Pola jaringan arah selatan

Halaman ini berlaku untuk Apigee, tetapi tidak untuk Apigee Hybrid.

Baca dokumentasi Apigee Edge.

Dokumen ini menjelaskan cara menggunakan Private Service Connect (PSC) untuk membuat koneksi pribadi antara Apigee dan layanan target backend. Secara default, Anda dapat mengakses endpoint target secara global. Perhatikan bahwa traffic proxy API yang mengalir antara Apigee dan layanan target backend disebut sebagai traffic "southbound".

Langkah-langkah konfigurasi jaringan menuju selatan yang dijelaskan dalam dokumen ini berlaku untuk instance Apigee peered VPC dan non-VPC. Namun, perlu diperhatikan bahwa peering DNS pribadi hanya didukung untuk instance Apigee yang di-peering VPC.

Menghubungkan Apigee ke target backend secara pribadi

Untuk menghubungkan Apigee ke target backend secara pribadi, Anda harus membuat dua entity: lampiran layanan di jaringan VPC tempat target di-deploy dan lampiran endpoint di VPC Apigee. Kedua entity ini memungkinkan Apigee terhubung ke layanan target.

Gambar 1 mengilustrasikan arsitektur jaringan Apigee yang mendukung akses global untuk koneksi ke selatan di beberapa region:

Gambar 1: Arsitektur jaringan Apigee ke arah selatan.

Batasan

Di organisasi Apigee, satu lampiran endpoint diizinkan untuk lampiran layanan tertentu. Misalnya, anggap Anda memiliki 10 lampiran layanan yang mengekspos layanan target. Anda dapat membuat 10 lampiran endpoint di organisasi Apigee, satu untuk setiap lampiran layanan.

Contoh: Mengekspos layanan target ke Apigee

Contoh ini menunjukkan cara menggunakan PSC untuk mengaktifkan Apigee agar dapat berkomunikasi dengan layanan target yang berjalan di jaringan VPC yang tidak di-peering langsung dengan Apigee. Langkah-langkah dalam contoh ini menggunakan panggilan API gcloud dan Apigee untuk menyiapkan dan mengonfigurasi lampiran layanan di jaringan VPC tempat target di-deploy dan lampiran endpoint di VPC Apigee.

Contoh skenario

Contoh ini mempertimbangkan kasus saat Anda memiliki server web Apache yang di-deploy pada Grup Instance Terkelola (MIG) yang berjalan di VPC Anda. Agar dapat berkomunikasi dengan Apigee dalam konteks ini, kami mengekspos layanan melalui gateway masuk.

Menyiapkan load balancer

Siapkan load balancer di VPC tempat microservice yang ingin Anda ekspos berada:

  1. Buat variabel lingkungan berikut: 
    export PROJECT_ID=YOUR_PROJECT_ID
export IMAGE_PROJECT=debian-cloud
export IMAGE_FAMILY=debian-10
export BACKEND=foo
export REGION=us-west1
export ZONE=us-west1-a
export NETWORK=default
export SUBNET_NAME=default
  2. Buat template instance: 
    gcloud compute instance-templates create "$BACKEND" \
    --tags=psc-demo,http-server,https-server \
    --image-family "$IMAGE_FAMILY" --image-project "$IMAGE_PROJECT" \
    --network "$NETWORK" --subnet "$SUBNET_NAME" --region "$REGION" \
    --project "$PROJECT_ID" \
    --metadata startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>foo[/]: '\`/bin/hostname\`'</h1></body></html>' | sudo tee /var/www/html/index.html
    sudo mkdir /var/www/html/foo
    echo '<!doctype html><html><body><h1>foo[/foo]: '\`/bin/hostname\`'</h1></body></html>' | sudo tee /var/www/html/foo/index.html"
  3. Buat grup instance terkelola: 
    gcloud compute instance-groups managed create $BACKEND \
    --project $PROJECT_ID --base-instance-name $BACKEND \
    --size 1 --template $BACKEND --region $REGION
  4. Buat health check: 
    gcloud compute instance-groups managed set-named-ports $BACKEND \
    --project $PROJECT_ID --region $REGION --named-ports http:80
    gcloud compute health-checks create tcp hc-tcp-$BACKEND \
  --region=$REGION \
  --description="health check for psc backend" \
  --port-name=http --project=$PROJECT_ID
  5. Buat load balancer:
    1. Buat layanan backend: 
      gcloud compute backend-services create be-ilb \
    --load-balancing-scheme=internal \
    --protocol=tcp \
    --region=$REGION \
    --network=$NETWORK \
    --health-checks=hc-tcp-$BACKEND \
    --health-checks-region=$REGION \
    --project=$PROJECT_ID
    2. Tambahkan grup instance terkelola ke layanan backend: 
      gcloud compute backend-services add-backend be-ilb \
    --region=$REGION \
    --instance-group=$BACKEND \
    --instance-group-zone=$ZONE \
    --project=$PROJECT_ID
    3. Buat aturan penerusan: 
      gcloud compute forwarding-rules create fr-ilb \
    --region=$REGION \
    --load-balancing-scheme=internal \
    --network=$NETWORK \
    --subnet=$SUBNET_NAME \
    --ip-protocol=TCP \
    --ports=80 \
    --backend-service=be-ilb \
    --backend-service-region=$REGION \
    --project=$PROJECT_ID

