Private Service Connect
本文档简要介绍 Private Service Connect。Private Service Connect 允许跨属于不同群组、团队、项目或组织的 VPC 网络以不公开方式使用服务。您可以使用由您定义且位于您的 VPC 网络内部的 IP 地址发布和使用服务。
您可以使用 Private Service Connect 访问 Google API 和服务,或另一个 VPC 网络中的代管式服务。
使用 Private Service Connect 访问 Google API
默认情况下,如果您有一个使用 Google 服务(例如 Cloud Storage)的应用,那么该应用将连接到该服务的默认 DNS 名称,例如 storage.googleapis.com。即使默认 DNS 名称的 IP 地址是可公开路由的,从 Google Cloud 资源发送的流量仍会保留在 Google 网络中。
通过 Private Service Connect,您可以使用 VPC 网络中的全局内部 IP 地址创建专用端点。您可以使用有意义的名称(例如 storage-vialink1.p.googleapis.com 和 bigtable-adsteam.p.googleapis.com)将这些 DNS 名称分配给这些内部 IP 地址。这些名称和 IP 地址均属于 VPC 网络以及通过 Cloud VPN 隧道或 VLAN 连接连接到该网络的任何本地网络的内部资源。您可以控制要将哪些流量引导至哪个端点,并且可以证明流量保留在 Google Cloud 中。
通过此选项,您可以访问 API 软件包中包含的所有 Google API 和服务。如果您只需要访问某些 API 和服务,则使用使用方 HTTP(S) 服务控制的 Private Service Connect 允许您选择哪些 API 和服务适用于受支持的区域服务端点。
图 1. 借助 Private Service Connect,您可以使用 VPC 网络专用的 Private Service Connect 端点将流量发送到 Google API(点击可放大)。
如需了解详情,请参阅通过端点访问 Google API 的简介。
使用 Private Service Connect 通过使用方 HTTP(S) 服务控制访问 Google API
您可以使用内部 HTTP(S) 负载均衡器创建带有使用方 HTTP(S) 服务控制的 Private Service Connect 端点。内部 HTTP(S) 负载均衡器提供以下功能:
您可以使用网址映射选择可用的服务:按路径过滤可进行更精细的检查。
您可以重命名服务(例如
spanner.example.com),并将其映射到您选择的网址。您可以配置负载均衡器,以将所有请求记录到 Cloud Logging。
您可以使用客户管理的 TLS 证书。
您可以通过从区域的工作负载连接到 Google API 的同一区域端点来启用数据驻留。
图 2. 借助 Private Service Connect,您可以使用 Private Service Connect 端点将流量发送到受支持的区域级 Google API。使用负载均衡器可以增加使用方 HTTP(S) 服务控制机制(点击可放大)。
如需了解详情,请参阅具有使用方 HTTP(S) 控制的端点简介。
使用 Private Service Connect 发布和使用代管式服务
通过 Private Service Connect,服务提供方可以向服务使用方提供服务。服务提供方 VPC 网络可支持多个服务使用方。
有两种类型的 Private Service Connect 端点可以连接到已发布的服务:
Private Service Connect 端点(基于转发规则)
使用此端点类型时,使用方会连接到其定义的内部 IP 地址。Private Service Connect 执行网络地址转换 (NAT),以将请求路由到服务提供方。
图 3. 基于转发规则的 Private Service Connect 端点允许服务使用方将流量从使用方的 VPC 网络发送到服务提供方的 VPC 网络中的服务(点击可放大)。
带有使用方 HTTP(S) 服务控制的 Private Service Connect 端点(基于全球外部 HTTP(S) 负载均衡器)
使用此端点类型时,使用方会连接到外部 IP 地址。Private Service Connect 使用网络端点组将请求路由到服务提供方。
使用全球外部 HTTP(S) 负载均衡器作为政策执行点具有以下优势:
您可以重命名服务,并将其映射到您选择的网址。
您可以配置负载均衡器,以将所有请求记录到 Cloud Logging。
您可以使用客户管理的 TLS 证书或 Google 管理的证书。
如果服务提供方已在多个区域中提供服务,则客户端流量可以在这些区域中进行负载均衡。
图 4。 使用全球外部 HTTP(S) 负载均衡器,具有互联网访问权限的服务使用方可以将流量发送到服务提供方的 VPC 网络中的服务(点击可放大)。
如需详细了解服务,请参阅已发布服务。
多个区域中的代管式服务
您可以创建以下配置,以在多个区域中提供服务。
提供方配置:
在每个区域中部署该服务。服务的每个区域实例都必须在负载均衡器上进行配置,该负载均衡器支持具有使用方 HTTP(S) 服务控制的 Private Service Connect 端点进行访问。
创建服务连接以发布服务的每个区域实例。
使用方配置:
创建具有使用方 HTTP(S) 服务控制的 Private Service Connect 端点。此端点基于全球外部 HTTP(S) 负载均衡器,并包含以下配置:
每个区域中指向该区域服务连接的 Private Service Connect NEG。
包含 NEG 后端的后端服务。
