Informazioni sui servizi pubblicati
Questo documento fornisce una panoramica dell'utilizzo di Private Service Connect per rendere un servizio disponibile per i consumatori di servizi.
In qualità di producer di servizi, puoi usare Private Service Connect per pubblicare utilizzando indirizzi IP interni nella tua rete VPC. I servizi pubblicati sono accessibili ai consumer di servizi tramite indirizzi IP interni nelle loro reti VPC.
Per rendere disponibile un servizio ai consumatori, crea una o più subnet dedicate. Poi crea un collegamento al servizio che fa riferimento a queste subnet. Il servizio l'allegato può avere preferenze di connessione diverse.
Tipi di consumer di servizi
Esistono due tipi di consumer che possono connettersi a un servizio Private Service Connect:
Gli endpoint si basano su una regola di forwarding.
Un endpoint consente ai consumer di servizi di inviare traffico dalla rete VPC del consumer ai servizi nella rete VPC del producer di servizi (fai clic per ingrandire).
I backend si basano su un bilanciatore del carico.
Un backend che utilizza un bilanciatore del carico delle applicazioni esterno globale consente ai consumatori del servizio l'accesso a internet invia il traffico ai servizi nel Rete VPC (fai clic per ingrandire).
Subnet NAT
I collegamenti ai servizi Private Service Connect sono configurati con una o più subnet NAT (chiamate anche subnet Private Service Connect). I pacchetti della rete VPC del consumer vengono tradotti utilizzando il NAT di origine (SNAT) in modo che i relativi indirizzi IP di origine originali vengano convertiti in indirizzi IP di origine della subnet NAT nella rete VPC del producer.
I collegamenti ai servizi possono avere più subnet NAT. Altre subnet NAT possono da aggiungere al collegamento al servizio in qualsiasi momento senza interrompere il traffico.
Sebbene il collegamento a un servizio possa avere più subnet NAT configurate, non è possibile usare una subnet in più di un collegamento a un servizio.
Le subnet NAT di Private Service Connect non possono essere utilizzate per risorse come istanze di macchine virtuali (VM) o regole di inoltro. Le subnet vengono utilizzate solo per fornire indirizzi IP per la SNAT delle connessioni consumer in entrata.
Dimensionamento della subnet NAT
Quando pubblichi un servizio, crea una subnet NAT e scegli un intervallo di indirizzi IP. Le dimensioni della subnet determinano il numero gli endpoint o i backend di Private Service Connect simultanei al collegamento del servizio.
Gli indirizzi IP vengono utilizzati dalla subnet NAT in base al numero di connessioni Private Service Connect. Se tutti gli indirizzi IP nella subnet NAT vengono utilizzati, qualsiasi ulteriore Le connessioni Private Service Connect non andranno a buon fine. Ecco perché è importante configurare le dimensioni della subnet NAT in modo appropriato.
Quando scegli la dimensione di una subnet, tieni presente quanto segue:
-
In una subnet NAT sono presenti quattro indirizzi IP non utilizzabili, pertanto il numero di indirizzi IP disponibili è 2(32 - PREFIX_LENGTH) - 4. Per
esempio, se crei una subnet NAT con una
lunghezza del prefisso pari a
/24, Private Service Connect può utilizzare 252 degli indirizzi IP per SNAT. Una subnet/29con quattro indirizzi IP disponibili è la dimensione minima della subnet supportata nelle reti VPC. - Viene utilizzato un indirizzo IP dalla subnet NAT ogni endpoint o backend collegato al collegamento al servizio.
- Quando stimi il numero di indirizzi IP di cui hai bisogno per gli endpoint e i backend, per qualsiasi servizi multi-tenant o consumatori che usano accesso multi-punto per Private Service Connect
- Il numero di connessioni TCP o UDP, client o reti VPC consumer non influisce sul consumo di indirizzi IP dalla subnet NAT.
Ad esempio, se ci sono due endpoint collegati a un singolo attacco di servizio, vengono utilizzati due indirizzi IP dalla sottorete NAT. Se il numero di endpoint non cambia, puoi utilizzare una
/29 subnet con quattro indirizzi IP utilizzabili per questo collegamento a servizio.
Monitoraggio delle subnet NAT
Per assicurare che Private Service Connect connessioni non vanno a buon fine a causa di indirizzi IP non disponibili in una subnet NAT consigliamo quanto segue:
- Monitora
private_service_connect/producer/used_nat_ip_addressesmetrica del collegamento al servizio. Assicurati che il numero di indirizzi IP NAT utilizzati non superi la capacità delle subnet NAT di un allegato del servizio. - Monitorare lo stato della connessione delle connessioni ai collegamenti ai servizi. Se una connessione è nello stato Richiede attenzione, potrebbero non essere disponibili altri indirizzi IP nel alle subnet NAT del collegamento.
