Private Service Connect consente ai consumer di accedere ai servizi gestiti privatamente dall'interno della propria rete Virtual Private Cloud (VPC). Allo stesso modo, consente ai producer di servizi gestiti di ospitare questi servizi nelle proprie reti e progetti VPC separati e di offrire una connessione privata ai propri consumer. Le connessioni Private Service Connect non sono transitive tra gli spoke VPC. La propagazione dei servizi Private Service Connect tramite l'hub Network Connectivity Center consente a questi servizi di essere raggiungibili da qualsiasi altro spoke VPC nello stesso hub tramite la tabella di routing.
Network Connectivity Center supporta anche la propagazione degli endpoint regionali. Per ulteriori informazioni sugli endpoint regionali, consulta Informazioni sull'accesso agli endpoint regionali tramite gli endpoint Private Service Connect.
La funzionalità di propagazione della connessione Private Service Connect di Network Connectivity Center è utile per i seguenti casi d'uso:
Puoi utilizzare una rete VPC di servizi comuni per creare più endpoint consumer Private Service Connect. Se aggiungi una singola rete VPC di servizi comuni all'hub Network Connectivity Center, tutti gli endpoint consumer di Private Service Connect nella rete VPC diventano accessibili in modo transitivo ad altri spoke VPC tramite l'hub Network Connectivity Center. Questa connettività elimina la necessità di gestire individualmente ogni endpoint Private Service Connect in ogni rete VPC.
Puoi accedere ai servizi gestiti in una rete spoke VPC da reti on-premise raggiungibili tramite gli spoke ibridi.
Quando connetti uno spoke VPC a un hub con le connessioni propagate abilitate, Network Connectivity Center crea connessioni propagate in questo spoke per tutti gli endpoint collegati allo stesso hub, a meno che la subnet dell'endpoint non sia esclusa dall'esportazione. Dopo che una rete VPC viene aggiunta a un hub Network Connectivity Center come spoke VPC, vengono propagati anche i nuovi endpoint Private Service Connect, a meno che la subnet dell'endpoint non sia esclusa dall'esportazione.
Per configurare un hub con una connessione propagata di Private Service Connect abilitata, l'amministratore dell'hub deve creare un hub con la propagazione di Private Service Connect o aggiornare l'impostazione di propagazione utilizzando il flag --export-psc. Quindi, l'amministratore dell'hub deve
aggiungere le reti VPC come spoke all'hub. Il proprietario dello spoke può utilizzare i flag --exclude-export-ranges e --include-export-ranges per escludere subnet allocate di Private Service Connect specifiche dal routing di Network Connectivity Center, in modo che le subnet specificate non siano raggiungibili da altre reti VPC, mantenendole così private per la rete VPC locale.
Per informazioni sulle connessioni propagate di Private Service Connect, consulta Informazioni sulle connessioni propagate.
Per informazioni sui flag --exclude-export-ranges e
--include-export-ranges, consulta Connettività VPC con filtri di esportazione.
Per informazioni dettagliate sulla configurazione di un hub per una connessione propagata di Private Service Connect, consulta Configurare un hub.
Limite di propagazione della connessione
Per maggiori dettagli sui limiti delle connessioni propagate, vedi Limite di connessioni propagate.
Considerazioni
Prima di attivare una connessione propagata di Private Service Connect, tieni presente quanto segue:
Una connessione propagata di Private Service Connect funziona solo con gli spoke VPC.
Le connessioni IPv6 di Private Service Connect propagate tra gli spoke VPC non sono supportate.
Se devi rendere disponibili le connessioni Private Service Connect propagate alle reti on-premise connesse agli spoke ibridi:
L'hub Network Connectivity Center deve avere una sola rete VPC di routing che contenga tutti gli spoke ibridi.
L'unica rete VPC di routing dell'hub deve essere anche uno spoke VPC.
Se un hub ha due o più reti VPC di routing, nessuna delle reti VPC di routing può essere anche spoke VPC. Di conseguenza, gli hub con due o più reti VPC di routing non possono rendere disponibili le connessioni Private Service Connect propagate alle reti on-premise.
Affinché la propagazione di Private Service Connect funzioni con gli spoke ibridi, la rete VPC di routing deve essere aggiunta anche come spoke VPC.
