Private Service Connect consente ai consumer di accedere ai servizi gestiti in modo privato dall'interno della loro rete Virtual Private Cloud (VPC). Analogamente, consente ai producer di servizi gestiti di ospitare questi servizi nelle proprie reti e nei propri progetti VPC separati e di offrire una connessione privata ai propri consumer. Le connessioni Private Service Connect non sono transitive tra gli spoke VPC. La propagazione dei servizi Private Service Connect tramite l'hub Network Connectivity Center consente a questi servizi di essere raggiunti da qualsiasi altro spoke VPC nello stesso hub tramite la tabella di routing.
Network Connectivity Center supporta anche la propagazione degli endpoint a livello di regione. Per ulteriori informazioni sugli endpoint regionali, consulta Informazioni sull'accesso agli endpoint regionali tramite gli endpoint di Private Service Connect.
La funzionalità di propagazione delle connessioni Private Service Connect di Network Connectivity Center è utile per i seguenti casi d'uso:
Puoi utilizzare una rete VPC di servizi comuni per creare più endpoint consumer Private Service Connect. Aggiungendo una singola rete VPC di servizi comuni all'hub Network Connectivity Center, tutti gli endpoint consumer di Private Service Connect nella rete VPC diventano accessibili in modo transitivo ad altri spoke VPC tramite l'hub Network Connectivity Center. Questa connettività elimina la necessità di gestire singolarmente ogni endpoint Private Service Connect in ogni rete VPC.
Puoi accedere ai servizi gestiti in una rete spoke VPC dalle reti on-premise raggiungibili dagli spoke ibridi.
Quando colleghi uno spoke VPC a un hub in cui sono state attivate le connessioni propagate, Network Connectivity Center crea connessioni propagate nello spoke per tutti gli endpoint collegati allo stesso hub, a meno che la subnet dell'endpoint non sia esclusa dall'esportazione. Dopo aver aggiunto una rete VPC a un hub Network Connectivity Center come spoke VPC, vengono propagati anche i nuovi endpoint Private Service Connect, a meno che la subnet dell'endpoint non sia esclusa dall'esportazione.
Per configurare un hub con una connessione propagata di Private Service Connect attivata, l'amministratore dell'hub deve creare un hub con la propagazione di Private Service Connect o aggiornare l'impostazione di propagazione utilizzando il flag --export-psc. L'amministratore dell'hub deve quindi
aggiungere le reti VPC come spoke all'hub. Il proprietario dello spoke può utilizzare i flag --exclude-export-ranges e --include-export-ranges per escludere subnet allocate specifiche di Private Service Connect dal routing di Network Connectivity Center in modo che non possano essere raggiunte da altre reti VPC, mantenendole private per la rete VPC locale.
Per informazioni sulle connessioni propagate di Private Service Connect, consulta Informazioni sulle connessioni propagate.
Per informazioni sui flag --exclude-export-ranges e
--include-export-ranges, consulta Connettività VPC con filtri di esportazione.
Per informazioni dettagliate sulla configurazione di un hub per una connessione propagata di Private Service Connect, consulta Configurare un hub.
Limite di propagazione della connessione
Per informazioni dettagliate sui limiti di connessioni propagate, consulta Limite di connessioni propagate.
Considerazioni
Prima di attivare una connessione propagata di Private Service Connect, prendi in considerazione quanto segue:
Una connessione propagata di Private Service Connect funziona solo con gli spoke VPC.
Se devi rendere disponibili le connessioni Private Service Connect propagate alle reti on-premise collegate agli spoke ibride:
L'hub di Network Connectivity Center deve avere una sola rete VPC di routing che contenga tutti i suoi spoke ibridi.
L'unica rete VPC di routing dell'hub deve essere anche uno spoke VPC.
Se un hub ha due o più reti VPC di routing, nessuna di queste può essere anche uno spoke VPC. Di conseguenza, gli hub con due o più reti VPC di routing non possono mettere a disposizione le connessioni Private Service Connect propagate alle reti on-premise.
Affinché la propagazione di Private Service Connect funzioni con gli spoke ibridi, è necessario aggiungere anche la rete VPC di routing come spoke VPC.
La propagazione della connessione Private Service Connect potrebbe subire dei ritardi e la notifica basata su eventi potrebbe essere asincrona, ovvero la notifica di invio potrebbe verificarsi algum tempo dopo la connessione propagata.