- Per i servizi multi-tenant, puoi utilizzare Limiti di connessione per garantire che un singolo consumatore non esaurisca la capacità di alle subnet NAT di un collegamento a un servizio.
Se necessario, puoi aggiungere subnet NAT al collegamento al servizio in qualsiasi momento senza interrompere il traffico.
Specifiche NAT
Considera le seguenti caratteristiche di Private Service Connect NAT durante la progettazione del servizio che pubblichi:
Il timeout di inattività della mappatura UDP è di 30 secondi e non può essere configurato.
Il timeout per inattività della connessione stabilita TCP è 20 minuti e non può essere configurato.
Per evitare problemi con il timeout delle connessioni client, esegui una delle seguenti operazioni:
Assicurati che tutte le connessioni siano attive per meno di 20 minuti.
Assicurati che parte del traffico venga inviata più di una volta ogni 20 minuti. Puoi utilizzare un heartbeat o un keepalive nella tua applicazione oppure keepalive TCP. Ad esempio, puoi configurare un keepalive nel proxy di destinazione di un bilanciatore del carico delle applicazioni interno regionale o di un bilanciatore del carico di rete proxy interno regionale.
Il timeout di inattività della connessione transitoria TCP è di 30 secondi e non può essere configurato.
Intercorre un ritardo di due minuti prima che qualsiasi 5 tuple (indirizzo IP di origine della subnet NAT e porta di origine più protocollo, indirizzo IP e porta di destinazione) possa essere riutilizzata.
SNAT per Private Service Connect non supporta IP di grandi dimensioni.
Numero massimo di connessioni
Una singola VM producer può accettare un massimo di 65.536 connessioni TCP simultanee e 65.536 connessioni UDP da una singola Private Service Connect endpoint. Non è previsto alcun limite per il numero totale di connessioni TCP e UDP che un endpoint Private Service Connect può ricevere in modo aggregato in tutti i backend del produttore. Le VM consumer possono utilizzare tutte le 65.536 porte quando avviano connessioni TCP o UDP a un endpoint Private Service Connect. Tutta la Network Address Translation viene eseguita localmente sull'host del produttore, che non richiede un pool di porte NAT allocato centralmente.
Collegamenti di servizi
I producer di servizi espongono il proprio servizio tramite un collegamento di servizio.
Per esporre un servizio, un producer di servizi crea un collegamento a un servizio si riferisce alla regola di forwarding del bilanciatore del carico del servizio.
Per accedere a un servizio, un consumer di servizi crea un endpoint che fa riferimento collegamento del servizio.
L'URI del collegamento al servizio ha il seguente formato:
projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
A ogni bilanciatore del carico può essere fatto riferimento solo da un singolo allegato del servizio. Tu Impossibile configurare più collegamenti ai servizi che utilizzano lo stesso bilanciatore del carico.
Preferenze di connessione
Ogni collegamento al servizio ha una preferenza di connessione che specifica se le richieste di connessione vengono accettate automaticamente. Le opzioni sono tre:
- Accetta automaticamente tutte le connessioni. Il collegamento al servizio accetta automaticamente tutte le richieste di connessione in entrata da qualsiasi consumer. Accettazione automatica può essere sostituito da criteri dell'organizzazione che blocca le connessioni in entrata.
- Accetta le connessioni per le emittenti selezionate. Il collegamento al servizio accetta solo richieste di connessione in entrata se la rete VPC consumer è nell'elenco di accettazione del consumer del collegamento al servizio.
- Accetta le connessioni per i progetti selezionati. Il collegamento al servizio accetta soltanto le richieste di connessione in entrata se il progetto consumer è presente nell'elenco di accettazione del consumer del collegamento al servizio.
Ti consigliamo di accettare le connessioni per i progetti o le emittenti selezionati. Accettazione automatica tutte le connessioni potrebbero essere appropriate se controlli l'accesso consumer tramite mezzi e vuoi abilitare l'accesso permissivo al tuo servizio.
Stati della connessione
I collegamenti ai servizi hanno stati di connessione che descrivono lo stato dei relativi e connessioni a Internet. Per maggiori informazioni, consulta la sezione Stati della connessione.