Membuat lampiran layanan

Buat lampiran layanan PSC di jaringan VPC tempat layanan target di-deploy.

  1. Untuk melakukan tugas ini, Anda harus memiliki izin compute.subnetworks.create atau peran IAM Admin Jaringan Compute (roles/compute.networkAdmin).
  2. Buat subnet PSC dengan parameter purpose yang ditetapkan ke PRIVATE_SERVICE_CONNECT: 
    gcloud compute networks subnets create PSC_SUBNET_NAME \
  --network NETWORK --region=REGION --purpose=PRIVATE_SERVICE_CONNECT --range=RANGE
    gcloud compute --project=$PROJECT_ID firewall-rules create allow-psc-nat-80 \
  --direction=INGRESS --priority=1000 --network NETWORK --action=ALLOW --rules=tcp:80
  --source-ranges=RANGE --target-tags=psc-demo

    Untuk deskripsi mendetail tentang parameter perintah, lihat referensi Google Cloud CLI. Anda juga dapat melakukan langkah ini di Konsol atau dengan API.

    Contoh: 

    gcloud compute networks subnets create psc-subnet --network default \
--region=us-west1 --purpose=PRIVATE_SERVICE_CONNECT --range=10.100.0.0/28
  3. Buat lampiran layanan di jaringan VPC Anda:
    1. Dapatkan aturan penerusan dari load balancer internal. Anda akan menggunakan aturan ini di langkah berikutnya: 
      gcloud compute forwarding-rules list --project=PROJECT_ID

      Dengan PROJECT_ID sebagai project ID Google Cloud. Contoh: 

      gcloud compute forwarding-rules list --project=my-project
NAME                                                  REGION    IP_ADDRESS    IP_PROTOCOL  TARGET
k8s2-tcp-e61tta3j-apps-istio-ingressgateway-0kl92frk  us-west1  10.138.0.53   TCP
    2. Buat lampiran layanan: 
      gcloud compute service-attachments create PSC_NAME \
    --region=REGION --producer-forwarding-rule=PRODUCER_FORWARDING_RULE \
    --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=PSC_SUBNET_NAME --project=PROJECT_ID

      Parameter NAME harus berupa string dengan panjang karakter 1-63, yang hanya terdiri dari huruf kecil, angka, dan tanda hubung. Nama ini tidak boleh berisi angka di depan dan tanda hubung. Selain itu, nama tersebut tidak boleh memiliki tanda hubung di akhir. Guna mengetahui deskripsi mendetail untuk parameter untuk perintah ini, lihat referensi Google Cloud CLI.

      Contoh: 

      gcloud compute service-attachments create gkebackend \
    --region=us-west1 --producer-forwarding-rule=k8s2-tcp-e62tta1j-apps-istio-ingressgateway-0kl92frk \
    --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=psc-subnet --project=my-project

      Anda juga dapat melakukan langkah ini di UI Console. Misalnya, lihat Memublikasikan layanan dengan persetujuan project otomatis.

Membuat lampiran endpoint

Buat lampiran endpoint di organisasi Apigee. Anda dapat melakukan langkah ini dari command line atau UI lampiran Endpoint Apigee.

