1. 简介
在此 Codelab 中,您将部署一个内部 TCP 代理负载平衡器和混合网络端点组 (NEG),并将其发布为 PSC 生产者服务。NEG 将包含跨云自托管数据库(例如 JIRA、Confluence、Sharepoint)的 IP 地址和端口。
Private Service Connect 是 Google Cloud 网络的一项功能,允许使用方从其 VPC 网络内部以私密方式访问托管式服务。同样,它允许托管式服务提供方在其自己的 VPC 或跨云网络中托管这些服务,并为其使用方提供专用连接。例如,当您使用 Private Service Connect 访问跨云数据库时,您是服务提供方,而 Google (Agentspace) 是服务使用方。
学习内容
- Agentspace 的网络要求
- Agentspace 网络最佳实践
- 创建 Private Service Connect 提供方服务
所需条件
- 具有“所有者”权限的 Google Cloud 项目
2. 构建内容
您将建立一个提供方网络 agentspace-psc-demo,以部署内部 TCP 代理负载平衡器和通过 Private Service Connect (PSC) 发布为服务的混合 NEG。
3. 网络要求
下面是提供方网络的网络要求细分,此 Codelab 中的使用方是 Agentspace。
组件 | 说明 |
VPC (agentspace-psc-demo) | 自定义模式 VPC |
PSC NAT 子网 | 来自使用方 VPC 网络的数据包使用来源 NAT (SNAT) 进行转换,以便其原始的来源 IP 地址转换为来自提供方 VPC 网络中的 NAT 子网的来源 IP 地址。PSC NAT 支持每个服务连接使用一个 /29 子网。 |
PSC 转发规则子网 | 用于为区域级内部 TCP 代理负载平衡器分配 IP 地址。转发规则子网被视为常规子网。 |
代理专用子网 | 负载平衡器的每个代理 都分配有一个内部 IP 地址。从代理发送到后端虚拟机或网络端点组的数据包具有来自代理专用子网的来源 IP 地址。建议 使用 /23 子网,但最低支持 /26 子网。每个区域都需要一个区域级代理子网。 |
混合 NEG | 本地服务和其他云服务被视为与其他任何 Cloud Load Balancing 后端一样。主要区别在于使用混合连接 NEG 来配置这些后端的端点。端点必须是您的负载平衡器可以使用混合连接产品(如 Cloud VPN 或 Cloud Interconnect)访问的有效 IP:端口组合。 |
后端服务 | 后端服务充当负载平衡器与后端资源之间的桥梁。在本教程中,后端服务与混合 NEG 相关联。 |
4. 最佳实践
- AgentSpace 支持跨云访问部署在本地或计算资源(例如AWS EC2 和 Azure 虚拟机)时,会作为服务提供方发布。
- 传输到跨云数据库的流量将源自区域代理子网。因此,必须更新防火墙规则,以将此流量列入许可名单。
- 虽然 Cloud Router 路由器默认会通告代理专用子网,但请确认跨云网络已获知此子网。
- 验证 Agentspace VPC 网络是否已获知跨云数据库的子网或主机 IP 地址。
- 在创建服务连接之前,在提供方转发规则上启用全球访问权限。
- 在创建 Agentspace 端点时启用全球访问权限。
5. Codelab 拓扑
6. 设置和要求
自定进度的环境设置
- 登录 Google Cloud 控制台,然后创建一个新项目或重复使用现有项目。如果您还没有 Gmail 或 Google Workspace 账号,则必须创建一个。
- 项目名称是此项目参与者的显示名称。它是 Google API 尚未使用的字符串。您可以随时对其进行更新。
- 项目 ID 在所有 Google Cloud 项目中是唯一的,并且是不可变的(一经设置便无法更改)。Cloud 控制台会自动生成一个唯一字符串;通常情况下,您无需关注该字符串。在大多数 Codelab 中,您都需要引用项目 ID(通常用
PROJECT_ID标识)。如果您不喜欢生成的 ID,可以再随机生成一个 ID。或者,您也可以尝试自己的项目 ID,看看是否可用。完成此步骤后便无法更改该 ID,并且此 ID 在项目期间会一直保留。 - 此外,还有第三个值,即部分 API 使用的项目编号,供您参考。如需详细了解所有这三个值,请参阅文档。
- 接下来,您需要在 Cloud 控制台中启用结算功能,以便使用 Cloud 资源/API。运行此 Codelab 应该不会产生太多的费用(如果有的话)。若要关闭资源以避免产生超出本教程范围的结算费用,您可以删除自己创建的资源或删除项目。Google Cloud 新用户符合参与 300 美元免费试用计划的条件。
启动 Cloud Shell
虽然可以通过笔记本电脑对 Google Cloud 进行远程操作,但在此 Codelab 中,您将使用 Google Cloud Shell,这是一个在云端运行的命令行环境。
在 Google Cloud 控制台 中,点击右上角工具栏中的 Cloud Shell 图标:
预配和连接到环境应该只需要片刻时间。完成后,您应该会看到如下内容:
这个虚拟机已加载了您需要的所有开发工具。它提供了一个持久的 5 GB 主目录,并且在 Google Cloud 中运行,大大增强了网络性能和身份验证功能。您在此 Codelab 中的所有工作都可以在浏览器中完成。您无需安装任何程序。
7. 准备工作
启用 API
在 Cloud Shell 中,确保项目 ID 已设置:
gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=[YOUR-REGION]
zone=[YOUR-ZONE]
echo $project
echo $region
启用所有必要的服务:
gcloud services enable compute.googleapis.com
8. 创建提供方 VPC 网络
VPC 网络
在 Cloud Shell 中,执行以下操作:
gcloud compute networks create agentspace-psc-demo --subnet-mode custom
创建子网
PSC 子网将与 PSC 服务连接相关联,以实现网络地址转换。
在 Cloud Shell 中,创建 PSC NAT 子网:
gcloud compute networks subnets create producer-psc-nat-subnet --network agentspace-psc-demo --range 172.16.10.0/28 --region $region --purpose=PRIVATE_SERVICE_CONNECT
在 Cloud Shell 中,创建提供方转发规则子网:
gcloud compute networks subnets create producer-psc-fr-subnet --network agentspace-psc-demo --range 172.16.20.0/28 --region $region --enable-private-ip-google-access
在 Cloud Shell 中,创建提供方区域代理专用子网,该子网会被跨云数据库视为源 IP。
gcloud compute networks subnets create $region-proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=$region \
--network=agentspace-psc-demo \
--range=10.10.10.0/24
预留负载均衡器的 IP 地址
在 Cloud Shell 中,为负载平衡器预留内部 IP 地址:
gcloud compute addresses create hybrid-neg-lb-ip \
--region=$region \
--subnet=producer-psc-fr-subnet
在 Cloud Shell 中,查看预留的 IP 地址。
gcloud compute addresses describe hybrid-neg-lb-ip \
--region=$region | grep -i address:
输出示例:
gcloud compute addresses describe hybrid-neg-lb-ip --region=$region | grep -i address:
address: 172.16.20.2
设置混合 NEG
创建混合 NEG,并将 –network-endpoint-type 设置为 NON_GCP_PRIVATE_IP_PORT
在 Cloud Shell 中,创建一个用于访问本地数据库的混合 NEG:
gcloud compute network-endpoint-groups create on-prem-hybrid-neg \
--network-endpoint-type=NON_GCP_PRIVATE_IP_PORT \
--network=agentspace-psc-demo \
--zone=$zone
在 Cloud Shell 中,根据参考架构,使用跨云数据库的 IP:端口 (192.168.10.10 和端口 443) 更新混合 NEG:
gcloud compute network-endpoint-groups update on-prem-hybrid-neg \
--add-endpoint=ip=192.168.10.10,port=443 \
--zone=$zone
创建区域性健康检查
在 Cloud Shell 中,创建一个探测本地数据库端口 443 的健康检查:
gcloud compute health-checks create tcp on-prem-443-healthcheck \
--region=$region \
--port=443
创建网络防火墙政策和防火墙规则
在 Cloud Shell 中,执行以下操作:
gcloud compute network-firewall-policies create agentspace-psc-demo-policy --global
gcloud compute network-firewall-policies associations create --firewall-policy agentspace-psc-demo-policy --network agentspace-psc-demo --name agentspace-psc-demo --global-firewall-policy
以下防火墙规则允许 PSC NAT 子网范围内的流量传输到网络中的所有实例。
在 Cloud Shell 中,执行以下操作:
gcloud compute network-firewall-policies rules create 2001 --action ALLOW --firewall-policy agentspace-psc-demo-policy --description "allow traffic from PSC NAT subnet" --direction INGRESS --src-ip-ranges 172.16.10.0/28 --global-firewall-policy --layer4-configs=tcp
