Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sui servizi pubblicati

Questo documento fornisce una panoramica sull'utilizzo di Private Service Connect per rendere un servizio disponibile ai consumatori di servizi.

In qualità di producer di servizi, puoi utilizzare Private Service Connect per pubblicare servizi utilizzando indirizzi IP interni nella tua rete VPC. I servizi pubblicati sono accessibili ai consumer di servizi utilizzando indirizzi IP interni nelle loro reti VPC.

Per rendere disponibile un servizio ai consumatori, crea una o più subnet dedicate. Poi crei un allegato di servizio che fa riferimento a queste subnet. L'allegato di servizio può avere preferenze di connessione diverse.

Tipi di consumer del servizio

Esistono due tipi di consumer che possono connettersi a un servizio Private Service Connect:

Gli endpoint si basano su una regola di forwarding.

Un endpoint consente ai consumer di servizi di inviare traffico dalla rete VPC del consumer ai servizi nella rete VPC del producer di servizi (fai clic per ingrandire).

I backend si basano su un bilanciatore del carico.

Un backend che utilizza un bilanciatore del carico delle applicazioni esterno globale consente ai consumer di servizi con accesso a internet di inviare traffico ai servizi nella rete VPC del producer di servizi (fai clic per ingrandire).

Subnet NAT

I collegamenti ai servizi Private Service Connect sono configurati con una o più subnet NAT (chiamate anche subnet Private Service Connect). I pacchetti provenienti dalla rete VPC consumer vengono tradotti utilizzando il source NAT (SNAT) in modo che i loro indirizzi IP di origine originali vengano convertiti in indirizzi IP di origine dalla subnet NAT nella rete VPC del producer.

Gli allegati di servizio possono avere più subnet NAT. È possibile aggiungere subnet NAT aggiuntive all'allegato di servizio in qualsiasi momento senza interrompere il traffico.

Anche se un collegamento di servizio può avere configurate più subnet NAT, una subnet NAT non può essere utilizzata in più di un collegamento di servizio.

Le subnet NAT di Private Service Connect non possono essere utilizzate per risorse come le istanze di macchine virtuali (VM) o le regole di forwarding. Le subnet vengono utilizzate solo per fornire indirizzi IP per SNAT delle connessioni consumer in entrata.

Dimensionamento della subnet NAT

Le dimensioni della subnet determinano il numero di consumer che possono connettersi al tuo servizio. Se tutti gli indirizzi IP nella subnet NAT vengono utilizzati, tutte le connessioni Private Service Connect aggiuntive non vanno a buon fine. Considera quanto segue:

Un indirizzo IP viene utilizzato dalla subnet NAT per ogni endpoint o backend connesso al collegamento al servizio.

Il numero di connessioni TCP o UDP, client o reti VPC consumer non influisce sul consumo di indirizzi IP dalla subnet NAT.
Se i consumer utilizzano la propagazione della connessione, viene utilizzato un indirizzo IP aggiuntivo per ogni spoke VPC a cui vengono propagate le connessioni, per ogni endpoint.

Puoi controllare il numero di connessioni propagate create configurando il limite di connessioni propagate.
Quando stimi il numero di indirizzi IP necessari per endpoint e backend, tieni conto di eventuali servizi multitenant o consumer che utilizzano l'accesso multipunto per Private Service Connect.

Monitoraggio delle subnet NAT

Per assicurarti che le connessioni Private Service Connect non non vadano a buon fine a causa di indirizzi IP non disponibili in una subnet NAT, ti consigliamo di:

Monitora la private_service_connect/producer/used_nat_ip_addresses metrica dell'allegato di servizio. Assicurati che il numero di indirizzi IP NAT utilizzati non superi la capacità delle subnet NAT di un collegamento del servizio.
Monitora lo stato della connessione delle connessioni di collegamento del servizio. Se una connessione ha lo stato Richiede attenzione, è possibile che non siano più disponibili indirizzi IP nelle subnet NAT dell'allegato.
Per i servizi multi-tenant, puoi utilizzare Limiti di connessione per assicurarti che un singolo consumer non esaurisca la capacità delle subnet NAT di un collegamento del servizio.

Se necessario, le subnet NAT possono essere aggiunte all'allegato di servizio in qualsiasi momento senza interrompere il traffico.