Poiché il filtro
--exclude-export-rangesnon è modificabile per uno spoke dopo la sua creazione, ti consigliamo di creare due subnet per ospitare gli endpoint Private Service Connect: una subnet per gli endpoint Private Service Connect solo all'interno della rete VPC e l'altra per gli endpoint Private Service Connect condivisi con l'hub. Quando aggiungi la rete VPC a un hub come spoke, aggiungi l'intervallo di indirizzi IP della subnet che ospita la rete VPC solo all'interno della rete VPC al--exclude-export-rangesfiltro in modo che non sia condivisa con l'hub.Se una subnet in uno spoke VPC è configurata con NAT privato per accedere all'hub Network Connectivity Center, il traffico dalla subnet al servizio Private Service Connect propagato viene eliminato. Se il gateway Private NAT è configurato con
--nat-all-subnet-ip-ranges, la propagazione di Private Service Connect tramite Network Connectivity Center non funziona per tutte le sottoreti di questo VPC spoke. Per farlo funzionare da subnet non sovrapposte di questo spoke VPC, utilizza--nat-custom-subnet-ip-rangesper il gateway NAT privato. Non utilizzare NAT per instradare il traffico dalle subnet non sovrapposte all'hub di Network Connectivity Center.Lo stato di propagazione potrebbe non essere preciso se crei, elimini e crei di nuovo l'endpoint Private Service Connect in un breve lasso di tempo. Tuttavia, dopo un po' di tempo, lo stato della propagazione diventa preciso e riflette lo stato effettivo della connessione propagata. L'operazione potrebbe richiedere fino a 15 minuti.
La propagazione della connessione Private Service Connect è asincrona dopo la creazione o l'eliminazione dello spoke. Quando uno spoke VPC viene rimosso da un hub, può essere necessario del tempo per aggiornare le connessioni Private Service Connect propagate. Mentre l'aggiornamento della connessione di propagazione di Private Service Connect è in corso, il traffico dalla VM all'interno della rete VPC può fluire al backend, anche dopo l'aggiunta dello spoke VPC a un nuovo hub. Per evitare il flusso di traffico verso il backend, prima di aggiungere lo spoke a un altro hub, assicurati che tutte le voci relative allo stato di propagazione della rete VPC nell'hub precedente, come spoke di origine o di destinazione, siano state eliminate.
Stato della connessione Private Service Connect
Network Connectivity Center ti consente di visualizzare lo stato della propagazione della connessione Private Service Connect all'interno di un hub. Puoi visualizzare un riepilogo degli stati o visualizzare dettagli su errori specifici.
La tabella seguente elenca i codici di stato di propagazione e il relativo significato.
| Codice | Messaggio |
|---|---|
| Pronto | La connessione Private Service Connect propagata è pronta. |
| Propagazione | La propagazione della connessione Private Service Connect è in attesa. Si tratta di uno stato transitorio. |
| Errore: limite di connessioni propagate dal producer superato | La propagazione della connessione Private Service Connect non è riuscita perché la rete VPC o il progetto dello spoke target hanno superato il limite di connessioni di propagazione impostato dal producer. Per risolvere il problema, consulta la documentazione del produttore o contatta il suo team di assistenza. |
| Errore: spazio IP NAT del producer esaurito | La propagazione della connessione Private Service Connect non è riuscita
perché lo spazio IP NAT della subnet è esaurito. È equivalente allo stato
Needs attention della connessione PSC. Per maggiori dettagli, consulta Stati di connessione nella documentazione di Private Service Connect.
|
| Errore: quota del producer superata | La propagazione della connessione Private Service Connect non è riuscita perché la quota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK nella rete VPC del producer è stata superata.
|
| Errore: quota del consumer superata | La propagazione della connessione Private Service Connect non è riuscita perché la quota PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK nella rete VPC consumer è stata superata.
|
Per informazioni su come visualizzare gli stati di propagazione della connessione Private Service Connect, consulta Visualizzare lo stato di propagazione della connessione Private Service Connect. Per informazioni sulla risoluzione dei problemi di propagazione della connessione Private Service Connect, consulta Risolvere gli errori di propagazione della connessione Private Service Connect.
Passaggi successivi
- Per creare hub e spoke, consulta Utilizzare hub e spoke.
- Per visualizzare un elenco di partner le cui soluzioni sono integrate con Network Connectivity Center, consulta Partner di Network Connectivity Center.
- Per trovare soluzioni ai problemi comuni, consulta la sezione Risoluzione dei problemi.
- Per informazioni dettagliate sui comandi dell'API e di Google Cloud CLI, consulta API e riferimenti.