Private Service Connect lets consumers access managed services privately from inside their Virtual Private Cloud (VPC) network. Similarly, it lets managed service producers host these services in their own separate VPC networks and projects and offer a private connection to their consumers. Les connexions Private Service Connect ne sont pas transitives entre les spokes VPC. La propagation des services Private Service Connect via le hub Network Connectivity Center permet à ces services d'être accessibles par n'importe quel autre spoke VPC du même hub via la table de routage.
Network Connectivity Center est également compatible avec la propagation des points de terminaison régionaux. Pour en savoir plus sur les points de terminaison régionaux, consultez la section À propos de l'accès aux points de terminaison régionaux via les points de terminaison Private Service Connect.
La fonctionnalité de propagation des connexions Private Service Connect de Network Connectivity Center est utile dans les cas d'utilisation suivants:
Vous pouvez utiliser un réseau VPC de services communs pour créer plusieurs points de terminaison de consommation Private Service Connect. En ajoutant un seul réseau VPC de services communs au hub Network Connectivity Center, tous les points de terminaison de client Private Service Connect du réseau VPC deviennent accessibles de manière transitoire aux autres spokes VPC via le hub Network Connectivity Center. Cette connectivité élimine la nécessité de gérer individuellement chaque point de terminaison Private Service Connect dans chaque réseau VPC.
Vous pouvez accéder aux services gérés d'un réseau spoke VPC à partir de réseaux sur site accessibles par des spokes hybrides.
When you connect a VPC spoke to a hub that has propagated connections enabled, Network Connectivity Center creates propagated connections in that spoke for any endpoints that are attached to the same hub, unless the endpoint's subnet is excluded from being exported. After a VPC network is added to a Network Connectivity Center hub as a VPC spoke, new Private Service Connect endpoints are also propagated, unless the endpoint's subnet is excluded from export.
To set up a hub with a Private Service Connect propagated connection
enabled, the hub administrator must create a hub
with Private Service Connect propagation or update the
propagation setting by using the
--export-psc flag. Then the hub administrator must
add the VPC networks as spokes to the hub. Le propriétaire du spoke peut utiliser les indicateurs --exclude-export-ranges et --include-export-ranges pour exclure des sous-réseaux spécifiques alloués par Private Service Connect du routage Network Connectivity Center afin qu'ils ne soient pas accessibles à partir d'autres réseaux VPC, ce qui les rend privés pour le réseau VPC local.
Pour en savoir plus sur les connexions propagées Private Service Connect, consultez la section À propos des connexions propagées.
Pour en savoir plus sur les indicateurs --exclude-export-ranges et --include-export-ranges, consultez Connectivité VPC avec filtres d'exportation.
Pour en savoir plus sur la configuration d'un hub pour une connexion propagée Private Service Connect, consultez Configurer un hub.
Limite de propagation des connexions
For details about propagated connection limits, see Propagated connection limit.
Remarques
Consider the following before you enable a Private Service Connect propagated connection:
Une connexion propagée Private Service Connect ne fonctionne qu'avec les spokes VPC.
Si vous devez rendre les connexions Private Service Connect propagées disponibles pour les réseaux sur site connectés à des spokes hybrides:
Votre hub Network Connectivity Center ne doit contenir qu'un seul réseau VPC de routage contenant tous ses spokes hybrides.
Le réseau VPC de routage unique du hub doit également être un spoke VPC.
Si un hub comporte au moins deux réseaux VPC de routage, aucun d'eux ne peut également être un spoke VPC. Par conséquent, les hubs avec deux réseaux VPC de routage ou plus ne peuvent pas mettre à la disposition des réseaux sur site les connexions Private Service Connect propagées.
Pour que la propagation Private Service Connect fonctionne avec les spokes hybrides, le réseau VPC de routage doit également être ajouté en tant que spoke VPC.
La propagation de la connexion Private Service Connect peut être retardée et la notification basée sur les événements peut être asynchrone, ce qui veut dire que la notification de livraison peut se produire quelque temps après la propagation de la connexion.