Elenchi di accettazione e rifiuto dei consumatori
Gli elenchi di accettazione dei consumatori e gli elenchi di rifiuto dei consumatori sono una funzionalità di sicurezza degli allegati dei servizi. Gli elenchi di accettazione e rifiuto consentono ai produttori di servizi di specificare quali consumatori possono stabilire connessioni Private Service Connect ai loro servizi. Gli elenchi di accettazione del consumer specificano se una connessione è accettata e il consumer Gli elenchi di elementi rifiutati specificano se la connessione viene rifiutata. Entrambi gli elenchi ti consentono di specificare i consumatori in base alla rete VPC o al progetto della risorsa di collegamento. Se aggiungi un progetto o una rete sia all'elenco di accettazione sia all'elenco di rifiuto, le richieste di connessione da quel progetto o da quella rete vengono rifiutate. La specifica dei consumer per cartella non è supportata.
Gli elenchi di accettazione e rifiuto dei consumatori ti consentono di specificare progetti o reti VPC, ma non entrambi contemporaneamente. Puoi modificare un elenco da un tipo all'altro senza interrompendo la connessione, ma devi apportare la modifica in un singolo aggiornamento. Altrimenti, alcune potrebbero passare temporaneamente allo stato In attesa.
Per informazioni su come gli elenchi di accettazione dei consumatori interagiscono con i criteri dell'organizzazione, consulta Interazione tra gli elenchi di accettazione dei consumatori e i criteri dell'organizzazione.
Limiti per gli elenchi di accettazione del consumer
Gli elenchi di accettazione dei consumatori hanno limiti di connessione. Questi limiti impostano il numero totale di connessioni di endpoint e backend di Private Service Connect che un collegamento di servizio può accettare dal progetto consumer o dalla rete VPC specificata.
I producer possono utilizzare i limiti di connessione per impedire ai singoli consumer di esaurire gli indirizzi IP o quote delle risorse nella rete VPC del producer. Ciascuno ha accettato La connessione Private Service Connect viene sottratta dal limite configurato per un consumer un progetto o una rete VPC. I limiti vengono impostati quando creazione o aggiorna il consumatore accetta gli elenchi. Puoi visualizzare le connessioni di un collegamento a un servizio quando descrivi collegamento del servizio.
Le connessioni propagate non vengono conteggiate rispetto a questi limiti.
Ad esempio, prendi in considerazione un caso in cui un allegato del servizio abbia un elenco di accettazione dei consumatori che include project-1 e project-2, entrambi con un limite di un collegamento. Il progetto project-1 richiede due connessioni, project-2 richiede una connessione e project-3 richiede una connessione. Poiché project-1 ha un limite di una connessione, la prima viene accettata e la seconda rimane in attesa.
La connessione da project-2 è accettata e la connessione da
project-3 rimane in attesa. La seconda connessione da project-1 può essere accettata aumentando il limite per project-1. Se
project-3 viene aggiunto all'elenco di accettazione del consumer, la transizione da quella connessione
in attesa di essere accettati.
Riconciliazione delle connessioni
La riconciliazione delle connessioni determina se gli aggiornamenti al collegamento le liste di accettazione o rifiuto possono influire su Private Service Connect esistente e connessioni a Internet. Se la riconciliazione della connessione è abilitata, aggiornamento di accettazione o rifiuto possono terminare le connessioni esistenti. Le connessioni precedentemente rifiutate possono essere accettate. Se la riconciliazione della connessione è disabilitata, l'aggiornamento gli elenchi di accettazione o rifiuto interessano solo le connessioni nuove e in attesa.
Ad esempio, considera un allegato di servizio con diversi collegamenti accettati da Project-A. Project-A è presente nell'elenco di accettazione dell'allegato del servizio. L'allegato del servizio viene aggiornato rimuovendo Project-A dall'elenco di accettazione.
Se la riconciliazione delle connessioni è attivata, tutte le connessioni esistenti da Project-A passano a PENDING, il che termina la connettività di rete tra le due reti VPC e interrompe immediatamente il traffico di rete.
Se la riconciliazione delle connessioni è disabilitata, le connessioni esistenti da
Le Project-A non sono interessate. Il traffico di rete può ancora fluire attraverso le
Connessioni Private Service Connect. Tuttavia, le nuove connessioni Private Service Connect non sono consentite.
Per informazioni sulla configurazione della riconciliazione delle connessioni per un nuovo servizio allegati, vedi Pubblicare un servizio con approvazione esplicita.
Per informazioni sulla configurazione della riconciliazione delle connessioni per il servizio esistente allegati, vedi Configurare la riconciliazione delle connessioni.
Connessioni propagate
Consumer che si connettono al collegamento al servizio utilizzando endpoint può abilitare la propagazione delle connessioni. Le connessioni propagate consentono ai carichi di lavoro negli spoke VPC consumer di accedere ai servizi gestiti nelle reti VPC producer come se le due reti VPC fossero collegate direttamente tramite endpoint. Ogni connessione propagata utilizza un indirizzo IP della subnet NAT del collegamento al servizio.
