Private Service Connect 后端简介 (original) (raw)

您可以通过创建 Private Service Connect 端点（基于转发规则）或 Private Service Connect 后端（基于负载均衡器）访问 Google API 和已发布的服务。本指南重点介绍 Private Service Connect 后端。

Private Service Connect 后端使用配置了 Private Service Connect 网络端点组 (NEG) 后端的负载均衡器。此配置以前称为具有使用方 HTTP(S) 服务控制的 Private Service Connect 端点。

通过使用方管理的负载均衡器访问 API 和服务具有多项优势。负载均衡器可以充当强制执行安全政策（例如 Google Cloud Armor 政策和 SSL 政策）或路由政策（例如 Google Cloud 网址映射）的集中式政策强制执行点。它们提供已发布服务可能未提供的集中式指标和日志记录，并允许使用方控制自己的路由和故障切换。

图 1 展示了具有连接到已发布服务的 Private Service Connect NEG 的负载均衡器。客户端流量流向处理流量的负载均衡器，然后负载均衡器将流量路由到映射到另一个 VPC 网络中运行的已发布服务的 Private Service Connect 后端。

图 1. 使用全球外部应用负载均衡器，具有互联网访问权限的服务使用方可以将流量发送到服务提供方的 VPC 网络中的服务（点击可放大）。

部署概览

如需通过 Private Service Connect 后端访问 API 和服务，请执行以下操作：

确定要连接的 API 或服务。
对于 Google API：选择区域性服务端点。
对于已发布服务：请要求服务提供方提供服务连接 URI。
部署负载均衡器以将流量发送到已发布服务。选择符合您要求（包括是否具有互联网客户端、内部客户端或需要区域性隔离）的负载均衡器。您还可以重复使用现有负载均衡器。
部署 Private Service Connect NEG 并将其添加到负载均衡器后端服务。 创建引用您的已发布服务的 Private Service Connect NEG。然后将 NEG 添加到负载均衡器的后端服务，以便负载均衡器向其发送流量。

支持的负载均衡器和目标

您可以使用后端访问已发布服务或支持的 Google API。

如需详细了解要向其中添加 Private Service Connect 后端的负载均衡器，请参阅负载均衡文档。

如需了解全球外部应用负载均衡器和区域级外部应用负载均衡器，请参阅外部应用负载均衡器概览。
如需了解内部应用负载均衡器和跨区域内部应用负载均衡器，请参阅内部应用负载均衡器概览。
如需了解区域级内部代理网络负载均衡器，请参阅区域级内部代理网络负载均衡器概览。
如需了解区域级外部代理网络负载均衡器，请参阅区域级外部代理网络负载均衡器概览。
如需了解全球外部代理网络负载均衡器，请参阅外部代理网络负载均衡器概览。

已发布服务目标

已发布服务的 Private Service Connect 后端需要两个负载均衡器：使用方负载均衡器和提供方负载均衡器。

使用方配置

下表介绍了已发布服务的 Private Service Connect 后端支持的使用方负载均衡器，包括可与每个使用方负载均衡器搭配使用的后端服务协议。使用方负载均衡器可以访问在受支持的提供方负载均衡器上托管的已发布服务。

使用方负载均衡器	协议	IP 版本
跨区域内部应用负载均衡器	HTTP HTTPS HTTP2	IPv4
跨区域内部代理网络负载均衡器	TCP	IPv4
全球外部应用负载均衡器注意：不支持传统版应用负载均衡器。	HTTP HTTPS HTTP2	IPv4
全球外部代理网络负载均衡器如需将此负载均衡器与 Private Service Connect NEG 关联，请使用 Google Cloud CLI 或发送 API 请求。注意：不支持传统代理网络负载均衡器。	TCP/SSL	IPv4
区域级外部应用负载均衡器	HTTP HTTPS HTTP2	IPv4
区域级外部代理网络负载均衡器	TCP	IPv4
区域级内部应用负载均衡器	HTTP HTTPS HTTP2	IPv4
区域级内部代理网络负载均衡器	TCP	IPv4

