O Private Service Connect permite que os consumidores acedam de forma privada aos serviços geridos a partir do interior da respetiva rede de nuvem virtual privada (VPC). Da mesma forma, permite que os produtores de serviços geridos alojem estes serviços nas suas próprias redes e projetos de VPC separados e ofereçam uma ligação privada aos respetivos consumidores. As ligações do Private Service Connect não são transitivas entre os raios da VPC. A propagação de serviços do Private Service Connect através do hub do Network Connectivity Center permite que estes serviços sejam acessíveis por qualquer outra VPC spoke no mesmo hub através da tabela de rotas.
O Network Connectivity Center também suporta a propagação de pontos finais regionais. Para mais informações sobre os pontos finais regionais, consulte o artigo Acerca do acesso a pontos finais regionais através de pontos finais do Private Service Connect.
A funcionalidade de propagação da ligação do Private Service Connect do Network Connectivity Center beneficia os seguintes exemplos de utilização:
Pode usar uma rede VPC de serviços comuns para criar vários pontos finais do consumidor do Private Service Connect. Ao adicionar uma única rede VPC de serviços comuns ao hub do Network Connectivity Center, todos os pontos finais do consumidor do Private Service Connect na rede VPC tornam-se transitivamente acessíveis a outros raios da VPC através do hub do Network Connectivity Center. Esta conetividade elimina a necessidade de gerir individualmente cada ponto final do Private Service Connect em cada rede da VPC.
Pode aceder a serviços geridos numa rede spoke de VPC a partir de redes no local acessíveis por spokes híbridos.
Quando liga um spoke da VPC a um hub com ligações propagadas ativadas, o Network Connectivity Center cria ligações propagadas nesse spoke para todos os pontos finais anexados ao mesmo hub, a menos que a sub-rede do ponto final seja excluída da exportação. Depois de adicionar uma rede da VPC a um hub do Network Connectivity Center como um spoke da VPC, os novos pontos finais do Private Service Connect também são propagados, a menos que a sub-rede do ponto final seja excluída da exportação.
Para configurar um hub com uma ligação propagada do Private Service Connect
ativada, o administrador do hub tem de criar um hub
com a propagação do Private Service Connect ou atualizar a
definição de propagação através da flag
--export-psc. Em seguida, o administrador do hub tem de adicionar as redes VPC como raios ao hub. O proprietário do spoke pode usar as flags --exclude-export-ranges e --include-export-ranges para excluir sub-redes atribuídas do Private Service Connect específicas do encaminhamento do Network Connectivity Center, para que não seja possível alcançar sub-redes especificadas a partir de outras redes VPC, mantendo-as privadas para a rede VPC local.
Para obter informações sobre as ligações propagadas do Private Service Connect, consulte o artigo Acerca das ligações propagadas.
Para obter informações sobre os flags --exclude-export-ranges e --include-export-ranges, consulte o artigo Conetividade da VPC com filtros de exportação.
Para ver informações detalhadas sobre a configuração de um hub para uma ligação propagada do Private Service Connect, consulte o artigo Configure um hub.
Limite de propagação da associação
Para ver detalhes sobre os limites de associações propagados, consulte o artigo Limite de associações propagado.
Considerações
Considere o seguinte antes de ativar uma ligação propagada do Private Service Connect:
Uma ligação propagada do Private Service Connect só funciona com raios da VPC.
As ligações propagadas IPv6 do Private Service Connect em raios da VPC não são suportadas.
Se precisar de disponibilizar ligações do Private Service Connect propagadas a redes no local ligadas a raios híbridos:
O hub do Network Connectivity Center tem de ter apenas uma rede VPC de encaminhamento que contenha todos os seus raios híbridos.
A rede de VPC de encaminhamento único do hub também tem de ser um raio de VPC.
Se um hub tiver duas ou mais redes da VPC de encaminhamento, nenhuma das redes da VPC de encaminhamento pode ser também raios da VPC. Consequentemente, os hubs com duas ou mais redes da VPC de encaminhamento não podem disponibilizar ligações do Private Service Connect propagadas às redes no local.
Para que a propagação do Private Service Connect funcione com raios híbridos, a rede VPC de encaminhamento também tem de ser adicionada como um raio VPC.