Puoi visualizzare il numero di connessioni propagate associate a un endpoint collegato quando visualizzi i dettagli di un servizio pubblicato. Questo conteggio non include le connessioni propagate bloccate dal limite di connessioni propagate del produttore.
Limite di connessioni propagate
I collegamenti ai servizi hanno un limite di connessioni propagate, che consente al servizio producer limitano il numero di connessioni propagate che possono essere stabilite collegamento tra un servizio e un servizio di un singolo consumer. Se non specificato, il limite predefinito per le connessioni propagate è 250.
- Se la preferenza di connessione del collegamento al servizio è
ACCEPT_MANUAL, il limite si applica a tutti i progetti o alle reti VPC elencati nella lista di accettazione del consumer. - Se la preferenza di connessione è
ACCEPT_AUTOMATIC, il limite si applica a tutti i progetti che includono un endpoint connesso.
Se un consumatore supera il limite di connessioni propagate, non vengono propagate ulteriormente vengono create connessioni. Per consentire la creazione di più endpoint propagati, lattina Aumenta il limite di connessioni propagate. Quando aumenti questo limite, Network Connectivity Center crea le connessioni propagate che sono state bloccate dal limite, a condizione che le nuove connessioni non superino il limite aggiornato. L'aggiornamento di questo limite non influisce sulle connessioni propagate esistenti.
Evitare l'esaurimento della quota
Il numero totale di endpoint Private Service Connect e di connessioni propagate, da qualsiasi consumer, che possono accedere alla rete VPC del producer è controllato dalla quota PSC ILB consumer forwarding rules per producer VPC network.
In particolare per i
servizi multi-tenant,
è importante proteggersi dall'esaurimento di questa quota.
Per evitare l'esaurimento della quota, puoi utilizzare i limiti seguenti:
- Limiti di connessione per l'elenco di accettazione del consumer controlla il numero totale di endpoint Private Service Connect che può creare connessioni a un collegamento a un servizio da un singolo consumer una rete VPC o un progetto. L'abbassamento di questi limiti non influisce sulle connessioni esistenti. Questi limiti non si applicano alle connessioni propagate.
- I limiti di connessioni propagate controllano il il numero totale di connessioni propagate che possono essere stabilite a un servizio allegato da un singolo consumatore. L'abbassamento di questo limite non influisce sulle connessioni propagate esistenti.
Esempio
L'esempio seguente mostra come vengono propagati i limiti delle connessioni
di accettare i limiti dell'elenco funzionano in relazione
Quota PSC ILB consumer forwarding rules per producer VPC network.
Considera un caso in cui un consumatore ha creato due endpoint in una rete VPC spoke, spoke-vpc-1. Entrambi gli endpoint
connettiti a service-attachment-1 in producer-vpc-1. Lo spoke è connesso a un hub di Network Connectivity Center in cui è attiva la propagazione della connessione e non sono presenti altri spoke connessi a quell'hub.
Il producer di servizi ha configurato service-attachment-1 in modo che abbia un consumer
Accetta un limite di quattro per ogni progetto nell'elenco di accettazione. Il produttore ha
configurato un limite di due connessioni propagate, specificando che
può avere fino a due connessioni propagate.
Questa configurazione di esempio contiene due endpoint e nessuna connessione propagata (fai clic per ingrandire).
L'utilizzo della quota e dei limiti per questa configurazione è indicato di seguito:
| Quota/limite | Utilizzo | Spiegazione |
|---|---|---|
| Regole di forwarding consumer PSC ILB per rete VPC producer | 2 | uno per endpoint |
Limite di connessione dell'elenco di accettazione dei consumatori per i collegamenti di servizio per consumer-project-1 |
2 | uno per endpoint |
Limite connessioni ai servizi propagate per consumer-project-1 |
0 | Nessuna connessione propagata |
Supponiamo che consumer-project-1 colleghi un altro spoke denominato spoke-vpc-2 alla
stesso hub di Network Connectivity Center di spoke-vpc-1. Questo crea due connessioni propagate in consumer-project-1, una per ogni endpoint esistente.
Questa configurazione di esempio contiene due endpoint e due connessioni propagate (fai clic per ingrandire).
L'utilizzo delle quote e dei limiti per questa configurazione è il seguente:
| Quota/limite | Utilizzo | Spiegazione |
|---|---|---|
| Regole di forwarding consumer PSC ILB per rete VPC producer | 4 | uno per endpoint e uno per connessione propagata |
Limite di connessioni dell'elenco di accettazione del consumer del collegamento al servizio per consumer-project-1 |
2 | uno per endpoint |
Limite di connessioni propagate del collegamento al servizio per consumer-project-1 |
2 | uno per connessione propagata |
Consumer-project-1 ha esaurito il limite di connessioni propagate. Se il consumer aggiunge un altro spoke VPC, Private Service Connect non crea nuove connessioni propagate.
