本地或其他云服务提供商的专用连接

本页介绍了如何设置从 Integration Connectors 到后端服务(例如托管在本地数据中心或其他云服务提供商中的 MySQL、Postgres 和 SQL Server)的专用连接。

下图显示了从 Integration Connectors 到托管在您内部部署的网络中的后端服务的专用网络连接设置。

本页面假定您熟悉以下概念:

注意事项

创建 PSC 服务连接时,请考虑以下要点:

  • 作为服务提供方,您必须配置 PSC 服务连接,以便 Integration Connectors 可以使用该服务。服务附件准备就绪后,您可以配置连接以使用端点附件来使用服务附件。
  • PSC 服务连接和负载均衡器必须位于同一 VPC 内的不同子网中。具体而言,服务连接必须位于 NAT 子网中。
  • 在后端虚拟机上运行的软件必须同时响应发送到每个转发规则 IP 地址的负载均衡流量和健康检查探测(该软件必须侦听 0.0.0.0:<port> 而不是分配给网络接口的特定 IP 地址)。 如需了解详情,请参阅健康检查
  • 配置防火墙规则以促进流量流动。

    入站规则

    • 来自 PSC 服务附加项子网的流量必须到达 ILB 的子网。
    • 在 ILB 的子网中,ILB 必须能够向您的后端系统发送流量。
    • 健康检查探测必须能够访问您的后端系统。Google Cloud 健康检查探测器具有固定的 IP 地址范围 (35.191.0.0/16, 130.211.0.0/22)。因此,您可以允许这些 IP 向后端服务器发送流量。

    出站规则

    除非配置了特定的拒绝规则,否则 Google Cloud 项目中默认启用出站流量。

  • 您的所有 Google Cloud 组件(例如 PSC 服务连接和负载均衡器)都必须位于同一区域。

  • 您的后端系统不得对公用网络开放,因为这可能会带来安全问题。不过,请确保您的后端系统在以下情况下接受流量:

    基于代理/HTTP(S) 负载均衡器 (L4 代理 ILB、L7 ILB):所有新请求均来自负载均衡器。因此,您的后端必须接受来自 VPC 网络代理子网的请求。如需了解详情,请参阅基于 Envoy 的负载平衡器的代理专用子网

配置专用连接

如需配置专用连接,请执行以下任务:

  1. 创建 PSC 服务连接。
  2. 创建端点连接以使用 PSC 服务连接。
  3. 配置您的连接以使用端点附件。

创建 PSC 服务连接

如需通过集成连接器建立专用连接,您必须使用 PSC 服务连接将服务公开给 Integration Connectors。服务连接始终以负载均衡器为目标。因此,如果您的服务未部署在负载均衡器后面,则必须配置负载均衡器。

如需创建 PSC 服务连接,请执行以下操作:
  1. 创建健康检查探测,然后创建负载均衡器。如需了解如何设置区域级内部代理网络负载平衡器,请参阅设置具有混合连接的区域级内部代理网络负载平衡器
  2. 在服务的负载均衡器所在的区域中创建服务连接。如需了解如何创建服务连接,请参阅发布服务

创建端点连接

将端点附件作为 IP 地址

如需了解如何将端点附件创建为 IP 地址,请参阅将端点附件创建为 IP 地址

将端点连接用作主机名

在某些情况下(例如启用了 TLS 的后端),目的地要求您使用主机名(而非专用 IP)执行 TLS 验证。如果为主机目的地使用专用 DNS 而非 IP 地址,除了将端点附件创建为 IP 地址之外,您还必须配置托管式区域。如需了解如何将端点附件创建为主机名,请参阅将端点附件创建为主机名

稍后,在将连接配置为使用端点连接时,您可以选择此端点连接。

配置连接以使用端点连接

现在,您已创建端点连接,接下来可以在关联中使用该端点连接。创建新连接或更新现有连接时,在“目标”部分中,选择端点连接作为目标类型,然后从端点连接列表中选择您创建的端点连接。

如果您创建了托管区域,请选择主机地址作为目标类型,并使用您在创建托管区域时创建的 A 记录。

问题排查提示

如果您在使用专用连接时遇到问题,请遵循本部分列出的准则,以免出现常见问题。

  • 如需验证端点附件是否设置正确且 PSC 连接是否已建立,请检查连接状态。如需了解详情,请参阅验证端点附件连接
  • 确保防火墙规则采用以下配置:
    • 您必须允许来自 PSC 服务附件的子网的流量到达您的后端服务。
    • 负载均衡器必须能够将流量发送到您的后端系统。只有代理负载平衡器支持混合 NEG。来自代理负载均衡器的请求来自该区域的代理专用子网。因此,您需要配置防火墙规则,以允许来自代理专用子网范围的请求到达您的后端。
    • 健康检查探测必须能够访问您的后端系统。Google Cloud 健康检查探测具有固定的 IP 地址范围(35.191.0.0/16、130.211.0.0/22)。因此,必须允许这些 IP 地址向您的后端服务器发送流量。
  • Google Cloud 连接性测试可用于找出网络配置中的任何缺口。如需了解详情,请参阅创建和运行 Connectivity Tests
  • 确保在本地环境或其他云环境中更新防火墙规则,以允许来自 Google Cloud 区域的代理专用子网的流量。