Prasyarat: Sebelum membuat lampiran endpoint, Anda harus memublikasikan layanan yang ingin diekspos menggunakan Private Service Connect (PSC) dengan membuat load balancer dan lampiran layanan, seperti yang dijelaskan sebelumnya dalam contoh ini. Untuk informasi selengkapnya tentang mengekspos layanan dengan PSC, lihat Memublikasikan layanan terkelola menggunakan Private Service Connect. Perhatikan bahwa lampiran layanan harus dikonfigurasi untuk menerima koneksi baru.

Command line

Buat lampiran endpoint di VPC Apigee dari command line:

  1. Dapatkan resource lampiran layanan: 
    gcloud compute service-attachments list

    Perintah akan menampilkan informasi lampiran layanan. Anda akan menggunakan informasi ini di langkah berikutnya. Contoh: 

    NAME       REGION   TARGET_SERVICE                                       CONNECTION_PREFERENCE
gkebackend us-west1 k8s2-tcp-tgysilgj-apps-istio-ingressgateway-fzdhwstg ACCEPT_AUTOMATIC
  2. Dapatkan token autentikasi untuk Apigee API: 
    TOKEN="$(gcloud auth print-access-token)"
  3. Gunakan Apigee API ini untuk membuat lampiran endpoint. Gunakan nilai yang ditampilkan dari perintah gcloud compute service-attachments list dalam isi permintaan:
    curl -X POST -H "Authorization: Bearer $TOKEN" -H "Content-Type:application/json" \
"https://apigee.googleapis.com/v1/organizations/ORGANIZATION/endpointAttachments?endpointAttachmentId=EA_NAME" \
-d '{
    "location": "REGION",
    "serviceAttachment": "projects/PROJECT_ID/regions/REGION/serviceAttachments/SA_NAME"
}'

    Dengan keterangan:

    • REGION adalah region dari lampiran layanan. Contoh: us-west1
    • ORGANIZATION adalah nama organisasi Apigee Anda.
    • PROJECT_ID adalah project Google Cloud tempat lampiran layanan dibuat.
    • EA_NAME adalah nama lampiran endpoint. Nama harus unik. Tidak boleh ada lampiran endpoint lain dengan nama yang sama, dan Anda tidak dapat mengubah namanya di lain waktu. Nama harus dimulai dengan huruf kecil, diikuti dengan maksimal 31 huruf kecil, angka, atau tanda hubung, tetapi tidak boleh diakhiri dengan tanda hubung. Panjang minimum adalah 2.
    • SA_NAME adalah nama lampiran layanan.

    Apigee memulai operasi yang berjalan lama. Setelah operasi selesai, Anda akan melihat respons seperti berikut: 

    {
  "name": "organizations/my-organization/operations/6e249895-e78e-48f0-a28f-7140e15e1676",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.apigee.v1.OperationMetadata",
    "operationType": "INSERT",
    "targetResourceName": "organizations/my-organization/endpointAttachments/gkebackend",
    "state": "FINISHED"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.apigee.v1.EndpointAttachment",
    "name": "organizations/my-organization/endpointAttachments/gkebackend",
    "location": "us-west1",
    "host": "7.0.3.4",
    "serviceAttachment": "projects/my-project/regions/us-west1/serviceAttachments/gkebackend"
  }
}

    Anda sekarang dapat menggunakan Alamat IP 7.0.3.4 yang ditampilkan dalam respons untuk terhubung ke layanan di belakang lampiran layanan, seperti yang ditunjukkan pada langkah berikutnya. Perhatikan bahwa 7.0.3.4 adalah IP publik yang digunakan secara pribadi (PUPI) yang ditetapkan oleh Apigee ke gateway masuk. URL ini tidak diiklankan di internet dan tidak ada layanan Google yang menggunakan IP dalam rentang ini secara internal.

