關於 Private Service Connect 後端
您可以建立 Private Service Connect 端點 (以轉送規則為準) 或 Private Service Connect 後端 (以負載平衡器為準),存取 Google API 和已發布的服務。本指南著重於 Private Service Connect 後端。
Private Service Connect 後端會使用設定有 Private Service Connect 網路端點群組 (NEG) 後端的負載平衡器。這項設定先前稱為「搭配消費者 HTTP(S) 服務控制項的 Private Service Connect 端點」。
透過消費者管理的負載平衡器存取 API 和服務,可帶來多項好處。負載平衡器可做為集中式政策執行點,強制執行安全性政策 (例如 Google Cloud Armor 政策和 SSL 政策) 或路由政策 (例如 Google Cloud URL 對應)。這些服務提供發布服務可能不會提供的集中式指標和記錄,並讓消費者控管自己的路由和容錯移轉。
圖 1 顯示負載平衡器,其中 Private Service Connect NEG 連線至已發布的服務。用戶端流量會傳送至負載平衡器,負載平衡器處理流量後,會將流量轉送至對應 Private Service Connect 後端的已發布服務,該服務在不同的虛擬私有雲網路中執行。
圖 1. 服務消費者可透過網際網路存取全域外部應用程式負載平衡器,將流量傳送至服務供應商的 VPC 網路中的服務 (按一下可放大)。
部署作業總覽
如要透過 Private Service Connect 後端存取 API 和服務,請完成下列步驟:
找出要連結的 API 或服務。
Google API:選取區域服務端點。
已發布的服務:向服務供應商索取服務連結 URI。
部署負載平衡器,將流量傳送至已發布的服務。 選擇符合需求的負載平衡器,包括您是否有網際網路用戶端、內部用戶端,或是否需要區域隔離。您也可以重複使用現有的負載平衡器。
部署 Private Service Connect NEG,並將其新增至負載平衡器後端服務。建立參照已發布服務的 Private Service Connect NEG。然後將 NEG 新增至負載平衡器的後端服務,負載平衡器就能將流量傳送至這些 NEG。
支援的負載平衡器和目標
您可以使用後端存取已發布的服務或支援的 Google API。
如要進一步瞭解要新增 Private Service Connect 後端的負載平衡器,請參閱負載平衡說明文件。
- 如要瞭解全域外部應用程式負載平衡器和區域外部應用程式負載平衡器,請參閱「外部應用程式負載平衡器總覽」。
- 如要瞭解內部應用程式負載平衡器和跨區域內部應用程式負載平衡器,請參閱「內部應用程式負載平衡器總覽」。
- 如要瞭解區域性內部 Proxy 網路負載平衡器,請參閱 區域性內部 Proxy 網路負載平衡器總覽。
- 如要瞭解區域性外部 Proxy 網路負載平衡器,請參閱「 區域性外部 Proxy 網路負載平衡器總覽」。
- 如要瞭解全域外部 Proxy 網路負載平衡器,請參閱「外部 Proxy 網路負載平衡器總覽」。
已發布的服務目標
已發布服務的 Private Service Connect 後端需要兩個負載平衡器:消費者負載平衡器和生產者負載平衡器。
消費者設定
下表說明已發布服務的 Private Service Connect 後端支援哪些用戶負載平衡器,包括每個用戶負載平衡器可使用的後端服務通訊協定。消費者負載平衡器可以存取支援的生產者負載平衡器上託管的已發布服務。
| 消費者負載平衡器 | 通訊協定 | IP 版本 | 跨區域容錯移轉 |
|---|---|---|---|
|
IPv4 | ||
|
IPv4 | ||
|
注意:系統不支援 Classic Application Load Balancer。 |
|
IPv4 | |
|
如要將這個負載平衡器與 Private Service Connect NEG 建立關聯,請使用 Google Cloud CLI 或傳送 API 要求。 注意:系統不支援傳統 Proxy 網路負載平衡器。 |
|
IPv4 | |
|
IPv4 | ||
|
IPv4 | ||
|
IPv4 | ||
|
IPv4 |
