Mit Private Service Connect können Nutzer privat aus ihrem Virtual Private Cloud-Netzwerk (VPC) auf verwaltete Dienste zugreifen. Ebenso können Ersteller verwalteter Dienste diese Dienste in ihren eigenen separaten VPC-Netzwerken und ‑projekten hosten und ihren Nutzern eine private Verbindung bieten. Private Service Connect-Verbindungen sind zwischen VPC-Speichen nicht transitiv. Durch die Weiterleitung von Private Service Connect-Diensten über den Network Connectivity Center-Hub können diese Dienste über die Routentabelle von jedem anderen Spoke-VPC im selben Hub erreicht werden.
Das Network Connectivity Center unterstützt auch die regionale Endpunktweitergabe. Weitere Informationen zu regionalen Endpunkten finden Sie unter Zugriff auf regionale Endpunkte über Private Service Connect-Endpunkte.
Die Funktion zum Weitergeben von Private Service Connect-Verbindungen im Network Connectivity Center bietet folgende Vorteile:
Sie können ein VPC-Netzwerk für gemeinsame Dienste verwenden, um mehrere Private Service Connect-Nutzerendpunkte zu erstellen. Wenn Sie dem Network Connectivity Center-Hub ein einzelnes VPC-Netzwerk für gemeinsame Dienste hinzufügen, können alle Private Service Connect-Nutzerendpunkte im VPC-Netzwerk über den Network Connectivity Center-Hub indirekt auf andere VPC-Spokes zugreifen. Dank dieser Konnektivität müssen die einzelnen Private Service Connect-Endpunkte in jedem VPC-Netzwerk nicht einzeln verwaltet werden.
Sie können von lokalen Netzwerken, die über Hybrid-Spokes erreichbar sind, auf verwaltete Dienste in einem VPC-Spoke-Netzwerk zugreifen.
Wenn Sie einen VPC-Spoke mit einem Hub verbinden, für den weitergeleitete Verbindungen aktiviert sind, erstellt Network Connectivity Center weitergeleitete Verbindungen in diesem Spoke für alle Endpunkte, die mit demselben Hub verbunden sind, es sei denn, das Subnetz des Endpunkts ist vom Export ausgeschlossen. Nachdem einem Network Connectivity Center-Hub ein VPC-Netzwerk als VPC-Spoke hinzugefügt wurde, werden auch neue Private Service Connect-Endpunkte übertragen, es sei denn, das Subnetz des Endpunkts ist vom Export ausgeschlossen.
Wenn ein Hub mit einer weitergegebenen Private Service Connect-Verbindung eingerichtet werden soll, muss der Hub-Administrator einen Hub mit Private Service Connect-Weitergabe erstellen oder die Weitergabeeinstellung mit dem Flag --export-psc aktualisieren. Anschließend muss der Hub-Administrator die VPC-Netzwerke dem Hub als Spokes hinzufügen. Der Eigentümer des Spoke kann mit den Flags --exclude-export-ranges und --include-export-ranges bestimmte Subnetze ausschließen, die über Private Service Connect zugewiesen wurden, vom Network Connectivity Center-Routing. So können die angegebenen Subnetze nicht von anderen VPC-Netzwerken erreicht werden und bleiben für das lokale VPC-Netzwerk privat.
Informationen zu von Private Service Connect weitergegebenen Verbindungen finden Sie unter Weitergegebene Verbindungen.
Informationen zu den Flags --exclude-export-ranges und --include-export-ranges finden Sie unter VPC-Konnektivität mit Exportfiltern.
Ausführliche Informationen zum Einrichten eines Hubs für eine von Private Service Connect propagierte Verbindung finden Sie unter Hub konfigurieren.
Limit für die Verbindungsweitergabe
Weitere Informationen zu Limits für weitergegebene Verbindungen finden Sie unter Limit für weitergegebene Verbindungen.
Hinweise
Beachten Sie Folgendes, bevor Sie eine von Private Service Connect weitergeleitete Verbindung aktivieren:
Eine weitergeleitete Private Service Connect-Verbindung funktioniert nur mit VPC-Spokes.
Wenn Sie weitergeleitete Private Service Connect-Verbindungen für lokale Netzwerke verfügbar machen möchten, die mit Hybrid-Speichen verbunden sind, gehen Sie so vor:
Der Network Connectivity Center-Hub darf nur ein einziges Routing-VPC-Netzwerk haben, das alle Hybrid-Spokes enthält.
Das einzelne VPC-Routingnetzwerk des Hubs muss auch ein VPC-Spoke sein.
Wenn ein Hub zwei oder mehr Routing-VPC-Netzwerke hat, kann keines der Routing-VPC-Netzwerke auch VPC-Spokes sein. Daher können Hubs mit zwei oder mehr VPC-Routingnetzwerken keine weitergeleiteten Private Service Connect-Verbindungen für lokale Netzwerke bereitstellen.
Damit die Private Service Connect-Weitergabe mit Hybrid-Spokes funktioniert, muss das VPC-Netzwerk für das Routing auch als VPC-Spoke hinzugefügt werden.
Die Private Service Connect-Verbindungsweitergabe kann sich verzögern und die ereignisgesteuerte Benachrichtigung kann asynchron erfolgen. Das bedeutet, dass die Benachrichtigung über die Zustellung einige Zeit nach der Weiterleitung der Verbindung erfolgen kann.
