啟用私人服務存取權

服務供應商可允許服務用戶使用私人 (RFC 1918) 或公開 IP 位址布建資源。如果服務用戶想使用私人 IP 位址,就必須使用私人服務存取權,但前提是您的代管服務可提供私人服務存取權。如要提供私人連線,您必須完成一次性的啟用程序

在啟用程序中,您需要使用 Service Networking API 和獨立租用環境。如需詳細的逐步操作說明,請與您的 Google 代表聯絡。

總覽

以下各節將說明為代管服務啟用私人服務存取權所需的元件和一般網路拓撲。

獨立租用環境

當服務消費者啟用您的代管服務時,該服務會建立獨立租用環境,使您的 Google Cloud 機構和服務消費者的專案之間產生正式關係。獨立租用環境會將不同服務用戶的資源和帳單費用隔開。

針對每個服務用戶,您會有兩個獨立租用環境,一個用於您的代管服務,另一個用於私人存取權管理服務。代管服務是您為服務用戶提供的外部服務,私人存取權管理服務則是用來管理與服務用戶虛擬私人雲端網路之間的私人連線。這些獨立租用環境必須與您的代管服務屬於同一個Google Cloud 機構。

服務網路

Service Networking 會使用虛擬私人雲端網路對等互連設定,自動在您與服務用戶之間建立私人連線。您必須在私人存取權管理服務所屬的專案中啟用及使用 Service Networking。這與代管服務所屬的專案不同。

當服務用戶與您的代管服務建立私人連線時,Service Networking 會為您建立「共用虛擬私人雲端主專案」和「共用虛擬私人雲端網路」。主專案和網路會建立在貴機構預先指定的 Google Cloud 資料夾中,您可在進行啟用程序時指定這個資料夾名稱。專案和網路會包含在獨立租用環境中,因此處於隔離狀態,只有該服務用戶可以使用。

建立共用虛擬私人雲端網路後,Service Networking 會在共用虛擬私人雲端網路和服務用戶指定的虛擬私人雲端網路之間,自動建立虛擬私人雲端網路對等互連連線。

服務用戶在建立私人連線時,還必須提供分配的 IP 位址範圍。這個分配範圍是用來保留只有您 (服務供應商) 可使用的 IP 位址。舉例來說,當服務用戶布建資源時,您可以使用 Service Networking 在共用虛擬私人雲端網路中建立子網路,接著,Service Networking 會從分配的範圍中自動選取一個範圍做為子網路的 IP 位址範圍。這項程序可避免共用虛擬私人雲端網路和服務用戶虛擬私人雲端網路之間發生衝突。

共用虛擬私人雲端服務專案

您的代管服務在首次布建服務用戶的資源時,會將資源布建到與 Service Networking 主專案連結的共用虛擬私人雲端服務專案中。服務專案中的資源可透過這個共用虛擬私人雲端關係,使用共用虛擬私人雲端網路中的子網路。

代管服務會在獨立租用環境和預先指定 (在啟用程序中指定) 的資料夾中建立服務專案。這個資料夾和獨立租用環境和您的代管服務相關,與 Service Networking 使用的並不相同。

網路拓撲

以下是與單一服務供應商之間有私人連線的單一服務用戶範例。這個服務用戶在不同地區布建了兩項資源。由於這兩項資源分別位在不同地區,因此是在不同的子網路中。

服務供應商的 Service Networking 總覽 (按一下可放大)

  • 有兩項 Endpoints 專案:一項用於代管服務,另一項用於私人存取權管理服務。這些專案必須屬於同一個 Google Cloud 機構。

  • Google Cloud 機構中有兩個資料夾,分別用於各項 Endpoints 服務。私人存取權管理服務資料夾包含用於私人連線的共用虛擬私有雲主專案。代管服務資料夾則包含用於服務用戶資源的服務專案。

    • 在每個資料夾中,與服務用戶相關的專案會包含在獨立租用環境中。這兩個獨立租用環境都與 consumer-project-a 相關。

  • 服務用戶必須啟動私人連線 (這個連線同時也是虛擬私人雲端網路對等互連連線),並且要為私人連線提供分配的 IP 位址範圍,做為子網路 IP 位址來源。如要進一步瞭解服務用戶須採取的步驟,請參閱設定私人服務存取權一文。

    • 如果您提供多項服務,服務用戶只需要一個私人連線。服務用戶的所有傳入和傳出流量都會經過共用虛擬私人雲端主專案。

  • 單一服務用戶專案中可以有多個虛擬私人雲端網路以不公開的方式連線至您的服務。為此,每個連結的虛擬私人雲端網路都需要一個共用虛擬私人雲端主專案。不過,這些專案全都可包含在相同的 consumer-project-a 獨立租用環境中。

  • 在主專案中,您必須設定防火牆規則和路徑,以允許連線至新資源。由於其他服務可能會使用相同的共用虛擬私人雲端網路,因此這些規則可允許或拒絕不同服務之間的連線。

啟用程序

以下列出啟用程序的概要步驟。您必須針對每一項提供私人連線的代管服務完成這項程序。詳情請洽詢您的 Google 代表。

  1. 建立對等互連管理服務。

    這是由服務供應商透過 Service Management 和 Endpoints API 建構的代管服務。詳情請洽詢您的 Google 代表。

  2. 將以下設定資訊提供給您的 Google 代表:

    • 服務用戶連線至您的服務時必須分配的最小 IP 位址範圍 (以 IPv4 前置字串長度的形式指定)。如果您提供多項服務,使用者應分配較大的 IP 位址範圍,例如 /16
    • 私人存取權管理服務建立的共用虛擬私人雲端主專案所屬資料夾 ID。您可以使用 Resource Manager 尋找資料夾 ID。
    • 與特定機構相關聯的帳單帳戶,該機構是私人存取權管理服務建立的共用虛擬私人雲端主專案所屬機構。
    • 負責管理主專案網路防火牆規則的主體 (通常為服務帳戶 ID)。

  3. 啟用 Compute Engine API。

    透過 Service Usage API 或專案設定,為每一項共用虛擬私人雲端主專案啟用 compute.googleapis.com API。

    資源布建完成後,請為主專案中的共用虛擬私人雲端網路設定防火牆規則。您必須使用您在啟用程序中提供的身分存取虛擬私人雲端網路。如果您提供其他服務,這些服務可能會使用相同的虛擬私人雲端網路。請勿建立可能會在無意間允許或拒絕流量傳入其他服務的規則。

  4. 通知服務用戶。

    通知服務用戶,要求他們建立私人連線。詳情請參閱設定私人服務存取權。服務用戶必須提供下列資訊:

    • 要建立私人連線的專案和網路名稱。
    • 必須布建資源的 Cloud 地區。

後續步驟