本頁面說明與 Private Service Connect 相關的概念。Private Service Connect 的用途如下:
- 從屬於不同群組、團隊、專案或機構的多個虛擬私有雲 (VPC) 網路,連線至 AlloyDB for PostgreSQL 執行個體。
- 連線至主要執行個體或任何唯讀備用資源,或是連線至次要執行個體。
您可以透過 Private Service Connect,在虛擬私有雲網路與Google Cloud 服務 (例如 AlloyDB) 之間建立私人安全連線。
Private Service Connect 採用消費者和生產者概念。舉例來說,您的虛擬私有雲網路是消費者,而 Google Cloud是生產者,並發布 AlloyDB 服務。如要建立連入連線,AlloyDB 執行個體會發布服務附件 URL (用於連線至執行個體的專屬 ID),而允許的專案中允許的網路會建立端點,以便建立與 AlloyDB 服務的安全連線。
如要建立輸出連線,用戶端網路會建立及管理 Private Service Connect 網路連結。AlloyDB 執行個體會使用這些網路附件管理外送作業的連線,例如遷移或外部資料包裝函式 (FDW)。
如要進一步瞭解如何在 AlloyDB 中使用 Private Service Connect,請參閱「使用 Private Service Connect 連線至執行個體」。
服務連線政策
服務連線政策可授權 AlloyDB 在 AlloyDB 和消費者虛擬私有雲網路之間建立 Private Service Connect 連線。因此,您可以自動佈建 Private Service Connect 端點。 舉例來說,您可以在一或多個 (消費者) 虛擬私有雲網路中建立服務連線政策,並指定子網路。子網路會用於為透過政策自動建立的端點分配 IP 位址,以便連線至 AlloyDB。這項政策也會定義連線限制,決定可建立的端點數量。
如要進一步瞭解服務連線政策,請參閱「關於服務連線政策」。
服務連結
在啟用 Private Service Connect 的叢集中建立任何 AlloyDB 執行個體時,AlloyDB 會建立該執行個體專屬的服務連結。系統會為建立的每個主要執行個體、讀取集區執行個體或次要執行個體,產生專屬的服務附件網址。這個服務連結網址可用於為專案或網路建立 Private Service Connect 端點。
網路連結
如要啟用從 AlloyDB 執行個體到消費者專案的出站連線,您必須在該虛擬私有雲和專案中建立網路連結。這個網路連結是區域資源,可做為連線點。您可以建立網路連結,自動(ACCEPT_AUTOMATIC) 或手動 (ACCEPT_MANUAL) 接受連線。如要進一步瞭解如何建立網路連結,請參閱「建立及管理網路連結」。
Private Service Connect 端點
Private Service Connect 端點是與內部 IP 位址相關聯的轉送規則。建立啟用 Private Service Connect 的叢集和執行個體時,您可以讓 AlloyDB 自動建立端點,也可以手動建立端點。手動建立端點時,您必須指定與 AlloyDB 執行個體相關聯的服務附件。虛擬私有雲網路隨後就能透過端點存取執行個體。
DNS 名稱和記錄
由於多個端點可以連線至單一服務連結,因此建議使用 DNS 名稱,無論端點所屬的網路為何,都能穩定連線至服務連結。系統會使用 DNS 名稱,在對應虛擬私有雲端網路的私有 DNS 區域中建立 DNS 記錄。
允許的 Private Service Connect 專案
建立 AlloyDB 執行個體時,您可以定義虛擬私有雲網路中的哪些專案可以存取 AlloyDB 叢集內的 AlloyDB 執行個體。
針對虛擬私有雲網路中允許的每個專案,建立專屬的 Private Service Connect 端點。如果專案未明確允許,您仍可為專案中的執行個體建立端點,但端點會維持 PENDING 狀態。
限制
- 您可以在 RFC 1918 和非 RFC 1918 範圍中建立 Private Service Connect 端點。