通过 Network Connectivity Center 进行 Private Service Connect 连接传播

Private Service Connect 可让使用方从其虚拟私有云 (VPC) 网络内部以私密方式访问托管式服务。同样，它可让托管式服务提供方在其各自的 VPC 网络和项目中托管这些服务，并为其使用方提供专用连接。Private Service Connect 连接不会在 VPC spoke 之间传递。通过 Network Connectivity Center hub 进行的 Private Service Connect 服务传播可让同一 hub 中的任何其他 spoke VPC 通过路由表访问这些服务。

Network Connectivity Center 还支持区域端点传播。如需详细了解区域端点，请参阅关于通过 Private Service Connect 端点访问区域端点。

Network Connectivity Center Private Service Connect 连接传播功能可用于以下应用场景：

您可以使用通用服务 VPC 网络创建多个 Private Service Connect 使用方端点。通过将单个通用服务 VPC 网络添加到 Network Connectivity Center hub，VPC 网络中的所有 Private Service Connect 使用方端点便可通过 Network Connectivity Center hub 对其他 VPC spoke 进行传递性访问。这种连接无需单独管理每个 VPC 网络中的每个 Private Service Connect 端点。
您可以从混合 spoke 可访问的本地网络来访问 VPC spoke 网络中的托管式服务。

当您将 VPC spoke 连接到启用了传播连接的 hub 时，Network Connectivity Center 会在该 spoke 中为连接到同一 hub 的任何端点创建传播连接，除非端点的子网被排除在导出范围之外。将 VPC 网络作为 VPC spoke 添加到 Network Connectivity Center hub 后，新的 Private Service Connect 端点也会传播，除非端点的子网被排除在导出范围之外。

如需设置启用了 Private Service Connect 传播连接的 hub，hub 管理员必须使用 Private Service Connect 传播功能创建 hub，或使用 --export-psc 标志更新传播设置。然后，hub 管理员必须将 VPC 网络作为 spoke 添加到 hub。spoke 所有者可以使用 --exclude-export-ranges 和 --include-export-ranges 标志将特定 Private Service Connect 分配子网从 Network Connectivity Center 路由中排除，以便无法从其他 VPC 网络访问指定子网，从而将其保留为本地 VPC 网络专用。

如需了解 Private Service Connect 传播连接，请参阅传播连接简介。

如需了解 --exclude-export-ranges 和 --include-export-ranges 标志，请参阅使用导出过滤条件的 VPC 连接。

如需详细了解如何为 Private Service Connect 传播连接设置 hub，请参阅配置 hub。

连接传播限制

如需详细了解传播连接数限制，请参阅传播连接数限制。

注意事项

在启用 Private Service Connect 传播连接之前，请考虑以下事项：

Private Service Connect 传播连接仅适用于 VPC spoke。
不支持跨 VPC spoke 的 Private Service Connect IPv6 传播连接。
如果您需要使 Private Service Connect 传播连接可供连接到混合 spoke 的本地网络使用，请执行以下操作：
- Network Connectivity Center hub 必须只有一个包含其所有混合 spoke 的路由 VPC 网络。
- hub 的单个路由 VPC 网络也必须是 VPC spoke。
如果 hub 有两个或更多路由 VPC 网络，则这些路由 VPC 网络都不能同时也是 VPC spoke。因此，具有两个或更多路由 VPC 网络的 hub 无法使 Private Service Connect 传播连接可供本地网络使用。
如需使 Private Service Connect 传播可与混合 spoke 配合使用，还必须将路由 VPC 网络添加为 VPC spoke。
由于在创建 spoke 后无法改变 spoke 的 --exclude-export-ranges 过滤条件，因此我们建议您创建两个子网来托管 Private Service Connect 端点：一个子网用于仅限 VPC 网络内的 Private Service Connect 端点，另一个子网用于与 hub 共享的 Private Service Connect 端点。将 VPC 网络作为 spoke 添加到 hub 时，请将托管仅限 VPC 网络内 VPC 网络的子网的 IP 地址范围添加到 --exclude-export-ranges 过滤条件，以便不与 hub 共享。
如果 VPC spoke 中的子网使用 Private NAT 进行配置以访问 Network Connectivity Center hub，则从子网到传播的 Private Service Connect 服务的流量会被丢弃。如果 Private NAT 网关使用 --nat-all-subnet-ip-ranges 进行配置，则通过 Network Connectivity Center 进行的 Private Service Connect 传播不适用于此 Spoke VPC 中的所有子网。如需让它在此 VPC spoke 的非重叠子网中正常运行，请为 Private NAT 网关使用 --nat-custom-subnet-ip-ranges。请勿使用 NAT 将流量从非重叠子网路由到 Network Connectivity Center hub。
如果您在短时间内创建、删除并重新创建 Private Service Connect 端点，则传播状态可能会不准确。不过，一段时间之后，传播状态就会变得准确，可反映传播连接的实际状态。此过程最多可能需要 15 分钟。
在创建或删除 spoke 后，Private Service Connect 连接传播是异步的。从 hub 中移除 VPC spoke 后，可能需要一段时间才能更新 Private Service Connect 传播连接。在 Private Service Connect 传播连接更新进行期间，来自 VPC 网络中虚拟机的流量可能会流向后端，即使 VPC spoke 已添加到新 hub 也是如此。为避免流量流向后端，在将 spoke 添加到另一个 hub 之前，请确保之前 hub 中 VPC 网络的所有传播状态条目（无论是作为源 spoke 还是目标 spoke）都已删除。

Private Service Connect 连接传播状态

Network Connectivity Center 可让您查看 Network Connectivity Center hub 内的 Private Service Connect 连接传播的状态。您可以查看状态摘要，也可以深入分析特定错误以查看错误详细信息。

下表列出了传播状态代码及其含义。

代码	消息
准备就绪	Private Service Connect 传播连接已准备就绪。
正在传播	Private Service Connect 连接传播处于待处理状态。这是一个暂时性状态。
Error, producer propagated connection limit exceeded（错误，已超出提供方传播连接数上限）	由于目标 spoke 的 VPC 网络或项目超出了提供方设置的传播连接数上限，Private Service Connect 连接传播失败。如需解决此问题，请参阅提供方的文档或与其支持团队联系。
Error, producer NAT IP space exhausted（错误，提供方 NAT IP 空间已用尽）	由于 NAT IP 子网空间已用尽，Private Service Connect 连接传播失败。这相当于 PSC 连接的 `Needs attention` 状态。如需了解详情，请参阅 Private Service Connect 文档中的连接状态。
Error, producer quota exceeded（错误，已超出提供方配额）	由于超出了提供方 VPC 网络中的 `PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK` 配额，Private Service Connect 连接传播失败。
Error, consumer quota exceeded（错误，已超出使用方配额）	由于超出了使用方 VPC 网络中的 `PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK` 配额，Private Service Connect 连接传播失败。

如需了解如何查看 Private Service Connect 连接传播状态，请参阅查看 Private Service Connect 连接传播状态。如需了解 Private Service Connect 连接传播问题排查信息，请参阅排查 Private Service Connect 连接传播错误。

后续步骤

如要创建 Hub 和 Spoke，请参阅使用 Hub 和 Spoke。
如需查看其解决方案已与 Network Connectivity Center 集成的合作伙伴列表，请参阅 Network Connectivity Center 合作伙伴。
如需查找常见问题的解决方案，请参阅问题排查。
如需获取有关 API 和 Google Cloud CLI 命令的详细信息，请参阅 API 和参考文档。