製作人設定
下表說明 Private Service Connect 後端支援的生產者負載平衡器設定,適用於已發布的服務。
| 製作人類型 | 生產端設定 (已發布的服務) | |||||
|---|---|---|---|---|---|---|
| 支援的製作人後端 | 轉送規則通訊協定 | 轉送規則通訊埠 | PROXY 通訊協定 | IP 版本 | Private Service Connect 健康狀態支援 | |
| 跨區域內部應用程式負載平衡器 |
|
|
支援單一、多個或所有通訊埠 | IPv4 | ||
| 內部直通式網路負載平衡器 |
|
|
請參閱「供應商通訊埠設定」 | IPv4 | ||
| 區域性內部應用程式負載平衡器 |
|
|
支援單一通訊埠 | IPv4 | ||
| 區域性內部 Proxy 網路負載平衡器 |
|
|
支援單一通訊埠 | IPv4 | ||
| Secure Web Proxy |
|
|
不適用 | IPv4 | ||
如需使用全域外部應用程式負載平衡器的後端設定範例,請參閱「透過後端存取已發布的服務」。
區域 Google API 目標
下表說明哪些負載平衡器可使用 Private Service Connect 後端存取區域性 Google API。
如需使用內部應用程式負載平衡器的設定範例,請參閱「透過後端存取 Google API」。
| 設定 | 詳細資料 |
|---|---|
| 消費者設定 (Private Service Connect 後端) | |
| 支援的消費者負載平衡器 |
|
| IP 版本 | IPv4 |
| 製作人 | |
| 支援的服務 | 支援的區域性 Google API |
全域 Google API 目標
下表說明哪些負載平衡器可使用 Private Service Connect 後端存取全域 Google API。
| 設定 | 詳細資料 |
|---|---|
| 消費者設定 (Private Service Connect 後端) | |
| 支援的消費者負載平衡器 |
|
| IP 版本 | IPv4 |
| 製作人 | |
| 支援的服務 |
|
連線狀態
Private Service Connect 端點、後端和服務連結的連線狀態,說明瞭連線的狀態。 構成連線兩端的用戶和供應商資源一律會有相同的狀態。 您可以查看端點詳細資料、 說明後端,或 查看已發布服務的詳細資料,藉此查看連線狀態。
下表說明可能的狀態。
| 連線狀態 | 說明 |
|---|---|
| 已接受 | 已建立 Private Service Connect 連線。兩個虛擬私有雲網路已連線,且連線功能正常運作。 |
| 待處理 | 未建立 Private Service Connect 連線,網路流量無法在兩個網路之間傳輸。連線可能因為下列原因而處於這種狀態: 如果連線因上述原因遭到封鎖,就會無限期處於待處理狀態,直到解決根本問題為止。 |
| 已遭拒 | 未建立 Private Service Connect 連線。網路流量無法在兩個網路之間傳輸。連線可能因為下列原因而處於這種狀態: |
| 需要處理 | 連線的供應商端發生問題。部分流量或許可以在兩個網路之間傳送,不過某些連線可能無法正常運作。舉例來說,供應商的 NAT 子網路可能已用盡,無法為新的連線分配 IP 位址。 |
| 不開放 | 服務連結遭到刪除,Private Service Connect 連線已關閉。網路流量無法在兩個網路之間傳輸。 連線關閉是終端狀態,如要恢復連線,必須重新建立服務連結和端點或後端。 |
規格
所有 Private Service Connect 後端都有下列規格:
- 只有支援的負載平衡器可以使用 Private Service Connect NEG 做為後端。
- 在同一個後端服務中,Private Service Connect NEG 無法與其他 NEG 類型混用。不過,只要是不同後端服務的一部分,自架式應用程式和受管理服務都可以是同一個負載平衡器的後端。
- 使用 Private Service Connect NEG 的後端服務不支援健康狀態檢查。健康檢查資源未設定 Private Service Connect 使用的後端服務。
- 使用 Private Service Connect NEG 的後端服務不支援工作階段親和性。
