本頁面的部分或所有資訊可能不適用於 S3NS 的 Cloud de Confiance。詳情請參閱「與 Google Cloud 的差異」。

Private Service Connect 總覽

MySQL | PostgreSQL | SQL Server

本頁面說明與 Private Service Connect 相關的概念。Private Service Connect 的用途如下：

從屬於不同群組、團隊、專案或機構的多個虛擬私有雲網路，連線至 Cloud SQL 執行個體。
連線至主要執行個體或任何唯讀備用資源。

Private Service Connect 端點

您可以使用 Private Service Connect 端點，從消費者虛擬私有雲網路私下存取 Cloud SQL 執行個體。這些端點是內部 IP 位址，與參照 Cloud SQL 執行個體服務連結的轉送規則相關聯。

您可以讓 Cloud SQL 自動建立端點，也可以手動建立端點。

如要讓 Cloud SQL 自動建立端點，請按照下列步驟操作：

在 VPC 網路中建立服務連線政策。
建立Cloud SQL 執行個體，並為該執行個體啟用 Private Service Connect，然後設定執行個體以自動建立端點。建立執行個體時，請指定虛擬私有雲網路和專案等自動連線參數。

Cloud SQL 會在這些網路中找出服務連線政策，並建立指向執行個體服務連結的 Private Service Connect 端點。

建立執行個體後，Cloud SQL 會建立端點，對應 VPC 網路中的用戶端即可透過 IP 位址或 DNS 記錄，從端點連線至執行個體。

如要手動建立端點，請按照下列步驟操作：

建立Cloud SQL 執行個體，並為該執行個體啟用 Private Service Connect。
取得服務連結 URI，以便手動建立端點。
在虛擬私有雲網路中為端點保留內部 IP 位址，並使用該位址建立端點。

建立執行個體並由 Cloud SQL 建立端點後，對應虛擬私有雲網路中的用戶端即可透過 IP 位址或 DNS 記錄，從端點連線至執行個體。

服務連線政策

服務連線政策可授權特定服務類別，在虛擬私有雲網路之間建立 Private Service Connect 連線。因此，您可以自動佈建 Private Service Connect 端點。

每個服務類別、區域和虛擬私有雲網路組合最多可建立一項政策。政策會規定該特定組合的服務連線自動化。設定政策時，請選取子網路。子網路會用於為透過政策建立的端點分配 IP 位址。如果多項服務連線政策共用相同區域，則所有政策都可以重複使用相同的子網路。

舉例來說，如果您想在三個不同區域使用兩個服務，並透過自動化服務連線功能連線，請建立六項政策。您至少需要三個子網路，每個區域各一個。

建立服務連線政策後，您只能更新政策的子網路和連線限制。如要更新其他欄位，請按照下列步驟操作：

移除使用該政策的所有連線。
刪除政策。
建立新政策。

服務連結

建立 Cloud SQL 執行個體，並將執行個體設定為使用 Private Service Connect 時，Cloud SQL 會自動為執行個體建立服務連結。服務附件是虛擬私有雲網路用來存取執行個體的附件點。

您建立 Private Service Connect 端點，虛擬私有雲網路會使用該端點連線至服務連結。這樣網路就能存取執行個體。

每個 Cloud SQL 執行個體都有一個服務連結，Private Service Connect 端點可透過虛擬私有雲網路連線至該服務連結。如果有多個聯播網，每個聯播網都有自己的端點。

DNS 名稱和記錄

如果執行個體已啟用 Private Service Connect，建議您使用 DNS 名稱，因為不同網路可以連線至相同執行個體，且每個網路中的 Private Service Connect 端點可能會有不同的 IP 位址。此外，Cloud SQL Auth Proxy 需要 DNS 名稱才能連線至這些執行個體。

啟用 Private Service Connect 的 Cloud SQL 執行個體可有兩種 DNS 名稱：

每個執行個體的 DNS 名稱。這項功能適用於所有版本的 Cloud SQL 執行個體。主要執行個體和每個副本執行個體都有各自的執行個體 DNS 名稱。
全域寫入端點 DNS 名稱。這項功能適用於 Cloud SQL Enterprise Plus 版本的執行個體，可協助進階災難復原 (ADR)。寫入端點是全域 DNS 名稱，會自動解析為目前主要執行個體的 IP 位址。如果執行備用資源容錯移轉或切換作業，這個寫入端點會自動將連入連線重新導向至新的主要執行個體。使用寫入端點時，執行副本容錯移轉或切換作業，以復原區域中斷或進行災難復原演練時，就不必變更應用程式連線。

如要使用執行個體專屬的 DNS 名稱，您可以讓 Cloud SQL 自動建立 DNS 記錄，也可以手動建立 DNS 名稱。

如果您採用手動方式，可以從執行個體查詢 API 回應取得建議的每個執行個體 DNS 名稱，然後在對應虛擬私有雲網路的私人 DNS 區域中建立 DNS 記錄。詳情請參閱「手動設定 DNS」。

DNS 自動化功能

或者，您也可以使用 DNS 自動化功能，讓 Cloud SQL 在已授權的消費者虛擬私有雲網路中，自動為每個執行個體 DNS 名稱佈建及管理 DNS 記錄。

如要進一步瞭解如何啟用及設定 DNS 自動化功能，請參閱「建立啟用 DNS 自動化功能的執行個體」。

在 Cloud SQL Enterprise Plus 版執行個體中使用 DNS 自動化功能時，Cloud SQL 也會自動在授權的消費者虛擬私有雲網路中，為寫入端點全域 DNS 名稱佈建及管理 DNS 記錄。