Supponiamo che un altro consumer abbia due spoke VPC
in consumer-project-2. Gli spoke si connettono a un hub di Network Connectivity Center con le connessioni propagate attivate. Uno degli spoke VPC contiene un singolo endpoint che
si connette a service-attachment-1.
Questa configurazione di esempio contiene tre endpoint e tre connessioni propagate (fai clic per ingrandire).
L'utilizzo delle quote e dei limiti per questa configurazione è il seguente:
| Quota/limite | Utilizzo | Spiegazione |
|---|---|---|
| Regole di inoltro del bilanciatore del carico interno PSC consumer per rete VPC producer | 6 | quattro da consumer-project-1 e due da consumer-project-2 |
Limite di connessione dell'elenco di accettazione dei consumatori per i collegamenti di servizio per consumer-project-1 |
2 | uno per endpoint in consumer-project-1 |
Limite di connessione dell'elenco di accettazione dei consumatori per i collegamenti di servizio per consumer-project-2 |
1 | uno per endpoint in consumer-project-2 |
Limite connessioni ai servizi propagate per consumer-project-1 |
2 | una per connessione propagata in consumer-project-1 |
Limite di connessioni propagate del collegamento al servizio per consumer-project-2 |
1 | una per connessione propagata in consumer-project-2 |
Configurazione DNS
Per informazioni sulla configurazione DNS per i servizi e gli endpoint pubblicati che si collegano ai servizi pubblicati, vedi Configurazione DNS per i servizi.
Configurazione per più regioni
Per rendere disponibile un servizio in più regioni, crea quanto segue configurazioni.
Configurazione del produttore:
Eseguire il deployment del servizio in ogni regione. Ogni istanza a livello di regione del servizio deve essere configurato su un bilanciatore del carico che supporta l'accesso tramite di backend.
Crea un collegamento a un servizio per pubblicare ogni istanza regionale del servizio.
Configurazione consumer:
Crea un backend per accedere ai servizi pubblicati. Il backend si basa su un bilanciatore del carico delle applicazioni esterno globale e include le seguenti configurazioni:
Un NEG Private Service Connect in ogni regione che rimanda al collegamento di servizio della regione.
Un servizio di backend che contiene i backend NEG.
In questa configurazione, l'endpoint instrada il traffico utilizzando il carico globale predefinito prima per l'integrità, poi per la località più vicina al cliente.
L'utilizzo di un bilanciatore del carico delle applicazioni esterno globale consente ai consumatori di servizi con internet e inviare il traffico ai servizi nel producer di servizi rete VPC. Poiché il servizio è di cui è stato eseguito il deployment in più regioni, il bilanciatore del carico può indirizzare il traffico a un NEG nella regione sana più vicina (fai clic per ingrandire).
Traduzione della versione IP
Per le connessioni tra gli endpoint Private Service Connect per i servizi pubblicati e i relativi collegamenti, la versione IP dell'indirizzo IP della regola di inoltro del consumer determina la versione IP dell'endpoint e il traffico in uscita dall'endpoint. La versione IP di l'endpoint può essere IPv4 o IPv6, ma non entrambi. I consumatori possono utilizzare un indirizzo IPv4 se la subnet dell'indirizzo è single-stack. I consumatori possono utilizzare un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack. I consumatori possono collegare endpoint IPv4 e IPv6 allo stesso allegato del servizio, il che può essere utile per la migrazione dei servizi a IPv6.
Per le connessioni tra gli endpoint di Private Service Connect per i servizi pubblicati e i collegamenti di servizio, la versione IP della regola di inoltro del producer determina la versione IP del collegamento di servizio e il traffico in uscita dal collegamento di servizio. La versione IP del collegamento del servizio può essere IPv4 o IPv6, ma non entrambe. I produttori possono utilizzare un indirizzo IPv4 se la subnet dell'indirizzo è a stack singolo. I produttori possono utilizzare un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack.
La versione IP dell'indirizzo IP della regola di inoltro del produttore deve essere compatibile con il tipo di serie della subnet NAT dell'attacco del servizio. Se la regola di forwarding del producer è IPv4, la subnet NAT può essere a stack singolo a doppio stack. Se la regola di inoltro del produttore è IPv6, la subnet NAT deve essere a doppio stack.