9. 创建提供方服务
创建负载平衡器组件
在 Cloud Shell 中,创建后端服务:
gcloud compute backend-services create producer-backend-svc --region=$region --load-balancing-scheme=INTERNAL_MANAGED --protocol=TCP --region=$region --health-checks=on-prem-443-healthcheck --health-checks-region=$region
在 Cloud Shell 中,将混合 NEG 后端添加到后端服务:
gcloud compute backend-services add-backend producer-backend-svc --network-endpoint-group=on-prem-hybrid-neg --network-endpoint-group-zone=$zone --balancing-mode=CONNECTION --max-connections=100 --region=$region
在 Cloud Shell 中,创建目标 TCP 代理以将请求路由到后端服务:
gcloud compute target-tcp-proxies create producer-lb-tcp-proxy \
--backend-service=producer-backend-svc \
--region=$region
在以下语法中,创建启用了全球访问权限的转发规则(内部 TCP 代理负载平衡器)。
在 Cloud Shell 中,执行以下操作:
gcloud compute forwarding-rules create producer-hybrid-neg-fr \
--load-balancing-scheme=INTERNAL_MANAGED \
--network-tier=PREMIUM \
--network=agentspace-psc-demo \
--subnet=producer-psc-fr-subnet \
--address=hybrid-neg-lb-ip \
--target-tcp-proxy=producer-lb-tcp-proxy \
--target-tcp-proxy-region=$region \
--region=$region \
--allow-global-access \
--ports=443
创建服务连接
如需发布服务,您必须创建服务连接。您可以使用自动批准或显式批准发布服务。
- 如需发布服务并自动允许任何使用方连接到该服务,请按照通过自动批准发布服务中的说明操作。
- 如需发布使用显式使用方批准的服务,请在服务连接连接设置中选择“接受选定项目的连接”,并将“接受的项目”字段留空。
- 生成服务连接后,请求访问提供方服务的使用方端点最初会进入待处理状态。如需授权连接,提供方必须接受使用方端点请求的来源项目。
在 Cloud Shell 中,创建具有自动审批功能的 cc-database1-svc-attachment 服务连接:
gcloud compute service-attachments create cc-database1-svc-attachment --region=$region --producer-forwarding-rule=producer-hybrid-neg-fr --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=producer-psc-nat-subnet
接下来,获取并记下 selfLink URI(以“projects”开头)中列出的服务连接,以便在 Agentspace 中配置 PSC 端点。
selfLink: projects/<your-project-id>/regions/<your-region>/serviceAttachments/cc-database1-svc-attachment
在 Cloud Shell 中,执行以下操作:
gcloud compute service-attachments describe cc-database1-svc-attachment --region=$region
预期输出示例:
connectionPreference: ACCEPT_AUTOMATIC
creationTimestamp: '2025-07-06T16:05:14.706-07:00'
description: ''
enableProxyProtocol: false
fingerprint: rXjeAOjb41k=
id: '1726139744351862725'
kind: compute#serviceAttachment
name: cc-database1-svc-attachment
natSubnets:
- https://www.googleapis.com/compute/v1/projects/$project/regions/us-central1/subnetworks/producer-psc-nat-subnet
pscServiceAttachmentId:
high: '54619734758392808'
low: '1726139744351862725'
reconcileConnections: false