  4. Menggunakan IP host lampiran layanan sebagai target proxy API. Contoh: 
    <TargetEndpoint name="default">
    <HTTPTargetConnection>
        <URL>http://7.0.3.4/orders</URL>
    </HTTPTargetConnection>
</TargetEndpoint>

UI Apigee

Buat lampiran endpoint di organisasi Apigee di UI Apigee:

  1. Di UI Apigee, buka Admin > Lampiran Endpoint.
  2. Klik + Lampiran Endpoint. Dialog lampiran Endpoint akan muncul.
  3. Masukkan nama untuk lampiran endpoint. Nama harus unik. Tidak boleh ada lampiran endpoint lain dengan nama yang sama, dan Anda tidak dapat mengubah namanya di lain waktu. Nama harus dimulai dengan huruf kecil, diikuti dengan maksimal 31 huruf kecil, angka, atau tanda hubung, tetapi tidak boleh diakhiri dengan tanda hubung. Panjang minimum adalah 2.
  4. Klik Next.
  5. Dari daftar dropdown Lampiran Layanan, pilih lampiran layanan yang akan dihubungkan.

    Perilaku UI bergantung pada izin Anda. Jika memiliki izin untuk mencantumkan region dan lampiran layanan, Anda cukup memilih lampiran layanan dari daftar dropdown. Jika Anda tidak memiliki izin untuk mencantumkan region, daftar statis region akan ditampilkan, dan Anda dapat memilih dari daftar tersebut. Jika tidak memiliki izin untuk mencantumkan lampiran layanan, Anda harus memasukkan namanya secara manual. dan nama lampiran layanannya. Perhatikan bahwa jika Anda tidak memiliki izin untuk mencantumkan wilayah, daftar statis wilayah akan ditampilkan agar dapat Anda pilih.

    Lokasi project ID Apigee yang diperlukan untuk konfigurasi lampiran layanan.

  6. Pastikan endpoint layanan dapat menerima koneksi. Untuk mengetahui langkah-langkahnya, lihat Memeriksa dan mengelola konektivitas lampiran.
  7. Klik Next.
  8. Klik Create. Operasi ini biasanya selesai dalam waktu satu atau dua menit.
  9. Untuk memeriksa status pembuatan saat ini, klik Muat ulang di halaman daftar.
  10. Menggunakan IP host lampiran layanan sebagai target proxy API. IP host muncul di UI Lampiran Endpoint saat proses pembuatan selesai, seperti yang ditunjukkan pada screenshot berikut:

    IP host lampiran layanan ditampilkan di UI lampiran Endpoint

    Contoh: 
    <TargetEndpoint name="default">
    <HTTPTargetConnection>
        <URL>http://7.0.5.2/orders</URL>
    </HTTPTargetConnection>
</TargetEndpoint>

Memeriksa dan mengelola konektivitas lampiran

Bagian ini menjelaskan cara memverifikasi bahwa lampiran layanan dapat mengakses lampiran endpoint dalam project Apigee Anda, dan cara mengubah preferensi koneksi jika Anda ingin mengubahnya.

  1. Ikuti langkah-langkah di bagian Membuat daftar layanan yang dipublikasikan untuk melihat daftar lampiran layanan dalam project Anda.
  2. Pilih lampiran layanan yang ingin dihubungkan seperti yang dijelaskan dalam artikel Melihat detail untuk layanan yang dipublikasikan.
  3. Pilih preferensi koneksi untuk lampiran layanan yang dipublikasikan. Private Service Connect menawarkan dua opsi yang dijelaskan di bawah. Jika Anda ingin mengubah preferensi koneksi saat ini, ikuti langkah-langkah di Mengubah preferensi koneksi untuk layanan yang dipublikasikan.
    • Otomatis terima semua koneksi: Lampiran layanan menerima lampiran endpoint dari project apa pun. Jika Anda memilih opsi ini, lampiran layanan akan dapat menerima koneksi dari lampiran endpoint dalam project Apigee. Tidak diperlukan konfigurasi lebih lanjut.
    • Terima koneksi dari project yang dipilih: Anda menentukan project yang lampiran layanannya akan menerima koneksi. Jika memilih opsi ini, Anda harus menambahkan project ID untuk project Apigee ke lampiran layanan. Anda dapat menemukan project ID Apigee dalam langkah Verify project connection di UI Endpoint attachment, seperti yang ditampilkan dalam screenshot ini:

      Lokasi project ID Apigee yang diperlukan untuk konfigurasi lampiran layanan.

      Anda juga dapat mengambil ID project Apigee menggunakan Apigee Organisasi API, yang menampilkan ID dalam kolom bernama apigeeProjectId.

