传播连接简介

本页面简要介绍了 Private Service Connect 传播连接。

借助传播的连接，一个使用方 VPC spoke 中可通过 Private Service Connect 端点访问的服务可以由连接到同一 Network Connectivity Center hub 的其他使用方 VPC spoke 以私密方式访问。传播的连接可让使用方 VPC spoke 访问提供方 VPC 网络中的托管式服务，就像两个 VPC 网络通过端点直接连接一样。

传播的连接具有以下优势：

• 您可以使用通用服务 VPC 网络来简化 Private Service Connect 端点的部署。
• 您可以通过 Network Connectivity Center hub 管理各个 VPC spoke 可以访问哪些服务。

如需从 Network Connectivity Center 的角度简要了解传播的连接，请参阅通过 Network Connectivity Center 的 Private Service Connect 传播连接。

例如，在图 1 中，VPC Spoke Common services VPC 包含两个端点。其他两个 VPC spoke 连接到与 Common services VPC 相同的 Network Connectivity Center hub。由于为此 hub 启用了传播的连接，因此 Consumer VPC 2 中有两个传播的连接，Consumer VPC 3 中有两个传播的连接。借助这些传播的连接，Consumer VPC 2 和 Consumer VPC 3 中的工作负载可以访问 Producer VPC 1 中的托管式服务，就像它们通过端点直接连接一样。

系统不会为 Endpoint 3 创建任何传播的连接，因为该端点子网的 IP 范围会从导出中排除，并且不会通告给其他 VPC spoke。

配置传播的连接

传播的连接由 Network Connectivity Center 管理。您无法使用 Private Service Connect 直接管理传播的连接。

触发连接传播

在发生以下操作时，系统会自动建立传播连接：

• 当 hub 管理员为 hub 启用连接传播时，Network Connectivity Center 会为连接到该 hub 的 VPC spoke 中的现有端点创建传播的连接。
• 当 hub 管理员将 VPC spoke 添加到启用了连接传播的 hub 时，Network Connectivity Center 会在新 spoke 中为连接到同一 Network Connectivity Center hub 的其他 VPC spoke 中的现有端点创建传播的连接。如果新 spoke 已有端点，则系统会在每个已连接的 spoke 中为这些端点创建传播的连接。
• 当使用方服务管理员在连接到启用了连接传播的 Network Connectivity Center hub 的 VPC spoke 中创建端点时，Network Connectivity Center 会在其他已连接的 VPC spoke 中为该端点创建传播的连接。
• 当提供方服务管理员提高服务连接的传播连接数限制时，只要新连接不超过新限制，Network Connectivity Center 就会创建之前因此限制而被阻止的传播连接。

连接会异步传播，可能无法立即使用。

排除子网

在创建 VPC spoke 时，您可以将子网的 IP 地址范围排除在导出范围之外，使其不导出到 Network Connectivity Center hub。如果您将某个子网排除在导出范围之外，则该子网中的工作负载无法访问传播连接，并且系统不会为该子网中的端点创建传播连接。例如，在图 1 中，Consumer VPC 2 和 Consumer VPC 3 中的工作负载无法访问 Producer VPC 2 中的服务，Subnet 5 中的工作负载无法访问 Producer VPC 1 中的服务。

终止传播的连接

以下操作会间接控制传播连接的删除：

• 删除关联的端点。
• 删除包含 Private Service Connect 端点的 spoke。
• 在 Network Connectivity Center hub 上停用连接传播。

当发生上述任何操作时，传播的连接会终止。此过程是异步的，可能不会立即发生。

规格

• 以下 Private Service Connect 端点类型可通过连接传播提供：

  • 访问已发布服务的端点。
  • 访问区域级 Google API 的端点。

  访问全球 Google API 的端点无法通过连接传播提供。

• 只有在 Private Service Connect 端点具有 Accepted 连接状态时，系统才会传播连接。

• 默认情况下，与传播的连接位于同一区域和 VPC 网络中的工作负载可以访问传播的连接。

• 您可以在端点上配置全球访问权限，以使该端点的传播连接可供传播连接 VPC spoke 的任何区域中的工作负载使用。

配额和限制

以下配额和限制适用于 Private Service Connect 连接传播：

• 使用方配额：每个 VPC 网络的 PSC 传播连接数配额限制可以在使用方 VPC 网络中提供的传播连接数。
• 提供方配额：每个提供方 VPC 网络的 PSC ILB 使用方转发规则数配额限制可以连接到提供方 VPC 网络的端点和传播连接数。
• 提供方连接数限制：每个已发布服务（服务连接）都有传播连接数限制，用于限制单个使用方可以与服务建立的传播连接数。如需详细了解此提供方配置，请参阅传播连接。

如果您无法访问传播连接，则可能是其中一种配额或连接限制在影响您的访问。如需了解详情，请参阅问题排查。

限制

传播的连接具有以下限制：

• 传播的连接不支持使用 IPv6 地址的端点。
• 传播连接不支持访问全球 Google API 的端点。
• 系统不会为混合 spoke 创建传播连接。

问题排查

如果您是无法访问传播端点的服务使用方，请让 Network Connectivity Center hub 管理员帮助您排查问题。hub 管理员拥有排查 Private Service Connect 连接传播错误所需的访问权限。

后续步骤

• 使用 hub 和 spoke。
• 通过端点访问已发布服务的简介。
• 通过端点访问已发布服务。