Specifiche NAT

Quando progetti il servizio che stai pubblicando, tieni presente le seguenti caratteristiche di Private Service Connect NAT:

Il timeout di inattività della mappatura UDP è di 30 secondi e non può essere configurato.
Il timeout di inattività della connessione TCP stabilita è di 20 minuti e non può essere configurato.

Per evitare problemi di timeout delle connessioni client, esegui una delle seguenti operazioni:
- Assicurati che tutte le connessioni durino meno di 20 minuti.
- Assicurati che parte del traffico venga inviato più spesso di una volta ogni 20 minuti. Puoi utilizzare un heartbeat o un keepalive nella tua applicazione oppure keepalive TCP. Ad esempio, puoi configurare un keepalive nel proxy di destinazione di un bilanciatore del carico delle applicazioni interno regionale o di un bilanciatore del carico di rete proxy interno regionale.
Il timeout di inattività della connessione transitoria TCP è di 30 secondi e non può essere configurato.
Prima di poter riutilizzare qualsiasi 5 tuple (indirizzo IP di origine e porta di origine della subnet NAT più protocollo, indirizzo IP e porta di destinazione), deve trascorrere un ritardo di due minuti.
SNAT per Private Service Connect non supporta i frammenti IP.

Numero massimo di connessioni

Una singola VM producer può accettare un massimo di 64.512 connessioni TCP simultanee e 64.512 connessioni UDP da un singolo consumer (endpoint o backend) Private Service Connect. Non esiste un limite al numero totale di connessioni TCP e UDP che un endpoint Private Service Connect può ricevere in totale su tutti i backend del producer. Le VM client possono utilizzare tutte le 65.536 porte di origine quando avviano connessioni TCP o UDP a un endpoint Private Service Connect. Tutta la Network Address Translation viene eseguita localmente sull'host produttore, il che non richiede un pool di porte NAT allocato centralmente.

Collegamenti di servizi

I producer di servizi espongono il proprio servizio tramite un collegamento di servizio.

Per esporre un servizio, un producer di servizi crea un collegamento di servizio che fa riferimento a un servizio di destinazione. Il servizio di destinazione può essere uno dei seguenti:
- La regola di forwarding di un bilanciatore del carico
- Un'istanza di Secure Web Proxy

L'URI del collegamento al servizio ha questo formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Puoi associare un collegamento al servizio a un solo servizio di destinazione. Non puoi associare più allegati di servizio a un determinato servizio di destinazione.

Preferenze di connessione

Ogni collegamento al servizio ha una preferenza di connessione che specifica se le richieste di connessione vengono accettate automaticamente. Le opzioni sono tre:

Accetta automaticamente tutte le connessioni. L'allegato di servizio accetta automaticamente tutte le richieste di connessione in entrata da qualsiasi consumer. L'accettazione automatica può essere sostituita da un criterio dell'organizzazione che blocca le connessioni in entrata.
Accetta connessioni per le reti selezionate. Il collegamento al servizio accetta richieste di connessione in entrata solo se la rete VPC consumer si trova nella lista di accettazione del consumer del collegamento al servizio.
Accetta connessioni per i progetti selezionati. Il collegamento al servizio accetta richieste di connessione in entrata solo se il progetto consumer si trova nell'elenco di accettazione dei consumer del collegamento al servizio.

Ti consigliamo di accettare le connessioni per i progetti o le reti selezionati. L'accettazione automatica di tutte le connessioni potrebbe essere appropriata se controlli l'accesso dei consumatori tramite altri mezzi e vuoi abilitare l'accesso permissivo al tuo servizio.

Stati della connessione

I collegamenti al servizio hanno stati di connessione che descrivono lo stato delle loro connessioni. Per saperne di più, vedi Stati della connessione.

Elenchi di accettazione e rifiuto dei consumatori

Gli elenchi di accettazione dei consumer e gli elenchi di rifiuto dei consumer sono una funzionalità di sicurezza degli allegati del servizio. Gli elenchi di accettazione e rifiuto consentono ai producer di servizi di specificare quali consumer possono stabilire connessioni Private Service Connect ai propri servizi. Gli elenchi di accettazione dei consumatori specificano se una connessione è accettata, mentre gli elenchi di rifiuto dei consumatori specificano se una connessione è rifiutata. Entrambi gli elenchi ti consentono di specificare i consumer in base alla rete VPC o al progetto della risorsa di connessione. Se aggiungi un progetto o una rete sia all'elenco di accettazione sia all'elenco di rifiuto, le richieste di connessione da quel progetto o rete vengono rifiutate. La specifica dei consumatori per cartella non è supportata.

