通过端点访问区域性 Google API

本文档介绍如何使用 Private Service Connect 端点来连接到受支持的 Google API 的区域端点。

如需了解其他 Private Service Connect 配置，请参阅 Private Service Connect。

角色

如需获得创建区域性 Private Service Connect 端点所需的权限，请让管理员在 VPC 网络上授予您以下 IAM 角色：

• Compute Network Admin 角色 (roles/compute.networkAdmin)
• DNS Administrator 角色 (roles/dns.admin)

如需详细了解如何授予角色，请参阅管理访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

准备工作

1. 安装 Google Cloud CLI，然后通过运行以下命令初始化 Google Cloud CLI：

   $ gcloud init

2. 启用 Compute Engine, Network Connectivity Center, Cloud DNS, and Service Directory API。

   启用 API

3. 使用 Google Cloud 控制台中的 API 和服务页面，启用您想通过 Private Service Connect 端点访问的 Google API。Private Service Connect 不会自动启用任何 API。

4. 确保出站流量防火墙规则允许流量流向该端点。VPC 网络的默认防火墙配置允许此流量，因为它包含隐含的允许出站流量规则。确认您未创建优先级更高的出站流量规则来阻止流量。

5. 阅读已知问题。

创建区域性 Private Service Connect 端点

您可以创建区域性 Private Service Connect 端点，以便向目标 Google API 的区域端点发送请求。

如需查看支持的区域端点列表，请参阅支持的区域和服务。

区域端点主机名有两种形式：

• 公共主机名：SERVICE.REGION.rep.DOMAIN

• 专用主机名：SERVICE.REGION.p.rep.DOMAIN

  专用主机名在 REGION 和 rep 之间添加一个 p 子网域。

在配置目标 Google API 时，您需要指定专用形式的主机名，例如 spanner.me-central2.p.rep.googleapis.com。创建端点后，使用相同的专用区域端点主机名为端点创建专用 DNS 记录。

虽然您可以使用任何名称配置 Private Service Connect 端点，但为了便于维护，我们建议使用目标 Google API 的服务名称，以使 DNS 名称与端点名称匹配。例如，如果端点的目标是 spanner.me-central2.p.rep.googleapis.com，请使用 spanner 作为端点名称。

gcloud beta network-connectivity regional-endpoints create ENDPOINT_NAME \
    --region=REGION \
    --network=NETWORK_URI \
    --subnetwork=SUBNET_URI \
    --target-google-api=REP_NAME

列出端点

您可以列出所有已配置的端点。

gcloud beta network-connectivity regional-endpoints list \
    --region=REGION

验证端点是否正常运行

在配置了端点的 VPC 网络和区域中创建虚拟机 (VM) 实例。在虚拟机上运行以下命令，验证 Private Service Connect 端点是否正常工作。端点不会响应 ping (ICMP) 请求。

curl --connect-to SERVICE.REGION.p.rep.DOMAIN:443:ENDPOINT_IP:443 \
'SERVICE.REGION.p.rep.DOMAIN/PATH'

替换以下内容：

• SERVICE：您的端点指向的服务。例如 spanner 或 logging。
• REGION：端点的区域。
• DOMAIN：服务的网域。例如 googleapis.com。
• ENDPOINT_IP：端点的 IP 地址。
• PATH：此服务所提供的资源的路径。例如，许多服务提供路径为 $discovery/rest?version=v1 的发现文档。

以下示例请求测试 IP 地址为 192.168.1.100 的端点是否可以从 me-central2 中的区域端点请求 Cloud Spanner API 发现文档。

curl --connect-to spanner.me-central2.p.rep.googleapis.com:443:192.168.1.100:443 \
'https://spanner.me-central2.p.rep.googleapis.com/$discovery/rest?version=v1'

为端点创建专用 DNS 条目

您必须按照 SERVICE.REGION.p.rep.DOMAIN 格式为端点创建 DNS 条目。您可以使用 Cloud DNS 创建 DNS 条目。

1. 创建专用 DNS 区域，其格式为：REGION.p.rep.DOMAIN。

   例如，如果要使用区域 me-central2 中 googleapis.com 网域内的区域端点，请创建名为 me-central2.p.rep.googelapis.com 的专用 DNS 区域。

2. 创建 DNS 记录，它指向分配给该端点的 IP 地址。主机名必须与服务名称 SERVICE 匹配。例如，spanner 或 logging 是服务名称。

例如，如果端点配置了目标 spanner.me-central2.p.rep.googleapis.com，您需要创建名为 me-central2.p.rep.googelapis.com 的专用 DNS 区域以及指向端点 IP 地址的名为 spanner 的记录。该端点的完全限定域名为 spanner.me-central2.p.rep.googelapis.com。

将客户端配置为使用专用端点名称

您必须将客户端配置为使用专用 DNS 名称（而不是公共 DNS 名称）。如需了解如何将客户端配置为使用自定义端点，请参阅客户端或客户端库的文档。例如：

• Python：您可以在客户端选项中配置 api_endpoint。

• Go：您可以在 ClientOptions 中配置 WithEndpoint。

• .NET：您可以在客户端的构建器类中配置 Endpoint。

• gcloud：您可以在 gcloud CLI 中配置 api_endpoint_overrides。

获取有关端点的详细信息

您可以查看端点的配置详细信息。

gcloud beta network-connectivity regional-endpoints describe \
    ENDPOINT_NAME --region=REGION

删除端点

您可以删除端点。

gcloud beta network-connectivity regional-endpoints delete \
    ENDPOINT_NAME --region=REGION

从混合网络访问端点

• VLAN 连接或 Cloud VPN 隧道必须在与端点相同的 VPC 网络中终止。对等互连的 VPC 网络中的客户端无法访问端点。

• 如果配置了全球访问权限，来自 VLAN 连接或 Cloud VPN 隧道的客户端流量可以到达另一个区域的端点。

• 对于 VLAN 连接，Dataplane v1 和 Dataplane v2 均受支持。如需详细了解 Dataplane 版本，请参阅 Dataplane v2。

您必须在其他网络中配置系统，以便它们可以对您的专用 DNS 区域进行查询。

如果使用 Cloud DNS 实现了专用 DNS 区域，请完成以下步骤：

• 在您的其他网络连接到的 VPC 网络中创建入站服务器政策。

• 在您的 VLAN 连接或 Cloud VPN 隧道所在的区域以及您的其他网络连接到的 VPC 网络中，确定入站转发器入口点。

• 在其他网络中配置系统和 DNS 域名服务器，将端点的 DNS 名称转发到与连接到 VPC 网络的 VLAN 连接或 Cloud VPN 隧道位于同一区域的入站转发器入口点。

已知问题

• 创建区域性 Private Service Connect 端点后，您可以在 Google Cloud 控制台中查看该端点，其自动生成的名称格式为：rep-autogen-fr-ENDPOINT_NAME。但是，请勿通过 Google Cloud 控制台或通过修改转发规则来编辑端点。

  如果您需要更改名称或启用全球访问权限，请删除端点并创建新的端点。