Private Service Connect

本文档简要介绍了 Private Service Connect。

Private Service Connect 是 Cloud de Confiance by S3NS 网络的一项功能,允许使用方从其 VPC 网络内部以私密方式访问托管式服务。同样,它允许托管式服务提供方在其各自的 VPC 网络中托管这些服务,并为其使用方提供专用连接。例如,当您使用 Private Service Connect 访问 Cloud SQL 时,您是服务使用方,而 Google 是服务提供方。

借助 Private Service Connect,使用方可以使用自己的内部 IP 地址访问服务,而无需离开其 VPC 网络。流量完全保留在 Cloud de Confiance by S3NS中。Private Service Connect 可在使用方和提供方之间提供面向服务的访问权限,并精细控制服务的访问方式。

图 1. 借助 Private Service Connect,您可以将流量发送到端点和后端,从而将流量转发到托管式服务,包括 Google API 和已发布的服务。Private Service Connect 接口允许托管式服务发起与使用方 VPC 网络的连接。

选择 Private Service Connect 功能

下表总结了在不同使用场景下应使用哪些 Private Service Connect 功能。

使用场景 Private Service Connect 功能
使用服务
  • 端点提供与服务的第 4 层连接。
制作服务
  • 已发布的服务可让使用方向您的服务发送请求。
  • 如果您需要启动与使用方的连接,请使用接口

Private Service Connect 类型

Private Service Connect 有各种类型,可提供不同的功能和通信模式。

服务提供方通过创建 Private Service Connect 服务将其应用发布给使用方。服务使用方通过以下 Private Service Connect 类型之一直接访问这些 Private Service Connect 服务:

  • Private Service Connect 端点。端点使用转发规则进行部署,转发规则会为使用方提供映射到 Private Service Connect 服务的 IP 地址。
  • Private Service Connect 后端。后端使用网络端点组 (NEG) 进行部署,让使用方能够在访问 Private Service Connect 服务之前将流量定向到其负载均衡器。

服务提供方可以使用 Private Service Connect 接口启动与服务使用方的连接。Private Service Connect 接口提供双向通信,可以在端点和后端所在的 VPC 网络中使用。

端点

Private Service Connect 端点是使用方 VPC 网络中的内部 IP 地址,该网络中的客户端可以直接访问这些地址。端点通过部署引用服务连接转发规则来创建。

下图展示了以在单独的 VPC 网络和组织中运行的已发布服务为目标的 Private Service Connect 端点。Private Service Connect 端点和发布的服务可让两个独立公司使用内部 IP 地址相互通信。如需了解详情,请参阅通过端点访问已发布服务的简介

图 2. Private Service Connect 可让您将流量发送到端点,从而将流量转发到其他 VPC 网络中已发布的服务。

接口

Private Service Connect 接口是一种与网络连接关联的特殊类型的网络接口

服务提供方可以创建 Private Service Connect 接口并请求与网络连接的连接。如果服务使用方接受连接, Cloud de Confiance by S3NS 会为该接口分配一个由网络连接指定的使用方 VPC 网络中的子网的 IP 地址。Private Service Connect 接口的虚拟机具有第二个标准网络接口,该接口可连接到提供方 VPC 网络。

Private Service Connect 接口与网络连接之间的连接类似于 Private Service Connect 端点服务连接之间的连接,但存在两个主要区别:

  • Private Service Connect 接口允许提供方 VPC 网络发起与使用方 VPC 网络的连接(托管式服务出站流量)。端点反向工作,让使用方 VPC 网络发起与提供方 VPC 网络的连接(托管式服务入站流量)。
  • Private Service Connect 接口连接具有传递性。 这意味着提供方网络中的工作负载可以发起与连接到使用方 VPC 网络的其他工作负载的连接。Private Service Connect 端点只能发起与提供方 VPC 网络的连接。

图 6.Private Service Connect 接口允许服务提供方启动与服务使用方的连接。

Private Service Connect 托管式服务

托管式服务是服务使用方以外的其他人拥有和管理的服务。Private Service Connect 可用于访问 Google、第三方软件即服务 (SaaS) 公司或使用方自己公司内的其他团队拥有的托管式服务。已发布的服务和 Google API 都可以作为 Private Service Connect 的目标。

Private Service Connect 支持访问以下类型的托管式服务:

  • 已发布的 VPC 托管服务
  • Google API

已发布的服务

已发布的服务是部署在提供方的 VPC 网络并从使用方的 VPC 网络访问的 VPC 托管服务。发布服务可让服务提供方拥有并控制该服务在其自己的 VPC 网络中的部署。已发布的服务可能包括以下各项:

  • Google 服务,例如 GKE、Apigee 或 Cloud Composer。这些服务在 Google 管理的租户项目和 VPC 网络中运行。
  • 第三方服务,第三方在其中提供针对Cloud de Confiance中的已发布服务的专用访问通道。
  • 组织内部服务,即一个公司的客户端访问位于不同 VPC 网络中的内部应用。某些组织使用单独的 VPC 网络进行内部分段。通过该配置,一个团队可以向另一个在单独的 VPC 网络中运营的团队提供托管式服务。

服务连接

服务连接是用于创建 Private Service Connect 发布的服务的资源。

您可以使用端点后端访问服务连接。多个后端或端点可以连接到同一个服务连接,从而允许多个 VPC 网络或多个使用方访问同一个服务实例。

服务连接以提供方负载均衡器为目标,可让使用方 VPC 网络中的客户端访问该负载均衡器。服务连接配置定义了以下各项:

  • 使用方接受列表,用于定义允许哪些使用方连接到服务。
  • 提供方 VPC 网络中的已转换流量来源于的 NAT 子网

Private Service Connect 特征

Private Service Connect 提供具有以下特征的专用连接:

  • 面向服务的设计。提供方服务通过将单个 IP 地址公开给使用方 VPC 网络的负载均衡器发布。访问提供方服务的使用方流量是单向的,只能访问服务 IP 地址,而无权访问整个对等互连的 VPC 网络。
  • 显式授权。Private Service Connect 会提供授权模型,使使用方和提供方能够进行精细控制,从而确保只有预期的服务端点可以连接到服务,而其他资源无法连接到服务。
  • 无共享依赖项。使用方和提供方之间的流量使用 NAT,因此使用方 VPC 网络与提供方 VPC 网络之间不存在 IP 地址协调或其他共享资源依赖项。这种独立性有助于简化服务的部署和扩缩。
  • 线速性能Private Service Connect 流量直接从托管使用方客户端虚拟机的物理机流向托管提供方负载均衡器虚拟机的物理机。物理宿主机直接执行 NAT,从而缩短延迟时间。Private Service Connect 的带宽容量仅受直接通信的物理主机带宽容量的限制。

如需详细了解 Private Service Connect 的内部设计,请参阅 Private Service Connect 架构和性能

后续步骤