Private Service Connect 后端简介
您可以通过创建 Private Service Connect 端点(基于转发规则)或 Private Service Connect 后端(基于负载均衡器)访问 Google API 和已发布的服务。 本指南重点介绍 Private Service Connect 后端。
Private Service Connect 后端使用配置了 Private Service Connect 网络端点组 (NEG) 后端的负载均衡器。此配置以前称为具有使用方 HTTP(S) 服务控制的 Private Service Connect 端点。
通过使用方管理的负载均衡器访问 API 和服务具有多项优势。负载均衡器可以充当强制执行安全或路由政策的集中式政策强制执行点。它们提供已发布服务可能未提供的集中式指标和日志记录,并允许使用方控制自己的路由和故障切换。
图 1 展示了具有连接到已发布服务的 Private Service Connect NEG 的负载均衡器。客户端流量流向处理流量的负载均衡器,然后负载均衡器将流量路由到映射到另一个 VPC 网络中运行的已发布服务的 Private Service Connect 后端。
图 1. 使用全球外部应用负载均衡器,具有互联网访问权限的服务使用方可以将流量发送到服务提供方的 VPC 网络中的服务(点击可放大)。
部署概览
如需通过 Private Service Connect 后端访问 API 和服务,请执行以下操作:
确定要连接的 API 或服务。
对于 Google API:选择位置服务端点。
对于已发布服务:请要求服务提供方提供服务连接 URI。
部署负载均衡器以将流量发送到已发布服务。选择符合您要求(包括是否具有互联网客户端、内部客户端或需要区域性隔离)的负载均衡器。您还可以重复使用现有负载均衡器。
部署 Private Service Connect NEG 并将其添加到负载均衡器后端服务。 创建引用您的已发布服务的 Private Service Connect NEG。然后将 NEG 添加到负载均衡器的后端服务,以便负载均衡器向其发送流量。
支持的负载均衡器和目标
您可以使用后端访问已发布服务或支持的 Google API。
如需详细了解要向其中添加 Private Service Connect 后端的负载均衡器,请参阅负载均衡文档。
- 如需了解全球外部应用负载均衡器和区域级外部应用负载均衡器,请参阅外部应用负载均衡器概览。
- 如需了解内部应用负载均衡器和跨区域内部应用负载均衡器,请参阅内部应用负载均衡器概览。
- 如需了解区域级内部代理网络负载均衡器,请参阅区域级内部代理网络负载均衡器概览。
- 如需了解区域级外部代理网络负载均衡器,请参阅区域级外部代理网络负载均衡器概览。
- 如需了解全球外部代理网络负载均衡器,请参阅外部代理网络负载均衡器概览。
已发布服务目标
已发布服务的 Private Service Connect 后端需要两个负载均衡器:使用方负载均衡器和提供方负载均衡器。下表介绍了不同类型的使用方和提供方负载均衡器之间的兼容性,包括哪些后端服务协议与使用方负载均衡器兼容。每行代表一种使用方负载均衡器,每列表示一种提供方负载均衡器。
在下表中, 对勾标记表示支持该功能, 否定符号表示不支持该功能。
| 使用方负载均衡器和支持的使用方后端服务协议 | 提供方负载均衡器 | ||
|---|---|---|---|
| 内部直通式网络负载均衡器 | 区域级内部应用负载均衡器 | 区域级内部代理网络负载均衡器 | |
|
全球外部应用负载均衡器(支持多个区域) 协议:HTTPS、HTTP2 注意:不支持传统版应用负载均衡器。 |
|||
|
协议:HTTP、HTTPS、HTTP2 |
|||
|
协议:HTTP、HTTPS、HTTP2 |
|||
|
跨区域内部应用负载均衡器(预览版) 协议:HTTPS、HTTP2 |
|||
|
协议:TCP |
|||
|
协议:TCP |
|||
|
协议:TCP |
|||
|
全球外部代理网络负载均衡器(预览版) 协议:TCP/SSL 注意:不支持传统代理网络负载均衡器。 |
|||
下表介绍了 Private Service Connect 后端支持的提供方负载均衡器的配置。
| 配置 | 提供方负载均衡器 | ||
|---|---|---|---|
