Private Service Connect 部署模式

本页面概述了部署和访问 Private Service Connect 的一些常见方法。

单租户服务

单租户服务是专用于单个使用方或租户的服务。服务实例通常托管在专用于该租户的单独 VPC 网络中,以与提供方组织中的其他租户 VPC 网络隔离开来。每项服务都使用使用方接受列表来控制哪些项目可以连接到该服务。通过使用接受列表,您可以限制对单个租户的访问权限。虽然只有一个租户可以连接到该服务,但如果该租户从多个 VPC 网络进行连接,则可能会创建多个端点或后端

图 1. 在单租户托管式服务中,提供方会在专用于该使用方的单独 VPC 网络中部署服务(点击可放大)。

多租户服务

多租户服务是可供多个使用方或租户访问的服务。提供方会配置该服务的使用方接受列表,以便多个项目或任意项目中的使用方可以连接到该服务。借助使用方接受列表,提供方还可以控制每个项目可以创建的 Private Service Connect 连接的数量。提供方可以通过这些限制措施防止资源或配额耗尽。如果提供方需要确定哪个租户是流量来源,则可以在服务上启用 PROXY 协议

图 2. 在多租户托管式服务中,一个 VPC 网络中的一项服务可供多个使用方访问(点击可放大)。

多点访问

多点访问是指多个 Private Service Connect 端点或后端连接到同一服务连接的情况。多点 Private Service Connect 对于多租户服务而言非常有用,因为它允许多个独立的使用方连接到同一服务。对于跨单个使用方的多个 VPC 网络创建服务连接等情况,它对单租户服务也很有用。

并非所有服务提供方都会选择在其托管式服务中提供多点访问支持。请与您的服务提供方联系,确定其服务连接是否支持多点访问。

多区域访问

多区域托管式服务是指跨多个区域部署或访问的服务。由于所需服务不在本地区域中或出于高可用性和多区域故障切换目的,客户端可能会访问位于其他区域中的服务。由于 Google Cloud 支持全球 VPC 网络,因此 Private Service Connect 全球访问权限允许客户端从任何区域访问 Private Service Connect 端点。客户端流量可以来自 Compute Engine 虚拟机实例、Cloud VPN 隧道和 Cloud Interconnect 的 VLAN 连接。

图 3.提供全球访问权限的 Private Service Connect 端点可以从任何区域进行访问(点击可放大)。

本地和混合访问

您可以使用 Cloud Interconnect 的 VLAN 连接和 Cloud VPN 隧道,将本地网络或其他云服务提供商连接到您的 VPC 网络。由于 Google API 的端点已发布服务的端点均可在全球范围内访问,因此所连接网络中的客户端可以向任何区域中的端点发送请求。不过,您也可以将端点部署到多个区域中,以便更精细地控制混合网络中的路由。您可以将来自特定区域的混合流量路由到本地端点,以优化流量路径的最短路由。

图 4. 可以从所连接的网络访问 Private Service Connect 端点和后端(点击可放大)。

双向连接

虽然使用方客户端通常会发起与托管式服务的连接,但托管式服务有时也需要发起与使用方所拥有服务的连接。

反向专用连接

反向专用连接是指,使用方通过反向部署 Private Service Connect,让提供方 VPC 网络中的虚拟机和 GKE 集群向使用方 VPC 网络发起流量。在这种情况下,使用方会部署内部负载均衡器和服务连接,以便向提供方发布其服务。提供方和使用方均可正向和反向使用 Private Service Connect,共同创建彼此之间的双向连接。

图 5. 借助反向专用连接,使用方和提供方可以创建彼此之间的双向连接(点击可放大)。

Private Service Connect 接口

Private Service Connect 接口会在使用方和提供方 VPC 网络之间创建双向传递性连接。使用方和提供方 VPC 网络中的资源都可以通过 Private Service Connect 接口发起连接。此外,由于连接具有传递性,因此提供方 VPC 网络中的资源可以与连接到使用方 VPC 网络的其他工作负载通信。例如,提供方 VPC 网络中的虚拟机可以访问通过 Cloud Interconnect 或 VPC 网络对等互连连接到使用方 VPC 网络的网络中的工作负载。

混合服务

不在 Google Cloud 中的混合服务可以位于其他云、本地环境或这些位置的任意组合环境中。借助 Private Service Connect,您可以让混合服务可供其他 VPC 网络访问。

可通过与受支持的负载均衡器兼容的混合 NEG 访问混合服务。

此配置通常作为一种形式的反向专用连接使用,服务提供方会与本地网络中托管的使用方服务建立连接。通过 Private Service Connect,提供方可以访问使用方混合网络,而无需直接与这些网络建立连接。

Figure 6. 借助反向专用连接,使用方和提供方可以创建彼此之间的双向连接(点击可放大)。

如需查看示例配置,请参阅使用 Private Service Connect 发布混合服务

共享 VPC

Private Service Connect 资源可以部署在独立的 VPC 网络中,也可以部署在共享 VPC 网络中。Private Service Connect 端点、后端和服务连接可以部署在宿主项目或服务项目中。

例如,使用方服务管理员可以使用宿主项目中子网的 IP 地址在服务项目中部署 Private Service Connect 端点和后端。使用此配置时,您可以从同一共享 VPC 网络中的其他服务项目访问端点和后端。

共享 VPC 网络中的所有客户端都可以连接到 Private Service Connect 端点,无论其部署在哪个项目中。不过,项目的选择会影响可见状态、IAM 访问权限以及资源小时结算费用所计入的项目。

图 7.您可以将 Private Service Connect 资源提供给与共享 VPC 网络关联的所有服务项目使用(点击可放大)。

后续步骤