Veröffentlichte Dienste

Dieses Dokument bietet eine Übersicht über die Verwendung von Private Service Connect, um Dienstnutzern einen Dienst zur Verfügung zu stellen.

Als Dienstersteller können Sie Private Service Connect verwenden, um Dienste mithilfe interner IP-Adressen in Ihrem VPC-Netzwerk zu veröffentlichen. Ihre veröffentlichten Dienste sind für Dienstnutzer über interne IP-Adressen in ihren VPC-Netzwerken zugänglich.

Wenn Sie einen Dienst für Nutzer verfügbar machen möchten, erstellen Sie ein oder mehrere Subnetze. Erstellen Sie anschließend einen Dienstanhang, der auf diese Subnetze verweist. Der Dienstanhang kann unterschiedliche Verbindungseinstellungen haben.

Dienstnutzertypen

Es gibt zwei Arten von Nutzern, die eine Verbindung zu einem Private Service Connect-Dienst herstellen können:

Endpunkte basieren auf einer Weiterleitungsregel.

**Abbildung 1.** Mit einem Endpunkt können Dienstnutzer Traffic vom VPC-Netzwerk des Nutzers an Dienste im VPC-Netzwerk des Dienstherstellers senden (zum Vergrößern klicken).

Back-Ends basieren auf einem Load-Balancer.

**Abbildung 2.** Mit einem Backend, das einen globalen externen Application Load Balancer verwendet, können Dienstnutzer mit Internetzugriff Traffic an Dienste im VPC-Netzwerk des Diensterstellers senden (zum Vergrößern klicken).

Private Service Connect-Dienstkonfiguration

Wenn Sie einen Private Service Connect-Dienst erstellen, konfigurieren Sie ein Subnetz, einen Dienstanhang und eine Verbindungseinstellung. Optional können Sie auch eine DNS-Domain für den Dienst konfigurieren. Diese Konfigurationen werden in den folgenden Abschnitten beschrieben.

NAT-Subnetze

Private Service Connect-Dienstanhänge werden mit einem oder mehreren NAT-Subnetzen (auch als Private Service Connect-Subnetze bezeichnet) konfiguriert. Pakete aus dem Nutzer-VPC-Netzwerk werden mithilfe von Quell-NAT (SNAT) übersetzt, sodass ihre ursprünglichen Quell-IP-Adressen in Quell-IP-Adressen aus dem NAT-Subnetz im VPC-Netzwerk des Erstellers konvertiert werden.

Dienstanhänge können mehrere NAT-Subnetze haben. Weitere NAT-Subnetze können dem Dienstanhang jederzeit hinzugefügt werden, ohne den Traffic zu unterbrechen.

Für einen Dienstanhang können mehrere NAT-Subnetze konfiguriert werden. Ein NAT-Subnetz kann jedoch nicht in mehr als einem Dienstanhang verwendet werden.

Private Service Connect NAT-Subnetze können nicht für Ressourcen wie VM-Instanzen oder Weiterleitungsregeln verwendet werden. Die Subnetze werden nur verwendet, um IP-Adressen für SNAT von eingehenden Nutzerverbindungen bereitzustellen.

Größe von NAT-Subnetzen festlegen

Wenn Sie einen Dienst veröffentlichen, erstellen Sie ein NAT-Subnetz und wählen einen IP-Adressbereich aus. Die Größe des Subnetzes bestimmt, wie viele gleichzeitige Private Service Connect-Endpunkte oder -Back-Ends eine Verbindung zum Dienstanhang herstellen können. IP-Adressen werden aus dem NAT-Subnetz entsprechend der Anzahl der Private Service Connect-Verbindungen genutzt. Wenn alle IP-Adressen im NAT-Subnetz genutzt werden, schlagen alle zusätzlichen Private Service Connect-Verbindungen fehl. Deshalb ist es wichtig, die Größe des NAT-Subnetzes entsprechend anzupassen.