Gli elenchi di accettazione e rifiuto dei consumer consentono di specificare progetti o reti VPC, ma non entrambi contemporaneamente. Puoi modificare un elenco da un tipo all'altro senza interrompere le connessioni, ma devi apportare la modifica in un unico aggiornamento. In caso contrario, alcune connessioni potrebbero passare temporaneamente allo stato In attesa.

Gli elenchi di consumer controllano se un endpoint può connettersi a un servizio pubblicato, ma non controllano chi può inviare richieste a quell'endpoint. Ad esempio, supponiamo che un consumer abbia una rete VPC condiviso a cui sono collegati due progetti di servizio. Se un servizio pubblicato ha service-project1 nell'elenco di accettazione dei consumatori e service-project2 nell'elenco di rifiuto dei consumatori, si applica quanto segue:

Un consumer in service-project1 può creare un endpoint che si connette al servizio pubblicato.
Un consumatore in service-project2 non può creare un endpoint che si connette al servizio pubblicato.
Un client in service-project2 può inviare richieste all'endpoint in service-project1, se non sono presenti regole o criteri firewall che impediscono questo traffico.

Per informazioni su come le liste di accettazione dei consumatori interagiscono con i criteri dell'organizzazione, vedi Interazione tra le liste di accettazione dei consumatori e i criteri dell'organizzazione.

Limiti per gli elenchi di accettazione dei consumatori

Gli elenchi di accettazione dei consumatori hanno limiti di connessione. Questi limiti impostano il numero totale di connessioni endpoint Private Service Connect che un collegamento del servizio può accettare dal progetto consumer o dalla rete VPC specificati.

I producer possono utilizzare i limiti di connessione per impedire ai singoli consumer di esaurire gli indirizzi IP o le quote di risorse nella rete VPC del producer. Ogni connessione Private Service Connect accettata viene sottratta dal limite configurato per un progetto o una rete VPC consumer. I limiti vengono impostati quando crei o aggiorni gli elenchi di accettazione dei consumatori. Puoi visualizzare le connessioni di un service attachment quando descrivi un service attachment.

Ad esempio, considera un caso in cui un allegato di servizio ha un elenco di accettazione dei consumatori che include project-1 e project-2, entrambi con un limite di una connessione. Il progetto project-1 richiede due connessioni, project-2 ne richiede una e project-3 ne richiede una. Poiché project-1 ha un limite di una connessione, la prima connessione viene accettata e la seconda rimane in attesa. La connessione da project-2 è accettata e la connessione da project-3 rimane in attesa. La seconda connessione da project-1 può essere accettata aumentando il limite per project-1. Se project-3 viene aggiunto all'elenco di accettazione dei consumatori, la connessione passa da in attesa ad accettata.

Riconciliazione delle connessioni

La riconciliazione delle connessioni determina se gli aggiornamenti agli elenchi di accettazione o rifiuto di un collegamento di servizio possono influire sulle connessioni Private Service Connect esistenti. Se la riconciliazione delle connessioni è abilitata, l'aggiornamento degli elenchi di accettazione o rifiuto può interrompere le connessioni esistenti. Le connessioni precedentemente rifiutate possono essere accettate. Se la riconciliazione delle connessioni è disattivata, l'aggiornamento degli elenchi di accettazione o rifiuto influisce solo sulle connessioni nuove e in attesa.

Ad esempio, considera un collegamento del servizio che ha diverse connessioni accettate da Project-A. Project-A è presente nell'elenco di accettazione dell'allegato di servizio. L'allegato del servizio viene aggiornato rimuovendo Project-A dall'elenco di accettazione.

Se il ripristino della connessione è attivato, tutte le connessioni esistenti da Project-A passano a PENDING, il che termina la connettività di rete tra le due reti VPC e interrompe immediatamente il traffico di rete.

Se la riconciliazione delle connessioni è disattivata, le connessioni esistenti da Project-A non sono interessate. Il traffico di rete può comunque fluire attraverso le connessioni Private Service Connect esistenti. Tuttavia, non sono consentite nuove connessioni Private Service Connect.

