Informazioni sui servizi pubblicati
Questo documento fornisce una panoramica sull'utilizzo di Private Service Connect per rendere disponibile un servizio ai consumer di servizi.
In qualità di producer di servizi, puoi utilizzare Private Service Connect per pubblicare servizi utilizzando gli indirizzi IP interni nella tua rete VPC. I servizi pubblicati sono accessibili ai consumer di servizi utilizzando indirizzi IP interni nelle loro reti VPC.
Per rendere un servizio disponibile ai consumer, crea una o più subnet dedicate. Quindi, creerai un allegato al servizio che fa riferimento a queste subnet. Il collegamento al servizio può avere preferenze di connessione diverse.
Tipi di consumer di servizi
Esistono due tipi di consumer che possono connettersi a un servizio Private Service Connect:
Gli endpoint si basano su una regola di forwarding.
Figura 1. Un endpoint consente ai consumer di servizi di inviare traffico dalla rete VPC del consumer ai servizi nella rete VPC del producer di servizi (fai clic per ingrandire).
I backend si basano su un bilanciatore del carico.
Figura 2. Un backend che utilizza un bilanciatore del carico delle applicazioni esterno globale consente ai consumer di servizi con accesso a internet di inviare traffico ai servizi nella rete VPC del producer di servizi (fai clic per ingrandire).
Configurazione del servizio Private Service Connect
Quando crei un servizio Private Service Connect, configuri una subnet, un collegamento al servizio e una preferenza di connessione. Facoltativamente, puoi anche configurare un dominio DNS per il servizio. Queste configurazioni sono descritte nelle sezioni seguenti.
Subnet NAT
I collegamenti al servizio Private Service Connect sono configurati con una o più subnet NAT (note anche come subnet Private Service Connect). I pacchetti della rete VPC consumer vengono tradotti utilizzando NAT (SNAT) di origine in modo che gli indirizzi IP di origine originali vengano convertiti in indirizzi IP di origine dalla subnet NAT nella rete VPC del producer.
I collegamenti ai servizi possono avere più subnet NAT. Ulteriori subnet NAT possono essere aggiunte al collegamento al servizio in qualsiasi momento senza interrompere il traffico.
Mentre il collegamento di un servizio può avere più subnet NAT configurate, una subnet NAT non può essere utilizzata in più di un collegamento a un servizio.
Le subnet NAT di Private Service Connect non possono essere utilizzate per risorse come istanze VM o regole di forwarding. Le subnet vengono usate solo per fornire gli indirizzi IP per SNAT delle connessioni consumer in entrata.
Dimensionamento delle subnet NAT
Quando pubblichi un servizio, crei una subnet NAT e scegli un intervallo di indirizzi IP. Le dimensioni della subnet determinano quanti endpoint o backend Private Service Connect possono connettersi contemporaneamente al collegamento al servizio. Gli indirizzi IP vengono utilizzati dalla subnet NAT in base al numero di connessioni di Private Service Connect. Se vengono utilizzati tutti gli indirizzi IP nella subnet NAT, le eventuali connessioni Private Service Connect aggiuntive non andranno a buon fine. Ecco perché è importante definire le dimensioni della subnet NAT in modo appropriato.
Quando scegli la dimensione della subnet, considera quanto segue:
In una subnet NAT esistono quattro indirizzi IP inutilizzabili, pertanto il numero di indirizzi IP disponibili è 2(32 - PREFIX_LENGTH) - 4. Ad esempio, se crei una subnet NAT con una lunghezza del prefisso pari a
/24, Private Service Connect può utilizzare 252 indirizzi IP per SNAT. Una subnet/29con quattro indirizzi IP disponibili è la dimensione più piccola della subnet supportata nelle reti VPC.Per ogni endpoint o backend connesso al collegamento del servizio, viene utilizzato un indirizzo IP dalla subnet NAT.
Quando stimi il numero di indirizzi IP di cui hai bisogno per endpoint e backend, prendi in considerazione eventuali servizi multi-tenant o consumer che utilizzano l'accesso multipunto per Private Service Connect.