Berücksichtigen Sie bei der Auswahl einer Subnetzgröße Folgendes:

Es gibt vier ubrauchbare IP-Adressen in einem NAT-Subnetz, sodass die Anzahl der verfügbaren IP-Adressen 2^{(32 - PREFIX_LENGTH)} - 4 beträgt. Wenn Sie beispielsweise ein NAT-Subnetz mit der Präfixlänge von /24 erstellen, kann Private Service Connect 252 der IP-Adressen für SNAT verwenden. Ein /29-Subnetz mit vier verfügbaren IP-Adressen ist die kleinste Subnetzgröße, die in VPC-Netzwerken unterstützt wird.
Für jeden Endpunkt oder jedes Backend, das mit dem Dienstanhang verbunden ist, wird eine IP-Adresse aus dem NAT-Subnetz genutzt.
Wenn Sie schätzen möchten, wie viele IP-Adressen Sie für Endpunkte und Back-Ends benötigen, berücksichtigen Sie alle Mehrmandantenfähige Dienste oder Verbraucher, die Multi-Point-Zugriff für Private Service Connect verwenden.
Die Anzahl der TCP- oder UDP-Verbindungen, Clients oder Nutzer-VPC-Netzwerke wirkt sich nicht auf die Nutzung von IP-Adressen aus dem NAT-Subnetz aus.

Wenn beispielsweise zwei Endpunkte mit einem einzelnen Dienstanhang verbunden sind, werden zwei IP-Adressen aus dem NAT-Subnetz genutzt. Wenn sich die Anzahl der Endpunkte nicht ändert, können Sie ein Subnetz /29 mit vier verwendbaren IP-Adressen für diesen Dienstanhang verwenden.

NAT-Subnetz-Monitoring

Damit Private Service Connect-Verbindungen nicht aufgrund von nicht verfügbaren IP-Adressen in einem NAT-Subnetz fehlschlagen, empfehlen wir Folgendes:

Überwachen Sie den Dienstanhang-Messwert private_service_connect/producer/used_nat_ip_addresses. Achten Sie darauf, dass die Anzahl der verwendeten NAT-IP-Adressen nicht die Kapazität der NAT-Subnetze eines Dienstanhangs überschreitet.
Prüfen Sie den Verbindungsstatus der Dienstanhang-Verbindungen. Wenn eine Verbindung den Status Maßnahme erforderlich hat, sind in den NAT-Subnetzen des Anhangs möglicherweise keine weiteren IP-Adressen verfügbar.
Bei mehrmandantenfähigen Diensten können Sie Verbindungslimits verwenden, um sicherzustellen, dass ein einzelner Nutzer die Kapazität der NAT-Subnetze eines Dienstanhangs nicht aufbraucht.

Bei Bedarf können Sie jederzeit NAT-Subnetze zum Dienstanhang hinzufügen, ohne den Traffic zu unterbrechen.

Maximale Anzahl an Verbindungen

Eine einzelne Produzenten-VM kann maximal 65.536 TCP-Verbindungen und 65.536 UDP-Verbindungen von einem einzelnen Private Service Connect-Endpunkt aus akzeptieren. Es gibt keine Beschränkung für die Gesamtzahl der TCP- und UDP-Verbindungen, die ein Private Service Connect-Endpunkt aggregiert über alle Ersteller-Back-Ends empfangen kann. Nutzer-VMs können alle 65.536 Ports verwenden, wenn TCP- oder UDP-Verbindungen zu einem Private Service Connect-Endpunkt initiiert werden. Die gesamte Netzwerkadressübersetzung wird lokal auf dem Produzentenhost durchgeführt, für den kein zentral zugewiesener NAT-Portpool erforderlich ist.

Weitere Hinweise

Weitere Hinweise zu NAT-Subnetzen:

Das Zeitlimit für Inaktivität bei der UDP-Zuordnung beträgt 30 Sekunden und kann nicht konfiguriert werden.
Das Zeitlimit für Inaktivität hergestellter TCP-Verbindungen beträgt 20 Minuten und kann nicht konfiguriert werden.
Das Zeitlimit für Inaktivität vorübergehender TCP-Verbindungen beträgt 30 Sekunden und kann nicht konfiguriert werden.
Es gibt eine Verzögerung von zwei Minuten, bevor ein 5-Tupel (Quell-IP-Adresse und Quellport des NAT-Subnetzes sowie Zielprotokoll, IP-Adresse und Zielport) wiederverwendet werden kann.
SNAT für Private Service Connect unterstützt keine IP-Fragmente.

Dienstanhänge

Dienstersteller stellen ihre Dienste über einen Dienstanhang bereit.

Für die Freigabe eines Dienstes erstellt ein Dienstersteller einen Dienstanhang, der auf die Weiterleitungsregel des Load-Balancers des Dienstes verweist.
Für den Zugriff auf einen Dienst erstellt ein Dienstnutzer einen Endpunkt, der auf den Dienstanhang verweist.