Comme le filtre
--exclude-export-rangesn'est pas modifiable pour un spoke après sa création, nous vous recommandons de créer deux sous-réseaux pour héberger les points de terminaison Private Service Connect : un sous-réseau pour les points de terminaison Private Service Connect uniquement au sein du réseau VPC, et un autre sous-réseau pour les points de terminaison Private Service Connect partagés avec le hub. Lorsque vous ajoutez le réseau VPC à un hub en tant que spoke, ajoutez la plage d'adresses IP du sous-réseau qui héberge le réseau VPC uniquement dans le réseau VPC au filtre--exclude-export-rangesafin qu'il ne soit pas partagé avec le hub.Si un sous-réseau d'un spoke VPC est configuré avec Private NAT pour accéder au hub Network Connectivity Center, le trafic du sous-réseau vers le service Private Service Connect propagé est abandonné. Si la passerelle Private NAT est configurée avec
--nat-all-subnet-ip-ranges, la propagation de Private Service Connect via Network Connectivity Center ne fonctionne pas pour tous les sous-réseaux de ce VPC de spoke. Pour qu'il fonctionne à partir de sous-réseaux non chevauchants de ce rayon VPC, utilisez--nat-custom-subnet-ip-rangespour la passerelle NAT privée. N'utilisez pas de NAT pour acheminer le trafic provenant de sous-réseaux non chevauchants vers le hub Network Connectivity Center.L'état de propagation peut être inexact si vous créez, supprimez et recréez le point de terminaison Private Service Connect dans un court laps de temps. Toutefois, après un certain temps, l'état de propagation devient précis et reflète l'état réel de la connexion propagée. Cette opération peut prendre jusqu'à 15 minutes.
La propagation de la connexion Private Service Connect est asynchrone après la création ou la suppression d'un rayon. Lorsqu'un spoke VPC est supprimé d'un hub, la mise à jour des connexions Private Service Connect propagées peut prendre un certain temps. Pendant la mise à jour de la connexion de propagation Private Service Connect, le trafic de la VM sur le réseau VPC peut être acheminé vers le backend, même après l'ajout du spoke VPC à un nouveau hub. Pour éviter le flux de trafic vers le backend, avant d'ajouter le spoke à un autre hub, assurez-vous que toutes les entrées d'état de propagation du réseau VPC dans le hub précédent, qu'il s'agisse d'un spoke source ou d'un spoke cible, sont supprimées.
État de la connexion Private Service Connect
Network Connectivity Center vous permet d'afficher l'état de la propagation de la connexion Private Service Connect dans un hub. Vous pouvez afficher un résumé des états ou effectuer une analyse détaillée des erreurs spécifiques pour en afficher les détails.
Le tableau suivant présente les codes d'état de propagation et leur signification.
| Code | Message |
|---|---|
| Ready | La connexion Private Service Connect propagée est prête. |
| Propagation | La propagation de la connexion Private Service Connect est en attente. Il s'agit d'un état temporaire. |
| Erreur : limite de connexions propagées du producteur dépassée | La propagation de la connexion Private Service Connect a échoué, car le réseau VPC ou le projet du spoke cible a dépassé la limite de connexion de propagation définie par le producteur. Pour résoudre ce problème, consultez la documentation de votre producteur ou contactez son équipe d'assistance. |
| Erreur : Espace d'adresses IP NAT du producteur épuisé | La propagation de la connexion Private Service Connect a échoué, car l'espace de sous-réseau IP NAT est épuisé. Cela équivaut à l'état Needs attention de la connexion PSC. Pour en savoir plus, consultez la section États de la connexion dans la documentation Private Service Connect.
|
| Erreur, quota du producteur dépassé | La propagation de la connexion Private Service Connect a échoué, car le quota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK du réseau VPC du producteur a été dépassé.
|
| Erreur, quota du consommateur dépassé | La propagation de la connexion Private Service Connect a échoué, car le quota PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK du réseau VPC du client a été dépassé.
|
Pour savoir comment afficher l'état de propagation des connexions Private Service Connect, consultez la section Afficher l'état de propagation des connexions Private Service Connect. Pour plus d'informations sur le dépannage de la propagation de connexion Private Service Connect, consultez Résoudre les erreurs de propagation de connexion Private Service Connect.
Étape suivante
- Apprenez à créer des hubs et des spokes en consultant la section Utiliser des hubs et des spokes.
- Pour afficher la liste des partenaires dont les solutions sont intégrées à Network Connectivity Center, consultez la page Partenaires Network Connectivity Center.
- Pour trouver des solutions aux problèmes courants, consultez la page Dépannage.
- To get details about API and Google Cloud CLI commands, see APIs and reference.