Il numero di connessioni TCP o UDP, client o reti VPC consumer non influisce sul consumo degli indirizzi IP dalla subnet NAT.
Ad esempio, se due endpoint sono connessi a un singolo collegamento a un servizio, dalla subnet NAT vengono utilizzati due indirizzi IP. Se il numero di endpoint non cambia, puoi utilizzare una subnet /29 con quattro indirizzi IP utilizzabili per questo collegamento al servizio.
Monitoraggio subnet NAT
Per assicurarti che le connessioni di Private Service Connect non vadano a buon fine a causa di indirizzi IP non disponibili in una subnet NAT, consigliamo quanto segue:
- Monitora la metrica del collegamento al servizio
private_service_connect/producer/used_nat_ip_addresses. Assicurati che il numero di indirizzi IP NAT utilizzati non superi la capacità delle subnet NAT di un collegamento a un servizio. - Monitorare lo stato della connessione delle connessioni ai collegamenti ai servizi. Se una connessione presenta lo stato Richiede attenzione, potrebbero non essere disponibili altri indirizzi IP nelle subnet NAT dell'allegato.
- Per i servizi multi-tenant, puoi utilizzare i limiti di connessione per garantire che un singolo consumer non esaurisca la capacità delle subnet NAT di un collegamento al servizio.
Se necessario, le subnet NAT possono essere aggiunte al collegamento al servizio in qualsiasi momento senza interrompere il traffico.
Numero massimo di connessioni
Una singola VM producer può accettare un massimo di 65.536 connessioni TCP simultanee e 65.536 connessioni UDP da un singolo endpoint Private Service Connect. Non esiste alcun limite al numero totale di connessioni TCP e UDP che un endpoint Private Service Connect può ricevere in forma aggregata in tutti i backend producer. Le VM consumer possono utilizzare tutte le 65.536 porte quando si avviano connessioni TCP o UDP a un endpoint Private Service Connect. L'intera Network Address Translation viene eseguita localmente sull'host del producer, il che non richiede un pool di porte NAT allocato centralmente.
Altre considerazioni
Altre considerazioni relative alle subnet NAT includono:
Il timeout di inattività della mappatura UDP è di 30 secondi e non può essere configurato.
Il timeout di inattività della connessione TCP stabilita è di 20 minuti e non può essere configurato.
Il timeout di inattività della connessione TCP di transito è di 30 secondi e non può essere configurato.
Esiste un ritardo di due minuti prima che sia possibile riutilizzare qualsiasi 5 tuple (indirizzo IP di origine della subnet NAT e porta di origine più il protocollo di destinazione, l'indirizzo IP e la porta di destinazione).
SNAT per Private Service Connect non supporta i frammenti IP.
Collegamento al servizio
I producer di servizi espongono il proprio servizio tramite il collegamento a un servizio.
Per esporre un servizio, un producer di servizi crea un collegamento al servizio che fa riferimento alla regola di forwarding del bilanciatore del carico del servizio.
Per accedere a un servizio, un consumer di servizi crea un endpoint che fa riferimento al collegamento al servizio.
L'URI del collegamento al servizio ha il seguente formato:
projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
A ogni bilanciatore del carico può fare riferimento solo un singolo collegamento al servizio. Non puoi configurare più collegamenti a servizi che utilizzano lo stesso bilanciatore del carico.
Preferenze di connessione
Ogni collegamento al servizio ha una preferenza di connessione che specifica se le richieste di connessione vengono accettate automaticamente. Le opzioni sono tre:
- Accetta automaticamente tutte le connessioni. Il collegamento al servizio accetta automaticamente tutte le richieste di connessione in entrata da qualsiasi consumer. L'accettazione automatica può essere sostituita da un criterio dell'organizzazione che blocca le connessioni in entrata.
- Accetta le connessioni per le reti selezionate. Il collegamento al servizio accetta le richieste di connessione in entrata solo se la rete VPC del consumer si trova nell'elenco di accettazione dei consumer del collegamento al servizio.
- Accetta le connessioni per i progetti selezionati. Il collegamento al servizio accetta le richieste di connessione in entrata solo se il progetto consumer si trova nell'elenco di accettate del consumer del collegamento al servizio.