Der URI des Dienstanhangs hat folgendes Format: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME.

Auf jeden Load-Balancer kann nur von einem einzelnen Dienstanhang verwiesen werden. Es ist nicht möglich, mehrere Dienstanhänge zu konfigurieren, die denselben Load-Balancer verwenden.

Verbindungseinstellungen

Jeder Dienstanhang hat eine Verbindungseinstellung, die angibt, ob Verbindungsanfragen automatisch akzeptiert werden. Sie haben drei Möglichkeiten zur Auswahl:

Alle Verbindungen automatisch akzeptieren. Der Dienstanhang akzeptiert automatisch alle eingehenden Verbindungsanfragen von jedem Nutzer. Die automatische Annahme kann durch eine Organisationsrichtlinie überschrieben werden, die eingehende Verbindungen blockiert.
Verbindungen für ausgewählte Netzwerke akzeptieren. Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzer-VPC-Netzwerk auf der Nutzerannahmeliste des Dienstanhangs steht.
Verbindungen für ausgewählte Projekte akzeptieren Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzerprojekt auf der Nutzerannahmeliste des Dienstanhangs steht.

Wir empfehlen, Verbindungen für ausgewählte Projekte oder Netzwerke zu akzeptieren. Die automatische Annahme aller Verbindungen ist möglicherweise sinnvoll, wenn Sie den Nutzerzugriff auf andere Weise steuern und einen strikten Zugriff auf Ihren Dienst ermöglichen möchten.

Verbindungsstatus

Dienstanhänge haben Verbindungsstatus, die den Zustand ihrer Verbindungen beschreiben. Weitere Informationen finden Sie unter Verbindungsstatus.

Nutzerannahmelisten und Nutzerablehnungslisten

Nutzerannahmelisten und Nutzerablehnungslisten sind eine Sicherheitsfunktion von Dienstanhängen. Mit Annahmelisten und Ablehnungslisten können Dienstersteller angeben, welche Nutzer Private Service Connect-Verbindungen zu ihren Diensten herstellen können. Nutzerannahmelisten geben an, ob eine Verbindung akzeptiert wird, und Nutzerablehnungslisten geben an, ob eine Verbindung abgelehnt wird. Mit beiden Listen können Sie Nutzer nach dem VPC-Netzwerk oder Projekt der verbindenden Ressource angeben. Wenn Sie ein Projekt oder Netzwerk sowohl auf die Annahmeliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt oder Netzwerk abgelehnt. Die Angabe von Nutzern nach Ordner wird nicht unterstützt.

Mit Nutzerannahmelisten und Nutzerablehnungslisten können Sie Projekte oder VPC-Netzwerke angeben, jedoch nicht beides gleichzeitig. Sie können eine Liste von einem Typ zum anderen ändern, ohne die Verbindungen zu unterbrechen. Sie müssen die Änderung jedoch in einer einzelnen Aktualisierung vornehmen. Andernfalls könnten einige Verbindungen vorübergehend in den Status "Ausstehend" wechseln.

Informationen zur Interaktion von Nutzerlisten mit Organisationsrichtlinien finden Sie unter Interaktion zwischen Nutzerannahmelisten und Organisationsrichtlinien.

Verbindungsabgleich

Der Verbindungsabgleich bestimmt, ob sich Aktualisierungen der Zulassungs- oder Ablehnungslisten eines Dienstanhangs auf vorhandene Private Service Connect-Verbindungen auswirken können. Wenn der Verbindungsabgleich aktiviert ist, können vorhandene Verbindungen durch das Aktualisieren der Zulassungs- oder Ablehnungslisten beendet werden. Verbindungen, die zuvor abgelehnt wurden, können akzeptiert werden. Wenn der Verbindungsabgleich deaktiviert ist, wirkt sich die Aktualisierung der Zulassungs- oder Ablehnungslisten nur auf neue und ausstehende Verbindungen aus.

Betrachten Sie beispielsweise einen Dienstanhang, der mehrere akzeptierte Verbindungen von Project-A hat. Project-A ist in der Zulassungsliste des Dienstanhangs enthalten. Der Dienstanhang wird aktualisiert. Dazu wird Project-A aus der Zulassungsliste entfernt.

Wenn der Verbindungsabgleich aktiviert ist, werden alle vorhandenen Verbindungen von Project-A zu PENDING übertragen, wodurch die Netzwerkverbindung zwischen den beiden VPC-Netzwerken beendet und der Netzwerktraffic sofort beendet wird.