Per informazioni sulla configurazione della riconciliazione delle connessioni per i nuovi allegati di servizio, vedi Pubblicare un servizio con approvazione esplicita.

Per informazioni sulla configurazione della riconciliazione delle connessioni per i service attachment esistenti, consulta Configurare la riconciliazione delle connessioni.

Configurazione DNS

Per informazioni sulla configurazione DNS per i servizi e gli endpoint pubblicati che si connettono ai servizi pubblicati, consulta Configurazione DNS per i servizi.

Traduzione della versione IP

Per gli endpoint Private Service Connect che si connettono a servizi pubblicati (collegamenti di servizio), la versione IP dell'indirizzo IP della regola di forwarding del consumer determina la versione IP dell'endpoint e del traffico in uscita dall'endpoint. L'indirizzo IP può provenire da una subnet solo IPv4, solo IPv6 (anteprima) o dual-stack. La versione IP dell'endpoint può essere IPv4 o IPv6, ma non entrambe.

Per i servizi pubblicati, la versione IP dell'allegato di servizio è determinata dall'indirizzo IP della regola di forwarding associata o dell'istanza Secure Web Proxy. Questo indirizzo IP deve essere compatibile con il tipo di stack della subnet NAT dell'allegato del servizio. La subnet NAT può essere una subnet solo IPv4 o a doppio stack. Se la subnet NAT è una subnet a doppio stack, viene utilizzato l'intervallo di indirizzi IPv4 o IPv6, ma non entrambi. Private Service Connect non supporta l'utilizzo di una subnet solo IPv6 (anteprima) per la subnet NAT.

Private Service Connect non supporta la connessione di un endpoint IPv4 con un collegamento di servizio IPv6. In questo caso, la creazione dell'endpoint non va a buon fine e viene visualizzato il seguente messaggio di errore:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

Per le configurazioni supportate sono possibili le seguenti combinazioni:

Endpoint IPv4 all'allegato di servizio IPv4
Endpoint IPv6 all'allegato del servizio IPv6
Endpoint IPv6 all'allegato di servizio IPv4

In questa configurazione, Private Service Connect esegue automaticamente la conversione tra le due versioni IP.

Per le connessioni tra i backend Private Service Connect e i collegamenti di servizio, le regole di forwarding consumer e producer devono utilizzare IPv4.

Funzionalità e compatibilità

Nelle tabelle seguenti, un segno di spunta indica che una funzionalità è supportata, mentre un simbolo di no indica che una funzionalità non è supportata.

Supporto per gli endpoint

Questa sezione riassume le opzioni di configurazione disponibili per consumatori e produttori quando utilizzano gli endpoint per accedere ai servizi di pubblicazione.

Configurazione del consumatore

Questa tabella riassume le opzioni di configurazione e le funzionalità supportate degli endpoint che accedono ai servizi pubblicati in base al tipo di produttore di destinazione.

Target producer	Configurazione del consumer (endpoint)
Target producer	Accesso globale dei consumatori	Accesso ibrido	Configurazione DNS automatica (solo IPv4)	Accesso al peering di rete VPC	Propagazione della connessione Network Connectivity Center (solo IPv4)	Servizi di destinazione supportati per gli endpoint IPv4	Servizi di destinazione supportati per gli endpoint IPv6
Bilanciatore del carico delle applicazioni interno tra regioni (anteprima)						Servizi IPv4	Servizi IPv4
Bilanciatore del carico di rete passthrough interno	Solo se l'accesso globale è abilitato sul bilanciatore del carico (problema noto)					Servizi IPv4	Servizi IPv4 Servizi IPv6
Forwarding del protocollo interno (istanza di destinazione)	Solo se l'accesso globale è attivato nella regola di forwarding del producer (problema noto)					Servizi IPv4	Servizi IPv4 Servizi IPv6
Servizi di mappatura delle porte	Solo se l'accesso globale è abilitato nella regola di forwarding del producer					Servizi IPv4	Servizi IPv4 Servizi IPv6
Bilanciatore del carico delle applicazioni interno regionale	Solo se l'accesso globale è abilitato sul bilanciatore del carico prima della creazione del collegamento del servizio					Servizi IPv4	Servizi IPv4
Bilanciatore del carico di rete proxy interno regionale	Solo se l'accesso globale è abilitato sul bilanciatore del carico prima della creazione del collegamento del servizio					Servizi IPv4	Servizi IPv4
Secure Web Proxy						Servizi IPv4	Servizi IPv4

Configurazione del producer

Questa tabella riassume le opzioni di configurazione e le funzionalità supportate dei servizi pubblicati a cui accedono gli endpoint.

