關於將以對等為基礎的服務遷移至 Private Service Connect
許多代管服務供應商會使用虛擬私有雲網路對等互連,為位於其他虛擬私有雲 (VPC) 網路中的服務使用者提供連線功能。您可以改用 Private Service Connect。
本文件將概略說明服務供應商如何將以對等為基礎的服務遷移至 Private Service Connect,並保留用於存取服務的 IPv4 位址。這個遷移程序要求所有連結至特定子網路的資源都必須同時遷移。
每個服務供應商都會決定是否要遷移至 Private Service Connect,以及遷移的時間。如要瞭解服務供應商是否從 VPC 網路對接遷移至 Private Service Connect,請查看服務說明文件或與服務供應商聯絡。
遷移以對等為基礎的服務
在這個以對等互連為基礎的服務範例中,用戶端 vm1 會將流量傳送至生產者虛擬私有雲網路中的服務負載平衡器 10.10.10.10。由於兩個網路是透過虛擬私有雲網路對等互連連線,因此消費者網路會為供應商子網路建立對等互連子網路路徑。
圖 1. 在以對等互連為基礎的服務中,用戶虛擬私有雲網路和供應商虛擬私有雲網路可以透過虛擬私有雲網路對等互連存取彼此 (按一下可放大)。
在遷移期間,系統會完成下列工作:
- 供應者會在新的 VPC 網路中的新子網路
producer-subnet-2中部署服務,並透過 Private Service Connect 發布服務。 - 生產者會建立內部範圍,以保留生產者子網路
10.10.10.0/24的 CIDR 範圍。 - 生產端會刪除原始子網路
producer-subnet-1及其內的所有資源。 - 在消費者虛擬私有雲網路中建立移轉子網路
consumer-subnet-2,並設定與供應商子網路相同的 CIDR 範圍。 - 系統會在遷移子網路中建立 Private Service Connect 端點,並使用與生產端負載平衡器轉送規則先前使用的 IP 位址進行設定。
遷移完成後,用戶端 vm1 仍可透過 10.10.10.10 存取服務,但這個 IP 位址現在會與用戶虛擬私有雲網路中的 Private Service Connect 端點建立關聯。
圖 2:遷移完成後,消費者 VPC 網路中的用戶端會將要求傳送至 Private Service Connect 端點,而該端點會將流量轉送至供應者 VPC 網路 (按一下即可放大)。
遷移工作
遷移作業包括在生產端和消費者端虛擬私有雲網路中執行的工作。供應者可以與消費者協調,執行遷移作業;如果是 Google 代管服務,服務供應者可以透過服務代理程式自動執行消費者工作。
| 工作 | 供應者端 | 消費者 |
|---|---|---|
| 部署 Private Service Connect 服務 | ||
| 在供應端專案中,在新虛擬私有雲網路中的新子網路中部署服務,並使用 Private Service Connect 發布服務 | 由製作人執行 | |
| 關閉以對等為基礎的服務 | ||
| 在生產端專案中建立內部範圍,以保留生產端子網路 CIDR 範圍 | 由製作人執行 | 消費者提供要用於遷移目標的子網路名稱 |
| 刪除產生者子網路中的所有資源,然後刪除子網路 | 由製作人執行 | 消費者無法再存取這項服務 |
| 在消費者網路中建立 Private Service Connect 端點 | ||
| 在消費者網路中建立遷移子網路 | 如果消費者未選擇子網路名稱,供應者會將子網路名稱提供給消費者 | 由用戶 (或供應者透過服務代理人) 執行 |
| 在消費者網路中建立 Private Service Connect 端點 | 生產者會將服務連結 URI 提供給消費者 | 由用戶 (或供應者透過服務代理人) 執行 消費者可以存取服務 |
| 透過 Private Service Connect 端點驗證存取權 | 由消費者執行 | |
| 完成遷移作業 | ||
| 刪除內部範圍 | 由製作人執行 | |
| 更新消費者的遷移子網路,將其轉換為一般子網路 | 由用戶 (或供應者透過服務代理人) 執行 | |