Wenn der Verbindungsabgleich deaktiviert ist, sind vorhandene Verbindungen von Project-A nicht betroffen. Der Netzwerktraffic kann weiterhin über die vorhandenen Private Service Connect-Verbindungen fließen. Neue Private Service Connect-Verbindungen sind jedoch nicht zulässig.

Informationen zum Konfigurieren des Verbindungsabgleichs für neue Dienstanhänge finden Sie unter Dienst mit expliziter Genehmigung veröffentlichen.

Informationen zum Konfigurieren des Verbindungsabgleichs für vorhandene Dienstanhänge finden Sie unter Verbindungsabgleich konfigurieren.

Verbindungseinschränkungen

Für Nutzerannahmelisten gelten Verbindungslimits. Mit diesen Limits wird die Gesamtzahl der Verbindungen festgelegt, die ein Dienstanhang vom angegebenen Nutzerprojekt oder VPC-Netzwerk akzeptieren kann. Ersteller können diese Limits verwenden, um zu verhindern, dass einzelne Nutzer IP-Adressen oder Ressourcenkontingente im Ersteller-VPC-Netzwerk erschöpfen. Jede akzeptierte Private Service Connect-Verbindung wird vom konfigurierten Limit für ein Nutzerprojekt oder ein VPC-Netzwerk abgezogen. Die Limits werden beim Erstellen oder Aktualisieren von Nutzerannahmelisten festgelegt. Sie können die Verbindungen eines Dienstanhangs aufrufen, wenn Sie einen Dienstanhang beschreiben.

Angenommen, ein Dienstanhang hat eine Nutzerannahmeliste, die project-1 und project-2 mit jeweils einem Limit von einer Verbindung enthält. Das Projekt project-1 fordert zwei Verbindungen an, project-2 fordert eine Verbindung an und project-3 fordert eine Verbindung an. Da project-1 auf eine Verbindung beschränkt ist, wird die erste Verbindung akzeptiert und die zweite bleibt ausstehend. Die Verbindung von project-2 wird akzeptiert und die Verbindung von project-3 bleibt ausstehend. Die zweite Verbindung von project-1 kann akzeptiert werden, indem Sie das Limit für project-1 erhöhen. Wenn project-3 der Annahmeliste hinzugefügt wird, wechselt diese Verbindung von "Ausstehend" zu "Akzeptiert".

DNS-Konfiguration

Informationen zur DNS-Konfiguration für veröffentlichte Dienste und Endpunkte, die eine Verbindung zu veröffentlichten Diensten herstellen, finden Sie unter DNS-Konfiguration für Dienste.

Konfiguration für mehrere Regionen

Sie können einen Dienst in mehreren Regionen verfügbar machen, indem Sie die folgenden Konfigurationen erstellen.

Erstellerkonfiguration:

Stellen Sie den Dienst in jeder Region bereit. Jede regionale Instanz des Dienstes muss auf einem Load-Balancer konfiguriert werden, der den Zugriff über ein Backend unterstützt.
Erstellen Sie einen Dienstanhang, um jede regionale Instanz des Dienstes zu veröffentlichen.

Nutzerkonfiguration:

Backend für den Zugriff auf veröffentlichte Dienste erstellen. Das Backend basiert auf einem globalen externen Application Load Balancer und enthält die folgenden Konfigurationen:
- Eine Private Service Connect-NEG in jeder Region, die auf den Dienstanhang dieser Region verweist.
- Ein Backend-Dienst, der die NEG-Backends enthält.

In dieser Konfiguration leitet der Endpunkt den Traffic mithilfe der standardmäßigen globalen Load-Balancing-Richtlinie weiter – zuerst nach Status und dann nach dem Standort, der dem Client am nächsten liegt.

**Abbildung 3.** Mit einem globalen externen Application Load Balancer können Dienstnutzer mit Internetzugriff Traffic an Dienste im VPC-Netzwerk des Diensterstellers senden. Da der Dienst in mehreren Regionen bereitgestellt wird, kann der Load-Balancer Traffic an eine NEG in der nächstgelegenen fehlerfreien Region weiterleiten (zum Vergrößern klicken).

Features und Kompatibilität

In den folgenden Tabellen weist ein Häkchen darauf hin, dass ein Feature unterstützt wird, und ein Nein-Symbol weist darauf hin, dass ein Feature nicht unterstützt wird.

