Private Service Connect
本文提供 Private Service Connect 的總覽。
Private Service Connect 是 Cloud de Confiance by S3NS 網路功能,可讓消費者從虛擬私有雲網路內部,以私密方式存取代管服務。同樣地,代管服務生產端也能在自己的獨立虛擬私有雲網路中代管這些服務,並為消費者提供私人連線。舉例來說,如果您使用 Private Service Connect 存取 Cloud SQL,您就是服務消費者,而 Google 是服務供應商。
透過 Private Service Connect,消費者可以使用自己的內部 IP 位址存取服務,不必離開虛擬私有雲網路。流量完全保留在 Cloud de Confiance by S3NS內。Private Service Connect 可在消費者和生產者之間提供以服務為導向的存取權,並精細控管服務的存取方式。
圖 1. 您可以透過 Private Service Connect 將流量傳送至端點和後端,再由這些端點和後端將流量轉送至受管理服務,包括 Google API 和已發布的服務。代管服務可透過 Private Service Connect 介面,發起與用戶虛擬私有雲網路的連線。
選擇 Private Service Connect 功能
下表摘要說明不同用途應使用的 Private Service Connect 功能。
| 用途 | Private Service Connect 功能 |
|---|---|
| 使用服務 |
|
| 農產品服務 |
Private Service Connect 類型
Private Service Connect 提供不同類型,可提供不同的功能和通訊模式。
服務供應商可以建立 Private Service Connect 服務,向消費者發布應用程式。服務使用者可透過下列任一 Private Service Connect 類型,直接存取這些 Private Service Connect 服務:
- Private Service Connect 端點。端點是透過轉送規則部署,可為消費者提供對應至 Private Service Connect 服務的 IP 位址。
- Private Service Connect 後端。後端是透過網路端點群組 (NEG) 部署,可讓消費者在流量抵達 Private Service Connect 服務前,將流量導向負載平衡器。
服務供應商可以使用 Private Service Connect 介面,啟動與服務用戶的連線。Private Service Connect 介面提供雙向通訊,且可與端點和後端使用相同的虛擬私有雲網路。
端點
Private Service Connect 端點是用戶虛擬私有雲網路中的內部 IP 位址,該網路中的用戶端可以直接存取。部署轉送規則時,系統會建立端點,該規則會參照服務附件。
下圖顯示 Private Service Connect 端點,該端點以在不同 VPC 網路和機構中執行的已發布服務為目標。Private Service Connect 端點和已發布的服務可讓兩間獨立公司使用內部 IP 位址彼此通訊。詳情請參閱「透過端點存取已發布的服務」。
圖 2:透過 Private Service Connect,您可以將流量傳送至端點,再由端點將流量轉送至其他虛擬私有雲網路中發布的服務。
介面
Private Service Connect 介面是一種特別的網路介面,會使用網路連結。
服務供應商可以建立 Private Service Connect 介面,並要求連線至網路連結。如果服務使用者接受連線, Cloud de Confiance by S3NS 會從網路連結指定的消費者虛擬私有雲網路子網路中,為介面分配 IP 位址。Private Service Connect 介面的 VM 具有第二個標準網路介面,可連線至生產端的 VPC 網路。
Private Service Connect 介面與網路連結之間的連線,類似於 Private Service Connect 端點與服務連結之間的連線,但有兩項主要差異:
- 有了 Private Service Connect 介面,供應商虛擬私有雲網路就能啟動與用戶虛擬私有雲網路的連線 (代管服務輸出)。端點則會反向運作,讓消費者虛擬私有雲網路啟動與生產者虛擬私有雲網路的連線 (代管服務傳入)。
- Private Service Connect 介面連線是可遞移的。 也就是說,生產者網路中的工作負載可以啟動與連線至消費者 VPC 網路的其他工作負載的連線。Private Service Connect 端點只能啟動與供應商虛擬私有雲網路的連線。
圖 6:服務供應商可透過 Private Service Connect 介面,發起與服務消費者的連線。
Private Service Connect 代管服務
代管服務是由服務消費者以外的人員擁有及管理。您可以使用 Private Service Connect 存取 Google 擁有的代管服務、第三方軟體即服務 (SaaS) 公司,或消費者公司內的其他團隊。發布的服務和 Google API 都可以做為 Private Service Connect 的目標。
Private Service Connect 支援存取下列類型的受管理服務:
- 發布的虛擬私有雲代管服務
- Google API
發布的服務
已發布的服務是虛擬私有雲代管的服務,部署在生產者的虛擬私有雲網路中,可從消費者的虛擬私有雲網路存取。發布服務後,服務生產端就能在自己的虛擬私有雲網路中,擁有及控管服務的部署作業。發布的服務包括:
- Google 服務,例如 GKE、Apigee 或 Cloud Composer。這些服務會在 Google 管理的用戶群專案和虛擬私有雲網路中執行。
- 第三方服務:第三方在Cloud de Confiance中提供已發布服務的私人存取權。
- 機構內服務:單一公司有多個客戶,需要透過不同虛擬私有雲網路存取內部應用程式。部分機構會使用個別的虛擬私有雲網路進行內部區隔。有了這項設定,一個團隊就能為在不同 VPC 網路中運作的團隊提供代管服務。
服務連結
服務連結是建立 Private Service Connect 發布服務時使用的資源。
您可以使用端點或後端存取服務附件。多個後端或端點可以連線至同一個服務連結,讓多個虛擬私有雲網路或多個消費者存取同一個服務執行個體。
服務連結會以生產者負載平衡器為目標,並允許消費者虛擬私有雲網路中的用戶端存取負載平衡器。服務附件設定定義下列項目:
- 消費者接受清單,定義允許哪些消費者連線至服務。
- 供應商虛擬私有雲網路中,經過轉譯的流量來源 NAT 子網路。
Private Service Connect 特性
Private Service Connect 提供私人連線,具備下列特點:
- 以服務為導向的設計。生產者服務會透過負載平衡器發布,向消費者虛擬私有雲網路公開單一 IP 位址。存取供應商服務的消費者流量是單向的,只能存取服務 IP 位址,無法存取整個對等互連的虛擬私有雲網路。
- 明確授權。Private Service Connect 提供授權模型,可讓消費者和供應商精細控管,確保只有預期服務端點 (而非其他資源) 能連線至服務。
- 沒有共用依附元件。消費者和生產者之間的流量會使用 NAT,因此消費者和生產者 VPC 網路之間不會有 IP 位址協調或其他共用資源依附元件。這種獨立性有助於簡化服務的部署和擴充作業。
- 線速效能。Private Service Connect 流量會直接從代管消費者用戶端 VM 的實體機器,傳送至代管生產端負載平衡器 VM 的實體機器。實體主機直接執行 NAT,可減少延遲。Private Service Connect 的頻寬容量只會受到直接通訊的實體主機頻寬容量限制。
如要進一步瞭解 Private Service Connect 的內部設計,請參閱「Private Service Connect 架構和效能」。
後續步驟
- 瞭解如何 透過端點存取已發布的服務。
- 瞭解發布服務。