在此配置中,端点使用默认的全球负载均衡政策(首先按运行状况,然后按距离客户端最近的位置)来路由流量。
图 5. 使用全球外部 HTTP(S) 负载均衡器,具有互联网访问权限的服务使用方可以将流量发送到服务提供方的 VPC 网络中的服务。由于服务部署在多个区域中,因此负载均衡器可以将流量路由到距离最近且运行状况良好的区域中的 NEG(点击可放大)。
服务使用方的关键概念
您可以使用 Private Service Connect 端点以使用您的 VPC 网络之外的服务。服务使用方创建 Private Service Connect 端点,以连接到目标服务。
端点和目标
您可以使用 Private Service Connect 端点连接到目标服务。端点在您的 VPC 网络中有一个内部 IP 地址,并且基于转发规则资源。
您将流量发送到端点,该端点将其转发到您的 VPC 网络之外的目标。
| 端点类型 | 支持的目标 | 可访问者 |
|---|---|---|
用于访问 Google API 的 Private Service Connect 端点 全球内部 IP 地址 |
API 软件包:
|
|
|
用于通过使用方 HTTP(S) 服务控制访问 Google API 的 Private Service Connect 内部 HTTPS 负载均衡器的区域级内部 IP 地址 |
区域服务端点。 此端点是一个具有简单网址映射和单个后端服务的内部 HTTP(S) 负载均衡器。如需配置目标,请将负载均衡器的后端服务连接到引用区域服务端点的 Private Service Connect 网络端点组。 |
|
|
用于访问其他 VPC 网络中已发布服务的 Private Service Connect 端点 区域内部 IP 地址 |
另一个 VPC 网络中的已发布服务。此服务可以由您自己的组织或第三方管理。 此类端点的目标是服务连接。 |
|
|
用于通过使用方 HTTP(S) 服务控制访问已发布的服务的 Private Service Connect 端点 外部 HTTPS 负载均衡器的全球外部 IP 地址 |
另一个 VPC 网络中的已发布服务。此服务可以由您自己的组织或第三方管理。
此端点是一个全球外部 HTTP(S) 负载均衡器,具有简单的网址映射和单项后端服务。如需配置目标,请将负载均衡器的后端服务连接到引用服务连接的 Private Service Connect 网络端点组。 |
|
服务提供方的主要概念
如需详细了解服务(包括子网、服务连接和连接偏好设置),请参阅已发布服务简介。
本地访问
用于访问 Google API 的 Private Service Connect 端点可以从支持的已连接本地主机进行访问。如需了解详情,请参阅从本地主机访问端点。
具有 HTTP(S) 服务控制的 Private Service Connect 端点可以从支持的已连接本地主机进行访问。如需了解详情,请参阅从本地主机访问端点。
用于访问其他 VPC 网络中的代管式服务的 Private Service Connect 端点可以从支持的已连接本地主机进行访问。如需了解详情,请参阅从本地主机访问端点。
具有可用于访问代管式服务的 HTTP(S) 服务控制的 Private Service Connect 端点基于全球外部 HTTP(S) 负载均衡器,可以从任何能够访问互联网的系统进行访问。
支持的 Google 服务
下表列出了 Private Service Connect 支持的 Google Cloud 服务。您可以创建 Private Service Connect 端点,以便在您自己的 VPC 网络内以非公开方式连接到这些服务。
| 服务 | 说明 |
|---|---|
| Google API | 允许您访问大多数 Google API 和服务,例如 *.googleapis.com。如需了解详情,请参阅支持的 API。 |
| Apigee X | 允许您在互联网上公开 Apigee 管理的 API(预览版)。也允许您以非公开方式从 Apigee 连接到后端目标服务(预览版)。 |
| Cloud Composer 2 | 允许您访问 Cloud Composer 租户项目。 |
| Dataproc Metastore | 允许您访问 Dataproc Metastore 服务。 |
| Google Kubernetes Engine (GKE) 公共集群 | 允许您访问 GKE 1.23 及更高版本的 GKE 公共集群主服务器节点。 |
价格
如需了解 Private Service Connect 的价格,请参阅 VPC 价格页面。
组织政策限制条件
组织政策管理员可以使用 constraints/compute.disablePrivateServiceConnectCreationForConsumers 限制条件来定义一组 Private Service Connect 端点类型,以禁止用户为这些类型的端点创建转发规则。您可以使用该限制条件来阻止用户创建用于访问 Google API 的 Private Service Connect 端点或用于访问托管式服务的 Private Service Connect 端点。该限制条件适用于新配置,但不会影响现有连接。
配额
Private Service Connect 端点和服务连接设有配额。如需了解详情,请参阅配额。
后续步骤
配置 Private Service Connect 以访问 Google API 和服务
配置 Private Service Connect,以通过使用方 HTTP(S) 服务控制来访问 Google API 和服务
配置 Private Service Connect 以访问另一个 VPC 网络中的服务
配置 Private Service Connect 以提供对于您的服务的访问