Tipo di produttore	Configurazione del producer (servizio pubblicato)
Tipo di produttore	Backend del produttore supportati	Protocollo PROXY (solo traffico TCP)	Versione IP
Bilanciatore del carico delle applicazioni interno tra regioni (anteprima)	NEG a livello di zona GCE_VM_IP_PORT NEG ibridi NEG serverless NEG Private Service Connect Gruppi di istanze		IPv4
Bilanciatore del carico di rete passthrough interno	NEG a livello di zona GCE_VM_IP Gruppi di istanze		IPv4 IPv6
Forwarding del protocollo interno (istanza di destinazione)	Non applicabile		IPv4 IPv6
Servizi di mappatura delle porte	Mappatura delle porte NEG		IPv4 IPv6
Bilanciatore del carico delle applicazioni interno regionale	NEG a livello di zona GCE_VM_IP_PORT NEG ibridi NEG serverless NEG Private Service Connect Gruppi di istanze		IPv4
Bilanciatore del carico di rete proxy interno regionale	NEG a livello di zona GCE_VM_IP_PORT NEG ibridi NEG Private Service Connect Gruppi di istanze		IPv4
Secure Web Proxy	Non applicabile		IPv4

I diversi bilanciatori del carico supportano configurazioni di porte diverse; alcuni supportano una singola porta, altri un intervallo di porte e altri ancora tutte le porte. Per ulteriori informazioni, vedi Specifiche della porta.

VPC condiviso

Gli amministratori dei progetti di servizio possono creare service attachment nei progetti di servizio VPC condiviso che si connettono alle risorse nelle reti VPC condiviso.

La configurazione è la stessa di un normale collegamento del servizio, ad eccezione di quanto segue:

La regola di forwarding del bilanciatore del carico producer è associata a un indirizzo IP della rete VPC condiviso. La subnet della regola di forwarding deve essere condivisa con il progetto di servizio.
Il collegamento al servizio utilizza una subnet Private Service Connect dalla reteVPC condivisoa. Questa subnet deve essere condivisa con il progetto di servizio.

Logging

Puoi abilitare i log di flusso VPC nelle subnet che contengono le VM di backend. I log mostrano i flussi tra le VM di backend e gli indirizzi IP nella subnet Private Service Connect.

Controlli di servizio VPC

I controlli di servizio VPC e Private Service Connect sono compatibili tra loro. Se la rete VPC in cui è deployato l'endpoint Private Service Connect si trova in un perimetro dei Controlli di servizio VPC, l'endpoint fa parte dello stesso perimetro. Tutti i servizi supportati da Controlli di servizio VPC a cui si accede tramite l'endpoint sono soggetti ai criteri di quel perimetro Controlli di servizio VPC.

Quando crei un endpoint, vengono effettuate chiamate API del control plane tra i progetti consumer e producer per stabilire una connessione Private Service Connect. La creazione di una connessione Private Service Connect tra progetti consumer e producer che non si trovano nello stesso perimetro Controlli di servizio VPC non richiede un'autorizzazione esplicita con criteri di uscita. La comunicazione con i servizi supportati dai Controlli di servizio VPC tramite l'endpoint è protetta dal perimetro dei Controlli di servizio VPC.

Visualizzare le informazioni di connessione dei consumatori

Per impostazione predefinita, Private Service Connect traduce l'indirizzo IP di origine del consumer in un indirizzo in una delle subnet Private Service Connect nella rete VPC del producer di servizi. Se vuoi visualizzare l'indirizzo IP di origine originale del consumer, puoi attivare il protocollo PROXY quando pubblichi un servizio. Private Service Connect supporta il protocollo PROXY versione 2.

Non tutti i servizi supportano il protocollo PROXY. Per saperne di più, consulta Funzionalità e compatibilità.