Poiché il filtro
--exclude-export-rangesnon è modificabile per uno spoke dopo la sua creazione, ti consigliamo di creare due subnet per ospitare gli endpoint Private Service Connect: una subnet per gli endpoint Private Service Connect solo all'interno della rete VPC e l'altra per gli endpoint Private Service Connect condivisi con l'hub. Quando aggiungi la rete VPC a un hub come spoke, aggiungi l'intervallo di indirizzi IP della subnet che ospita la rete VPC solo all'interno della rete VPC al filtro--exclude-export-rangesin modo che non venga condiviso con l'hub.Gli endpoint Private Service Connect che utilizzano intervalli di indirizzi IP pubblici utilizzati privatamente non vengono propagati all'hub Network Connectivity Center.
Se una subnet in uno spoke VPC è configurata con NAT privata per accedere all'hub Network Connectivity Center, il traffico dalla subnet al servizio Private Service Connect propagato viene eliminato. Se il gateway Private NAT è configurato con
--nat-all-subnet-ip-ranges, la propagazione di Private Service Connect tramite Network Connectivity Center non funziona per tutte le subnet in questo VPC spoke. Per farlo funzionare da subnet non sovrapposte di questo VPC spoke, utilizza--nat-custom-subnet-ip-rangesper il gateway NAT privato. Non utilizzare NAT per instradare il traffico da subnet non sovrapposte all'hub Network Connectivity Center.Lo stato di propagazione potrebbe non essere accurato se crei, elimini e ricrei l'endpoint Private Service Connect in un breve periodo di tempo. Tuttavia, dopo un po' di tempo, lo stato di propagazione diventa preciso e riflette lo stato effettivo della connessione propagata. L'operazione potrebbe richiedere fino a 15 minuti.
La propagazione della connessione Private Service Connect è asincrona dopo la creazione o l'eliminazione dello spoke. Quando uno spoke VPC viene rimosso da un hub, l'aggiornamento delle connessioni Private Service Connect propagate può richiedere del tempo. Mentre l'aggiornamento della connessione di propagazione di Private Service Connect è in corso, il traffico dalla VM all'interno della rete VPC può fluire al backend, anche dopo che lo spoke VPC è stato aggiunto a un nuovo hub. Per evitare il flusso di traffico verso il backend, prima di aggiungere lo spoke a un altro hub, assicurati che tutte le voci di stato di propagazione per la rete VPC nell'hub precedente, sia come spoke di origine che come spoke di destinazione, vengano eliminate.
Stato di propagazione della connessione Private Service Connect
Network Connectivity Center consente di visualizzare lo stato della propagazione della connessione Private Service Connect all'interno di un hub Network Connectivity Center. Puoi visualizzare un riepilogo degli stati o visualizzare in dettaglio errori specifici per visualizzarne i dettagli.
La tabella seguente elenca i codici di stato di propagazione e il relativo significato.
| Codice | Messaggio |
|---|---|
| Pronto | La connessione Private Service Connect propagata è pronta. |
| Propagating | La propagazione della connessione Private Service Connect è in attesa. Si tratta di uno stato temporaneo. |
| Errore, limite di connessioni propagate dal producer superato | La propagazione della connessione Private Service Connect propagata non è riuscita perché la rete VPC o il progetto dello spoke di destinazione ha superato il limite di connessioni di propagazione impostato dal producer. Per risolvere il problema, consulta la documentazione del produttore o contatta il suo team di assistenza. |
| Errore, spazio IP NAT del producer esaurito | La propagazione della connessione Private Service Connect non è riuscita
perché lo spazio IP NAT della subnet è esaurito. È equivalente allo stato
Needs attention della connessione PSC. Per maggiori dettagli, consulta
Stati della connessione
nella documentazione di Private Service Connect.
|
| Errore, quota del producer superata | La propagazione della connessione Private Service Connect non è riuscita perché la quota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK nella rete VPC producer è stata superata.
|
| Errore, quota consumer superata | La propagazione della connessione Private Service Connect non è riuscita perché la quota
PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK nella rete VPC consumer
è stata superata.
|
Per informazioni su come visualizzare gli stati di propagazione della connessione Private Service Connect, consulta Visualizzare lo stato di propagazione della connessione Private Service Connect. Per informazioni sulla risoluzione dei problemi di propagazione della connessione Private Service Connect, consulta Risolvere gli errori di propagazione della connessione Private Service Connect.
Passaggi successivi
- Per creare hub e spoke, vedi Utilizzo di hub e spoke.
- Per visualizzare un elenco dei partner le cui soluzioni sono integrate con Network Connectivity Center, consulta Partner di Network Connectivity Center.
- Per trovare soluzioni ai problemi comuni, consulta la sezione Risoluzione dei problemi.
- Per informazioni dettagliate sui comandi API e Google Cloud CLI, consulta la sezione API e riferimenti.