提供方配置

下表介绍了已发布服务的 Private Service Connect 后端支持的提供方负载均衡器配置。

提供方类型	提供方配置（已发布服务）
支持的提供方后端	转发规则协议	转发规则端口	PROXY 协议	IP 版本	Private Service Connect 健康支持
跨区域内部应用负载均衡器	GCE_VM_IP_PORT 可用区级 NEG 混合 NEG 无服务器 NEG Private Service Connect NEG 实例组	TCP HTTP HTTPS HTTP/2 gRPC	支持一个、多个或所有端口	IPv4
内部直通式网络负载均衡器	GCE_VM_IP 可用区级 NEG 实例组	TCP	请参阅提供方端口配置	IPv4
区域级内部应用负载均衡器	GCE_VM_IP_PORT 可用区级 NEG 混合 NEG 无服务器 NEG Private Service Connect NEG 实例组	HTTP HTTPS HTTP/2	支持单个端口	IPv4
区域级内部代理网络负载均衡器	GCE_VM_IP_PORT 可用区级 NEG 混合 NEG Private Service Connect NEG 实例组	TCP	支持单个端口	IPv4
安全 Web 代理	不适用	不适用	不适用	IPv4

如需查看使用全球外部应用负载均衡器的后端配置示例，请参阅通过后端访问已发布服务。

区域级 Google API 目标

下表介绍了哪些负载均衡器可以使用 Private Service Connect 后端来访问区域级 Google API。

如需查看使用内部应用负载均衡器的配置示例，请参阅通过后端访问 Google API。

配置	详细信息
使用方配置（Private Service Connect 后端）
支持的使用方负载均衡器	内部应用负载均衡器协议：HTTPS 区域级外部应用负载均衡器协议：HTTPS
IP 版本	IPv4
提供方
支持的服务	支持的区域级 Google API

全球 Google API 目标

下表介绍了哪些负载均衡器可以使用 Private Service Connect 后端来访问全球 Google API。

配置	详细信息
使用方配置（Private Service Connect 后端）
支持的使用方负载均衡器	全球外部应用负载均衡器注意：不支持传统版应用负载均衡器。跨区域内部应用负载均衡器
IP 版本	IPv4
提供方
支持的服务	Bigtable：bigtable.googleapis.com 和 bigtableadmin.googleapis.com Cloud Logging：logging.googleapis.com Spanner：spanner.googleapis.com Cloud Storage：storage.googleapis.com Pub/Sub：pubsub.googleapis.com

连接状态

Private Service Connect 端点、后端和服务连接具有连接状态，用于描述其连接状态。构成连接两端的使用方和提供方资源始终具有相同的状态。当您查看端点详细信息、描述后端或查看已发布服务的详细信息时，您可以查看连接状态。

下表介绍了可能的状态。

连接状态	说明
已接受	已建立 Private Service Connect 连接。两个 VPC 网络具有连接，并且连接正常运行。
待处理	未建立 Private Service Connect 连接，并且网络流量无法在两个网络之间传输。连接可能处于以下状态，原因如下：服务连接需要明确批准，并且使用方不在使用方接受列表中。连接数超过服务连接的连接限制。由于这些原因而被阻止的连接将无限期地保持在挂起状态，直到根本问题得到解决。
已拒绝	未建立 Private Service Connect 连接。网络流量无法在两个网络之间传输。连接可能处于以下状态，原因如下：提供方组织政策拒绝了连接。使用方拒绝列表拒绝了连接。
需要注意	连接的提供方端出现问题。某些流量可能能够在两个网络之间流动，但某些连接可能无法正常运行。例如，提供方的 NAT 子网可能已用尽，无法为新连接分配 IP 地址。
不开放	服务连接已删除，Private Service Connect 连接已关闭。网络流量无法在两个网络之间传输。连接关闭是一种终止状态。如需恢复连接，您必须重新创建服务连接和端点或后端。

规格

所有 Private Service Connect 后端都具有以下规范：

只有受支持的负载均衡器才能使用 Private Service Connect NEG 作为后端。
Private Service Connect NEG 不能与同一后端服务中的其他 NEG 类型混合使用。但是，自托管应用和代管式服务都可以是同一负载均衡器的后端，只要它们是单独的后端服务的一部分即可。
使用 Private Service Connect NEG 的后端服务不支持健康检查。健康检查资源没有配置用于 Private Service Connect 的后端服务。
使用 Private Service Connect NEG 的后端服务不支持会话亲和性。
如果 Private Service Connect NEG 引用服务连接，则该服务连接必须位于与 NEG 和负载均衡器不同的 VPC 网络中。
Private Service Connect NEG 无法引用为端口映射服务配置的服务连接。

全球后端服务中使用的 Private Service Connect 后端具有其他规范：

多个 Private Service Connect NEG 可以位于同一后端服务，只要它们来自不同的区域即可。您不能将同一区域的多个 Private Service Connect NEG 添加到同一后端服务。
通过将多个 Private Service Connect NEG 与同一后端服务相关联，您可以利用自动跨区域故障切换功能。如需了解详情，请参阅以下部分。

自动跨区域进行故障切换

使用基于全球或跨区域负载均衡器的 Private Service Connect 后端访问已发布的服务，可让您充分利用自动跨区域故障切换功能。

借助自动故障切换功能，如果一个区域中的服务实例运行状况不佳，您的使用方负载均衡器会停止将流量路由到该运行状况不佳的实例，而是将流量路由到备用区域中运行状况良好的服务实例。

为了支持自动故障切换，服务提供方和服务使用方都必须按照本部分中的说明，为其资源配置多区域部署。如需了解有关使用 Private Service Connect 健康状况进行故障切换的其他提供方要求，请参阅 Private Service Connect 健康状况规范。

提供方配置：

在每个区域中部署服务。服务的每个区域实例都必须在支持后端访问的区域级负载均衡器上配置。
创建服务连接以发布服务的每个区域实例。

使用方配置：

创建 Private Service Connect 后端以访问已发布的服务。后端必须基于支持跨区域故障切换的负载均衡器，并且包含以下配置：
- 每个区域中指向该区域服务连接的 Private Service Connect NEG
- 包含 NEG 后端的全球后端服务

具有多个 Private Service Connect NEG 的全球外部应用负载均衡器连接到在多个区域中发布的服务。这种多区域部署可让使用方负载均衡器在服务实例运行状况不佳时进行故障切换，将流量路由到备用区域中运行状况良好的服务实例（点击可放大）。

自动故障切换可通过以下两种方式触发：

具有离群值检测的故障切换：负载均衡器的标准故障切换机制，在多区域部署中默认处于启用状态。流量会从从已发布服务接收到高错误率的 Private Service Connect NEG 转移。
通过 Private Service Connect 健康检查增强故障切换功能：服务提供方可以配置 Private Service Connect 健康检查，以便为其服务提供更详细的健康信号。

通过离群值检测进行故障切换

在全球后端服务中配置多个 Private Service Connect NEG 时，系统会自动在该后端服务上启用离群值检测。

当离群值检测功能识别出已发布的服务发送的响应中的故障（例如 5xx 响应代码）时，使用方负载均衡器会进行故障切换，暂时将流量重定向到备用区域中运行状况良好的服务实例。

您可以通过将您自己的离群值检测配置应用于后端服务来替换默认的离群值检测政策，也可以通过在后端服务中配置单个 Private Service Connect NEG，并将 100% 的流量路由到此 NEG 来停用此功能。

通过 Private Service Connect 健康状况实现增强型故障切换

借助 Private Service Connect 健康状况，使用方负载均衡器可以根据服务提供方配置的直接健康状况信号进行故障切换。

提供方定义了可为每个区域性已发布服务实例创建单个综合健康状况的条件。综合健康状态基于服务的后端（例如虚拟机实例或网络端点）的健康状况。例如，提供方可以指定，只有当其后端实例的健康状况达到一定百分比时，其服务才会被视为健康。

对于多区域部署中受支持的负载均衡器，使用方无需进行额外配置即可使用 Private Service Connect 健康状况中的健康信号。

如需了解服务提供方如何配置 Private Service Connect 健康状况，请参阅 Private Service Connect 健康状况简介。

价格

如需了解价格信息，请参阅 VPC 价格页面的以下部分：