Private Service Connect lets consumers access managed services privately from inside their Virtual Private Cloud (VPC) network. Similarly, it lets managed service producers host these services in their own separate VPC networks and projects and offer a private connection to their consumers. Les connexions Private Service Connect ne sont pas transitives entre les spokes VPC. La propagation des services Private Service Connect via le hub Network Connectivity Center permet à ces services d'être accessibles par n'importe quel autre spoke VPC du même hub via la table de routage.
Network Connectivity Center est également compatible avec la propagation des points de terminaison régionaux. Pour en savoir plus sur les points de terminaison régionaux, consultez À propos de l'accès aux points de terminaison régionaux via les points de terminaison Private Service Connect.
The Network Connectivity Center Private Service Connect connection propagation feature benefits the following use cases:
Vous pouvez utiliser un réseau VPC de services communs pour créer plusieurs points de terminaison Private Service Connect pour les consommateurs. En ajoutant un seul réseau VPC de services communs au hub Network Connectivity Center, tous les points de terminaison Private Service Connect du consommateur dans le réseau VPC deviennent accessibles de manière transitive aux autres spokes VPC via le hub Network Connectivity Center. Cette connectivité élimine la nécessité de gérer individuellement chaque point de terminaison Private Service Connect dans chaque réseau VPC.
Vous pouvez accéder aux services gérés d'un réseau spoke VPC à partir de réseaux sur site accessibles par des spokes hybrides.
When you connect a VPC spoke to a hub that has propagated connections enabled, Network Connectivity Center creates propagated connections in that spoke for any endpoints that are attached to the same hub, unless the endpoint's subnet is excluded from being exported. After a VPC network is added to a Network Connectivity Center hub as a VPC spoke, new Private Service Connect endpoints are also propagated, unless the endpoint's subnet is excluded from export.
To set up a hub with a Private Service Connect propagated connection
enabled, the hub administrator must create a hub
with Private Service Connect propagation or update the
propagation setting by using the
--export-psc flag. Then the hub administrator must
add the VPC networks as spokes to the hub. Le propriétaire du spoke peut utiliser les indicateurs --exclude-export-ranges et --include-export-ranges pour exclure des sous-réseaux Private Service Connect spécifiques alloués au routage Network Connectivity Center. Les sous-réseaux spécifiés ne sont alors pas accessibles depuis d'autres réseaux VPC, ce qui les maintient privés au réseau VPC local.
Pour en savoir plus sur les connexions propagées Private Service Connect, consultez À propos des connexions propagées.
Pour en savoir plus sur les indicateurs --exclude-export-ranges et --include-export-ranges, consultez Connectivité VPC avec filtres d'exportation.
Pour en savoir plus sur la configuration d'un hub pour une connexion propagée Private Service Connect, consultez Configurer un hub.
Limite de propagation des connexions
For details about propagated connection limits, see Propagated connection limit.
Remarques
Consider the following before you enable a Private Service Connect propagated connection:
Une connexion propagée Private Service Connect ne fonctionne qu'avec les spokes VPC.
Les connexions propagées Private Service Connect IPv6 sur les spokes VPC ne sont pas prises en charge.
Si vous devez rendre les connexions Private Service Connect propagées disponibles pour les réseaux sur site connectés à des spokes hybrides :
Votre hub Network Connectivity Center ne doit comporter qu'un seul réseau VPC de routage contenant tous ses spokes hybrides.
Le réseau VPC de routage unique du hub doit également être un spoke VPC.
Si un hub comporte au moins deux réseaux VPC de routage, aucun d'eux ne peut également être un spoke VPC. Par conséquent, les hubs comportant au moins deux réseaux VPC de routage ne peuvent pas rendre les connexions Private Service Connect propagées disponibles pour les réseaux sur site.
Pour que la propagation Private Service Connect fonctionne avec les spokes hybrides, le réseau VPC de routage doit également être ajouté en tant que spoke VPC.
