透過 Network Connectivity Center 傳播 Private Service Connect 連線

Private Service Connect 可讓消費者從虛擬私有雲 (VPC) 網路內部,以私密方式存取代管服務。同樣地,代管服務生產端也能在自己的獨立虛擬私有雲網路和專案中代管這些服務,並為消費者提供私人連線。Private Service Connect 連線不會在虛擬私有雲輪輻之間傳輸。透過 Network Connectivity Center 中樞傳播 Private Service Connect 服務後,同一個中樞內的其他輪輻虛擬私有雲即可透過路由表連上這些服務。

Network Connectivity Center 也支援區域端點傳播。如要進一步瞭解區域端點,請參閱「透過 Private Service Connect 端點存取區域端點」。

Network Connectivity Center Private Service Connect 連線傳播功能適用於下列用途:

  • 您可以使用通用服務虛擬私有雲網路,建立多個 Private Service Connect 消費者端點。只要將單一通用服務虛擬私有雲網路新增至 Network Connectivity Center 中樞,虛擬私有雲網路中的所有 Private Service Connect 消費者端點,就能透過 Network Connectivity Center 中樞,以遞移方式供其他虛擬私有雲輪輻存取。有了這項連線功能,您就不必在每個虛擬私有雲網路中,個別管理每個 Private Service Connect 端點。

  • 您可以從混合式輪輻可連上的內部部署網路,存取虛擬私有雲輪輻網路中的代管服務。

將虛擬私有雲輪輻連線至已啟用連線傳播功能的中樞時,Network Connectivity Center 會在該輪輻中,為附加至相同中樞的所有端點建立傳播連線,除非端點的子網路已排除在匯出範圍外。將虛擬私有雲網路新增至 Network Connectivity Center 中樞做為虛擬私有雲輪輻後,系統也會傳播新的 Private Service Connect 端點,除非端點的子網路已從匯出作業中排除。

如要設定啟用 Private Service Connect 傳播連線的中樞,中樞管理員必須建立中樞,並啟用 Private Service Connect 傳播功能,或使用 --export-psc 旗標更新傳播設定。接著,中樞管理員必須將虛擬私有雲網路新增為中樞的輪輻。輪輻擁有者可以使用 --exclude-export-ranges--include-export-ranges 標記,從 Network Connectivity Center 路由中排除特定 Private Service Connect 分配的子網路,這樣其他虛擬私有雲網路就無法連線至指定的子網路,確保子網路僅供本機虛擬私有雲網路使用。

如要瞭解 Private Service Connect 傳播連線,請參閱「關於傳播連線」。

如要瞭解 --exclude-export-ranges--include-export-ranges 旗標,請參閱「VPC connectivity with export filters」(透過匯出篩選器建立虛擬私有雲連線)。

如要進一步瞭解如何為 Private Service Connect 傳播的連線設定中繼站,請參閱「設定中繼站」。

連線傳播限制

如要進一步瞭解傳播連線限制,請參閱「傳播連線限制」。

注意事項

啟用 Private Service Connect 傳播連線前,請注意下列事項:

  • Private Service Connect 傳播連線僅適用於虛擬私有雲輪輻。

  • 不支援在虛擬私有雲輪輻之間傳播 Private Service Connect IPv6 連線。

  • 如要讓連線至混合式 Spoke 的內部部署網路使用傳播的 Private Service Connect 連線,請按照下列步驟操作:

    • Network Connectivity Center 中樞必須只有一個路由虛擬私有雲網路,其中包含所有混合式輪輻。

    • 中樞的單一轉送虛擬私有雲網路也必須是虛擬私有雲輪輻。

    如果中樞有多個路由虛擬私有雲網路,則這些網路都不能同時是虛擬私有雲輪輻。因此,如果中樞有兩個以上的路由虛擬私有雲網路,就無法將傳播的 Private Service Connect 連線提供給地端部署網路。

