私人服務存取權

本頁提供私人服務存取權總覽。

Google 與第三方 (合稱為「服務供應商」) 可提供在虛擬私有雲網路中託管的服務。您可以透過私人服務存取權，在虛擬私有雲網路與服務供應商的虛擬私有雲網路之間建立私人連線，藉此存取這些服務。私人服務存取流量是在 Google 的網路內傳輸，而非透過公開網際網路傳輸。如要進一步瞭解如何使用私人服務存取權，請參閱「設定私人服務存取權」。

如要使用私人服務存取，您必須先分配內部 IPv4 位址範圍，然後建立私人連線。分配範圍是預留的 CIDR 區塊，無法在您的本機虛擬私人雲端網路中使用，而僅供服務供應商使用，避免您的虛擬私人雲端網路與服務供應商的虛擬私人雲端網路之間發生重疊情形。

私人連線會將您的虛擬私人雲端網路連結至服務供應商的虛擬私人雲端網路。您虛擬私有雲網路中的 VM 執行個體可透過這個連線，使用內部 IPv4 位址連線至服務資源的內部 IPv4 位址。執行個體可以有外部 IP 位址，但私人服務存取權不需要也不會使用外部 IP 位址。

如果服務供應商提供多項服務，您只需要一個私人連線即可。私人連線是使用 Service Networking API 建立的，但 Google Cloud會將這個連線實作成您的虛擬私有雲網路和服務供應商的虛擬私有雲網路之間的虛擬私有雲網路對等互連連線。您的虛擬私有雲網路會將私人連線顯示為虛擬私有雲網路對等互連連線。

系統不支援搭配私人服務存取權使用 IPv6 位址範圍。

您只能在支援私人服務存取的服務使用私人服務存取。建立私人連線前，請先與服務供應商進行確認。

服務供應商網路

私人連線的服務供應商端是虛擬私人雲端網路，其中佈建了您的服務資源。服務供應商的網路是專為您建立，並且只包含您的資源。

服務供應商網路中的資源與您虛擬私有雲網路中的其他資源類似。舉例來說，虛擬私人雲端網路中的其他資源可透過內部 IP 位址連線至服務供應商網路中的資源。您也可以在自己的虛擬私人雲端網路中建立防火牆規則，控管服務供應商網路的存取權。

如要進一步瞭解服務供應商端，請參閱服務基礎架構說明文件的「啟用私人服務存取權」一節。這份說明文件僅供參考，略過不讀也可啟用或使用私人服務存取。

私人服務存取和內部部署連線能力

在混合式網路情境中，內部部署網路會透過 Cloud VPN 或 Cloud Interconnect 連線至虛擬私有雲網路。根據預設，內部部署主機無法使用私人服務存取，連線到服務供應商的網路。

在 VPC 網路中，您可能已有自訂的動態或靜態路徑，正確地將流量導向內部部署網路。然而，服務供應商的網路不包含那些相同的路徑。建立私人連線之後，VPC 網路和服務生產端網路只會交換子網路路徑。

服務供應商的網路包含通往網際網路的預設路徑 (0.0.0.0/0)。如果您將預設路徑匯出至服務供應商的網路，系統會忽略該路徑，因為服務供應商網路的預設路徑優先權較高。請改為定義及匯出自訂路徑，並指定更明確的目的地。詳情請參閱轉送順序。

您必須匯出虛擬私有雲網路的自訂路徑，服務供應商的網路才能匯入這些路徑，並將流量正確地轉送到您的內部部署網路。更新與私人連線相關聯的 VPC 對等互連設定，匯出自訂路徑。

透過 Network Connectivity Center 實現服務轉移

對於透過私人服務存取權提供的部分服務，您可以建立供應商虛擬私有雲輪輻，透過 Network Connectivity Center 讓中樞上的其他輪輻連上該項服務。如要瞭解詳情 (包括支援的服務)，請參閱供應商虛擬私有雲輪輻。

注意事項

設定私人服務存取權之前，請先瞭解選擇虛擬私有雲網路和 IP 位址範圍的注意事項。

支援的服務

下列 Google 服務支援私人服務存取權：

• AI 平台訓練
• PostgreSQL 適用的 AlloyDB
• Apigee
• 備份和災難復原
• Cloud Build
• 雲端入侵偵測系統
• Cloud SQL (不支援 DNS 對等互連)
• Cloud TPU
• 透過 IBM Power 整合企業雲端 Google Cloud
• Filestore
• Google Cloud VMware Engine
• Looker (Google Cloud Core)
• Memorystore for Memcached
• Memorystore for Redis
• Vertex AI

範例

在下列範例中，客戶的虛擬私人雲端網路針對 Google 服務分配了 10.240.0.0/16 位址範圍，並建立了使用該分配範圍的私人連線。每個 Google 服務都會使用分配的區塊建立子網路，以便在指定地區中佈建新資源，例如 Cloud SQL 執行個體。

• 指派給私人連線的分配範圍為 10.240.0.0/16，Google 服務可透過這個分配範圍建立子網路來佈建新資源。
• 在私人連線的 Google 服務端，Google 會為客戶建立專案。專案會獨立建立，代表沒有其他客戶會共用該專案，而且系統僅會針對客戶佈建的資源收取費用。Google 也會在這個獨立專案中建立虛擬私有雲網路，並透過虛擬私有雲網路對等互連將其連線至客戶網路。
• 每個 Google 服務都會建立子網路來佈建資源。子網路的 IP 位址範圍是來自所分配 IP 位址範圍的 CIDR 區塊。CIDR 區塊是由服務選擇，通常具有 /29 至 /24 的 IP 位址範圍。您無法修改服務供應商的子網路。服務會在先前建立的現有地區子網路中佈建新資源。如果子網路已滿，服務會在相同地區中建立新的子網路。
• 建立子網路後，客戶網路會從服務網路匯入路徑。
• 客戶網路中的 VM 執行個體可存取任何地區中的服務資源 (如果服務提供相關支援)。不過有些服務可能不支援跨地區通訊。詳情請參閱相關服務的說明文件。
• 指派給 Cloud SQL 執行個體的 IP 位址為 10.240.0.2。在客戶虛擬私有雲網路中，目的地為 10.240.0.2 的要求會透過私人連線轉送至服務供應商的網路。連上服務網路後，服務網路會包含可將要求導向正確資源的路徑。
• 虛擬私有雲網路之間的流量是在 Google 的網路內傳輸，而非透過公開網際網路傳輸。

定價

如要瞭解私人服務存取權的價格，請參閱 VPC 價格頁面的「私人服務存取權」一節。

後續步驟

• 如要分配 IP 位址範圍、建立私人連線或共用私人 DNS 區域，請參閱設定私人服務存取權。