Da der
--exclude-export-ranges-Filter nach dem Erstellen eines Spokes nicht mehr geändert werden kann, empfehlen wir, zwei Subnetze zum Hosten von Private Service Connect-Endpunkten zu erstellen: ein Subnetz für Private Service Connect-Endpunkte, die sich nur innerhalb des VPC-Netzwerks befinden, und ein weiteres für die Private Service Connect-Endpunkte, die für den Hub freigegeben sind. Wenn Sie das VPC-Netzwerk einem Hub als Spoke hinzufügen, fügen Sie den IP-Adressbereich des Subnetzes, in dem das VPC-Netzwerk nur innerhalb des VPC-Netzwerks gehostet wird, dem--exclude-export-ranges-Filter hinzu, damit es nicht mit dem Hub geteilt wird.Wenn ein Subnetz in einem VPC-Spoke mit Private NAT für den Zugriff auf den Network Connectivity Center-Hub konfiguriert ist, wird der Traffic vom Subnetz zum weitergeleiteten Private Service Connect-Dienst gelöscht. Wenn das private NAT-Gateway mit
--nat-all-subnet-ip-rangeskonfiguriert ist, funktioniert die Private Service Connect-Weitergabe über das Network Connectivity Center nicht für alle Subnetze in diesem Spoke-VPC. Damit es von nicht überlappenden Subnetzen dieses VPC-Spokes funktioniert, verwenden Sie--nat-custom-subnet-ip-rangesfür das private NAT-Gateway. Verwenden Sie NAT nicht, um Traffic von nicht überlappenden Subnetzen zum Network Connectivity Center-Hub zu leiten.Der Status der Replikation ist möglicherweise ungenau, wenn Sie den Private Service Connect-Endpunkt innerhalb kurzer Zeit erstellen, löschen und wieder erstellen. Nach einiger Zeit ist der Status jedoch korrekt und entspricht dem tatsächlichen Status der weitergegebenen Verbindung. Das kann bis zu 15 Minuten dauern.
Die Private Service Connect-Verbindungsweitergabe erfolgt nach dem Erstellen oder Löschen eines Spokes asynchron. Wenn ein VPC-Spoke aus einem Hub entfernt wird, kann es einige Zeit dauern, bis weitergegebene Private Service Connect-Verbindungen aktualisiert werden. Während die Aktualisierung der Private Service Connect-Verbindungsweitergabe in Bearbeitung ist, kann Traffic von der VM innerhalb des VPC-Netzwerks zum Backend fließen, auch nachdem der VPC-Spoke einem neuen Hub hinzugefügt wurde. Um Trafficflüsse zum Backend zu vermeiden, müssen Sie vor dem Hinzufügen des Spokes zu einem anderen Hub alle Einträge zum Status der Weiterleitung für das VPC-Netzwerk im vorherigen Hub löschen, unabhängig davon, ob es sich um einen Quell- oder Ziel-Spoke handelt.
Private Service Connect-Verbindungsstatus
Im Network Connectivity Center können Sie den Status der Private Service Connect-Verbindungsweitergabe innerhalb eines Hubs abrufen. Sie können sich eine Zusammenfassung der Status ansehen oder bestimmte Fehler aufschlüsseln, um sich die Fehlerdetails anzusehen.
In der folgenden Tabelle sind die Statuscodes für die Weiterleitung und ihre Bedeutung aufgeführt.
| Code | Meldung |
|---|---|
| Bereit | Die weitergegebene Private Service Connect-Verbindung ist bereit. |
| Übertragen | Die Private Service Connect-Verbindungsweitergabe steht aus. Dies ist ein vorübergehender Zustand. |
| Fehler: Vom Ersteller weitergegebenes Verbindungslimit überschritten | Die Weiterleitung der Private Service Connect-Verbindung ist fehlgeschlagen, weil das VPC-Netzwerk oder das Projekt des Ziel-Spokes das vom Ersteller festgelegte Verbindungslimit für die Weiterleitung überschritten hat. Weitere Informationen findest du in der Dokumentation deines Herstellers oder du kannst dich an das Supportteam wenden. |
| Fehler: NAT-IP-Bereich des Erstellers erschöpft | Die Private Service Connect-Verbindungsweitergabe ist fehlgeschlagen, weil der NAT-IP-Subnetzbereich ausgeschöpft ist. Dies entspricht dem Status Needs attention der PSC-Verbindung. Weitere Informationen finden Sie in der Private Service Connect-Dokumentation unter Verbindungsstatus.
|
| Fehler: Erstellerkontingent überschritten | Die Private Service Connect-Verbindungsweitergabe ist fehlgeschlagen, weil das Kontingent PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK im VPC-Netzwerk des Erstellers überschritten wurde.
|
| Fehler: Nutzerkontingent überschritten | Die Private Service Connect-Verbindungsweitergabe ist fehlgeschlagen, weil das Kontingent PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK im VPC-Netzwerk des Nutzers überschritten wurde.
|
Informationen zum Aufrufen des Status der Private Service Connect-Verbindungsweitergabe finden Sie unter Status der Private Service Connect-Verbindungsweitergabe ansehen. Informationen zur Fehlerbehebung bei der Private Service Connect-Verbindungsweitergabe finden Sie unter Fehler bei der Private Service Connect-Verbindungsweitergabe beheben.
Nächste Schritte
- Informationen zum Erstellen von Hubs und Spokes finden Sie unter Mit Hubs und Spokes arbeiten.
- Eine Liste der Partner, deren Lösungen in das Network Connectivity Center eingebunden sind, finden Sie unter Network Connectivity Center-Partner.
- Lösungen für häufige Probleme finden Sie unter Fehlerbehebung.
- Ausführliche Informationen zu API- und Google Cloud CLI-Befehlen finden Sie unter APIs und Referenzen.