  4. Jika Anda membuat perubahan pada preferensi koneksi, simpan perubahan.
  5. Di UI Apigee, buka Admin > Lampiran Endpoint. Anda juga dapat mencantumkan lampiran endpoint dengan Apigee Endpoints API.
  6. Dalam daftar lampiran, verifikasi Status Sambungan PSC sekarang adalah ACCEPTED. Jika kolom ini menampilkan status selain ACCEPTED, lihat Memecahkan masalah status koneksi PSC.

Mengelola lampiran endpoint

Apigee endpoint attachments API menyediakan metode untuk membuat, menghapus, mendapatkan, dan mencantumkan lampiran endpoint.

Lampiran endpoint listingan

Anda dapat melihat daftar lampiran endpoint di UI lampiran Endpoint Apigee atau dengan memanggil Apigee Endpoints API.

Untuk menampilkan daftar lampiran endpoint di UI Apigee:

  1. Di UI Apigee, buka Admin > Lampiran Endpoint.
  2. Lihat daftar lampiran endpoint.

Membuat lampiran endpoint

Untuk membuat lampiran endpoint di UI atau dengan Apigee Endpoints API, lihat Membuat lampiran endpoint.

Menghapus lampiran endpoint

Untuk menghapus endpoint menggunakan UI Apigee:

  1. Di UI Apigee, buka Admin > Lampiran Endpoint.
  2. Pilih Lampiran Endpoint yang akan dihapus.
  3. Klik Hapus Lampiran Endpoint.

Anda juga dapat menggunakan Apigee Endpoints API untuk mencantumkan, membuat, dan menghapus lampiran endpoint.

Peering DNS pribadi

Jika memiliki zona pribadi Cloud DNS yang dihosting di project Cloud yang di-peering dengan Apigee, Anda dapat mengonfigurasi peering DNS agar Apigee dapat me-resolve nama di zona pribadi Anda. Secara default, zona pribadi bersifat pribadi untuk jaringan VPC tempatnya dihosting. Untuk mengetahui langkah-langkah mengonfigurasi peering DNS antara zona DNS pribadi dan Apigee (produsen layanan), lihat Berbagi zona DNS pribadi dengan produsen layanan.

Pemecahan masalah

Masalah status koneksi PSC

Bagian ini menjelaskan kemungkinan solusi saat lampiran endpoint telah disediakan dan statusnya Aktif, tetapi status koneksi tidak Diterima. Beberapa kemungkinan status koneksi ditunjukkan dalam Gambar 2.

Gambar 2: Detail status lampiran endpoint

Status yang diberikan dapat membantu menunjukkan kemungkinan penyebabnya, seperti yang dijelaskan dalam tabel berikut:

Status koneksi Kemungkinan penyebab Solusi yang direkomendasikan
DITERIMA Lampiran layanan telah menerima koneksi dari endpoint koneksi. T/A
TERTUNDA Project ID Apigee mungkin tidak ada dalam daftar project yang diterima konsumen atau dalam daftar ditolak. Tambahkan project ID Apigee ke daftar penerimaan konsumen pada lampiran layanan. Lihat Mengubah preferensi koneksi untuk layanan yang dipublikasikan.
DITOLAK Project ID Apigee ada dalam daftar tolak konsumen. Hapus project ID Apigee dari daftar tolak konsumen dan tambahkan ke daftar terima konsumen di lampiran layanan. Lihat Mengelola permintaan akses ke layanan yang dipublikasikan.
BEKU Lampiran layanan untuk lampiran endpoint ini telah ditangguhkan atau dinonaktifkan. Jelaskan lampiran layanan untuk detailnya. Lihat Melihat detail untuk layanan yang dipublikasikan.
TUTUP Lampiran layanan untuk lampiran endpoint ini telah dihapus. Buat ulang lampiran layanan dan lampiran endpoint.
NEEDS_ATTENTION Lampiran endpoint telah diterima oleh lampiran layanan, tetapi ada masalah dengan lampiran layanan. Jelaskan lampiran layanan untuk detail lebih lanjut. Lihat Melihat detail untuk layanan yang dipublikasikan.
TIDAK TERSEDIA Status konektivitas tidak tersedia, yang dapat terjadi selama penyediaan. Tunggu beberapa menit untuk melihat apakah statusnya berubah.

Konfigurasi PSC dengan Apigee

Lihat playbook masalah konektivitas Apigee dengan target PSC menuju selatan.