Je nachdem, welcher Ersteller-Load-Balancer ausgewählt wird, kann der Erstellerdienst den Zugriff über Endpunkte, Back-Ends oder beides unterstützen.

Unterstützung für Endpunkte

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und -funktionen von Endpunkten, die auf veröffentlichte Dienste zugreifen, zusammengefasst.

Nutzerkonfiguration (Endpunkt)	Ersteller-LoadBalancer
Nutzerkonfiguration (Endpunkt)	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer	Interne Protokollweiterleitung (Zielinstanz)
Globaler Nutzerzugriff	Unabhängig von der globalen Zugriffseinstellung auf dem Load-Balancer	Nur wenn globaler Zugriff auf dem Load-Balancer aktiviert ist	Nur wenn globaler Zugriff auf dem Load-Balancer aktiviert ist	Unabhängig von der globalen Zugriffseinstellung auf dem Load Balancer
Interconnect-Traffic
Cloud VPN-Traffic
Automatische DNS-Konfiguration
IP-Stack	IPv4	IPv4	IPv4	IPv4

In dieser Tabelle sind die unterstützten Konfigurationsoptionen und Funktionen veröffentlichter Dienste zusammengefasst, auf die Endpunkte zugreifen.

Erstellerkonfiguration (veröffentlichter Dienst)	Ersteller-LoadBalancer
Erstellerkonfiguration (veröffentlichter Dienst)	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer	Interne Protokollweiterleitung (Zielinstanz)
Unterstützte Ersteller-Back-Ends	GCE_VM_IP-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen	Nicht zutreffend
Proxyprotokoll	Nur TCP-Traffic			Nur TCP-Traffic
Sitzungsaffinitätsmodi	NONE (5-Tupel) CLIENT_IP_PORT_PROTO	Nicht zutreffend	Nicht zutreffend	Nicht zutreffend

Verschiedene Load-Balancer unterstützen unterschiedliche Portkonfigurationen. Einige Load-Balancer unterstützen einen einzelnen Port, andere einen Portbereich und andere alle Ports. Weitere Informationen finden Sie unter Angabe von Ports.

Unterstützung für Back-Ends

Ein Private Service Connect-Back-End für veröffentlichte Dienste erfordert zwei Load Balancer: einen Nutzer-Load-Balancer und einen Ersteller-Load-Balancer. In dieser Tabelle wird die Kompatibilität zwischen verschiedenen Arten von Nutzer-Load-Balancern und Ersteller-Load-Balancern beschrieben, einschließlich der Back-End-Dienstprotokolle, die mit jedem Nutzer-Load-Balancer verwendet werden können. Jede Zeile stellt einen Typ von Nutzer-Load-Balancer und jede Spalte einen Typ von Ersteller-Load-Balancern dar.

Nutzer-Load-Balancer und unterstützte Nutzer-Back-End-Dienstprotokolle	Ersteller-LoadBalancer
	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer
Globaler externer Application Load Balancer (unterstützt mehrere Regionen) Protokolle: HTTPS, HTTP2 Hinweis: Der klassische Application Load Balancer wird nicht unterstützt.
Regionaler externer Application Load Balancer Protokolle: HTTP, HTTPS, HTTP2
Regionaler interner Application Load Balancer Protokolle: HTTP, HTTPS, HTTP2
Regionenübergreifender interner Application Load Balancer (Vorschau) Protokolle: HTTPS, HTTP2
Regionaler interner Proxy-Network Load Balancer Protokoll: TCP
Regionsübergreifender interner Proxy-Network Load Balancer Protokoll: TCP
Regionaler externer Proxy-Network-Load-Balancer Protokoll: TCP
Globaler externer Proxy-Network Load Balancer (Vorschau) Protokoll: TCP/SSL Hinweis: Der klassische Proxy-Network Load Balancer wird nicht unterstützt.

In dieser Tabelle wird die Konfiguration für die Ersteller-Load-Balancer beschrieben, die von Private Service Connect-Back-Ends unterstützt werden.

