Private Service Connect 接口简介
本页面简要介绍了 Private Service Connect 接口。
Private Service Connect 接口是一种资源,允许提供方 Virtual Private Cloud (VPC) 网络发起与使用方 VPC 网络中的各种目的地的连接。提供方网络与使用方网络可以位于不同的项目和组织中。
如需创建 Private Service Connect 接口连接,您需要一个至少有两个网络接口的虚拟机实例。第一个接口连接到提供方 VPC 网络中的子网。其他接口可以是 Private Service Connect 接口,用于请求与不同使用方 VPC 网络中的网络连接的连接。如果接受连接, Trusted Cloud by S3NS 会向 Private Service Connect 接口分配由网络连接指定的使用方子网中的内部 IP 地址。
通过此 Private Service Connect 接口连接,提供方和使用方组织可以配置其 VPC 网络,以使这两个网络连接并可以使用内部 IP 地址进行通信。例如,提供方组织可以更新提供方 VPC 网络,以为使用方子网添加路由。
图 1. 在提供方 VPC 网络中,vm-1 具有两个网络接口。一个虚拟网络接口 (vNIC) 连接到提供方网络中的子网。另一个接口是虚拟 Private Service Connect 接口,用于连接到使用方网络中的网络(点击可放大)。
Private Service Connect 接口与网络连接之间的连接类似于 Private Service Connect 端点与服务连接之间的连接,但存在两个主要区别:
- Private Service Connect 接口允许提供方 VPC 网络发起与使用方 VPC 网络的连接(托管式服务出站流量)。端点反向工作,让使用方 VPC 网络发起与提供方 VPC 网络的连接(托管式服务入站流量)。
- Private Service Connect 接口连接具有传递性。 这意味着提供方网络中的工作负载可以发起与连接到使用方 VPC 网络的其他工作负载的连接。Private Service Connect 端点只能发起与提供方 VPC 网络的连接。
图 2. Private Service Connect 端点允许服务使用方发起与服务提供方的连接,而 Private Service Connect 接口允许服务提供方发起与服务使用方的连接(点击可放大)。
连接到其他网络中的工作负载
由于 Private Service Connect 接口连接具有传递性,因此如果使用方 VPC 网络配置允许,则提供方 VPC 网络中的资源可以与连接到使用方网络的工作负载通信。其中包括以下内容:
- 通过 Cloud VPN 隧道、Cloud Interconnect 或 VPC 网络对等互连连接到使用方 VPC 网络的网络中的工作负载。
- 具有可通过 Cloud NAT 从使用方 VPC 网络访问的外部 IP 地址的工作负载。
- 可通过专用 Google 访问通道或 VPC Service Controls 从使用方 VPC 网络访问的 Google API 和服务。如需将 VPC Service Controls 与 Private Service Connect 接口搭配使用,需要进行额外配置。
- 可通过 Private Service Connect 端点和后端从使用方 VPC 网络访问的已发布服务和 Google API。
- 连接到使用方 VPC 网络的 VPC spoke 中的工作负载。
图 3.通过 Private Service Connect 接口连接连接到使用方 VPC 网络的提供方 VPC 网络可以与连接到使用方 VPC 的工作负载通信(点击可放大)。
实际使用示例
Private Service Connect 接口的一个示例使用场景是托管式服务需要发起与使用方 VPC 网络的连接以访问使用方数据。该服务可能还需要通过 VPN 或 Cloud Interconnect 连接或者从第三方服务访问使用方的本地网络中提供的数据或服务。Private Service Connect 接口连接可以满足所有这些要求。
另一个应用场景是托管式服务提供 API 网关。当该服务收到针对不同 API 的调用时,它会使用 Private Service Connect 接口发起与使用方 VPC 网络的连接。网关服务会将 API 请求发送到处理该请求的后端目标。
Private Service Connect 接口和 Private Service Connect 端点互为补充,可以在同一 VPC 网络中一起使用。
例如,图 4 描述了提供分析的托管式服务的网络配置。分析服务可以使用 Private Service Connect 接口发起与使用方 VPC 网络的连接。使用方网络中的 Private Service Connect 端点允许分析服务发起与另一个 VPC 网络中的数据库服务的连接。从分析服务到数据库服务的流量流经使用方网络,以便使用方监控这两项服务之间的流量并保护其安全。
图 4. 在此示例配置中,Private Service Connect 接口和 Private Service Connect 端点互为补充。接口允许分析服务发起与使用方 VPC 网络的连接。端点允许分析服务发起从使用方 VPC 网络到数据库服务的连接(点击可放大)。
Private Service Connect 接口类型
Private Service Connect 接口有两种类型:
虚拟 Private Service Connect 接口基于 Compute Engine 虚拟机使用的虚拟网络接口 (vNIC)。
下表介绍了虚拟 Private Service Connect 接口与动态 Private Service Connect 接口之间的主要区别:
| 类型 | 每个虚拟机的 Private Service Connect 接口数量上限 | 接口管理 | 支持的客机操作系统 |
|---|---|---|---|
| 虚拟 Private Service Connect 接口 | 最多 9 个(取决于 vCPU 的数量) | 在创建虚拟机时添加;随虚拟机删除而移除 | Linux、Windows |