region: https://www.googleapis.com/compute/v1/projects/$project/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$project/regions/us-central1/serviceAttachments/cc-database1-svc-attachment
targetService: https://www.googleapis.com/compute/v1/projects/$project/regions/us-central1/forwardingRules/producer-hybrid-neg-fr
在 Cloud 控制台中,前往:
网络服务 → Private Service Connect → 已发布的服务
10. 在 Agentspace 中建立 PSC 端点连接
在将 Producer Service Attachment 与 Agentspace 相关联之前,请确保完成以下验证:
- 跨云网络防火墙将区域级代理子网列入许可名单。
- 跨云网络已获知区域代理子网。
- Agentspace VPC 已获知跨云数据库子网或主机 IP。
将提供方服务连接 URI 与 Agentspace 相关联,确保选择“全局访问”。以下示例展示了如何通过参考架构服务附件启用全球访问权限。
如需完成专用网络设置,请参阅 Agentspace 第三方数据源,了解更多说明。
在 Cloud 控制台中验证 PSC 端点
如需确认代理空间(使用方)与提供方之间的 PSC 连接是否成功,请验证与提供方服务相关联的代理空间租户项目。您可以在“关联的项目”下找到此信息。租户项目 ID 是随机分配的,但始终以“tp”结尾。
您可以在 Cloud 控制台中验证 PSC 连接。在 Cloud 控制台中,前往:
依次选择“网络服务”→“Private Service Connect”→“已发布的服务”,然后选择服务“cc-database1-svc-attachment”。
11. 清理
从单个 Cloud Shell 终端删除实验组件
gcloud compute service-attachments delete cc-database1-svc-attachment --region=$region -q
gcloud compute forwarding-rules delete producer-hybrid-neg-fr --region=$region -q
gcloud compute target-tcp-proxies delete producer-lb-tcp-proxy --region=$region -q
gcloud compute backend-services delete producer-backend-svc --region=$region -q
gcloud compute network-firewall-policies rules delete 2001 --firewall-policy agentspace-psc-demo-policy --global-firewall-policy -q
gcloud compute network-firewall-policies associations delete --firewall-policy=agentspace-psc-demo-policy --name=agentspace-psc-demo --global-firewall-policy -q
gcloud compute network-firewall-policies delete agentspace-psc-demo-policy --global -q
gcloud compute network-endpoint-groups delete on-prem-hybrid-neg --zone=$zone -q
gcloud compute addresses delete hybrid-neg-lb-ip --region=$region -q
gcloud compute networks subnets delete $region-proxy-only-subnet --region=$region -q
gcloud compute networks subnets delete producer-psc-nat-subnet --region=$region -q
gcloud compute networks subnets delete producer-psc-fr-subnet --region=$region -q
gcloud compute health-checks delete on-prem-443-healthcheck --region=us-central1 -q
gcloud compute networks delete agentspace-psc-demo -q
12. 恭喜
恭喜!您已成功配置并发布了使用 Private Service Connect 的提供方服务。
您创建了 Producer 基础架构,学习了如何创建混合 NEG、Producer 服务以及如何将服务附件与 Agentspace 相关联。
Cosmopup 认为 Codelab 非常棒!
后续操作
查看下列 Codelab…
- 使用 Private Service Connect 发布和使用服务
- 使用 Private Service Connect 和内部 TCP 代理负载平衡器通过混合网络连接到本地服务
- 访问所有已发布的 Private Service Connect Codelab