Konfiguration	Ersteller-LoadBalancer
Konfiguration	Interner Passthrough-Network Load Balancer	Regionaler interner Application Load Balancer	Regionaler interner Proxy-Network Load Balancer
Unterstützte Ersteller-Back-Ends	GCE_VM_IP-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen	GCE-VM_IP_PORT-NEGs Hybrid-NEGs Serverlose NEGs Private Service Connect-NEGs Instanzgruppen
Weiterleitungsregelprotokolle	TCP	HTTP HTTPS HTTP/2	TCP
Weiterleitungsregelports	Die Weiterleitungsregel muss auf einen einzelnen Port verweisen.	Die Weiterleitungsregel muss auf einen einzelnen Port verweisen.	Die Weiterleitungsregel muss auf einen einzelnen Port verweisen.
Proxyprotokoll

Freigegebene VPC

Dienstprojektadministratoren können in freigegebenen VPC-Dienstprojekten Dienstanhänge erstellen, die eine Verbindung zu Ressourcen in freigegebenen VPC-Netzwerken herstellen.

Die Konfiguration ist die gleiche wie für einen regulären Dienstanhang, mit Ausnahme von Folgendem:

Die Weiterleitungsregel des Ersteller-Load-Balancers ist einer IP-Adresse aus dem freigegebenen VPC-Netzwerk zugeordnet. Das Subnetz der Weiterleitungsregel muss für das Dienstprojekt freigegeben werden.
Der Dienstanhang verwendet ein Private Service Connect-Subnetz aus dem freigegebenen VPC-Netzwerk. Dieses Subnetz muss für das Dienstprojekt freigegeben werden.

Logging

Sie können VPC-Flusslogs in den Subnetzen aktivieren, die die Back-End-VMs enthalten. Die Logs zeigen den Datenfluss zwischen den Back-End-VMs und den IP-Adressen im Subnetz „Private Service Connect”.

VPC Service Controls

VPC Service Controls und Private Service Connect sind miteinander kompatibel. Wenn sich das VPC-Netzwerk, in dem der Private Service Connect-Endpunkt bereitgestellt wird, in einem VPC Service Controls-Perimeter befindet, ist der Endpunkt Teil desselben Perimeters. Alle von VPC Service Controls unterstützten Dienste, auf die über den Endpunkt zugegriffen wird, unterliegen den Richtlinien dieses VPC Service Controls-Perimeters.

Wenn Sie einen Endpunkt erstellen, werden zwischen den Nutzer- und Erstellerprojekten API-Aufrufe auf Steuerungsebene ausgeführt, um eine Private Service Connect-Verbindung herzustellen. Das Einrichten einer Private Service Connect-Verbindung zwischen Nutzer- und Herstellerprojekten, die sich nicht im selben VPC Service Controls-Perimeter befinden, erfordert keine explizite Autorisierung mit Richtlinien für ausgehenden Traffic. Die Kommunikation mit von VPC Service Controls unterstützten Diensten über den Endpunkt ist durch den VPC Service Controls-Perimeter geschützt.

Preise

Die Preise für Private Service Connect werden auf der Seite "VPC-Preise" beschrieben.

Kontingente

Die Anzahl der Endpunkte, die Sie für den Zugriff auf veröffentlichte Dienste erstellen können, wird durch das Kontingent PSC Internal LB Forwarding Rules gesteuert. Weitere Informationen finden Sie unter Kontingente.

Lokaler Zugriff

Private Service Connect-Dienste werden mithilfe von Endpunkten zur Verfügung gestellt. Auf diese Endpunkte kann über unterstützte verbundene lokale Hosts zugegriffen werden. Weitere Informationen finden Sie unter Über lokale Hosts auf den Endpunkt zugreifen.

Beschränkungen

Für veröffentlichte Dienste gelten folgende Einschränkungen:

Ersteller-Load-Balancer unterstützen die folgenden Features nicht:

Mehrere Weiterleitungsregeln, die eine gemeinsam genutzte IP-Adresse verwenden (SHARED_LOADBALANCER_VIP)
Backend-Teilmengeneinstellung

Bei der Paketspiegelung können keine Pakete für Traffic von veröffentlichten Private Service Connect-Diensten gespiegelt werden.
Sie müssen die Google Cloud CLI oder die API verwenden, um einen Dienstanhang zu erstellen, der auf eine Weiterleitungsregel verweist, die für die interne Protokollweiterleitung verwendet wird.
Die folgenden Load-Balancer-Typen bieten keine Werte für BETA Messwerte. Die Werte sind 0 oder fehlen:
- Regionaler interner Application Load Balancer
- Regionaler interner Proxy-Network Load Balancer
Informationen zu Problemen und Problemumgehungen finden Sie unter Bekannte Probleme.