Se il protocollo PROXY è attivato, puoi ottenere l'indirizzo IP di origine e l'ID connessione PSC (pscConnectionId) del consumer dall'intestazione del protocollo PROXY.

Il formato delle intestazioni del protocollo PROXY dipende dalla versione IP dell'endpoint consumer. Se il bilanciatore del carico dell'allegato di servizio ha un indirizzo IPv6, i consumer possono connettersi sia con indirizzi IPv4 che IPv6. Configura l'applicazione in modo che riceva e legga le intestazioni del protocollo PROXY per la versione IP del traffico che deve ricevere.

Quando abiliti il protocollo PROXY per un collegamento del servizio, la modifica viene applicata solo alle nuove connessioni. Le connessioni esistenti non includono l'intestazione del protocollo PROXY.

Se abiliti il protocollo PROXY, consulta la documentazione del software del server web di backend per informazioni sull'analisi e l'elaborazione delle intestazioni del protocollo PROXY in entrata nei payload TCP della connessione client. Se il protocollo PROXY è attivato nell'allegato del servizio, ma il server web di backend non è configurato per elaborare le intestazioni del protocollo PROXY, le richieste web potrebbero essere malformate. Se le richieste non sono valide, il server non può interpretarle.

L'ID connessione Private Service Connect (pscConnectionId) è codificato nell'intestazione del protocollo PROXY nel formato Type-Length-Value (TLV).

Campo	Lunghezza campo	Valore campo
Tipo	1 byte	`0xE0` (PP2_TYPE_GCP)
Lunghezza	2 byte	`0x8` (8 byte)
Valore	8 byte	`pscConnectionId` di 8 byte in ordine di rete

Puoi visualizzare il valore pscConnectionId di 8 byte dalla regola di inoltro al consumatore o dall'allegato del servizio del produttore.

Il valore pscConnectionId è univoco a livello globale per tutte le connessioni attive in un determinato momento. Tuttavia, nel tempo, un pscConnectionId potrebbe essere riutilizzato in questi scenari:

All'interno di una determinata rete VPC, se elimini un endpoint (regola di forwarding) e ne crei uno nuovo utilizzando lo stesso indirizzo IP, potrebbe essere utilizzato lo stesso valore di pscConnectionId.
Se elimini una rete VPC che contiene endpoint (regole di forwarding), dopo un periodo di attesa di sette giorni, il valore pscConnectionId utilizzato per questi endpoint potrebbe essere utilizzato per un endpoint diverso in un'altra rete VPC.

Puoi utilizzare i valori pscConnectionId per il debug e per tracciare le origini dei pacchetti.

Un ID collegamento di servizio Private Service Connect separato di 16 byte (pscServiceAttachmentId) è disponibile dal collegamento di servizio producer. Il valore pscServiceAttachmentId è un ID univoco a livello globale che identifica un collegamento del servizio Private Service Connect. Puoi utilizzare il valore pscServiceAttachmentId per la visibilità e il debug. Questo valore non è incluso nell'intestazione del protocollo PROXY.

Quote

Il numero totale di endpoint Private Service Connect e di connessioni propagate, da qualsiasi consumer, che possono accedere alla tua rete VPC del producer è controllato dalla quota PSC ILB consumer forwarding rules per producer VPC network.

Gli endpoint contribuiscono a questa quota finché non vengono eliminati, anche se il collegamento di servizio associato viene eliminato o configurato per rifiutare la connessione. Le connessioni propagate contribuiscono a questa quota finché l'endpoint associato non viene eliminato, anche se la propagazione della connessione è disattivata nell'hub Network Connectivity Center o se lo spoke della connessione propagata viene eliminato.

Accesso on-premise

I servizi Private Service Connect vengono resi disponibili tramite endpoint. È possibile accedere a questi endpoint da host on-premise connessi supportati. Per saperne di più, vedi Accedere all'endpoint da host on-premise.

Limitazioni

I servizi pubblicati presentano le seguenti limitazioni:

I bilanciatori del carico configurati con più protocolli, ovvero il protocollo impostato su L3_DEFAULT, non sono supportati.
Packet Mirroring non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.
Devi utilizzare Google Cloud CLI o l'API per creare un collegamento del servizio che punta a una regola di forwarding utilizzata per il forwarding del protocollo interno.

Per problemi e soluzioni alternative, vedi Problemi noti.