Private Service Connect 后端简介

您可以通过创建 Private Service Connect 端点(基于转发规则)Private Service Connect 后端(基于负载均衡器)访问 Google API 和已发布的服务。 本指南重点介绍 Private Service Connect 后端。

Private Service Connect 后端使用配置了 Private Service Connect 网络端点组 (NEG) 后端的负载均衡器。此配置以前称为具有使用方 HTTP(S) 服务控制的 Private Service Connect 端点。

通过使用方管理的负载均衡器访问 API 和服务具有多项优势。负载均衡器可以充当强制执行安全或路由政策的集中式政策强制执行点。它们提供已发布服务可能未提供的集中式指标和日志记录,并允许使用方控制自己的路由和故障切换。

图 1 展示了具有连接到已发布服务的 Private Service Connect NEG 的负载均衡器。客户端流量流向处理流量的负载均衡器,然后负载均衡器将流量路由到映射到另一个 VPC 网络中运行的已发布服务的 Private Service Connect 后端。

图 1. 使用全球外部应用负载均衡器,具有互联网访问权限的服务使用方可以将流量发送到服务提供方的 VPC 网络中的服务(点击可放大)。

部署概览

如需通过 Private Service Connect 后端访问 API 和服务,请执行以下操作:

  1. 确定要连接的 API 或服务。

    对于 Google API:选择区域性服务端点

    对于已发布服务:请要求服务提供方提供服务连接 URI。

  2. 部署负载均衡器以将流量发送到已发布服务。选择符合您要求(包括是否具有互联网客户端、内部客户端或需要区域性隔离)的负载均衡器。您还可以重复使用现有负载均衡器。

  3. 部署 Private Service Connect NEG 并将其添加到负载均衡器后端服务。 创建引用您的已发布服务的 Private Service Connect NEG。然后将 NEG 添加到负载均衡器的后端服务,以便负载均衡器向其发送流量。

支持的负载均衡器和目标

您可以使用后端访问已发布服务或支持的 Google API。

如需详细了解要向其中添加 Private Service Connect 后端的负载均衡器,请参阅负载均衡文档。

已发布服务目标

已发布服务的 Private Service Connect 后端需要两个负载均衡器:使用方负载均衡器和提供方负载均衡器。

使用方配置

下表介绍了已发布服务的 Private Service Connect 后端支持的使用方负载均衡器,包括可与每个使用方负载均衡器搭配使用的后端服务协议。使用方负载均衡器可以访问在受支持的提供方负载均衡器上托管的已发布服务。

使用方负载均衡器 协议 IP 版本

全球外部应用负载均衡器(支持多个区域

注意:不支持传统版应用负载均衡器。

  • HTTP
  • HTTPS
  • HTTP2
IPv4

区域级外部应用负载均衡器

  • HTTP
  • HTTPS
  • HTTP2
IPv4

区域级内部应用负载均衡器

  • HTTP
  • HTTPS
  • HTTP2
IPv4

跨区域内部应用负载均衡器

  • HTTP
  • HTTPS
  • HTTP2
IPv4

区域级内部代理网络负载均衡器

  • TCP
IPv4

跨区域内部代理网络负载均衡器

  • TCP
IPv4

区域级外部代理网络负载均衡器

  • TCP
IPv4

全球外部代理网络负载均衡器

如需将此负载均衡器与 Private Service Connect NEG 关联,请使用 Google Cloud CLI 或发送 API 请求。

注意:不支持传统代理网络负载均衡器。

  • TCP/SSL
IPv4

提供方配置

下表介绍了已发布服务的 Private Service Connect 后端支持的提供方负载均衡器配置。

配置 提供方负载均衡器
内部直通式网络负载均衡器 区域级内部应用负载均衡器 区域级内部代理网络负载均衡器
支持的提供方后端
  • GCE_VM_IP NEG
  • 实例组
  • GCE_VM_IP_PORT NEG
  • 混合 NEG
  • 无服务器 NEG
  • Private Service Connect NEG
  • 实例组
  • GCE_VM_IP_PORT NEG
  • 混合 NEG
  • 无服务器 NEG
  • Private Service Connect NEG
  • 实例组
转发规则协议
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
转发规则端口 建议使用单个端口,请参阅提供方端口配置 支持单个端口 支持单个端口
PROXY 协议
IP 版本 IPv4 IPv4 IPv4

