服务连接政策简介

本文档介绍了网络管理员如何使用服务连接政策通过服务连接自动化提供与受支持的托管式服务实例的连接。在阅读本文档之前,请确保您熟悉关于服务连接自动化中所述的概念。

规格

服务连接政策具有以下规范:

  • 您只能为每个网络、区域和服务类组合创建一个服务连接政策。例如,您只能为 google-cloud-sqlus-central1 中的 vpc1 设置一个服务连接政策。此验证意味着,只有一个服务连接政策控制给定的 Private Service Connect 端点。

  • 服务实例管理员可以使用服务的管理 API 或界面来部署该服务,并使用服务连接自动化配置连接。

  • 服务连接政策配置中包含的子网提供分配给 Private Service Connect 端点的 IP 地址。在创建和删除托管式服务实例时,这些 IP 地址会自动分配和返回子网池。

    子网必须是常规子网,并且必须与服务连接政策位于同一区域。常规子网与 Private Service Connect 子网不同。

    我们建议的最佳实践是,避免将子网用于其他资源。如果其他资源使用了子网中的 IP 地址,IP 地址可能会用尽,无法再分配给端点。

  • 使用服务连接政策的托管式服务可能支持通过 IPv4 端点、IPv6 端点或两者连接到服务实例。如果服务同时支持 IPv4 和 IPv6,服务实例管理员可以在部署服务实例时选择 IP 版本。

  • 您可以将服务连接政策与共享 VPC 搭配使用

  • 默认情况下,服务实例和连接到服务实例的端点必须位于同一项目中(如果是共享 VPC,则位于关联项目)。

    支持的 Google 服务可让您配置自定义服务实例范围

  • 通过服务连接自动化创建的端点可能会由服务提供方为其应用标签。如需详细了解标签,请参阅使用标签整理资源

  • 如果您想要将 Private Service Connect 服务自动化与同一项目中的多个 VPC 网络搭配使用,请为每个网络创建一个服务连接政策。

  • 您可以视需要配置连接限制,以指定给定服务提供方可以在政策的 VPC 网络和区域中创建的 Private Service Connect 连接的数量上限。

  • 通过服务连接政策创建的端点可以通过连接传播在其他 VPC 网络中提供。

授权

通过服务连接政策,使用方可以将连接部署委托给托管式服务。服务提供方没有使用方项目的直接访问权限或 IAM 权限。提供方在自己的项目中配置服务连接映射。

在创建或更新服务连接映射时(通常是为了响应使用方服务管理员对托管式服务的管理 API 或界面的请求),服务连接自动化会执行一系列授权检查。如果所有检查都通过,系统会按照请求中指定的方式创建 Private Service Connect 端点。

如需了解授权,请参阅授权模型

共享 VPC 网络中的连接政策

服务连接政策可以自动连接到位于宿主项目或关联的服务项目中的服务实例。

如果您使用的是共享 VPC,则必须在宿主项目中创建服务连接政策。系统会在服务实例配置中指定的项目中创建端点。

如果您在共享 VPC 网络中创建服务连接政策并在服务项目中部署服务实例,则服务连接自动化会通过更新服务项目的 Network Connectivity 服务账号来共享与服务连接政策关联的子网。此服务账号会被授予共享子网的 Compute Network User 角色 (roles/compute.networkUser)。

如需查看部署示例,请参阅共享 VPC

具有自定义服务实例范围的连接政策

默认情况下,服务连接自动化会为位于同一 Google Cloud 项目(如果是共享 VPC,则位于关联项目)中的服务实例和关联的服务连接政策创建端点。对于支持的 Google 服务,服务实例和连接端点也可以位于不同的项目或组织中。

并非所有 Google 服务都支持配置自定义服务实例范围。如需确定服务是否支持自定义服务实例范围,请参阅特定服务的文档。

使用服务实例范围 (--producer-instance-location) 设置可配置与位于其他 Resource Manager 节点(项目、文件夹和组织)中的服务实例的连接。

  • 如果设置为 no_producer_instance_location,则仅会在同一项目中创建端点。这是默认值。
  • 如果设置为 custom_resource_hierarchy_levels,则您需要在 --allowed-google-producers-resource-hierarchy-level 字段中指定 Resource Manager 节点列表。

如果您更新服务连接政策的服务实例范围,现有端点不会受影响。

如需查看部署示例,请参阅具有自定义服务实例范围的 Google 服务

端点 IP 版本

连接到服务实例的端点的可能 IP 版本(IPv4、IPv6 或两者兼有)由服务提供方决定,而不是由服务连接自动化决定。如果服务同时支持 IPv4 和 IPv6,服务实例管理员可以在通过服务的管理 API 部署实例时选择 IP 版本。如需了解服务支持的 IP 版本,请参阅相应服务的文档。

当服务实例管理员选择 IP 版本时,服务连接自动化功能会检查服务连接政策中是否存在用于创建端点 IP 地址的兼容子网:

  • 仅限 IPv4 的子网支持 IPv4 端点。
  • 双栈子网同时支持 IPv4 和 IPv6 端点。
  • 仅限 IPv6 的子网(预览版)支持 IPv6 端点。

如果服务连接政策没有兼容的子网,请求会失败,不会创建任何端点。

此外,端点的 IP 版本必须与服务实例的 IP 版本(由关联服务连接的转发规则决定)兼容。Private Service Connect 支持以下 IP 版本组合:

  • IPv4 端点到 IPv4 服务连接
  • IPv6 端点到 IPv6 服务连接

  • IPv6 端点到 IPv4 服务连接

    在此配置中,Private Service Connect 会自动在两个 IP 版本之间进行转换。

不支持将 IPv4 端点与 IPv6 服务连接相连接。

如果您想让 IPv4 和 IPv6 客户端都能访问某个托管式服务实例,请为连接到同一服务的单独 IPv4 和 IPv6 端点配置连接。

限制

  • 服务连接政策仅支持自动创建 Private Service Connect 端点。不支持创建 Private Service Connect 后端或服务连接。
  • 您无法直接删除通过服务连接自动化创建的 Private Service Connect 端点。如需触发删除这些端点,可停用服务连接
  • 您只能更新服务连接政策的子网和连接限制。如果您想更新其他字段,请删除该政策创建一个新的服务连接政策
  • 服务连接政策支持创建具有 IPv4 地址的端点。不支持创建具有 IPv6 地址的端点。

价格

如需了解 Private Service Connect 的价格,请参阅 VPC 价格页面

后续步骤