专用服务访问

Google 和第三方(统称为服务提供方)可以提供托管在 VPC 网络中且具有内部 IP 地址的服务。通过专用服务访问通道,您可以访问这些内部 IP 地址。如果您希望 VPC 网络中的虚拟机实例使用内部 IP 地址而不是外部 IP 地址,这将非常有用。如需详细了解如何使用专用服务访问通道,请参阅配置专用服务访问通道

要使用专用服务访问,您必须先分配内部 IP 地址范围,然后创建专用连接。分配的范围是预留的 CIDR 块,不能在您的本地 VPC 网络中使用。它仅为服务提供方预留,可防止您的 VPC 网络与服务提供方的 VPC 网络重叠。

专用连接将您的 VPC 网络与服务提供方的 VPC 网络相链接。此连接允许 VPC 网络中的虚拟机实例使用内部 IP 地址访问服务资源。您的实例可以具有外部 IP 地址,但专用服务访问通道不需要且不使用外部 IP 地址。

如果服务提供方提供多种服务,您只需要一个专用连接。创建专用连接时,您会使用 Service Networking API 进行创建。但是,Google Cloud 将此连接实现为 VPC 网络与服务提供方 VPC 网络之间的 VPC 网络对等互连连接。您的 VPC 网络将其显示为对等互连连接;要删除该专用连接,您必须删除对等互连连接。

您只能对支持专用服务访问通道的服务使用该通道。创建专用连接之前,请向服务提供方咨询。

服务提供方网络

在专用连接的服务提供方一端是一个 VPC 网络,您可以在其中预配服务资源。服务提供方的网络专门为您创建,并且仅包含您的资源。

服务提供方网络中的资源类似于您的 VPC 网络中的其他资源。例如,VPC 网络中的其他资源可以通过内部 IP 地址来对其进行访问。您还可以在 VPC 网络中创建防火墙规则,控制对服务提供方网络的访问。

如需详细了解服务提供方,请参阅 Service Infrastructure 文档中的启用专用服务访问通道。本文档仅供参考,并非启用或使用专用服务访问通道所需要。

专用服务访问通道和本地连接

在混合网络场景中,本地网络通过 Cloud VPNCloud Interconnect 连接连接到 VPC 网络。默认情况下,本地主机无法使用专用服务访问通道访问服务提供方的网络。

在 VPC 网络中,您可以使用自定义静态或动态路由将流量正确定向到本地网络。但是,服务提供方的网络不包含这些路由。创建专用连接后,VPC 网络和服务提供方网络仅交换子网路由。

服务提供方的网络包含一个通向互联网的默认路由 (0.0.0.0/0)。如果将默认路由导出到服务提供方的网络,则服务提供方网络会忽略该路由,因为其默认路由优先级较高。应改为定义并导出目标更具体的自定义路由。如需了解详情,请参阅路由顺序

您必须导出 VPC 网络的自定义路由,使服务提供方的网络可以导入这些路由,并将流量正确地路由到您的本地网络。 更新与专用连接关联的 VPC 对等互连配置,以导出自定义路由。

支持的服务

以下 Google 服务支持专用服务访问:

示例

在下例中,客户 VPC 网络为 Google 服务分配了地址范围 10.240.0.0/16,并建立了一个专用连接来使用分配的范围。每个 Google 服务都利用分配的块创建一个子网,在特定区域中预配新的资源,例如 Cloud SQL 实例。

专用服务访问通道(点击可放大)
  • 分配给专用连接的分配范围是 10.240.0.0/16。通过此分配,Google 服务可以创建子网来预配新资源。
  • 在专用连接的 Google 服务端,Google 会为客户创建一个项目。该项目是独立的,这意味着没有其他客户共享该项目,并且客户只需要为客户预配的资源付费。
  • 每项 Google 服务都会创建一个子网,用于预配资源。子网的 IP 地址范围通常是服务选择的 /24 CIDR 块,来自分配的 IP 地址范围。您无法修改服务提供方的子网。服务在现有区域子网(以前由该服务创建)中预配新资源。如果子网已满,该服务便会在同一区域中创建新子网。
  • 如果服务支持,客户网络中的虚拟机实例可以访问任何区域中的服务资源。一些服务可能不支持跨区域通信。如需了解详情,请查看相关服务的文档。
  • 仍需支付跨区域流量的出站费用(此情况下,虚拟机实例与不同区域的资源进行通信)。
  • 为 Cloud SQL 实例分配的 IP 地址是 10.240.0.2。在客户 VPC 网络中,目标为 10.240.0.2 的请求会路由到专用连接,再路由到服务提供方的网络。到达服务网络后,服务网络会包含将请求定向到正确资源的路由。
  • VPC 网络之间的流量在 Google 网络内部传输,而不是通过公共互联网传输。

后续步骤