| 如果其他服務不需要,請刪除供應端和消費者網路中的對等連線 | 由製作人執行 | 由用戶 (或供應者透過服務代理人) 執行 |
注意事項
如果您是服務供應商,且想將以對等連線為基礎的服務遷移至 Private Service Connect,請考量以下事項:
- 服務的 Private Service Connect 實作項目必須提供與以對等互連為基礎的服務相同的功能。
- 遷移程序可保留存取服務的 IPv4 位址。系統不支援保留 IPv6 位址。不過,遷移的服務可透過 IPv6 Private Service Connect 端點存取。
- 您必須能夠在遷移期間刪除包含服務執行個體的子網路中的所有資源。如果有多個服務執行個體使用相同的子網路,則所有執行個體都必須同時遷移。
消費者的 Private Service Connect 端點、供應商的服務連結和轉送規則,都必須位於相同的區域。
如要讓端點可從任何區域存取,您可以為端點啟用全球存取權。
如果服務會儲存狀態,您必須有方法將狀態遷移至新的服務執行個體。
您必須先遷移生產端虛擬私人雲端網路中的所有服務執行個體,才能刪除對等互連連線。
服務在遷移期間會發生停機。
遷移至 Private Service Connect 會對供應商和消費者的定價造成影響。請務必先讓消費者知道這項異動,再進行遷移。
Private Service Connect 會將用戶端的來源 IP 位址轉譯為 NAT 子網路中的 IP 位址。如果服務需要用戶端的 IP 位址資訊,您必須使用PROXY 通訊協定取得用戶端 IP 位址,並在後端 VM 和應用程式之間適當地處理封包。
遷移作業的內部範圍
內部範圍可用來保留用於產生者子網路的 CIDR 範圍,這樣在刪除產生者子網路時,CIDR 範圍就無法用於其他用途。
建立對等端遷移作業的內部範圍時,您會將用途設為 FOR_MIGRATION,並指定來源和目標子網路。來源子網路是生產者子網路,目標子網路則是稍後會在消費者網路中建立的新對等遷移子網路。
建立內部範圍後,系統就不會建立與目標子網路名稱和 CIDR 範圍相符的子網路。不過,如果使用不同的 CIDR 範圍,則可以在消費者網路中建立另一個同名的子網路。在這種情況下,您必須先刪除名稱相符的消費者子網路,或刪除內部範圍,才能繼續遷移作業。
對等點子網路遷移
在消費者網路中為遷移作業建立的子網路,其用途已設為 PEER_MIGRATION。對等遷移子網路只能包含 IP 位址和 Private Service Connect 端點。
遷移作業完成並經過驗證後,您可以將子網路的用途設為 PRIVATE,將子網路更新為一般子網路,並在子網路中建立其他資源。一般子網路無法轉換回對等遷移子網路。
只有具備 compute.subnetworks.usePeerMigration 權限的主體才能執行下列操作:
- 在對等移轉子網路中建立及刪除 IP 位址資源。
- 在對等移轉子網路中建立及刪除 Private Service Connect 端點 (轉送規則)。
compute.subnetworks.usePeerMigration 權限包含在下列角色中:
- Compute 對等點子網路遷移管理員 (
roles/compute.peerSubnetMigrationAdmin) - Compute 網路管理員 (
roles/compute.networkAdmin)
具有 Compute Peer Subnet Migration Admin 角色的使用者可以在對等移轉子網路中建立及刪除 IP 位址和 Private Service Connect 端點,但無法建立、更新或刪除移轉子網路。
具備 Compute 網路管理員角色的主體可以執行遷移作業所需的所有工作,包括上述工作和以下工作:
- 建立用途設為
PEER_MIGRATION的子網路。 - 更新子網路,例如擴大 CIDR 範圍或啟用私人 Google 存取權。
- 將子網路用途更新為
PRIVATE。 - 刪除子網路。
定價
如需價格資訊,請參閱以下說明:
服務供應者:發布服務的價格。
服務使用者:透過端點存取已發布服務的價格。