Private Service Connect non supporta la connessione di un endpoint IPv4 con un collegamento di servizio IPv6. In questo caso, la creazione dell'endpoint non va a buon fine con il seguente messaggio di errore:
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
Sono possibili le seguenti combinazioni supportato configurazioni:
- Collegamento da endpoint IPv4 al servizio IPv4
- Collegamento endpoint IPv6 al servizio IPv6
-
Collegamento dell'endpoint IPv6 al servizio IPv4
In questa configurazione, Private Service Connect traduce automaticamente tra le due versioni IP.
Per le connessioni tra i backend di Private Service Connect e i collegamenti di servizio, le regole di inoltro del consumer e del producer devono utilizzare entrambe IPv4.
Funzionalità e compatibilità
Nelle tabelle seguenti, un segno di spunta indica che una funzionalità è supportata e un simbolo "no" indica che una funzionalità non è supportata.
A seconda del bilanciatore del carico del produttore scelto, il servizio del produttore può supportare l'accesso tramite endpoint, backend o entrambi.
Supporto per gli endpoint
Questa sezione riassume le opzioni di configurazione disponibili quando utilizzano endpoint per accedere ai servizi di pubblicazione.
Configurazione consumer
Questa tabella riassume le opzioni di configurazione e le funzionalità supportate degli endpoint che accedono ai servizi pubblicati.
| Configurazione consumer (endpoint) | Bilanciatore del carico del produttore | |||
|---|---|---|---|---|
| Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | Inoltro interno del protocollo (istanza di destinazione) | |
| Accesso globale dei consumatori |
Indipendente dall' impostazione di accesso globale sul bilanciatore del carico |
Solo se l'accesso globale sia abilitato sul bilanciatore del carico prima della creazione del collegamento al servizio |
Solo se l'accesso globale sia abilitato sul bilanciatore del carico prima della creazione del collegamento al servizio |
Indipendente dall' impostazione di accesso globale sul bilanciatore del carico |
| Traffico Cloud VPN | ||||
| Configurazione DNS automatica | Solo IPv4 | Solo IPv4 | Solo IPv4 | Solo IPv4 |
| Propagazione delle connessioni | Solo IPv4 | Solo IPv4 | Solo IPv4 | Solo IPv4 |
| Endpoint IPv4 |
|
|
|
|
| Endpoint IPv6 |
|
|
|
|
Configurazione del produttore
Questa tabella riassume le opzioni di configurazione e le funzionalità supportate e in tutti i servizi pubblicati a cui accedono gli endpoint.
| Configurazione del produttore (servizio pubblicato) | Bilanciatore del carico dei produttori | |||
|---|---|---|---|---|
| Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | Forwarding del protocollo interno (istanza di destinazione) | |
Backend del produttore supportati: |
|
|
|
Non applicabile |
| Protocollo PROXY | Solo traffico TCP | Solo traffico TCP | ||
| Modalità di affinità sessione | NESSUNO (5 tuple) CLIENT_IP_PORT_PROTO |
Non applicabile | Non applicabile | Non applicabile |
| Versione IP |
|
|
|
|
I bilanciatori del carico diversi supportano configurazioni di porte diverse; alcuni bilanciatori supportano una singola porta, altri supportano una serie di porte e altri supportano tutte le porte. Per ulteriori informazioni, consulta le specifiche delle porte.
Supporto per i backend
R Backend di Private Service Connect per i servizi pubblicati richiede due bilanciatori del carico: un bilanciatore del carico consumer e un carico del producer con il bilanciatore del carico di rete passthrough esterno regionale. Questa sezione riassume le opzioni di configurazione disponibili consumer e producer quando si utilizzano backend per accedere ai servizi di pubblicazione.
Configurazione consumer
Questa tabella descrive i bilanciatori del carico consumer supportati Backend Private Service Connect per i servizi pubblicati, tra cui i protocolli del servizio di backend utilizzabili con ciascun bilanciatore del carico consumer. I bilanciatori del carico consumer possono accedere a servizi pubblicati ospitati su bilanciatori del carico dei producer supportati.
| Bilanciatore del carico consumer | Protocolli | Versione IP |
|---|---|---|
|
Bilanciatore del carico delle applicazioni esterno globale (supporta più regioni) Nota:il bilanciatore del carico delle applicazioni classico non è supportato. |
|
IPv4 |
|
Bilanciatore del carico delle applicazioni esterno regionale |
|
IPv4 |
|
Bilanciatore del carico delle applicazioni interno regionale |
|
IPv4 |
|
Bilanciatore del carico delle applicazioni interno tra regioni |
|
IPv4 |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
Bilanciatore del carico di rete proxy esterno globale Per associare questo bilanciatore del carico a un gruppo di esclusioni Private Service Connect, utilizza l'interfaccia a riga di comando Google Cloud o invia una richiesta API. Nota: Network Load Balancer proxy classico non è supportato. |
|
IPv4 |
Configurazione del producer
Questa tabella descrive la configurazione per i bilanciatori del carico del producer supportati dai backend Private Service Connect servizi pubblicati.