Ti consigliamo di accettare le connessioni per le reti o i progetti selezionati. L'accettazione automatica di tutte le connessioni potrebbe essere appropriata se controlli l'accesso dei consumatori con altri mezzi e vuoi abilitare l'accesso permissivo al tuo servizio.
Stati della connessione
I collegamenti ai servizi hanno stati delle connessioni che descrivono lo stato delle relative connessioni. Per saperne di più, consulta Stati della connessione.
Elenchi di accettazione e rifiuto dei consumatori
Gli elenchi accettati per i consumatori e gli elenchi di rifiuto dei consumatori sono una funzionalità di sicurezza degli allegati dei servizi. Gli elenchi di accettazione e rifiuto consentono ai producer di servizi di specificare quali consumer possono stabilire connessioni Private Service Connect ai propri servizi. Gli elenchi di accettazione dei consumatori specificano se la connessione è accettata, mentre gli elenchi dei consumatori rifiutati specificano se la connessione viene rifiutata. Entrambi gli elenchi consentono di specificare i consumer in base alla rete VPC o al progetto della risorsa che si connette. Se aggiungi un progetto o una rete sia all'elenco di utenti consentiti sia a quello negato, le richieste di connessione provenienti dal progetto o dalla rete vengono rifiutate. La specifica dei consumer per cartella non è supportata.
Gli elenchi di accettazione dei consumatori e quelli di rifiuto dei consumatori consentono di specificare progetti o reti VPC, ma non entrambi contemporaneamente. Puoi modificare un elenco da un tipo all'altro senza interrompere le connessioni, ma devi apportare la modifica in un singolo aggiornamento. Altrimenti, alcune connessioni potrebbero passare temporaneamente allo stato In attesa.
Per informazioni su come gli elenchi di accettazione dei consumatori interagiscono con i criteri dell'organizzazione, vedi Interazione tra gli elenchi di accettazione dei consumatori e i criteri dell'organizzazione.
Riconciliazione delle connessioni
La riconciliazione delle connessioni determina se gli aggiornamenti agli elenchi di accettazione o rifiuto del collegamento di un servizio possono influire sulle connessioni di Private Service Connect esistenti. Se la riconciliazione delle connessioni è abilitata, l'aggiornamento degli elenchi di accettazione o rifiuto può terminare le connessioni esistenti. Le connessioni precedentemente rifiutate possono essere accettate. Se la riconciliazione delle connessioni è disabilitata, l'aggiornamento degli elenchi di accettazione o rifiuto incide soltanto sulle connessioni nuove e in attesa.
Ad esempio, considera un collegamento a un servizio con diverse connessioni accettate da Project-A. Project-A è nella lista di accettazione del collegamento al servizio. Il collegamento al servizio viene aggiornato rimuovendo Project-A dall'elenco di accettazione.
Se la riconciliazione delle connessioni è abilitata, tutte le connessioni esistenti da Project-A passano a PENDING, il che termina la connettività di rete tra le due reti VPC e interrompe immediatamente il traffico di rete.
Se la riconciliazione delle connessioni è disabilitata, le connessioni esistenti da
Project-A non sono interessate. Il traffico di rete può ancora passare tra le connessioni
Private Service Connect esistenti. Tuttavia, le nuove connessioni Private Service Connect non sono consentite.
Per informazioni sulla configurazione della riconciliazione delle connessioni per i nuovi collegamenti ai servizi, consulta Pubblicare un servizio con approvazione esplicita.
Per informazioni sulla configurazione della riconciliazione delle connessioni per i collegamenti ai servizi esistenti, consulta Configurare la riconciliazione delle connessioni.
Limiti di connessione
Gli elenchi di accettazione consumatori hanno limiti di connessioni. Questi limiti impostano il numero totale di connessioni che un collegamento a un servizio può accettare dal progetto consumer o dalla rete VPC specificati. I producer possono utilizzare questi limiti per impedire ai singoli consumer di esaurire gli indirizzi IP o le quote delle risorse nella rete VPC del producer. Ogni connessione Private Service Connect accettata viene sottratta dal limite configurato per un progetto consumer o una rete VPC. I limiti vengono impostati quando crei o aggiorna gli elenchi accettati per i consumatori. Puoi visualizzare le connessioni del collegamento a un servizio quando describe il collegamento a un servizio.