| 动态 Private Service Connect 接口 | 最多 15 个(取决于 vCPU 的数量) | 随时添加;可独立于虚拟机移除 | 仅 Linux |
如果您希望接口配置在整个虚拟机生命周期内保持不变,请考虑使用虚拟 Private Service Connect 接口。
如果符合以下条件,请考虑使用动态 Private Service Connect 接口:
- 您需要动态管理与使用方 VPC 网络的连接。
- 您需要为每个虚拟机提供更多 Private Service Connect 接口。
- 您需要避免在 Private Service Connect 接口更改期间出现停机。
规格
Private Service Connect 接口是一种与网络连接关联的特殊类型的网络接口。
网络接口规范也适用于 Private Service Connect 接口。
以下规范适用于两种类型的 Private Service Connect 接口:
- 使用 Private Service Connect 接口的虚拟机至少需要两个网络接口。第一个网络接口始终是名为
nic0的默认网络接口。此接口连接到提供方子网。第二个接口是 Private Service Connect 接口,用于请求与使用方子网的连接。 - 当使用方项目接受来自 Private Service Connect 接口的连接时, Trusted Cloud使用网络连接的子网中的 IP 地址配置接口:
- 内部 IPv4 地址是从子网的主要 IP 地址范围中分配的。
- 如果网络连接的子网是双栈,并且 Private Service Connect 接口是双栈,则系统会从子网的 IPv6 范围分配内部 IPv6 地址。
- 您无法将仅 IPv6 子网(预览版)用于网络连接。
- 如果网络连接没有足够的 IP 地址来为 Private Service Connect 接口分配,则接口的创建过程会失败并返回错误:
- 如果在创建虚拟机时发生故障,则系统不会创建虚拟机。
- 如果向现有虚拟机添加动态 Private Service Connect 接口时发生故障,则系统不会添加该接口。
- 您必须手动配置 Private Service Connect 接口的虚拟机的客机操作系统,以通过该接口路由流量。
- Private Service Connect 接口支持别名 IP 范围。别名 IP 范围必须来自网络连接子网的主要 IPv4 地址范围。
- Trusted Cloud 会验证分配给 Private Service Connect 接口的 IP 地址与连接到虚拟机的其他网络接口的子网地址范围不重叠。如果没有足够的可用地址,虚拟机创建过程将失败。
- Private Service Connect 接口的通信方式与网络接口相同。
- 网络连接与 Private Service Connect 接口之间的连接是双向的,具有传递性。提供方 VPC 网络中的工作负载可以发起与连接到使用方 VPC 网络的工作负载的连接。
- 动态 Private Service Connect 接口和虚拟 Private Service Connect 接口可以共存于同一虚拟机上。
- Private Service Connect 接口支持 VPC Service Controls。此组合需要额外的路由配置。
虚拟 Private Service Connect 接口规范
以下规范专门针对虚拟 Private Service Connect 接口。
- 虚拟 Private Service Connect 接口只能在创建虚拟机时创建,并且只能通过删除关联的虚拟机来移除。
- 您可以在单个虚拟机上创建最多 7 个虚拟 Private Service Connect 接口,具体取决于虚拟机中的 vCPU 数量。
动态 Private Service Connect 接口规范
以下规范专门针对动态 Private Service Connect 接口。
- 动态NIC的属性和限制也适用于动态 Private Service Connect 接口。
- 您可以随时添加或移除动态 Private Service Connect 接口,而无需重启虚拟机。
- 单个虚拟机最多可以有 15 个动态 Private Service Connect 接口,具体取决于虚拟机中的 vCPU 数量。
- 网络接口的最大传输单元 (MTU) 设置为与其连接的 VPC 网络的 MTU。 动态 Private Service Connect 接口的 MTU 必须小于或等于其父网络接口的 MTU,否则接口创建会失败并显示错误。
限制
Private Service Connect 接口连接只能通过以下方式终止:
- 提供方删除接口的虚拟机。
- 提供方移除动态 Private Service Connect 接口。
- 使用方删除连接到 Private Service Connect 接口的项目。此操作会停止相应接口的虚拟机。
- 使用方在连接到 Private Service Connect 接口的项目中停用 Compute Engine API。此操作会停止相应接口的虚拟机。
如果虚拟机具有多个 Private Service Connect 接口,则每个接口都必须连接到唯一的网络,并且每个网络连接都必须位于不同的使用方 VPC 网络中。
您无法将外部(公开通告的)IP 地址分配给 Private Service Connect 接口。
使用 Windows 客机操作系统的虚拟机不支持动态 Private Service Connect 接口。虽然 API 不会阻止此配置,但数据包不会流动,因为 Windows 客机操作系统驱动程序不支持动态 NIC。
Private Service Connect 接口不能是内部转发规则的下一个跃点。
您无法直接将 Private Service Connect 接口与 Google Kubernetes Engine (GKE) 节点或 Pod 相关联。但是,通过在代理虚拟机上配置的 Private Service Connect 接口,GKE 可以实现服务出站流量。
具有 Private Service Connect 接口的虚拟机不能成为以 Compute Engine 虚拟机为目标的后端服务的一部分。这是因为虚拟机必须与后端服务位于同一项目中。
价格
如需了解 Private Service Connect 接口的价格,请参阅 VPC 价格页面。