| Configurazione | Bilanciatore del carico del producer | ||
|---|---|---|---|
| Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | |
| Backend producer supportati |
|
|
|
| Protocolli delle regole di forwarding |
|
|
|
| Porte delle regole di forwarding | È consigliabile utilizzare una singola porta. Consulta Configurazione della porta del producer. | Supporta una singola porta | Supporta una singola porta |
| Protocollo PROXY | |||
| Versione IP | IPv4 | IPv4 | IPv4 |
Configurazione della porta del producer
Quando un backend consumer si connette a un servizio pubblicato ospitato su un Bilanciatore del carico di rete passthrough interno, Google Cloud sceglie una porta che il consumer possa utilizzare. La porta viene scelta in base alla configurazione della porta della regola di inoltro del produttore. Considera quanto segue quando crei la regola di forwarding per il carico del producer bilanciatore del carico:
- Ti consigliamo di specificare una singola porta. In questa configurazione, il backend consumer utilizza la stessa porta.
Se specifichi più porte, si applica quanto segue:
- Se è inclusa la porta
443, il backend del consumer utilizza la porta443. - Se la porta
443non è inclusa, il backend del consumer utilizza la prima porta. nell'elenco, dopo che è in ordine alfabetico. Ad esempio, se specifichi la porta80e la porta1111, il backend consumer utilizza la porta1111. La modifica delle porte utilizzate dai backend del producer potrebbe comportare un un'interruzione del servizio per i consumatori.
Ad esempio, supponiamo di creare un servizio pubblicato con una regola di inoltro che utilizza le porte
443e8443e le VM di backend che rispondono sulle porte443e8443. Quando il backend di un consumatore si connette a questo servizio, utilizza la porta443per la comunicazione.Se modifichi le VM di backend in modo che rispondano solo sulla porta
8443, il backend consumer non potrà più raggiungere il servizio pubblicato.
- Se è inclusa la porta
Non utilizzare
--port=ALL. Se viene utilizzata questa configurazione, il backend consumer utilizza la porta1, che non funziona.
VPC condiviso
Gli amministratori dei progetti di servizio possono creare attacchi di servizio nei progetti di servizio VPC condiviso che si connettono alle risorse nelle reti VPC condivise.
La configurazione è la stessa di un normale collegamento a un servizio, ad eccezione di quanto segue:
- La regola di forwarding del bilanciatore del carico del producer è associata a un IP dalla rete VPC condiviso. La subnet della regola di inoltro deve essere condivisa con il progetto di servizio.
- Il collegamento di servizio utilizza una sottorete Private Service Connect della rete VPC condivisa. Questa subnet deve essere condivisa progetto di servizio.
Logging
Puoi abilitare i log di flusso VPC nelle subnet che contengono le VM di backend. I log mostrano i flussi tra le VM di backend e gli indirizzi IP nella Subnet Private Service Connect.
Controlli di servizio VPC
I Controlli di servizio VPC e Private Service Connect compatibili tra loro. Se la rete VPC in cui Il deployment dell'endpoint di Private Service Connect si trova in una il perimetro dei Controlli di servizio VPC, che fa parte dello stesso perimetro. Qualsiasi Servizi supportati da Controlli di servizio VPC a cui si accede tramite l'endpoint sono soggetti ai criteri di quel perimetro dei Controlli di servizio VPC.
Quando crei un endpoint, il piano di controllo Le chiamate API vengono effettuate tra i progetti consumer e producer per stabilire Connessione Private Service Connect. L'impostazione di una connessione Private Service Connect tra progetti consumer e producer che non si trovano nello stesso perimetro dei Controlli di servizio VPC non richiede un'autorizzazione esplicita con i criteri di uscita. La comunicazione con i servizi supportati da VPC Service Controls tramite l'endpoint è protetta dal perimetro di VPC Service Controls.
Visualizzazione delle informazioni di connessione del consumatore
Per impostazione predefinita, Private Service Connect traduce la traduzione di origine a un indirizzo in uno dei Subnet Private Service Connect nel producer di servizi rete VPC. Se vuoi vedere l'IP di origine originale del consumatore di destinazione, puoi abilitare il protocollo PROXY quando pubblicare un servizio. Private Service Connect supporta il protocollo PROXY versione 2.
Non tutti i servizi supportano il protocollo PROXY. Per saperne di più, consulta la sezione Funzionalità e compatibilità.
Se il protocollo PROXY è attivato, puoi recuperare l'indirizzo IP di origine e l'ID connessione PSC (pscConnectionId) del consumatore dall'intestazione del protocollo PROXY.