如需查看使用全球外部应用负载均衡器的后端配置示例,请参阅通过后端访问已发布服务

区域级 Google API 目标

下表介绍了哪些负载均衡器可以使用 Private Service Connect 后端来访问区域级 Google API。

如需查看使用内部应用负载均衡器的配置示例,请参阅通过后端访问 Google API

配置 详细信息
使用方配置(Private Service Connect 后端)
支持的使用方负载均衡器
  • 内部应用负载均衡器

    协议:HTTPS

  • 区域级外部应用负载均衡器

    协议:HTTPS

IP 版本 IPv4
提供方
支持的服务 支持的区域级 Google API

全球 Google API 目标

下表介绍了哪些负载均衡器可以使用 Private Service Connect 后端来访问全球 Google API。

配置 详细信息
使用方配置(Private Service Connect 后端)
支持的使用方负载均衡器
  • 全球外部应用负载均衡器

    注意:不支持传统版应用负载均衡器。

  • 跨区域内部应用负载均衡器

IP 版本 IPv4
提供方
支持的服务

连接状态

Private Service Connect 端点、后端和服务连接具有连接状态,用于描述其连接的状态。 构成连接两端的使用方和提供方资源始终具有相同的状态。 当您查看端点详细信息描述后端查看已发布服务的详细信息时,您可以查看连接状态。

下表介绍了可能的状态。

连接状态 说明
已接受 已建立 Private Service Connect 连接。两个 VPC 网络具有连接,并且连接正常运行。
待处理

未建立 Private Service Connect 连接,并且网络流量无法在两个网络之间传输。连接可能处于以下状态,原因如下:

由于这些原因而被阻止的连接将无限期地保持在挂起状态,直到根本问题得到解决。

已拒绝

未建立 Private Service Connect 连接。网络流量无法在两个网络之间传输。连接可能处于以下状态,原因如下:

需要注意 连接的提供方端出现问题。某些流量可能能够在两个网络之间流动,但某些连接可能无法正常运行。例如,提供方的 NAT 子网可能已用尽,无法为新连接分配 IP 地址。
不开放

服务连接已删除,Private Service Connect 连接已关闭。网络流量无法在两个网络之间传输。

连接关闭是一种终止状态。如需恢复连接,您必须重新创建服务连接和端点或后端。

规格

所有 Private Service Connect 后端都具有以下规范:

  • 只有受支持的负载均衡器才能使用 Private Service Connect NEG 作为后端。
  • Private Service Connect NEG 不能与同一后端服务中的其他 NEG 类型混合使用。但是,自托管应用和代管式服务都可以是同一负载均衡器的后端,只要它们是单独的后端服务的一部分即可。
  • 使用 Private Service Connect NEG 的后端服务不支持健康检查。健康检查资源没有配置用于 Private Service Connect 的后端服务。
  • 使用 Private Service Connect NEG 的后端服务不支持会话亲和性
  • 如果 Private Service Connect NEG 引用服务连接,则该服务连接必须位于与 NEG 和负载均衡器不同的 VPC 网络中。
  • Private Service Connect NEG 无法引用为端口映射服务配置的服务连接。

全球后端服务中使用的 Private Service Connect 后端具有其他规范:

  • 多个 Private Service Connect NEG 可以位于同一后端服务,只要它们来自不同的区域即可。您不能将同一区域的多个 Private Service Connect NEG 添加到同一后端服务。
  • Private Service Connect NEG 会自动配置离群值检测。离群值检测使负载均衡器可以检测到已发布服务响应中的故障,并故障切换到其余健康状况良好的区域。您可以将您自己的离群值检测配置应用于后端服务,从而替换默认的离群值检测政策。

价格

如需了解价格信息,请参阅 VPC 价格页面的以下部分:

后续步骤