Uma vez que o filtro
--exclude-export-rangesnão é mutável para um spoke após a criação do mesmo, recomendamos que crie duas sub-redes para alojar pontos finais do Private Service Connect: uma sub-rede para pontos finais do Private Service Connect apenas na rede VPC e outra para pontos finais do Private Service Connect partilhados com o hub. Quando adiciona a rede VPC a um hub como um spoke, adicione o intervalo de endereços IP da sub-rede que aloja a rede VPC apenas na rede VPC ao filtro--exclude-export-rangespara que não seja partilhada com o hub.Os pontos finais do Private Service Connect que usam intervalos de endereços IP públicos usados de forma privada não são propagados para o hub do Network Connectivity Center.
Se uma sub-rede num raio da VPC estiver configurada com NAT privado para aceder ao hub do Network Connectivity Center, o tráfego da sub-rede para o serviço Private Service Connect propagado é ignorado. Se o gateway NAT privado estiver configurado com
--nat-all-subnet-ip-ranges, a propagação do Private Service Connect através do Network Connectivity Center não funciona para todas as sub-redes nesta VPC de raio. Para que funcione a partir de sub-redes não sobrepostas deste spoke de VPC, use--nat-custom-subnet-ip-rangespara o gateway NAT privado. Não use a NAT para encaminhar tráfego de sub-redes não sobrepostas para o hub do Network Connectivity Center.O estado de propagação pode estar incorreto se criar, eliminar e recriar o ponto final do Private Service Connect num curto período. No entanto, após algum tempo, o estado de propagação torna-se preciso e reflete o estado real da ligação propagada. Pode demorar até 15 minutos.
A propagação da ligação do Private Service Connect é assíncrona após a criação ou a eliminação de um spoke. Quando um spoke de VPC é removido de um hub, pode demorar algum tempo a atualizar as ligações do Private Service Connect propagadas. Enquanto a atualização da ligação de propagação do Private Service Connect estiver em curso, o tráfego da VM na rede da VPC pode fluir para o back-end, mesmo depois de o raio da VPC ser adicionado a um novo hub. Para evitar o fluxo de tráfego para o back-end, antes de adicionar o spoke a outro hub, certifique-se de que todas as entradas do estado de propagação da rede VPC no hub anterior, quer como spoke de origem ou spoke de destino, são eliminadas.
Estado de propagação da ligação do Private Service Connect
O Network Connectivity Center permite-lhe ver o estado da propagação da ligação do Private Service Connect num hub do Network Connectivity Center. Pode ver um resumo dos estados ou analisar erros específicos para ver os respetivos detalhes.
A tabela seguinte apresenta os códigos de estado de propagação e o seu significado.
| Código | Mensagem |
|---|---|
| Pronto | A ligação do Private Service Connect propagada está pronta. |
| Propagating | A propagação da ligação do Private Service Connect está pendente. Este é um estado transitório. |
| Erro, limite de associação propagado pelo produtor excedido | A propagação da ligação do Private Service Connect propagada falhou porque a rede VPC ou o projeto do spoke de destino excedeu o limite de ligações de propagação definido pelo produtor. Para resolver este problema, consulte a documentação do produtor ou contacte a respetiva equipa de apoio técnico. |
| Erro, espaço de IP NAT do produtor esgotado | A propagação da ligação do Private Service Connect falhou
porque o espaço da sub-rede do IP NAT está esgotado. É equivalente ao
Needs attention estado da associação do PSC. Para ver detalhes, consulte a secção
Estados da ligação
na documentação do Private Service Connect.
|
| Erro, quota do produtor excedida | A propagação da ligação do Private Service Connect falhou porque a quota de PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK na rede da VPC do produtor foi excedida.
|
| Erro, quota de consumidor excedida | A propagação da ligação do Private Service Connect falhou porque a quota de PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK na rede da VPC do consumidor foi excedida.
|
Para ver informações sobre como ver os estados de propagação da ligação do Private Service Connect, consulte o artigo Veja o estado de propagação da ligação do Private Service Connect. Para obter informações sobre a resolução de problemas de propagação de ligações do Private Service Connect, consulte o artigo Resolva problemas de erros de propagação de ligações do Private Service Connect.
O que se segue?
- Para criar centros e nós, consulte o artigo Trabalhe com centros e nós.
- Para ver uma lista de parceiros cujas soluções estão integradas com o Network Connectivity Center, consulte Parceiros do Network Connectivity Center.
- Para encontrar soluções para problemas comuns, consulte a secção Resolução de problemas.
- Para obter detalhes sobre os comandos da API e da CLI Google Cloud, consulte APIs e referência.