本頁面說明 Private Service Connect 的相關概念。Private Service Connect 的用途如下:
- 從屬於不同群組、團隊、專案或機構的多個虛擬私有雲網路連線至 Cloud SQL 執行個體
- 連線至主要執行個體或任何唯讀備用資源
Private Service Connect 端點
您可以使用Private Service Connect 端點,從消費者虛擬私有雲網路私下存取 Cloud SQL 執行個體。這些端點是與轉送規則相關聯的內部 IP 位址,該規則會參照 Cloud SQL 執行個體的服務連結。
您可以讓 Cloud SQL 自動建立端點,也可以手動建立端點。
如要讓 Cloud SQL 自動建立端點,請按照下列步驟操作:
- 在虛擬私有雲網路中建立服務連線政策。
建立啟用 Private Service Connect 的 Cloud SQL 執行個體,並將執行個體設為自動建立端點。建立執行個體時,請指定虛擬私有雲網路和專案等自動連線參數。
Cloud SQL 會在這些網路中找出服務連線政策,並建立指向執行個體服務連結的 Private Service Connect 端點。
建立執行個體並由 Cloud SQL 建立端點後,對應虛擬私有雲網路中的用戶端即可透過 IP 位址或 DNS 記錄,從端點連線至執行個體。這項功能可讓 Cloud SQL 自動建立端點,目前為預先發布版。
如要手動建立端點,請按照下列步驟操作:
- 建立已啟用 Private Service Connect 的 Cloud SQL 執行個體。
- 取得建立端點時需要的手動服務連結 URI。
在 VPC 網路中為端點保留內部 IP 位址,並使用該位址建立端點。
建立執行個體並由 Cloud SQL 建立端點後,對應虛擬私有雲網路中的用戶端即可透過 IP 位址或 DNS 記錄,從端點連線至執行個體。
服務連線政策
服務連線政策可授權特定服務類別,在虛擬私有雲網路之間建立 Private Service Connect 連線。因此,您可以自動佈建 Private Service Connect 端點。這項功能已在預先發布版推出。
每個服務類別、區域和虛擬私有雲網路組合最多可建立一項政策。政策會決定該特定組合的服務連線自動化。設定政策時,請選取子網路。子網路會用於為透過政策建立的端點分配 IP 位址。如果多項服務連線政策共用相同區域,則所有政策都可以重複使用相同的子網路。
舉例來說,如要在三個不同區域使用兩個服務的服務連線自動化功能,請建立六項政策。您最少可以使用三個子網路,每個區域各一個。
建立服務連線政策後,您只能更新政策的子網路和連線限制。如要更新其他欄位,請按照下列步驟操作:
- 移除所有使用該政策的連線。
- 刪除政策。
- 建立新政策。
服務連結
建立 Cloud SQL 執行個體並將執行個體設定為使用 Private Service Connect 時,Cloud SQL 會自動為執行個體建立服務連結。服務附件是虛擬私有雲網路用來存取執行個體的附件點。
您建立 Private Service Connect 端點,虛擬私有雲網路會使用該端點連線至服務連結。這樣一來,網路就能存取執行個體。
每個 Cloud SQL 執行個體都有一個服務連結,Private Service Connect 端點可透過虛擬私有雲網路連線至該連結。如果有多個聯播網,每個聯播網都有自己的端點。
DNS 名稱和記錄
如果執行個體已啟用 Private Service Connect,建議您使用 DNS 名稱,因為不同網路可以連線至相同執行個體,且每個網路中的 Private Service Connect 端點可能會有不同的 IP 位址。此外,Cloud SQL Auth Proxy 需要 DNS 名稱才能連線至這些執行個體。
Cloud SQL 不會自動建立 DNS 記錄。而是從執行個體查詢 API 回應中提供建議的 DNS 名稱。建議您在對應的虛擬私有雲網路中,於私人 DNS 區域建立 DNS 記錄。這樣一來,無論從哪個網路連線,都能以一致的方式連線。
允許的 Private Service Connect 專案
允許的專案會與虛擬私有雲網路建立關聯,且專屬於每個 Cloud SQL 執行個體。如果執行個體不屬於任何允許的專案,您就無法為該執行個體啟用 Private Service Connect。
在這些專案中,您可以為每個執行個體建立 Private Service Connect 端點。如果專案未明確允許,您仍可為專案中的執行個體建立端點,但端點會維持 PENDING 狀態。
Private Service Connect 端點傳播
根據預設,Private Service Connect 連線不會從對等互連的虛擬私有雲網路傳輸。您必須在每個需要連線至 Cloud SQL 執行個體的虛擬私有雲網路中,建立 Private Service Connect 端點。舉例來說,如果您有三個 VPC 網路必須連線至執行個體,則必須建立三個 Private Service Connect 端點,每個 VPC 網路各一個端點。
不過,透過 Network Connectivity Center 中樞傳播 Private Service Connect 端點後,同一個中樞中的任何其他輪輻虛擬私有雲網路都能連上這些端點。中樞提供集中式連線管理模型,可將輪輻虛擬私有雲網路互連至 Private Service Connect 端點。
Network Connectivity Center 的連線傳播功能可為 Private Service Connect 部署作業帶來下列好處:
您可以使用通用服務虛擬私有雲網路,建立多個 Private Service Connect 端點。只要將單一通用服務虛擬私有雲網路新增至 Network Connectivity Center 中樞,虛擬私有雲網路中的所有 Private Service Connect 端點,就能透過中樞供其他輪輻虛擬私有雲網路間接存取。有了這項連線功能,您就不必個別管理每個 VPC 網路中的 Private Service Connect 端點。
如要瞭解如何使用 Network Connectivity Center 中樞,將 Private Service Connect 端點傳播至輪輻虛擬私有雲網路,請參閱 Network Connectivity Center - Private Service Connect 傳播 Codelab。
Private Service Connect 後端
您可以透過 Private Service Connect 後端存取 Cloud SQL 執行個體,而不使用 Private Service Connect 端點。 為方便使用,建議您使用 Private Service Connect 端點連線至 Cloud SQL 執行個體。如要進一步控管及掌握情況,可以透過 Private Service Connect 後端連線。
如要使用 Private Service Connect 後端,您必須為要存取特定 Cloud SQL 執行個體的每個服務通訊埠,設定下列資源:
- Private Service Connect 網路端點群組 (NEG),必須參照服務連結和 Cloud SQL 執行個體的服務連接埠。
- 內部 Proxy 網路負載平衡器 (由後端服務、目標 TCP Proxy 和轉送規則組成),後端為 Private Service Connect NEG。
- TCP 連接埠 5432,用於直接連線至 PostgreSQL 資料庫伺服器。
- 使用「受管理連線集區」時,直接連線至 PgBouncer 伺服器的 TCP 連接埠 6432。
- 透過 Cloud SQL 驗證 Proxy 連線時,請使用 TCP 通訊埠 3307。
後續步驟
- 進一步瞭解私人 IP。
- 進一步瞭解如何使用 Private Service Connect 連線至執行個體。