  • 如要讓 Private Service Connect 傳播功能與混合式輪輻搭配運作,也必須將轉送虛擬私有雲網路新增為虛擬私有雲輪輻。

  • 由於輪輻建立後,--exclude-export-ranges 篩選器就無法變更,因此建議您建立兩個子網路來代管 Private Service Connect 端點:一個子網路用於僅限虛擬私有雲網路的 Private Service Connect 端點,另一個則用於與中樞共用的 Private Service Connect 端點。將虛擬私有雲網路新增至中樞做為輪輻時,請將僅限虛擬私有雲網路的虛擬私有雲網路中,用於代管的子網路 IP 位址範圍新增至 --exclude-export-ranges 篩選器,確保該範圍不會與中樞共用。

  • 使用私下使用的公用 IP 位址範圍的 Private Service Connect 端點,不會傳播至 Network Connectivity Center 中樞。

  • 如果虛擬私有雲輪輻中的子網路已設定 Private NAT 來存取 Network Connectivity Center 中樞,系統會捨棄從子網路傳送至傳播 Private Service Connect 服務的流量。如果 Private NAT 閘道設定為 --nat-all-subnet-ip-ranges,則透過 Network Connectivity Center 傳播 Private Service Connect 的功能,不適用於這個輪輻 VPC 中的所有子網路。如要從這個虛擬私有雲端子網路的非重疊子網路運作,請使用 --nat-custom-subnet-ip-ranges 做為 Private NAT 閘道。請勿使用 NAT 將流量從不重疊的子網路,轉送至 Network Connectivity Center 中樞。

  • 如果在短時間內建立、刪除及重新建立 Private Service Connect 端點,傳播狀態可能不準確。不過一段時間後,傳播狀態就會準確反映傳播連結的實際狀態。這項作業最多可能需要 15 分鐘才能完成。

  • 建立或刪除 Spoke 後,Private Service Connect 連線傳播作業會以非同步方式進行。從中樞移除虛擬私有雲輪輻後,系統可能需要一段時間,才能更新傳播的 Private Service Connect 連線。Private Service Connect 傳播連線更新作業進行期間,即使虛擬私有雲輪輻已新增至新的中樞,虛擬私有雲網路中的 VM 流量仍可流向後端。為避免流量流向後端,請先刪除先前中樞網路中 VPC 網路的所有傳播狀態項目 (無論是來源輪輻或目標輪輻),再將輪輻新增至其他中樞網路。

Private Service Connect 連線傳播狀態

您可以在 Network Connectivity Center 中樞內,透過 Network Connectivity Center 查看 Private Service Connect 連線傳播的狀態。您可以查看狀態摘要,或深入瞭解特定錯誤,查看錯誤詳細資料。

下表列出傳播狀態碼及其代表的意義。

程式碼 訊息
準備 傳播的 Private Service Connect 連線已就緒。
傳播 Private Service Connect 連線傳播作業尚未完成。這是暫時狀態。
錯誤:超過供應端傳播連線限制 無法傳播 Private Service Connect 連線,因為目標輪輻的專案或虛擬私有雲網路已超過供應商設定的傳播連線限制。如要解決這個問題,請參閱製作工具的說明文件,或與支援團隊聯絡。
錯誤:供應端網路位址轉譯 (NAT) IP 空間已用盡 無法傳播 Private Service Connect 連線,因為網路位址轉譯 (NAT) IP 子網路空間已用盡。這相當於 PSC 連線的 Needs attention狀態。詳情請參閱 Private Service Connect 說明文件中的「連線狀態」。
錯誤:超過供應端配額 無法傳播 Private Service Connect 連線,因為已超過供應商虛擬私有雲網路的 PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK 配額。
錯誤:超過用戶端配額 無法傳播 Private Service Connect 連線,因為已超過用戶虛擬私有雲網路的 PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK 配額。

如要瞭解如何查看 Private Service Connect 連線傳播狀態,請參閱「查看 Private Service Connect 連線傳播狀態」。如需 Private Service Connect 連線傳播疑難排解資訊,請參閱「排解 Private Service Connect 連線傳播錯誤」。

後續步驟