעילים את פרוטוקול PROXY, צריך לעיין במסמכים של תוכנת שרת האינטרנט של העורף כדי לקבל מידע על ניתוח ועיבוד של כותרות פרוטוקול PROXY נכנסות במטענים הייעודיים (payloads) של TCP בחיבור הלקוח. אם פרוטוקול PROXY מופעל בחיבור השירות, אבל שרת האינטרנט העורפי לא מוגדר לעיבוד כותרות של פרוטוקול PROXY, יכול להיות שהבקשות לאינטרנט יהיו פגומות. אם הבקשות פגומות, השרת לא יכול לפרש אותן.

מזהה החיבור של Private Service Connect ‏ (pscConnectionId) מקודד בכותרת של פרוטוקול PROXY בפורמט Type-Length-Value ‏ (TLV).

שדה	אורך השדה	ערך שדה
סוג	בייט אחד	`0xE0` (PP2_TYPE_GCP)
אורך	‫2 בייטים	‫`0x8` (8 בייטים)
ערך	‫8 בייטים	‫8 הבייטים `pscConnectionId` בסדר רשת

אפשר לראות את הערך pscConnectionId באורך 8 בייט מכלל העברת הנתונים של הצרכן או מהקובץ המצורף של שירות היצרן.

הערך של pscConnectionId הוא ייחודי באופן גלובלי לכל החיבורים הפעילים בנקודת זמן מסוימת. עם זאת, לאורך זמן, יכול להיות שיהיה שימוש חוזר ב-pscConnectionId בתרחישים הבאים:

ברשת VPC נתונה, אם מוחקים נקודת קצה (כלל העברה) ויוצרים נקודת קצה חדשה באמצעות אותה כתובת IP, יכול להיות שייעשה שימוש באותו ערך pscConnectionId.
אם מוחקים רשת VPC שמכילה נקודות קצה (כללי העברה), אחרי תקופת המתנה של שבעה ימים, יכול להיות שהערך pscConnectionId ששימש את נקודות הקצה האלה ישמש נקודת קצה אחרת ברשת VPC אחרת.

אפשר להשתמש בערכים של pscConnectionId לצורך ניפוי באגים ולמעקב אחרי מקורות החבילות.

מזהה נפרד של קובץ מצורף עם שירות Private Service Connect (בגודל 16 בייט) (pscServiceAttachmentId) זמין מקובץ מצורף עם שירות ההפקה. הערך pscServiceAttachmentId הוא מזהה ייחודי וגלובלי שמזהה קובץ מצורף עם השירות Private Service Connect. אפשר להשתמש בערך pscServiceAttachmentId לצורך בדיקה וניפוי באגים. הערך הזה לא נכלל בכותרת של פרוטוקול ה-PROXY.

תמחור

המחירים של Private Service Connect מפורטים בדף המחירים של VPC.

מכסות

מספר נקודות הקצה הכולל של Private Service Connect והחיבורים שהועברו, מכל צרכן, שיכולים לגשת לרשת ה-VPC של הספק, נשלט על ידי מכסת PSC ILB consumer forwarding rules per producer VPC network.

נקודות הקצה נכללות במכסת השימוש הזו עד שהן נמחקות, גם אם קובץ השירות המשויך נמחק או מוגדר לדחיית החיבור. קישורים שהועברו תורמים למכסת הקישורים עד שמנקודת הקצה המשויכת נמחקת, גם אם העברת הקישורים מושבתת במרכז ה-NCC או אם ה-spoke של הקישור שהועבר נמחק.

גישה מקומית

שירותי Private Service Connect זמינים באמצעות נקודות קצה. אפשר לגשת לנקודות הקצה האלה ממארחים מקומיים מחוברים נתמכים. מידע נוסף זמין במאמר גישה לנקודת הקצה ממארחים מקומיים.

מגבלות

יש מגבלות על שירותים שפורסמו:

מאזני עומסים שמוגדרים עם כמה פרוטוקולים – הפרוטוקול מוגדר כ-L3_DEFAULT – לא נתמכים.
אי אפשר לשכפל חבילות נתונים באמצעות רפליקציה של חבילות נתונים עבור תעבורה של שירותים שפורסמו ב-Private Service Connect.
כדי ליצור קובץ מצורף לשירות שמפנה לכלל העברה שמשמש להעברת פרוטוקול פנימית, צריך להשתמש ב-Google Cloud CLI או ב-API.

לרשימת הבעיות והפתרונות האפשריים, אפשר לעיין בבעיות מוכרות.