Private Service Connect 總覽

本頁面說明 Private Service Connect 相關概念。您可以將 Private Service Connect 用於下列用途:

  • 從屬於不同群組、團隊、專案或機構的多個虛擬私有雲網路連線至 Cloud SQL 執行個體
  • 連線至主要執行個體或其任何唯讀備用資源

Private Service Connect 端點

您可以使用Private Service Connect 端點,透過消費者虛擬私有雲網路私密存取 Cloud SQL 執行個體。這些端點是內部 IP 位址,與參照 Cloud SQL 執行個體服務連結的轉送規則相關聯。

您可以讓 Cloud SQL 自動建立端點,也可以手動建立端點。

如要讓 Cloud SQL 自動建立端點,請按照下列步驟操作:

  1. 在虛擬私有雲網路中建立服務連線政策

  2. 建立Cloud SQL 執行個體,並為該執行個體啟用 Private Service Connect,然後設定執行個體,讓它自動建立端點。建立執行個體時,請指定自動連線參數,例如虛擬私有雲網路和專案。

    Cloud SQL 會在這些網路中找出服務連線政策,並建立 Private Service Connect 端點,指向執行個體的服務連結。

    建立執行個體並由 Cloud SQL 建立端點後,對應虛擬私有雲網路中的用戶端就能透過 IP 位址或 DNS 記錄,從端點連線至執行個體。這項功能可讓 Cloud SQL 自動建立端點,目前處於前測階段。

如要手動建立端點,請按照下列步驟操作:

  1. 建立 Cloud SQL 執行個體,並為該執行個體啟用 Private Service Connect。
  2. 取得手動建立端點所需的服務連結 URI。

  3. 在 VPC 網路中為端點保留內部 IP 位址,然後使用該位址建立端點

    建立執行個體並由 Cloud SQL 建立端點後,對應虛擬私有雲網路中的用戶端就能透過 IP 位址或 DNS 記錄,從端點連線至執行個體。

服務連線政策

服務連線政策可讓您授權指定的服務類別,在虛擬私有雲網路之間建立 Private Service Connect 連線。因此,您可以自動佈建 Private Service Connect 端點。這項功能已在預先發布版中推出。

您最多只能為每個服務類別、區域和 VPC 網路組合建立一項政策。政策會為該特定組合指定服務連線自動化設定。設定政策時,您需要選取子網路。子網路會用於為您透過政策建立的端點分配 IP 位址。如果多個服務連線政策共用相同的地區,您可以為所有政策重複使用相同的子網路。

舉例來說,如果您想在三個不同地區使用兩項服務的服務連線自動化功能,請建立六個政策。您至少可以使用三個子網路:每個區域一個。

建立服務連線政策後,您只能更新政策的子網路和連線限制。如需更新其他欄位,請按照下列步驟操作:

  1. 移除所有使用這項政策的連線。
  2. 刪除政策。
  3. 建立新政策。

服務連結

建立 Cloud SQL 執行個體並將執行個體設定為使用 Private Service Connect 時,Cloud SQL 會自動為執行個體建立服務連結。服務附件是 VPC 網路用來存取執行個體的附件點。

您可以建立 Private Service Connect 端點,讓虛擬私有雲網路用於連線至服務連結。這樣網路就能存取執行個體。

每個 Cloud SQL 執行個體都有一個服務連結,Private Service Connect 端點可透過虛擬私有雲網路連線至該連結。如果有多個網路,則每個網路都有專屬的端點。

DNS 名稱和記錄

對於已啟用 Private Service Connect 的執行個體,建議您使用 DNS 名稱,因為不同網路可以連線至同一個執行個體,而每個網路中的 Private Service Connect 端點可能會有不同的 IP 位址。此外,Cloud SQL 驗證 Proxy 需要 DNS 名稱才能連線至這些執行個體。

Cloud SQL 不會自動建立 DNS 記錄。而是在執行個體查詢 API 回應中提供建議的 DNS 名稱。建議您在對應的 VPC 網路中,於私人 DNS 區域中建立 DNS 記錄。這樣一來,您就能透過一致的方式連線至不同網路。

允許的 Private Service Connect 專案

允許的專案會與 VPC 網路相關聯,並與每個 Cloud SQL 執行個體相關。如果執行個體不屬於任何允許的專案,就無法為該執行個體啟用 Private Service Connect。

針對這些專案,您可以為每個執行個體建立 Private Service Connect 端點。如果系統未明確允許專案,您仍可為專案中的執行個體建立端點,但端點仍會維持 PENDING 狀態。

Private Service Connect 端點傳播

根據預設,Private Service Connect 連線不會從對等互連的虛擬私有雲網路傳遞。您必須在需要連線至 Cloud SQL 執行個體的每個 VPC 網路中,建立 Private Service Connect 端點。舉例來說,如果您有三個需要連線至執行個體的 VPC 網路,就必須建立三個 Private Service Connect 端點,每個 VPC 網路一個端點。

不過,如果透過 Network Connectivity Center 中樞傳播 Private Service Connect 端點,這些端點就能供同一個中樞內的任何其他 輪輻虛擬私有雲網路存取。中樞提供集中式連線管理模式,可將輪輻虛擬私有雲網路連結至 Private Service Connect 端點。

Network Connectivity Center 中的連線傳播功能可協助您在 Private Service Connect 部署中使用下列用途:

您可以使用常見服務 VPC 網路建立多個 Private Service Connect 端點。只要將單一通用服務 VPC 網路新增至 Network Connectivity Center 中樞,VPC 網路中的所有 Private Service Connect 端點就能透過中樞,間接存取其他輪輻 VPC 網路。有了這項連線功能,您就無須個別管理每個 VPC 網路中的 Private Service Connect 端點。

如要瞭解如何使用 Network Connectivity Center 中樞,將 Private Service Connect 端點傳播至輪輻虛擬私有雲網路,請參閱 Network Connectivity Center - Private Service Connect 傳播程式碼研究室

後續步驟