Il formato delle intestazioni del protocollo PROXY dipende dalla versione IP dell'endpoint consumer. Se il bilanciatore del carico dell'attacco del servizio ha un indirizzo IPv6, i consumatori possono connettersi sia con indirizzi IPv4 sia con indirizzi IPv6. Configura la tua applicazione per ricevere e legge le intestazioni del protocollo PROXY per la versione IP del traffico che deve ricevere.
Per il traffico dei consumatori che passa attraverso una connessione propagata, indirizzo IP di origine e PSC del consumatore l'ID connessione si riferisce all'endpoint Private Service Connect che viene propagato.
Quando attivi il protocollo PROXY per un allegato del servizio, la modifica si applica solo alle nuove connessioni. Le connessioni esistenti non includono l'intestazione del protocollo PROXY.
Se attivi il protocollo PROXY, consulta la documentazione del software del tuo web server di backend per informazioni sull'analisi e sull'elaborazione delle intestazioni del protocollo PROXY in arrivo nei payload TCP della connessione del client. Se il protocollo PROXY è abilitato sul collegamento al servizio, ma il server web di backend non è configurato per elaborare le intestazioni del protocollo PROXY, le richieste web potrebbero non essere in un formato corretto. Se richiede non sono nel formato corretto, il server non è in grado di interpretare la richiesta.
L'ID connessione Private Service Connect (pscConnectionId) è codificato nell'intestazione del protocollo PROXY in formato TLV (Type-Length-Value).
| Campo | Lunghezza campo | Valore campo |
|---|---|---|
| Tipo | 1 byte | 0xE0 (PP2_TYPE_GCP)
|
| Lunghezza | 2 byte | 0x8 (8 byte) |
| Valore | 8 byte | Il valore pscConnectionId di 8 byte in ordine di rete |
Puoi visualizzare il valore pscConnectionId di 8 byte dalla regola di inoltro consumer o dall'allegato del servizio producer.
Il valore pscConnectionId è univoco a livello globale per tutte le connessioni attive in un determinato momento. Tuttavia, nel tempo, un pscConnectionId potrebbe essere riutilizzato in
questi scenari:
All'interno di una determinata rete VPC, se elimini endpoint (regola di forwarding) e creare un nuovo endpoint utilizzando lo stesso indirizzo IP, lo stesso valore
pscConnectionIdpotrebbe .Se elimini una rete VPC che contiene (regole di forwarding), dopo che un di sette giorni, il valore
pscConnectionIdutilizzato per quelle possono essere usati endpoint diversi in un altro VPC in ogni rete.
Puoi utilizzare i valori pscConnectionId per il debug e per tracciare le origini delle
e pacchetti.
Un ID collegamento separato del servizio Private Service Connect da 16 byte
L'ID (pscServiceAttachmentId) è disponibile dal servizio producer
allegato.
Il valore pscServiceAttachmentId è un ID univoco a livello globale che identifica un
Collegamento del servizio Private Service Connect. Puoi utilizzare il valore pscServiceAttachmentId per la visibilità e il debug. Questo valore non è
incluso nell'intestazione del protocollo PROXY.
Prezzi
I prezzi di Private Service Connect sono descritti in Pagina dei prezzi di VPC.
Quote
Il numero totale di endpoint Private Service Connect e di connessioni propagate, da qualsiasi consumer, che possono accedere alla rete VPC del producer è controllato dalla quota PSC ILB consumer forwarding rules per producer VPC network.
Gli endpoint contribuiscono a questa quota fino a quando non vengono eliminati, anche se il collegamento al servizio associato viene eliminato o configurato per rifiutare la connessione. Le connessioni propagate contribuiscono a questa quota fino all'eliminazione dell'endpoint associato, anche se la propagazione delle connessioni è disattivata nell'hub di Network Connectivity Center o se viene eliminato lo spoke della connessione propagata.
Accesso on-premise
I servizi Private Service Connect vengono resi disponibili utilizzando gli endpoint. Questi endpoint possono essere da host on-premise connessi supportati. Per ulteriori informazioni, consulta Accedere all'endpoint da host on-premise.
Limitazioni
I servizi pubblicati presentano le seguenti limitazioni:
- I bilanciatori del carico dei produttori non supportano le seguenti funzionalità:
- Più
regole di inoltro che utilizzano un indirizzo IP condiviso
(
SHARED_LOADBALANCER_VIP) - Creazione di sottoinsiemi di backend
- Il mirroring dei pacchetti non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.
- Devi utilizzare Google Cloud CLI o l'API per creare un collegamento a un servizio che punti a una regola di forwarding utilizzata forwarding del protocollo interno.
Per problemi e soluzioni alternative, consulta Problemi noti.