| 内部直通式网络负载均衡器 | 区域级内部应用负载均衡器 | 区域级内部代理网络负载均衡器 | |
| 支持的提供方后端 |
|
|
|
| 转发规则协议 |
|
|
|
| 转发规则端口 | 转发规则必须引用单个端口。 | 转发规则必须引用单个端口。 | 转发规则必须引用单个端口。 |
| PROXY 协议 | |||
如需查看使用全球外部应用负载均衡器的后端配置示例,请参阅通过后端访问已发布服务。
位置 Google API 目标
下表介绍了哪些负载均衡器可以使用 Private Service Connect 后端来访问区域级 Google API。
如需查看使用内部应用负载均衡器的配置示例,请参阅通过后端访问 Google API。
| 配置 | 详情 |
|---|---|
| 使用方配置(Private Service Connect 后端) | |
| 支持的使用方负载均衡器 |
|
| 提供方 | |
| 支持的服务 | 支持的位置 Google API |
全球 Google API 目标
下表介绍了哪些负载均衡器可以使用 Private Service Connect 后端来访问全球 Google API。
| 配置 | 详情 |
|---|---|
| 使用方配置(Private Service Connect 后端) | |
| 支持的使用方负载均衡器 |
全球外部应用负载均衡器 注意:不支持传统版应用负载均衡器。 |
| 提供方 | |
| 支持的服务 |
|
连接状态
Private Service Connect 端点、后端和服务连接具有连接状态,用于描述其连接的状态。 构成连接两端的使用方和提供方资源始终具有相同的状态。 当您查看端点详细信息、描述后端或查看已发布服务的详细信息时,您可以查看连接状态。
下表介绍了可能的状态。
| 连接状态 | 说明 |
|---|---|
| 已接受 | 已建立 Private Service Connect 连接。两个 VPC 网络具有连接,并且连接正常运行。 |
| 待处理 | 未建立 Private Service Connect 连接,并且网络流量无法在两个网络之间传输。连接可能处于以下状态,原因如下: 由于这些原因而被阻止的连接将无限期地保持在挂起状态,直到根本问题得到解决。 |
| 已拒绝 | 未建立 Private Service Connect 连接。网络流量无法在两个网络之间传输。连接可能处于以下状态,原因如下: |
| 需要注意 | 连接的提供方端出现问题。某些流量可能能够在两个网络之间流动,但某些连接可能无法正常运行。例如,提供方的 NAT 子网可能已用尽,无法为新连接分配 IP 地址。 |
| 不开放 | 服务连接已删除,Private Service Connect 连接已关闭。网络流量无法在两个网络之间传输。 连接关闭是一种终止状态。如需恢复连接,您必须重新创建服务连接和端点或后端。 |
规范
所有 Private Service Connect 后端都具有以下规范:
- 只有受支持的负载均衡器才能使用 Private Service Connect NEG 作为后端。
- Private Service Connect NEG 不能与同一后端服务中的其他 NEG 类型混合使用。但是,自托管应用和代管式服务都可以是同一负载均衡器的后端,只要它们是单独的后端服务的一部分即可。
- 使用 Private Service Connect NEG 的后端服务不支持健康检查。健康检查资源没有配置用于 Private Service Connect 的后端服务。
- 如果 Private Service Connect NEG 引用服务连接,则该服务连接必须位于与 NEG 和负载均衡器不同的 VPC 网络中。
全球后端服务中使用的 Private Service Connect 后端具有其他规范:
- 多个 Private Service Connect NEG 可以位于同一后端服务,只要它们来自不同的区域即可。您不能将同一区域的多个 Private Service Connect NEG 添加到同一后端服务。
- Private Service Connect NEG 会自动配置离群值检测。离群值检测使负载均衡器可以检测到已发布服务响应中的故障,并故障切换到其余健康状况良好的区域。您可以将您自己的离群值检测配置应用于后端服务,从而替换默认的离群值检测政策。
价格
如需了解价格信息,请参阅 VPC 价格页面的以下部分: