Ringkasan
Peering VPC berfungsi dengan mengonfigurasi VPC untuk berkomunikasi satu sama lain. Jika sumber Anda berada dalam project Google Cloud yang sama di AlloyDB atau Compute Engine, tujuan dapat berkomunikasi dengan sumber secara langsung. Jika sumber Anda berada dalam VPN (misalnya, di AWS, atau VPN lokal Anda sendiri), konfigurasikan VPN sumber dan Google Cloud VPN agar dapat berfungsi bersama. Untuk mengetahui informasi selengkapnya, lihat menghubungkan VPC melalui VPN.Rantai VPC tidak didukung. Jika sumber Anda berada di project Google Cloud yang berbeda, lihat Ringkasan VPC Bersama untuk mempelajari cara menghubungkan resource dari beberapa project ke jaringan VPC umum untuk peering VPC.
Firewall server database sumber harus dikonfigurasi untuk mengizinkan seluruh rentang IP internal yang dialokasikan untuk koneksi layanan pribadi dari jaringan VPC yang akan digunakan oleh instance tujuan AlloyDB.
Untuk menemukan rentang IP internal di konsol:
Buka halaman jaringan VPC di konsol Google Cloud .
Pilih jaringan VPC yang ingin Anda gunakan.
Pilih tab PRIVATE SERVICE CONNECTION.
pg_hba.conf
atau definisi grup keamanan di AWS RDS pada database sumber telah diupdate untuk menerima koneksi dari
rentang alamat IP VPC AlloyDB.
Peering VPC menggunakan akses layanan pribadi,
yang harus dikonfigurasi satu kali untuk setiap project yang menggunakan peering VPC. Setelah Anda
membuat private services access, uji
tugas migrasi untuk memverifikasi konektivitas.
Mengonfigurasi akses layanan pribadi untuk Database Migration Service
Jika menggunakan IP pribadi untuk instance Database Migration Service, Anda hanya perlu mengonfigurasi akses layanan pribadi satu kali untuk setiap project Google Cloud yang memiliki atau perlu terhubung ke instance Database Migration Service.
Menetapkan akses layanan pribadi memerlukan
peran IAM compute.networkAdmin. Setelah akses layanan pribadi ditetapkan untuk jaringan, Anda tidak lagi memerlukan peran IAM compute.networkAdmin untuk mengonfigurasi instance agar menggunakan IP pribadi.
Akses layanan pribadi mengharuskan Anda mengalokasikan rentang alamat IP internal terlebih dahulu, lalu membuat koneksi pribadi, lalu mengekspor rute kustom.
Rentang yang dialokasikan adalah blok CIDR yang dipesan, yang tidak dapat digunakan di jaringan VPC lokal Anda. Saat membuat koneksi pribadi, Anda menentukan alokasi. Koneksi pribadi menautkan jaringan VPC Anda dengan jaringan VPC ("produsen layanan") yang mendasarinya.
Saat Anda membuat koneksi pribadi, jaringan VPC dan jaringan produsen layanan hanya bertukar rute subnet. Anda harus mengekspor rute kustom jaringan VPC agar jaringan penyedia layanan dapat mengimpornya dan merutekan traffic dengan benar ke jaringan lokal Anda.
Konfigurasi peering menetapkan intent untuk terhubung ke jaringan VPC lain. Jaringan Anda dan jaringan lainnya tidak terhubung hingga masing-masing memiliki konfigurasi peering untuk jaringan yang lain. Setelah jaringan lain memiliki konfigurasi yang sesuai untuk melakukan peering dengan jaringan Anda, status peering berubah menjadi AKTIF di kedua jaringan, dan keduanya terhubung. Jika tidak ada konfigurasi peering yang cocok di jaringan lain, status peering tetap TIDAK AKTIF, yang menunjukkan bahwa jaringan Anda tidak terhubung ke jaringan lainnya.
Setelah terhubung, kedua jaringan selalu bertukar rute subnet. Secara opsional, Anda dapat mengimpor rute kustom statis dan dinamis dari jaringan yang di-peering jika telah dikonfigurasi untuk mengekspornya
Terdapat dua bagian dalam proses konfigurasi akses layanan pribadi:
- Mengalokasikan rentang alamat IP. Rentang ini mencakup semua instance Anda.
- Membuat koneksi pribadi dari jaringan VPC Anda ke jaringan produsen layanan.
Mengalokasikan rentang alamat IP
Konsol
- Buka halaman jaringan VPC di konsol Google Cloud .
- Pilih jaringan VPC yang ingin Anda gunakan.
- Pilih tab Koneksi layanan pribadi.
- Pilih tab Rentang IP yang dialokasikan untuk layanan.
- Klik Alokasikan rentang IP.
Untuk Nama rentang yang dialokasikan, tentukan
google-managed-services-VPC_NETWORK_NAME, denganVPC_NETWORK_NAMEadalah nama jaringan VPC yang Anda hubungkan (misalnya,google-managed-services-default). Deskripsi bersifat opsional.Klik ALLOCATE untuk membuat rentang yang dialokasikan.
gcloud
Lakukan salah satu hal berikut:
Untuk menentukan rentang alamat IP dan panjang awalan (subnet mask), gunakan flag
addressesdanprefix-length. Misalnya, untuk mengalokasikan blok CIDR192.168.0.0/16, tentukan192.168.0.0untuk alamat dan16untuk panjang awalan.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]Untuk hanya menentukan panjang awalan (subnet mask), cukup gunakan flag
prefix-length. Saat Anda menghilangkan rentang alamat IP, Google Cloud akan otomatis memilih rentang alamat IP yang tidak digunakan di jaringan VPC Anda. Contoh berikut memilih rentang alamat IP yang tidak digunakan dengan panjang awalan bit16.gcloud compute addresses create google-managed-services-[VPC_NETWORK_NAME] \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --network=[VPC_NETWORK_NAME]
Ganti [VPC_NETWORK_NAME] dengan nama jaringan VPC Anda, seperti my-vpc-network.
Contoh berikut mengalokasikan rentang IP yang memungkinkan resource dalam jaringan VPC my-vpc-network untuk terhubung ke instance Database Migration Service menggunakan IP pribadi.
gcloud compute addresses create google-managed-services-my-vpc-network \
--global \
--purpose=VPC_PEERING \
--prefix-length=16 \
--network=my-vpc-network \
--project=my-project
Membuat koneksi pribadi
Konsol
- Buka halaman jaringan VPC di konsol Google Cloud .
- Pilih jaringan VPC yang ingin Anda gunakan.
- Pilih tab Koneksi layanan pribadi.
- Pilih tab Koneksi pribadi ke layanan.
- Klik Create connection untuk membuat koneksi pribadi antara jaringan Anda dan produsen layanan.
- Untuk Alokasi yang ditetapkan, pilih satu atau beberapa rentang yang sudah dialokasikan dan tidak digunakan oleh produsen layanan lainnya, lalu klik OK.
- Klik HUBUNGKAN untuk membuat koneksi.
gcloud
Membuat koneksi pribadi
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=google-managed-services-[VPC_NETWORK_NAME] \ --network=[VPC_NETWORK_NAME] \ --project=[PROJECT_ID]Ganti
[VPC_NETWORK_NAME]dengan nama jaringan VPC Anda dan[PROJECT_ID]dengan ID project yang berisi jaringan VPC Anda.Perintah tersebut memulai operasi yang berjalan lama, dan menampilkan nama operasi.
Periksa apakah operasi tersebut berhasil.
gcloud services vpc-peerings operations describe \ --name=[OPERATION_NAME]Ganti
[OPERATION_NAME]dengan nama operasi yang ditampilkan dari langkah sebelumnya.
Anda dapat menentukan lebih dari satu rentang IP yang dialokasikan saat membuat koneksi pribadi. Misalnya, jika rentang sudah habis, Anda dapat menetapkan rentang tambahan yang dialokasikan. Layanan tersebut menggunakan alamat IP dari semua rentang yang tersedia sesuai urutan yang Anda tetapkan.
Mengekspor rute kustom
Perbarui koneksi Peering Jaringan VPC yang ada untuk mengubah apakah jaringan VPC Anda mengekspor atau mengimpor rute kustom ke atau dari jaringan VPC peer.
Jaringan Anda hanya mengimpor rute kustom jika jaringan peer juga mengekspor rute kustom, dan jaringan peer hanya menerima rute kustom jika jaringan Anda mengimpornya.
Konsol
- Buka halaman Peering Jaringan VPC di konsol Google Cloud .
Buka halaman Peering Jaringan VPC - Pilih koneksi peering yang akan diupdate.
- Klik EDIT.
- Perbarui setelan rute kustom Anda dengan memilih atau membatalkan pilihan Impor rute kustom atau Ekspor rute kustom.
- Klik SIMPAN.
gcloud
Perbarui koneksi peering untuk mengubah setelan impor atau ekspor untuk rute kustom.
gcloud compute networks peerings update [PEERING-NAME] \
--network=[MY-LOCAL-NETWORK] \
[--[no-]import-custom-routes] \
[--[no-]export-custom-routes]
Memberikan peran roles/servicenetworking.serviceAgent
gcloud beta services identity create \
--service=servicenetworking.googleapis.com \
--project=project-id
gcloud projects add-iam-policy-binding project-id \
--member="service-account-prefix@service-networking.iam.gserviceaccount.com" \
--role="roles/servicenetworking.serviceAgent"