Comme le filtre
--exclude-export-rangesn'est pas modifiable pour un spoke après sa création, nous vous recommandons de créer deux sous-réseaux pour héberger les points de terminaison Private Service Connect : un sous-réseau pour les points de terminaison Private Service Connect uniquement au sein du réseau VPC, et un autre sous-réseau pour les points de terminaison Private Service Connect partagés avec le hub. Lorsque vous ajoutez le réseau VPC à un hub en tant que spoke, ajoutez la plage d'adresses IP du sous-réseau qui héberge le réseau VPC réservé au réseau VPC à l'intérieur de--exclude-export-rangesafin qu'il ne soit pas partagé avec le hub.Si un sous-réseau d'un spoke VPC est configuré avec la traduction d'adresse réseau privée (NAT privée) pour accéder au hub Network Connectivity Center, le trafic du sous-réseau vers le service Private Service Connect propagé est abandonné. Si la passerelle Private NAT est configurée avec
--nat-all-subnet-ip-ranges, la propagation Private Service Connect via Network Connectivity Center ne fonctionne pas pour tous les sous-réseaux de ce spoke VPC. Pour que cela fonctionne à partir de sous-réseaux non chevauchants de ce spoke VPC, utilisez--nat-custom-subnet-ip-rangespour la passerelle NAT privée. N'utilisez pas NAT pour acheminer le trafic des sous-réseaux non chevauchants vers le hub Network Connectivity Center.L'état de propagation peut être inexact si vous créez, supprimez et recréez le point de terminaison Private Service Connect dans un court laps de temps. Toutefois, au bout d'un certain temps, l'état de propagation devient précis et reflète l'état réel de la connexion propagée. Cette opération peut prendre jusqu'à 15 minutes.
La propagation de la connexion Private Service Connect est asynchrone après la création ou la suppression d'un spoke. Lorsqu'un spoke VPC est supprimé d'un hub, la mise à jour des connexions Private Service Connect propagées peut prendre un certain temps. Tant que la mise à jour de la connexion de propagation Private Service Connect est en cours, le trafic provenant de la VM au sein du réseau VPC peut transiter vers le backend, même après l'ajout du spoke VPC à un nouveau hub. Pour éviter le flux de trafic vers le backend, avant d'ajouter le spoke à un autre hub, assurez-vous que toutes les entrées d'état de propagation pour le réseau VPC dans le hub précédent, qu'il s'agisse d'un spoke source ou d'un spoke cible, sont supprimées.
État de la propagation de la connexion Private Service Connect
Network Connectivity Center vous permet d'afficher l'état de la propagation des connexions Private Service Connect dans un hub Network Connectivity Center. Vous pouvez afficher un récapitulatif des états ou examiner des erreurs spécifiques pour en afficher les détails.
Le tableau suivant répertorie les codes d'état de la propagation et leur signification.
| Code | Message |
|---|---|
| Ready | La connexion Private Service Connect propagée est prête. |
| Propagation | La propagation de la connexion Private Service Connect est en attente. Il s'agit d'un état temporaire. |
| Erreur : limite de connexions propagées du producteur dépassée | La propagation de la connexion Private Service Connect propagée a échoué, car le réseau VPC ou le projet du spoke cible a dépassé la limite de connexion de propagation définie par le producteur. Pour résoudre ce problème, consultez la documentation de votre producteur ou contactez son équipe d'assistance. |
| Erreur : espace d'adresses IP NAT du producteur épuisé | La propagation de la connexion Private Service Connect a échoué, car l'espace de sous-réseau IP NAT est épuisé. Cela équivaut à l'état Needs attention de la connexion PSC. Pour en savoir plus, consultez États de connexion dans la documentation Private Service Connect.
|
| Erreur : quota du producteur dépassé | La propagation de la connexion Private Service Connect a échoué, car le quota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK du réseau VPC du producteur a été dépassé.
|
| Erreur : quota du consommateur dépassé | La propagation de la connexion Private Service Connect a échoué, car le quota PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK du réseau VPC consommateur a été dépassé.
|
Pour savoir comment afficher l'état de propagation des connexions Private Service Connect, consultez Afficher l'état de propagation des connexions Private Service Connect. Pour obtenir des informations sur le dépannage de la propagation des connexions Private Service Connect, consultez Résoudre les erreurs de propagation des connexions Private Service Connect.
Étapes suivantes
- Apprenez à créer des hubs et des spokes en consultant la section Utiliser des hubs et des spokes.
- Pour afficher la liste des partenaires dont les solutions sont intégrées à Network Connectivity Center, consultez la page Partenaires Network Connectivity Center.
- Pour trouver des solutions aux problèmes courants, consultez la page Dépannage.
- To get details about API and Google Cloud CLI commands, see APIs and reference.