- 如果 Private Service Connect NEG 參照服務連結,則服務連結必須位於與 NEG 和負載平衡器不同的虛擬私有雲網路中。
- Private Service Connect NEG 無法參照為通訊埠對應服務設定的服務附件。
用於全域後端服務的 Private Service Connect 後端有額外規格:
- 只要來自不同區域,多個 Private Service Connect NEG 就能位於同一個後端服務。您無法將來自相同區域的多個 Private Service Connect NEG 新增至同一個後端服務。
- 您可以將多個 Private Service Connect NEG 與同一個後端服務建立關聯,充分運用自動跨區域容錯移轉功能。詳情請參閱下節說明。
自動跨區域容錯移轉
使用以全域或跨區域負載平衡器為基礎的 Private Service Connect 後端存取已發布的服務,即可享有自動跨區域容錯移轉的優勢。
透過自動容錯移轉功能,如果某個區域的服務執行個體健康狀態不佳,取用者負載平衡器就會停止將流量轉送至該執行個體,改為將流量轉送至替代區域中健康狀態良好的服務執行個體。
如要支援自動容錯移轉,服務生產者和服務消費者都必須為多區域部署設定資源,如本節所述。如要瞭解使用 Private Service Connect 健康狀態進行容錯移轉時,生產者需要滿足的其他條件,請參閱「Private Service Connect 健康狀態規格」。
製作人設定:
消費者設定:
- 建立 Private Service Connect 後端,存取已發布的服務。後端必須以支援跨區域容錯移轉的負載平衡器為基礎,並包含下列設定:
- 每個區域中的 Private Service Connect NEG,指向該區域的服務附件
- 包含 NEG 後端的全域後端服務
全域外部應用程式負載平衡器具有多個 Private Service Connect NEG,可連線至在多個區域發布的服務。如果服務執行個體健康狀態不佳,這個多區域部署作業會讓消費者負載平衡器容錯移轉,將流量轉送至替代區域中健康狀態良好的服務執行個體 (按一下即可放大)。
自動容錯移轉的觸發方式有兩種:
透過離群值偵測進行容錯移轉:負載平衡器的標準容錯移轉機制,在多區域部署中預設為啟用。如果 Private Service Connect NEG 從已發布服務收到大量錯誤,流量就會從該 NEG 轉移。
透過 Private Service Connect 健康狀態檢查提升容錯移轉能力:服務供應商可以設定 Private Service Connect 健康狀態檢查,為服務提供更詳細的健康狀態信號。
透過離群值偵測進行容錯移轉
在全域後端服務中設定多個 Private Service Connect NEG 時,系統會自動在後端服務上啟用離群值偵測。
如果離群值偵測功能在已發布服務傳送的回應中發現失敗情形 (例如 5xx 回應代碼),消費者負載平衡器就會進行容錯移轉,暫時將流量重新導向至替代區域中運作正常的服務執行個體。
您可以將自己的離群值偵測設定套用至後端服務,藉此取代預設的離群值偵測政策,也可以在後端服務中設定單一 Private Service Connect NEG,並將 100% 的流量路由至這個 NEG,藉此停用這項功能。
透過 Private Service Connect 健康狀態提升容錯移轉能力
透過 Private Service Connect 健康狀態,消費者負載平衡器可以根據服務供應商設定的直接健康狀態信號進行容錯移轉。
生產者會定義條件,為每個區域發布的服務執行個體建立單一複合健康狀態。綜合健康狀態是根據服務後端的健康狀態 (例如 VM 執行個體或網路端點) 而定。舉例來說,生產者可以指定只有在後端執行個體健康狀態達到特定百分比時,服務才算健康。
在多區域部署中,如果使用支援的負載平衡器,服務消費者不需要額外設定,即可使用 Private Service Connect 健康狀態的健康狀態信號。
如要瞭解服務供應商如何設定 Private Service Connect 健康狀態,請參閱「關於 Private Service Connect 健康狀態」。
定價
如需定價資訊,請參閱 VPC 定價頁面的下列章節: