Informazioni sui servizi pubblicati
Questo documento fornisce una panoramica sull'utilizzo Private Service Connect per effettuare una servizio disponibile per i consumatori del servizio.
In qualità di producer di servizi, puoi usare Private Service Connect per pubblicare utilizzando indirizzi IP interni nella tua rete VPC. Il tuo i servizi pubblicati sono accessibili ai consumer di servizi tramite IP interno di indirizzi IP nelle rispettive reti VPC.
Per mettere un servizio a disposizione dei consumatori, puoi creare uno o più servizi subnet. Quindi creerai un servizio collegamento IP che si riferisce a quelle subnet. Il servizio l'allegato può avere preferenze di connessione diverse.
Tipi di consumer di servizi
Esistono due tipi di consumatori che possono connettersi Servizio Private Service Connect:
Gli endpoint si basano su una regola di forwarding.
I backend si basano su un bilanciatore del carico.
Subnet NAT
I collegamenti del servizio Private Service Connect sono configurati con una o più subnet NAT (chiamate anche nelle subnet Private Service Connect). Pacchetti dal consumatore Le reti VPC vengono tradotte usando source NAT (SNAT) in modo che gli indirizzi IP di origine originali vengono convertiti in indirizzi IP di origine dal una subnet nella rete VPC del producer.
I collegamenti ai servizi possono avere più subnet NAT. Altre subnet NAT possono da aggiungere al collegamento al servizio in qualsiasi momento senza interrompere il traffico.
Sebbene il collegamento a un servizio possa avere più subnet NAT configurate, non è possibile usare una subnet in più di un collegamento a un servizio.
Non è possibile utilizzare subnet NAT Private Service Connect per le risorse ad esempio istanze di macchine virtuali (VM) o regole di forwarding. Le subnet vengono utilizzate solo per fornire indirizzi IP per la SNAT delle connessioni consumer in entrata.
Dimensionamento della subnet NAT
Quando pubblichi un servizio, crea una subnet NAT e scegli un intervallo di indirizzi IP. Le dimensioni della subnet determinano il numero gli endpoint o i backend di Private Service Connect simultanei al collegamento del servizio. Gli indirizzi IP vengono utilizzati dalla subnet NAT in base al numero di connessioni Private Service Connect. Se tutti gli indirizzi IP nella subnet NAT vengono utilizzati, qualsiasi ulteriore Le connessioni Private Service Connect non andranno a buon fine. Ecco perché è importante configurare le dimensioni della subnet NAT in modo appropriato.
Quando scegli le dimensioni della subnet, considera quanto segue:
Esistono quattro IP inutilizzabili indirizzi IP in una subnet NAT, quindi il numero di indirizzi IP disponibili è 2(32 - PREFIX_LENGTH) - 4. Per Ad esempio, se crei una subnet NAT con lunghezza del prefisso
/24
, Private Service Connect può utilizzare 252 degli indirizzi IP per la SNAT. Una subnet/29
con quattro la dimensione minima supportata per gli indirizzi IP è la subnet più piccola reti VPC.Viene utilizzato un indirizzo IP dalla subnet NAT ogni endpoint o backend collegato al collegamento al servizio.
Quando stimi il numero di indirizzi IP di cui hai bisogno per gli endpoint e i backend, per qualsiasi servizio multi-tenant o consumatori che usano Accesso multi-punto per Private Service Connect.
Il numero di connessioni TCP o UDP, client o consumer Le reti VPC non influiscono sul consumo di IP dalla subnet NAT.
Ad esempio, se due endpoint sono connessi a un singolo
collegamento del servizio, vengono poi consumati due indirizzi IP
una subnet. Se il numero di endpoint non cambia, puoi utilizzare una
/29
subnet con quattro indirizzi IP utilizzabili per questo collegamento a servizio.
Monitoraggio subnet NAT
Per assicurare che Private Service Connect le connessioni non subiscono errori a causa di indirizzi IP non disponibili in una subnet NAT consigliamo quanto segue:
- Monitora
private_service_connect/producer/used_nat_ip_addresses
metrica del collegamento al servizio. Assicurati che il numero di indirizzi IP NAT utilizzati non superi la capacità delle subnet NAT di un collegamento a un servizio. - Monitorare lo stato della connessione delle connessioni ai collegamenti ai servizi. Se una connessione è nello stato Richiede attenzione, potrebbero non essere disponibili altri indirizzi IP nel alle subnet NAT del collegamento.
- Per i servizi multi-tenant, puoi utilizzare Limiti di connessione per garantire che un singolo consumatore non esaurisca la capacità di alle subnet NAT di un collegamento a un servizio.
Se necessario, puoi aggiungere subnet NAT al collegamento al servizio in qualsiasi momento senza interrompere il traffico.
Specifiche NAT
Considera le seguenti caratteristiche di Private Service Connect NAT durante la progettazione del servizio che pubblichi:
Il timeout per inattività mappatura UDP è di 30 secondi e non può essere configurato.
Il timeout per inattività della connessione stabilita TCP è 20 minuti e non può essere configurato.
Per evitare problemi con il timeout delle connessioni client, esegui una delle seguenti operazioni:
Assicurati che tutte le connessioni duri meno di 20 minuti.
Assicurati che una parte del traffico venga inviata più di una volta ogni 20 minuti. Nella tua applicazione puoi usare un heartbeat o un keepalive, oppure un TCP keepalive. Ad esempio, puoi configurare un keepalive nel proxy di un Bilanciatore del carico delle applicazioni interno regionale o un bilanciatore del carico di rete proxy interno regionale.
Il timeout per inattività della connessione transitoria TCP è 30 secondi e non può essere configurato.
Esiste un ritardo di due minuti prima di ogni tuple a 5 tuple (indirizzo IP di origine della subnet NAT) e la porta di origine più il protocollo, l'indirizzo IP e la porta di destinazione) possono essere riutilizzati.
SNAT per Private Service Connect non supporta IP come il frammento frammentato.
Numero massimo di connessioni
Una singola VM producer può accettare un massimo di 65.536 connessioni TCP simultanee e 65.536 connessioni UDP da una singola Private Service Connect endpoint. Non c'è limite al numero totale di TCP e UDP connessioni che un utente Private Service Connect che l'endpoint può ricevere in forma aggregata da tutti i backend dei producer. Le VM consumer possono utilizzare tutte le 65.536 porte quando avviano TCP o UDP a un endpoint Private Service Connect. Tutte le Network Address Translation vengono eseguite localmente sull'host del producer, non richiede un pool di porte NAT allocato centralmente.
Collegamenti ai servizi
I producer di servizi espongono il proprio servizio tramite il collegamento a un servizio.
Per esporre un servizio, un producer di servizi crea un collegamento a un servizio si riferisce alla regola di forwarding del bilanciatore del carico del servizio.
Per accedere a un servizio, un consumer di servizi crea un endpoint che fa riferimento collegamento del servizio.
L'URI del collegamento al servizio ha il seguente formato:
projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
A ogni bilanciatore del carico può essere fatto riferimento solo da un singolo collegamento al servizio. Tu Impossibile configurare più collegamenti ai servizi che utilizzano lo stesso bilanciatore del carico.
Preferenze di connessione
Ogni collegamento al servizio ha una preferenza di connessione che specifica se la connessione vengono accettate automaticamente. Le opzioni sono tre:
- Accetta automaticamente tutte le connessioni. Il collegamento al servizio accetta automaticamente tutte le richieste di connessione in entrata da qualsiasi consumer. Accettazione automatica può essere sostituito da criteri dell'organizzazione che blocca le connessioni in entrata.
- Accetta connessioni per le reti selezionate. Il collegamento al servizio accetta solo richieste di connessione in entrata se la rete VPC consumer è nell'elenco di accettazione del consumer del collegamento al servizio.
- Accetta le connessioni per i progetti selezionati. Il collegamento al servizio accetta solo richieste di connessione in entrata se il progetto consumer è nell'elenco di accettazione del consumer del collegamento al servizio.
Ti consigliamo di accettare connessioni per le reti o i progetti selezionati. Accettazione automatica tutte le connessioni potrebbero essere appropriate se controlli l'accesso consumer tramite mezzi e vuoi abilitare l'accesso permissivo al tuo servizio.
Stati della connessione
I collegamenti ai servizi hanno stati di connessione che descrivono lo stato dei relativi e altre connessioni. Per maggiori informazioni, consulta la sezione Stati della connessione.
Elenchi di accettazione e rifiuto da parte del consumatore
Le liste di accettazione dei consumatori e le liste di rifiuto dei consumatori sono una funzionalità di sicurezza del servizio allegati. Gli elenchi di accettazione e rifiuto consentono i producer di servizi specificano quali consumer possono stabilire connessioni Private Service Connect ai loro servizi. Gli elenchi di accettazione del consumer specificano se una connessione viene accettata e il consumer Gli elenchi di elementi rifiutati specificano se la connessione viene rifiutata. Entrambi gli elenchi ti consentono di specificare i consumatori in base Rete VPC o progetto della risorsa che si connette. Se aggiungi un progetto o una rete sia all'elenco di accettazione che alla lista bloccata, le richieste di connessione dal progetto o dalla rete vengono rifiutato. La specifica dei consumer per cartella non è supportata.
Gli elenchi di accettazione dei consumer e gli elenchi di utenti rifiutati dei consumer consentono di specificare progetti o VPC ma non contemporaneamente. Puoi modificare un elenco da un tipo all'altro senza interrompendo la connessione, ma devi apportare la modifica in un singolo aggiornamento. Altrimenti, alcune potrebbero passare temporaneamente allo stato In attesa.
Per informazioni su come interagiscono gli elenchi di accettazione dei consumatori con l'organizzazione i criteri, consulta Interazione tra gli elenchi di accettazione dei consumatori e i criteri dell'organizzazione.
Limiti per gli elenchi di accettazione del consumer
Le liste di accettazione del consumer hanno limiti di connessioni. Questi limiti stabiliscono il numero totale Connessioni di backend ed endpoint Private Service Connect che un collegamento a un servizio può accettare dal progetto consumer o dal VPC specificato in ogni rete. I producer possono utilizzare questi limiti per impedire ai singoli consumer di esaurire gli indirizzi IP o quote delle risorse nella rete VPC del producer. Ciascuno ha accettato La connessione Private Service Connect viene sottratta dal limite configurato per un consumer un progetto o una rete VPC. I limiti vengono impostati quando creazione o aggiorna il consumatore accetta gli elenchi. Puoi visualizzare le connessioni di un collegamento a un servizio quando descrivi collegamento del servizio. Le connessioni propagate non vengono conteggiate rispetto a questi limiti.
Ad esempio, considera un caso in cui un collegamento a un servizio abbia un elenco di accettazione dei consumer che include
project-1
e project-2
, entrambi con un limite di una connessione. La
Il progetto project-1
richiede due connessioni, project-2
richiede una
e project-3
richiede una connessione. Perché project-1
ha
un limite di una connessione, la prima viene accettata, mentre la seconda rimane in attesa.
La connessione da project-2
è stata accettata, mentre la connessione da
project-3
rimane in attesa. La seconda connessione da project-1
può essere
accettato aumentando il limite per project-1
. Se
project-3
viene aggiunto all'elenco di accettazione del consumer, la transizione da quella connessione
in attesa di essere accettati.
Riconciliazione delle connessioni
La riconciliazione delle connessioni determina se gli aggiornamenti al collegamento le liste di accettazione o rifiuto possono influire su Private Service Connect esistente e altre connessioni. Se la riconciliazione della connessione è abilitata, aggiornamento di accettazione o rifiuto possono terminare le connessioni esistenti. Connessioni precedentemente rifiutato può diventare accettato. Se la riconciliazione della connessione è disabilitata, l'aggiornamento gli elenchi di accettazione o rifiuto interessano solo le connessioni nuove e in attesa.
Ad esempio, considera un collegamento a un servizio che ne ha diversi accettati
connessioni da Project-A
. Project-A
si trova nel collegamento al servizio
elenco di accettazione. Il collegamento al servizio viene aggiornato rimuovendo Project-A
da
l'elenco di accettazione.
Se la riconciliazione delle connessioni è abilitata, tutte le connessioni esistenti da
Transizione di Project-A
a PENDING
, che termina la connettività di rete
tra le due reti VPC e interrompe immediatamente la rete
per via del traffico.
Se la riconciliazione delle connessioni è disabilitata, le connessioni esistenti da
Le Project-A
non sono interessate. Il traffico di rete può ancora fluire attraverso le
Connessioni Private Service Connect. Tuttavia, le nuove connessioni Private Service Connect non sono consentite.
Per informazioni sulla configurazione della riconciliazione delle connessioni per un nuovo servizio allegati, vedi Pubblicare un servizio con approvazione esplicita.
Per informazioni sulla configurazione della riconciliazione delle connessioni per il servizio esistente allegati, vedi Configurare la riconciliazione delle connessioni.
Connessioni propagate
Consumer che si connettono al collegamento al servizio utilizzando endpoint può abilitare la propagazione delle connessioni. Le connessioni propagate consentono ai carichi di lavoro negli spoke VPC consumer Accesso a servizi gestiti nelle reti VPC producer come se le due reti VPC erano collegate direttamente tramite endpoint. Ogni connessione propagata utilizza un indirizzo IP dal collegamento nella subnet NAT.
Puoi visualizzare il numero di connessioni propagate associate Un endpoint connesso quando visualizzi i dettagli di un servizio pubblicato. Questo conteggio non include le connessioni propagate bloccate dall'account producer di connessioni propagate.
Limite connessioni propagate
I collegamenti ai servizi hanno un limite di connessioni propagate, che consente al servizio producer limitano il numero di connessioni propagate che possono essere stabilite collegamento tra un servizio e un servizio di un singolo consumer. Se non specificato, il valore predefinito il limite di connessioni propagate è 250.
- Se la preferenza di connessione del collegamento al servizio è
ACCEPT_MANUAL
, il limite si applica a ogni progetto o rete VPC nell'elenco di accettazione dei consumatori. - Se la preferenza di connessione è
ACCEPT_AUTOMATIC
, il limite si applica a ogni che contiene un endpoint connesso.
Se un consumatore supera il limite di connessioni propagate, non vengono propagate ulteriormente vengono create connessioni. Per consentire la creazione di più endpoint propagati, lattina Aumenta il limite di connessioni propagate. Se aumenti questo limite, Network Connectivity Center crea connessioni propagate bloccate dal limite, purché le nuove connessioni non superino le limite aggiornato. L'aggiornamento di questo limite non influisce sulle entità esistenti propagate e altre connessioni.
Evitare l'esaurimento della quota
Il numero totale di endpoint Private Service Connect e
connessioni propagate, da qualsiasi consumer, che possono accedere al tuo producer
La rete VPC è controllata
PSC ILB consumer forwarding rules per producer VPC network
quota.
In particolare per
servizi multi-tenant,
è importante evitare l'esaurimento di questa quota.
Per evitare l'esaurimento della quota, puoi utilizzare i limiti seguenti:
- Limiti di connessione per l'elenco di accettazione del consumer controlla il numero totale di endpoint Private Service Connect che può creare connessioni a un collegamento a un servizio da un singolo consumer una rete VPC o un progetto. L'abbassamento di questi limiti non influisce e connessioni esistenti. Questi limiti non si applicano alle connessioni propagate.
- I limiti di connessioni propagate controllano il il numero totale di connessioni propagate che possono essere stabilite a un servizio allegato da un singolo consumatore. La riduzione di questo limite non influisce su quelli esistenti di connessioni propagate.
Esempio
L'esempio seguente mostra come vengono propagati i limiti delle connessioni
di accettare i limiti dell'elenco funzionano in relazione
Quota PSC ILB consumer forwarding rules per producer VPC network
.
Considera un caso in cui un consumatore ha creato due
endpoint in una rete VPC spoke, spoke-vpc-1
. Entrambi gli endpoint
connettiti a service-attachment-1
in producer-vpc-1
. Lo spoke è connesso a
un hub di Network Connectivity Center con la propagazione della connessione abilitata e che non ci siano altri spoke collegati a quell'hub.
Il producer di servizi ha configurato service-attachment-1
in modo che abbia un consumer
Accetta un limite di quattro per ogni progetto nell'elenco di accettazione. Il produttore ha
configurato un limite di due connessioni propagate, specificando che
può avere fino a due connessioni propagate.
L'utilizzo della quota e dei limiti per questa configurazione è indicato di seguito:
Quota / limite | Utilizzo | Spiegazione |
---|---|---|
Regole di forwarding consumer PSC ILB per rete VPC producer | 2 | uno per endpoint |
Limite di connessioni all'elenco di accettazione del consumer del collegamento al servizio per consumer-project-1 |
2 | uno per endpoint |
Limite connessioni ai servizi propagate per consumer-project-1 |
0 | nessuna connessione propagata |
Supponiamo che consumer-project-1
colleghi un altro spoke denominato spoke-vpc-2
alla
stesso hub di Network Connectivity Center di spoke-vpc-1
. Questo crea due connessioni propagate in consumer-project-1
, una per ogni endpoint esistente.
L'utilizzo della quota e dei limiti per questa configurazione è indicato di seguito:
Quota / limite | Utilizzo | Spiegazione |
---|---|---|
Regole di forwarding consumer PSC ILB per rete VPC producer | 4 | una per endpoint e una per connessione propagata |
Limite di connessioni all'elenco di accettazione del consumer del collegamento al servizio per consumer-project-1 |
2 | uno per endpoint |
Limite connessioni ai servizi propagate per consumer-project-1 |
2 | una per connessione propagata |
Consumer-project-1
ha esaurito il limite di connessioni propagate. Se
un altro consumer aggiunge un altro spoke VPC,
Private Service Connect non crea nuovi messaggi propagati
e altre connessioni.
Supponiamo che un altro consumer abbia due spoke VPC
a consumer-project-2
. Gli spoke si connettono a un hub di Network Connectivity Center con connessioni propagate
in un bucket con il controllo
delle versioni attivo. Uno degli spoke VPC contiene un singolo endpoint che
si connette a service-attachment-1
.
L'utilizzo della quota e dei limiti per questa configurazione è indicato di seguito:
Quota / limite | Utilizzo | Spiegazione |
---|---|---|
Regole di forwarding consumer PSC ILB per rete VPC producer | 6 | quattro da consumer-project-1 e due da consumer-project-2 |
Limite di connessioni all'elenco di accettazione del consumer del collegamento al servizio per consumer-project-1 |
2 | uno per endpoint in consumer-project-1 |
Limite di connessioni all'elenco di accettazione del consumer del collegamento al servizio per consumer-project-2 |
1 | uno per endpoint in consumer-project-2 |
Limite connessioni ai servizi propagate per consumer-project-1 |
2 | una per connessione propagata in consumer-project-1 |
Limite connessioni ai servizi propagate per consumer-project-2 |
1 | una per connessione propagata in consumer-project-2 |
Configurazione DNS
Per informazioni sulla configurazione DNS per i servizi e gli endpoint pubblicati che si collegano ai servizi pubblicati, vedi Configurazione DNS per i servizi.
Configurazione per più regioni
Per rendere disponibile un servizio in più regioni, crea quanto segue configurazioni.
Configurazione del producer:
Eseguire il deployment del servizio in ogni regione. Ogni istanza a livello di regione del servizio deve essere configurato su un bilanciatore del carico che supporta l'accesso tramite di backend.
Crea un collegamento a un servizio per pubblicare ogni istanza regionale del servizio.
Configurazione consumer:
Crea un backend per accedere ai servizi pubblicati. Il backend si basa su un bilanciatore del carico delle applicazioni esterno globale e include le seguenti configurazioni:
R NEG Private Service Connect in ogni regione che punta al collegamento del servizio di quella regione.
Un servizio di backend che contiene i backend del NEG.
In questa configurazione, l'endpoint instrada il traffico utilizzando il carico globale predefinito prima per l'integrità, poi per la località più vicina al cliente.
Traduzione della versione IP
Per le connessioni tra gli endpoint Private Service Connect per i servizi pubblicati e i collegamenti ai servizi, la versione IP dell'indirizzo IP della regola di forwarding consumer determina la versione IP dell'endpoint e il traffico che lo invia. La versione IP di l'endpoint può essere IPv4 o IPv6, ma non entrambi. I consumer possono utilizzare un indirizzo IPv4 se la subnet del tuo indirizzo è stack singolo. I consumatori possono utilizzare Un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack. I consumer possono connettere sia IPv4 Collega gli endpoint IPv6 allo stesso collegamento al servizio, il che può essere utile per la migrazione dei servizi IPv6.
Per le connessioni tra gli endpoint Private Service Connect per i servizi pubblicati e i collegamenti ai servizi, la versione IP della regola di forwarding del producer determina la versione IP del collegamento al servizio e del traffico che ne esce. La versione IP di il collegamento al servizio può essere IPv4 o IPv6, ma non entrambi. I producer possono utilizzare un indirizzo IPv4 la subnet dell'indirizzo è a stack singolo. I produttori possono utilizza un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack.
La versione IP dell'indirizzo IP della regola di forwarding del producer deve essere compatibile con lo stack tipo di valore NAT del collegamento al servizio subnet. Se la regola di forwarding del producer è IPv4, la subnet NAT può essere a stack singolo a doppio stack. Se la regola di forwarding del producer è IPv6, la subnet NAT deve essere a doppio stack.
Private Service Connect non supporta la connessione di un endpoint IPv4 con un collegamento a un servizio IPv6. In questo caso, la creazione dell'endpoint ha esito negativo con i seguenti errori messaggio di errore:
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
Sono possibili le seguenti combinazioni supportato configurazioni:
- Collegamento da endpoint IPv4 al servizio IPv4
- Endpoint IPv6 al collegamento al servizio IPv6 (anteprima)
-
Collegamento da endpoint IPv6 al servizio IPv4 (anteprima)
In questa configurazione, Private Service Connect traduce automaticamente tra le due versioni IP.
Per le connessioni tra i backend Private Service Connect collegamenti di servizi, le regole di forwarding del consumer e del producer devono utilizzare IPv4.
Funzionalità e compatibilità
Nelle tabelle seguenti, un segno di spunta indica che una funzionalità è supportata e un simbolo "no" indica che una funzionalità non è supportata.
A seconda del bilanciatore del carico del producer scelto, il servizio producer può che supportano l'accesso per endpoint, backend o entrambi.
Supporto per endpoint
Questa sezione riassume le opzioni di configurazione disponibili quando utilizzano endpoint per accedere ai servizi di pubblicazione.
Configurazione consumer
Questa tabella riassume le opzioni di configurazione e le funzionalità supportate che accedono agli endpoint pubblicati Google Cloud.
Configurazione consumer (endpoint) | Bilanciatore del carico del producer | |||
---|---|---|---|---|
Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | Inoltro interno del protocollo (istanza di destinazione) | |
Accesso consumer globale |
Indipendente da Impostazione di accesso globale sul bilanciatore del carico |
Solo se l'accesso globale sia abilitato sul bilanciatore del carico prima della creazione del collegamento al servizio |
Solo se l'accesso globale sia abilitato sul bilanciatore del carico prima della creazione del collegamento al servizio |
Indipendente da Impostazione di accesso globale sul bilanciatore del carico |
Traffico Cloud VPN | ||||
Configurazione DNS automatica | Solo IPv4 | Solo IPv4 | Solo IPv4 | Solo IPv4 |
Propagazione delle connessioni | Solo IPv4 | Solo IPv4 | Solo IPv4 | Solo IPv4 |
Endpoint IPv4 |
|
|
|
|
Endpoint IPv6 (anteprima) |
|
|
|
|
Configurazione del producer
Questa tabella riassume le opzioni di configurazione e le funzionalità supportate e in tutti i servizi pubblicati a cui accedono gli endpoint.
Configurazione del producer (servizio pubblicato) | Bilanciatore del carico del producer | |||
---|---|---|---|---|
Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | Inoltro interno del protocollo (istanza di destinazione) | |
Backend producer supportati |
|
|
|
Non applicabile |
Protocollo PROXY | Solo traffico TCP | Solo traffico TCP | ||
Modalità di affinità sessione | NESSUNO (5 tuple) CLIENT_IP_PORT_PROTO |
Non applicabile | Non applicabile | Non applicabile |
Versione IP |
|
|
|
|
Bilanciatori del carico diversi supportano diverse configurazioni di porte. carico i bilanciatori supportano una singola porta, alcuni supportano un intervallo di porte e altri ancora tutte le porte. Per ulteriori informazioni, consulta la sezione Trasferire specifiche.
Supporto per i backend
R Backend di Private Service Connect per i servizi pubblicati richiede due bilanciatori del carico: un bilanciatore del carico consumer e un carico del producer con il bilanciatore del carico di rete passthrough esterno regionale. Questa sezione riassume le opzioni di configurazione disponibili consumer e producer quando si utilizzano backend per accedere ai servizi di pubblicazione.
Configurazione consumer
Questa tabella descrive i bilanciatori del carico consumer supportati Backend Private Service Connect per i servizi pubblicati, tra cui i protocolli del servizio di backend utilizzabili con ciascun bilanciatore del carico consumer. I bilanciatori del carico consumer possono accedere a servizi pubblicati ospitati su bilanciatori del carico dei producer supportati.
Bilanciatore del carico consumer | Protocolli | Versione IP |
---|---|---|
Bilanciatore del carico delle applicazioni esterno globale (supporta più regioni) Nota:il bilanciatore del carico delle applicazioni classico non è supportato. |
|
IPv4 |
Bilanciatore del carico delle applicazioni esterno regionale |
|
IPv4 |
Bilanciatore del carico delle applicazioni interno regionale |
|
IPv4 |
Bilanciatore del carico delle applicazioni interno tra regioni |
|
IPv4 |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
Bilanciatore del carico di rete proxy esterno globale Nota: il bilanciatore del carico di rete proxy classico non è supportato. |
|
IPv4 |
Configurazione del producer
Questa tabella descrive la configurazione per i bilanciatori del carico del producer supportati dai backend Private Service Connect servizi pubblicati.
Configurazione | Bilanciatore del carico del producer | ||
---|---|---|---|
Bilanciatore del carico di rete passthrough interno | Bilanciatore del carico delle applicazioni interno regionale | Bilanciatore del carico di rete proxy interno regionale | |
Backend producer supportati |
|
|
|
Protocolli delle regole di forwarding |
|
|
|
Porte delle regole di forwarding | È consigliabile utilizzare una singola porta. Consulta Configurazione della porta del producer. | Supporta una singola porta | Supporta una singola porta |
Protocollo PROXY | |||
Versione IP | IPv4 | IPv4 | IPv4 |
Configurazione della porta del producer
Quando un backend consumer si connette a un servizio pubblicato ospitato su un Bilanciatore del carico di rete passthrough interno, Google Cloud sceglie una porta che il consumer possa utilizzare. La porta viene scelta in base alla configurazione della porta della regola di forwarding del producer. Considera quanto segue quando crei la regola di forwarding per il carico del producer bilanciatore del carico:
- Ti consigliamo di specificare una singola porta. In questa configurazione, il backend consumer utilizza la stessa porta.
Se specifichi più porte, si applica quanto segue:
- Se è inclusa la porta
443
, il backend del consumer utilizza la porta443
. - Se la porta
443
non è inclusa, il backend del consumer utilizza la prima porta. nell'elenco, dopo che è in ordine alfabetico. Ad esempio, se specifichi la porta80
e la porta1111
, il backend consumer utilizza la porta1111
. La modifica delle porte utilizzate dai backend del producer potrebbe comportare un un'interruzione del servizio per i consumatori.
Ad esempio, supponiamo che tu crei un servizio pubblicato con una regola di forwarding che utilizza le porte
443
e8443
e VM di backend che rispondono sulle porte443
e8443
. Quando un backend consumer si connette a questo servizio, utilizza la porta443
per la comunicazione.Se cambi le VM di backend in modo che rispondano solo sulla porta
8443
, il backend consumer non può più raggiungere il servizio pubblicato.
- Se è inclusa la porta
Non usare
--port=ALL
. Se viene utilizzata questa configurazione, il backend del consumer utilizza la porta1
, che non funziona.
VPC condiviso
Gli amministratori dei progetti di servizio possono creare collegamenti ai servizi nel servizio VPC condiviso per i progetti che si connettono alle risorse Reti VPC condivise.
La configurazione è la stessa di un normale collegamento a un servizio, ad eccezione di quanto segue:
- La regola di forwarding del bilanciatore del carico del producer è associata a un IP dalla rete VPC condiviso. La subnet della regola di forwarding deve da condividere con il progetto di servizio.
- Il collegamento al servizio utilizza una subnet Private Service Connect dalla rete VPC condiviso. Questa subnet deve essere condivisa progetto di servizio.
Logging
Puoi abilitare i log di flusso VPC nelle subnet che contengono le VM di backend. I log mostrano i flussi tra le VM di backend e gli indirizzi IP nella Subnet Private Service Connect.
Controlli di servizio VPC
I Controlli di servizio VPC e Private Service Connect compatibili tra loro. Se la rete VPC in cui Il deployment dell'endpoint di Private Service Connect si trova in una il perimetro dei Controlli di servizio VPC, che fa parte dello stesso perimetro. Qualsiasi Servizi supportati da Controlli di servizio VPC a cui si accede tramite l'endpoint sono soggetti ai criteri di quel perimetro dei Controlli di servizio VPC.
Quando crei un endpoint, il piano di controllo Le chiamate API vengono effettuate tra i progetti consumer e producer per stabilire un Connessione Private Service Connect. Istituzione di un Connessione Private Service Connect tra consumer e producer I progetti che non si trovano nello stesso perimetro dei Controlli di servizio VPC non richiedono un'autorizzazione esplicita con i criteri di traffico in uscita. Comunicazione a servizi supportati dai Controlli di servizio VPC tramite è protetto dal Perimetro Controlli di servizio VPC.
Visualizzazione delle informazioni di connessione del consumatore
Per impostazione predefinita, Private Service Connect traduce la traduzione di origine a un indirizzo in uno dei Subnet Private Service Connect nel producer di servizi rete VPC. Se vuoi vedere l'IP di origine originale del consumatore di destinazione, puoi abilitare il protocollo PROXY quando pubblicare un servizio.
Non tutti i servizi supportano il protocollo PROXY. Per ulteriori informazioni, consulta la sezione Funzionalità e compatibilità.
Se il protocollo PROXY è abilitato, puoi
trova l'indirizzo IP di origine del consumer e l'ID connessione PSC (pscConnectionId
)
dall'intestazione del protocollo PROXY.
Per il traffico dei consumatori che passa attraverso una connessione propagata, indirizzo IP di origine e PSC del consumatore l'ID connessione si riferisce all'endpoint Private Service Connect che viene propagato.
Private Service Connect supporta il protocollo PROXY versione 2. La delle intestazioni di protocollo PROXY dipende dalla versione IP del consumer endpoint. Se il bilanciatore del carico del collegamento al servizio ha un indirizzo IPv6, I consumer possono connettersi sia con indirizzi IPv4 sia con indirizzi IPv6. Configura la tua applicazione per ricevere e leggere le intestazioni del protocollo PROXY per il Versione IP del traffico che deve ricevere.
Quando abiliti il protocollo PROXY per un collegamento a un servizio, la modifica si applica a solo le nuove connessioni. Le connessioni esistenti non includono l'intestazione del protocollo PROXY.
Se attivi il protocollo PROXY, controlla la documentazione del tuo backend web software server per informazioni sull'analisi e sull'elaborazione di PROXY in entrata e intestazioni di protocollo nei payload TCP della connessione client. Se il protocollo PROXY è abilitato sul collegamento al servizio, ma il server web di backend non è configurato per elaborare le intestazioni del protocollo PROXY, le richieste web potrebbero avere un formato non valido. Se richiede non sono nel formato corretto, il server non è in grado di interpretare la richiesta.
L'ID connessione Private Service Connect (pscConnectionId
) è
codificati nell'intestazione del protocollo PROXY
Formato Tipo-Lunghezza-Valore (TLV).
Campo | Lunghezza campo | Valore campo |
---|---|---|
Tipo | 1 byte | 0xE0 (PP2_TYPE_GCP)
|
Lunghezza | 2 byte | 0x8 (8 byte) |
Valore | 8 byte | pscConnectionId a 8 byte nell'ordine di rete |
Puoi visualizzare il valore pscConnectionId
a 8 byte dall'inoltro consumer
regola o
il servizio producer
allegato.
Il valore pscConnectionId
è univoco a livello globale per tutte le connessioni attive in un
un dato momento. Tuttavia, nel tempo, un pscConnectionId
potrebbe essere riutilizzato in
questi scenari:
All'interno di una determinata rete VPC, se elimini endpoint (regola di forwarding) e creare un nuovo endpoint utilizzando lo stesso indirizzo IP, lo stesso valore
pscConnectionId
potrebbe .Se elimini una rete VPC che contiene (regole di forwarding), dopo di sette giorni, il valore
pscConnectionId
utilizzato per quelle possono essere usati endpoint diversi in un altro VPC in ogni rete.
Puoi utilizzare i valori pscConnectionId
per il debug e per tracciare le origini delle
e pacchetti.
Un ID collegamento separato del servizio Private Service Connect da 16 byte
L'ID (pscServiceAttachmentId
) è disponibile dal servizio producer
allegato.
Il valore pscServiceAttachmentId
è un ID univoco a livello globale che identifica un
Collegamento del servizio Private Service Connect. Puoi utilizzare lo
Valore pscServiceAttachmentId
per visibilità e debug. Questo valore non è
incluso nell'intestazione del protocollo PROXY.
Prezzi
I prezzi di Private Service Connect sono descritti in Pagina dei prezzi di VPC.
Quote
Il numero totale di endpoint Private Service Connect e
connessioni propagate, da qualsiasi consumer, che possano accedere ai tuoi
della rete VPC del producer è controllata
PSC ILB consumer forwarding rules per producer VPC network
quota.
Gli endpoint contribuiscono a questa quota finché non vengono eliminati, anche se collegamento al servizio associato è stato eliminato o configurato per rifiutare connessione. Le connessioni propagate contribuiscono a questa quota fino a quando dell'endpoint associato viene eliminato, anche se la propagazione della connessione è disabilitata viene eliminato l'hub di Network Connectivity Center o lo spoke della connessione propagata.
Accesso on-premise
I servizi Private Service Connect vengono resi disponibili utilizzando endpoint. Questi endpoint possono essere da host on-premise connessi supportati. Per ulteriori informazioni, vedi Accedi all'endpoint da host on-premise.
Limitazioni
I servizi pubblicati presentano le seguenti limitazioni:
- I bilanciatori del carico del producer non supportano le seguenti funzionalità:
- Più
regole di forwarding che utilizzano un indirizzo IP condiviso
(
SHARED_LOADBALANCER_VIP
) - Creazione di sottoinsiemi di backend
- Mirroring pacchetto non è in grado di eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.
- Devi utilizzare Google Cloud CLI o l'API per creare un collegamento a un servizio che punti a una regola di forwarding utilizzata forwarding del protocollo interno.
- I seguenti tipi di bilanciatore del carico non forniscono valori per
BETA
metriche: valori sono0
o mancanti:- Bilanciatore del carico delle applicazioni interno regionale
- Bilanciatore del carico di rete proxy interno regionale
Per problemi e soluzioni alternative, vedi Problemi noti.