Ad esempio, considera un caso in cui il collegamento a un servizio ha un elenco di accettazione dei consumer che include project-1 e project-2, entrambi con un limite di una connessione. Il progetto project-1 richiede due connessioni, project-2 richiede una connessione e project-3 richiede una connessione. Poiché project-1 ha un limite di una connessione, la prima viene accettata, mentre la seconda rimane in attesa.
La connessione da project-2 è accettata, mentre la connessione da
project-3 rimane in attesa. La seconda connessione da project-1 può essere
accettata aumentando il limite di project-1. Se
project-3 viene aggiunto all'elenco di accettazione dei consumer, la connessione passa da
in attesa ad accettata.
Configurazione DNS
Per informazioni sulla configurazione DNS per i servizi e gli endpoint pubblicati che si connettono ai servizi pubblicati, consulta Configurazione DNS per i servizi.
Configurazione per più regioni
Puoi rendere un servizio disponibile in più regioni creando le seguenti configurazioni.
Configurazione producer:
Eseguire il deployment del servizio in ogni regione. Ogni istanza del servizio a livello di regione deve essere configurata su un bilanciatore del carico che supporti l'accesso da parte di un backend.
Crea un collegamento a un servizio per pubblicare ogni istanza del servizio a livello di regione.
Configurazione consumer:
Crea un backend per accedere ai servizi pubblicati. Il backend si basa su un bilanciatore del carico delle applicazioni esterno globale e include le seguenti configurazioni:
Un NEG Private Service Connect in ogni regione che rimanda al collegamento al servizio di quella regione.
Un servizio di backend che contiene i backend NEG.
In questa configurazione, l'endpoint instrada il traffico utilizzando il criterio di bilanciamento del carico globale predefinito, prima in base all'integrità, poi alla località più vicina al client.
Figura 3. L'utilizzo di un bilanciatore del carico delle applicazioni esterno globale consente ai consumer di servizi con accesso a internet di inviare traffico ai servizi nella rete VPC del producer di servizi. Poiché il servizio viene eseguito in più regioni, il bilanciatore del carico può instradare il traffico a un NEG nella regione integro più vicino (fai clic per ingrandire).
Traduzione della versione IP
Per le connessioni tra endpoint Private Service Connect per i servizi pubblicati e i collegamenti ai servizi, la versione IP dell'indirizzo IP della regola di forwarding del consumer determina la versione IP dell'endpoint e il traffico che esce dall'endpoint. La versione IP dell'endpoint può essere IPv4 o IPv6, ma non entrambi. I consumer possono utilizzare un indirizzo IPv4 se la subnet dell'indirizzo è a stack singolo. I consumatori possono utilizzare un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack. I consumatori possono connettere gli endpoint IPv4 e IPv6 allo stesso collegamento al servizio, il che può essere utile per la migrazione dei servizi a IPv6.
Per le connessioni tra gli endpoint Private Service Connect per i servizi pubblicati e i collegamenti ai servizi, la versione IP della regola di forwarding del producer determina la versione IP del collegamento al servizio e il traffico che esce dal collegamento al servizio. La versione IP del collegamento al servizio può essere IPv4 o IPv6, ma non entrambi. I produttori possono utilizzare un indirizzo IPv4 se la subnet dell'indirizzo è a stack singolo. I produttori possono utilizzare un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack.
La versione IP dell'indirizzo IP della regola di forwarding del producer deve essere compatibile con il tipo di stack della subnet NAT del collegamento al servizio. Se la regola di forwarding del producer è IPv4, la subnet NAT può essere a stack singolo o doppio. Se la regola di forwarding del producer è IPv6, la subnet NAT deve essere a doppio stack.
Private Service Connect non supporta la connessione di un endpoint IPv4 con un collegamento a un servizio IPv6. In questo caso, la creazione dell'endpoint non riesce e viene visualizzato il seguente messaggio di errore:
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
Per le configurazioni supportate sono possibili le seguenti combinazioni:
- Collegamento da endpoint IPv4 a servizio IPv4
- Collegamento da endpoint IPv6 a servizio IPv6 (anteprima)
-
Collegamento da endpoint IPv6 a servizio IPv4 (anteprima)
In questa configurazione, Private Service Connect esegue automaticamente la conversione tra le due versioni IP.
Per le connessioni tra backend Private Service Connect e i collegamenti ai servizi, le regole di forwarding del consumer e del producer devono utilizzare il protocollo IPv4.
Funzionalità e compatibilità
Nelle tabelle seguenti, un segno di spunta indica che una funzionalità è supportata, mentre un simbolo nessun simbolo indica che una funzionalità non è supportata.
A seconda del bilanciatore del carico del producer scelto, il servizio producer può supportare l'accesso da endpoint, backend o entrambi.
Supporto per gli endpoint
Questa tabella riassume le opzioni e le funzionalità di configurazione supportate degli endpoint che accedono ai servizi pubblicati.
| Configurazione consumer (endpoint) | Bilanciatore del carico del producer | |||
|---|---|---|---|---|
| Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | Inoltro del protocollo interno (istanza di destinazione) | |
| Accesso globale dei consumatori |
Indipendente dall' impostazione di accesso globale sul bilanciatore del carico |
Solo se l'accesso globale è abilitato sul bilanciatore del carico |
Solo se l'accesso globale è abilitato sul bilanciatore del carico |
Indipendente dall' impostazione di accesso globale sul bilanciatore del carico |
| Traffico Cloud VPN | ||||
| Configurazione DNS automatica | Solo IPv4 | Solo IPv4 | Solo IPv4 | Solo IPv4 |
| Endpoint IPv4 |
|
|
|
|
| Endpoint IPv6 (anteprima) |
|
|
|
|
Questa tabella riassume le opzioni e le funzionalità di configurazione supportate dei servizi pubblicati a cui accedono gli endpoint.
| Configurazione del producer (servizio pubblicato) | Bilanciatore del carico del producer | |||
|---|---|---|---|---|
| Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | Inoltro del protocollo interno (istanza di destinazione) | |
| Backend di producer supportati |
|
|
|
Non applicabile |
| Protocollo PROXY | Solo traffico TCP | Solo traffico TCP | ||
| Modalità di affinità sessione | NESSUNO (5 tuple) CLIENT_IP_PORT_PROTO |
Non applicabile | Non applicabile | Non applicabile |
| Versione IP |
|
|
|
|
I bilanciatori del carico supportano diverse configurazioni delle porte. Alcuni bilanciatori del carico supportano una singola porta, altri supportano un intervallo di porte e altri supportano tutte le porte. Per ulteriori informazioni, consulta le specifiche della porta.
Supporto per i backend
Un backend Private Service Connect per i servizi pubblicati richiede due bilanciatori del carico: un bilanciatore del carico consumer e un bilanciatore del carico producer. Questa tabella descrive la compatibilità tra i diversi tipi di bilanciatori del carico consumer e producer, inclusi i protocolli del servizio di backend che possono essere utilizzati con ciascun bilanciatore del carico consumer. Ogni riga rappresenta un tipo di bilanciatore del carico del consumer e ogni colonna rappresenta un tipo di bilanciatore del carico del producer.
| Bilanciatore del carico consumer e protocolli di servizio di backend consumer supportati | Bilanciatore del carico del producer | ||
|---|---|---|---|
| Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | |
|
Application Load Balancer esterno globale (supporta più regioni) Protocolli: HTTPS, HTTP2 Versione IP: IPv4 Nota: il bilanciatore del carico delle applicazioni classico non è supportato. |
|||
|
Bilanciatore del carico delle applicazioni esterno regionale Protocolli: HTTP, HTTPS, HTTP2 Versione IP: IPv4 |
|||
|
Bilanciatore del carico delle applicazioni interno regionale Protocolli: HTTP, HTTPS, HTTP2 Versione IP: IPv4 |
|||
|
Bilanciatore del carico delle applicazioni interno tra regioni (anteprima) Protocolli: HTTPS, HTTP2 Versione IP: IPv4 |
|||
|
Bilanciatore del carico di rete proxy interno regionale Protocollo: TCP Versione IP: IPv4 |
|||
|
Bilanciatore del carico di rete proxy interno tra regioni Protocollo: TCP Versione IP: IPv4 |
|||
|
Bilanciatore del carico di rete proxy esterno regionale Protocollo: TCP Versione IP: IPv4 |
|||
|
Bilanciatore del carico di rete proxy esterno globale (anteprima) Protocollo: TCP/SSL Versione IP: IPv4 Nota: il bilanciatore del carico di rete proxy classico non è supportato. |
|||
Questa tabella descrive la configurazione dei bilanciatori del carico del producer supportati dai backend Private Service Connect.
| Configurazione | Bilanciatore del carico del producer | ||
|---|---|---|---|
| Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | |
| Backend di producer supportati |
|
|
|
| Protocolli delle regole di forwarding |
|
|
|
| Porte delle regole di forwarding | La regola di forwarding deve fare riferimento a una sola porta. | La regola di forwarding deve fare riferimento a una sola porta. | La regola di forwarding deve fare riferimento a una sola porta. |
| Protocollo PROXY | |||
| Versione IP | IPv4 | IPv4 | IPv4 |
VPC condiviso
Gli amministratori dei progetti di servizio possono creare collegamenti ai servizi nei progetti di servizio VPC condiviso che si connettono alle risorse nelle reti VPC condivise.
La configurazione è la stessa di un normale collegamento a un servizio, ad eccezione di quanto segue:
- La regola di forwarding del bilanciatore del carico del producer è associata a un indirizzo IP della rete VPC condiviso. La subnet della regola di forwarding deve essere condivisa con il progetto di servizio.
- Il collegamento al servizio utilizza una subnet Private Service Connect dalla rete VPC condiviso. Questa subnet deve essere condivisa con il progetto di servizio.
Logging
Puoi abilitare i log di flusso VPC nelle subnet che contengono le VM di backend. I log mostrano i flussi tra le VM di backend e gli indirizzi IP nella subnet Private Service Connect.
Controlli di servizio VPC
I Controlli di servizio VPC e Private Service Connect sono compatibili tra loro. Se la rete VPC in cui viene eseguito il deployment dell'endpoint Private Service Connect si trova in un perimetro dei Controlli di servizio VPC, l'endpoint farà parte dello stesso perimetro. Tutti i servizi supportati dai Controlli di servizio VPC a cui si accede tramite l'endpoint sono soggetti ai criteri del perimetro dei Controlli di servizio VPC.
Quando crei un endpoint, vengono effettuate chiamate API del piano di controllo tra i progetti consumer e producer per stabilire una connessione Private Service Connect. La creazione di una connessione Private Service Connect tra progetti consumer e producer che non si trovano nello stesso perimetro dei Controlli di servizio VPC non richiede un'autorizzazione esplicita con i criteri in uscita. La comunicazione con i servizi supportati da Controlli di servizio VPC tramite l'endpoint è protetta dal perimetro dei Controlli di servizio VPC.
Visualizzazione delle informazioni sulla connessione dei consumatori
Per impostazione predefinita, Private Service Connect converte l'indirizzo IP di origine del consumer in un indirizzo in una delle subnet di Private Service Connect nella rete VPC del producer di servizi. Se vuoi visualizzare l'indirizzo IP di origine originale del consumer, puoi abilitare il protocollo PROXY quando pubblichi un servizio.
Non tutti i servizi supportano il protocollo PROXY. Per ulteriori informazioni, consulta Funzionalità e compatibilità.
Se il protocollo PROXY è abilitato, puoi ottenere l'indirizzo IP di origine del consumer e l'ID connessione PSC (pscConnectionId) dall'intestazione del protocollo PROXY.
Private Service Connect supporta il protocollo PROXY versione 2. Il formato delle intestazioni di protocollo PROXY dipende dalla versione IP dell'endpoint consumer. Se il bilanciatore del carico del collegamento al servizio ha un indirizzo IPv6, i consumer possono connettersi con indirizzi IPv4 e IPv6. Configura l'applicazione per ricevere e leggere le intestazioni del protocollo PROXY per la versione IP del traffico che deve ricevere.
Quando abiliti il protocollo PROXY per il collegamento a un servizio, la modifica si applica solo alle nuove connessioni. Le connessioni esistenti non includono l'intestazione del protocollo PROXY.
Se abiliti il protocollo PROXY, consulta la documentazione del software del server web di backend per informazioni sull'analisi e sull'elaborazione delle intestazioni del protocollo PROXY in entrata nei payload TCP della connessione client. Se il protocollo PROXY è abilitato sul collegamento al servizio, ma il server web di backend non è configurato per elaborare le intestazioni del protocollo PROXY, le richieste web potrebbero non essere corrette. Se le richieste non sono formattate correttamente, il server non può interpretarla.
L'ID connessione Private Service Connect (pscConnectionId) è codificato nell'intestazione del protocollo PROXY nel formato Type-Length-Value (TLV).
| Campo | Lunghezza campo | Valore campo |
|---|---|---|
| Tipo | 1 byte | 0xE0 (PP2_TYPE_GCP)
|
| Lunghezza | 2 byte | 0x8 (8 byte) |
| Valore | 8 byte | pscConnectionId a 8 byte nell'ordine di rete |
Puoi visualizzare il valore pscConnectionId a 8 byte dalla regola di forwarding consumer o dalla allegato del servizio producer.
Il valore pscConnectionId è univoco a livello globale per tutte le connessioni attive in un determinato momento. Tuttavia, nel tempo, un pscConnectionId potrebbe essere riutilizzato in questi scenari:
All'interno di una determinata rete VPC, se elimini un endpoint (regola di forwarding) e crei un nuovo endpoint utilizzando lo stesso indirizzo IP, potrebbe essere utilizzato lo stesso valore
pscConnectionId.Se elimini una rete VPC che contiene endpoint (regole di forwarding), dopo un periodo di attesa di sette giorni, il valore
pscConnectionIdusato per questi endpoint potrebbe essere utilizzato per un endpoint diverso in un'altra rete VPC.
Puoi utilizzare i valori pscConnectionId per il debug e per tracciare le origini dei pacchetti.
Un ID collegamento al servizio Private Service Connect (pscServiceAttachmentId) separato da 16 byte è disponibile nell'allegato al servizio producer.
Il valore pscServiceAttachmentId è un ID univoco globale che identifica un collegamento al servizio Private Service Connect. Puoi utilizzare il valore pscServiceAttachmentId per la visibilità e il debug. Questo valore non è incluso nell'intestazione del protocollo PROXY.
Prezzi
I prezzi di Private Service Connect sono descritti nella pagina dei prezzi di VPC.
Quote
Il numero di endpoint che puoi creare per accedere ai servizi pubblicati è controllato dalla quota PSC Internal LB Forwarding Rules.
Per ulteriori informazioni, vedi quotas.
Accesso on-premise
I servizi Private Service Connect vengono resi disponibili tramite endpoint. È possibile accedere a questi endpoint da host on-premise connessi supportati. Per maggiori informazioni, consulta Accedere all'endpoint da host on-premise.
Limitazioni
I servizi pubblicati presentano le seguenti limitazioni:
- I bilanciatori del carico del producer non supportano le seguenti funzionalità:
- Più regole di forwarding che utilizzano un indirizzo IP condiviso
(
SHARED_LOADBALANCER_VIP) - Creazione di sottoinsiemi di backend
- Il Mirroring pacchetto non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.
- Devi utilizzare Google Cloud CLI o l'API per creare un collegamento a un servizio che rimandi a una regola di forwarding utilizzata per l'inoltro del protocollo interno.
- I seguenti tipi di bilanciatore del carico non forniscono valori per le
metriche
BETA. I valori sono0o mancanti:- Bilanciatore del carico delle applicazioni interno regionale
- Bilanciatore del carico di rete proxy interno regionale
Per problemi e soluzioni alternative, consulta Problemi noti.