DNS 自動化功能有下列限制：

無法從驗證 Proxy 或語言連接器連線至透過 DNS 自動化建立的每個執行個體 DNS 名稱或寫入端點。
不支援使用 Cloud de Confiance 控制台或 Terraform 設定 DNS 自動化。

允許的 Private Service Connect 專案

允許的專案會與虛擬私有雲網路建立關聯，且專屬於每個 Cloud SQL 執行個體。如果執行個體不屬於任何允許的專案，就無法為該執行個體啟用 Private Service Connect。

在這些專案中，您可以為每個執行個體建立 Private Service Connect 端點。如果專案未明確允許，您仍可為專案中的執行個體建立端點，但端點會維持在 PENDING 狀態。

Private Service Connect 端點傳播

根據預設，Private Service Connect 連線不會從對等互連的虛擬私有雲網路傳輸。您必須在每個需要連線至 Cloud SQL 執行個體的虛擬私有雲網路中，建立 Private Service Connect 端點。舉例來說，如果您有三個必須連線至執行個體的虛擬私有雲網路，就必須建立三個 Private Service Connect 端點，每個虛擬私有雲網路各有一個端點。

不過，透過 Network Connectivity Center 中樞傳播 Private Service Connect 端點後，同一個中樞中的任何其他輪輻虛擬私有雲網路都能連上這些端點。中樞提供集中式連線管理模式，可將輪輻虛擬私有雲網路互連至 Private Service Connect 端點。

NCC 的連線傳播功能可為 Private Service Connect 部署作業帶來下列好處：

您可以使用通用服務虛擬私有雲網路，建立多個 Private Service Connect 端點。只要將單一通用服務虛擬私有雲網路新增至 NCC 中樞，虛擬私有雲網路中的所有 Private Service Connect 端點，就能透過中樞以遞移方式供其他輪輻虛擬私有雲網路存取。有了這項連線功能，您就不必個別管理每個虛擬私有雲網路中的 Private Service Connect 端點。

如要瞭解如何使用 NCC 中樞將 Private Service Connect 端點傳播至輪輻 VPC 網路，請參閱 NCC - Private Service Connect 傳播程式碼實驗室。

Private Service Connect 後端

您可以透過 Private Service Connect 後端，存取 Cloud SQL 執行個體，而不使用 Private Service Connect 端點。為方便使用，建議您使用 Private Service Connect 端點連線至 Cloud SQL 執行個體。如要進一步控管及瞭解連線，可以使用 Private Service Connect 後端。

如要使用 Private Service Connect 後端，您必須為要存取特定 Cloud SQL 執行個體的每個服務通訊埠，設定下列資源：

Private Service Connect 網路端點群組 (NEG)，必須參照服務連結和 Cloud SQL 執行個體的服務通訊埠。
內部 Proxy 網路負載平衡器 (由後端服務、目標 TCP Proxy 和轉送規則組成)，後端為 Private Service Connect NEG。

PostgreSQL 支援的服務通訊埠如下：

TCP 連接埠 5432，用於直接連線至 PostgreSQL 資料庫伺服器。
使用受管理連線集區時，直接連線至 PgBouncer 伺服器的 TCP 連接埠 6432。
透過 Cloud SQL 驗證 Proxy 建立連線時使用的 TCP 連接埠 3307。

Private Service Connect 外向連線

您可以使用網路附件，將 Private Service Connect 介面附加至現有的 Cloud SQL Private Service Connect 啟用執行個體，讓 Cloud SQL 執行個體對您的網路建立對外連線。如要連線至網路的 Private Service Connect 介面，您需要 Cloud de Confiance by S3NS 專案中的新網路連結或現有網路連結。

您可以使用輸出連線，從網路中的外部伺服器遷移資料、使用需要輸出連線至 Cloud SQL 執行個體的 PostgreSQL 擴充功能，或使用資料庫遷移服務進行同質遷移。

限制

使用 Private Service Connect 介面和網路連結，從 Cloud SQL 執行個體建立連出連線至網路時，請注意下列限制：

啟用或停用 Private Service Connect 傳出連線功能時，系統會停機。這項作業預計需要約 8 分鐘才能完成，停機時間約為 3 分鐘。
如果傳出連線使用主機名稱或 DNS，則 DNS 名稱必須可公開解析，且解析為 RFC-1918 IP 範圍。
系統不支援 IPv6 位址。
系統不支援公開 IP 位址。
讀取副本執行個體無法啟用 Private Service Connect 傳出連線功能。
如果執行個體已啟用 Private Service Connect 傳出連線功能，就不支援切換。
如果執行個體有災難復原副本，就無法啟用 Private Service Connect 傳出連線功能。
如果執行個體已啟用 Private Service Connect 傳出連線功能，就無法將副本轉換為災難復原副本。
如果傳出連線 IP 位址與 eth0 IP 或 Private Service Connect 轉送規則衝突，IP 位址可能無法正確連線。詳情請參閱「Private Service Connect 總覽」。
如果執行個體同時設定了私人服務連線和 Private Service Connect，就無法為執行個體啟用 Private Service Connect 傳出連線功能。

如要進一步瞭解如何為 Cloud SQL 執行個體設定輸出連線，請參閱「設定輸出連線」。

後續步驟

進一步瞭解私人 IP。
進一步瞭解如何使用 Private Service Connect 連線至執行個體。