Mengaktifkan akses layanan pribadi

Sebagai produsen layanan, Anda dapat mengizinkan konsumen layanan untuk menyediakan resource dengan alamat IP pribadi (RFC 1918) atau alamat IP publik. Jika konsumen layanan ingin menggunakan alamat IP pribadi, mereka harus menggunakan akses layanan pribadi. Namun, konsumen layanan hanya dapat menggunakan akses layanan pribadi jika layanan terkelola Anda menawarkannya. Untuk menawarkan konektivitas pribadi, Anda harus menyelesaikan proses aktivasi satu kali.

Proses orientasi mengharuskan Anda menggunakan Service Networking API dan unit tenancy. Untuk petunjuk langkah demi langkah yang mendetail, hubungi perwakilan Google Anda.

Ringkasan

Bagian berikut menjelaskan komponen dan topologi jaringan umum yang diperlukan untuk mengaktifkan akses layanan pribadi untuk layanan terkelola Anda.

Unit tenant

Saat konsumen layanan mengaktifkan layanan terkelola Anda, layanan tersebut akan membuat unit tenancy untuk memformalkan hubungan antara organisasi Google Cloud Anda dan project konsumen layanan. Unit tenant mengisolasi resource dan biaya penagihan antara konsumen layanan yang berbeda.

Untuk setiap konsumen layanan, Anda akan memiliki dua unit tenant. Satu untuk layanan terkelola dan satu lagi untuk layanan pengelolaan akses pribadi. Layanan terkelola adalah layanan eksternal yang Anda tawarkan kepada konsumen layanan, dan layanan pengelolaan akses pribadi mengelola koneksi pribadi dengan jaringan VPC konsumen layanan. Unit tenancy ini harus berada dalam organisasi Google Cloud yang sama tempat layanan terkelola Anda berada.

Service Networking

Service Networking mengotomatiskan penyiapan konektivitas pribadi (menggunakan Peering Jaringan VPC) antara Anda dan konsumen layanan. Anda mengaktifkan dan menggunakan Service Networking di project yang sama tempat Anda membuat layanan pengelolaan akses pribadi. Ini adalah project yang berbeda dengan project yang berisi layanan terkelola Anda.

Ketika konsumen layanan membuat koneksi pribadi dengan layanan terkelola Anda, Jaringan Layanan akan membuat project host VPC Bersama dan Jaringan VPC Bersama untuk Anda. Project host dan jaringan dibuat dalam folder Google Cloud standar di organisasi Anda. Anda menentukan nama folder ini sebagai bagian dari proses orientasi. Project dan jaringan dimuat dalam unit tenancy, sehingga terpisah dan hanya dapat digunakan oleh konsumen layanan tersebut.

Setelah Service Networking membuat jaringan VPC Bersama, Service Networking secara otomatis membuat koneksi Peering Jaringan VPC antara jaringan VPC Bersama dan jaringan VPC layanan yang ditentukan konsumen.

Konsumen layanan juga harus menyediakan rentang alamat IP yang dialokasikan saat mereka membuat koneksi pribadi. Alokasi ini mencadangkan alamat IP yang hanya dapat digunakan oleh Anda, pembuat layanan. Misalnya, saat konsumen layanan menyediakan resource, Anda menggunakan Jaringan Layanan untuk membuat subnet di jaringan VPC Bersama. Untuk rentang alamat IP subnet, Service Networking secara otomatis memilih rentang dari rentang yang dialokasikan. Proses ini mencegah benturan antara jaringan VPC Bersama dan jaringan VPC konsumen layanan.

Project layanan VPC Bersama

Ketika layanan Anda menyediakan resource konsumen layanan untuk pertama kalinya, layanan terkelola Anda akan menyediakannya dalam project layanan VPC Bersama, yang dilampirkan ke project host Jaringan Layanan. Hubungan VPC Bersama ini memungkinkan resource dalam project layanan menggunakan subnet dalam jaringan VPC Bersama.

Layanan terkelola Anda membuat project layanan dalam unit tenancy dan folder yang telah ditetapkan, yang ditentukan selama proses orientasi. Folder dan unit tenancy terkait dengan layanan terkelola Anda dan berbeda dengan yang digunakan oleh Service Networking.

Topologi jaringan

Contoh berikut menunjukkan satu konsumen layanan yang memiliki konektivitas pribadi ke satu produsen layanan. Konsumen layanan menyediakan dua resource di region berbeda. Karena setiap resource berada di region yang berbeda, mereka berada di subnet yang berbeda.

Ringkasan Jaringan Layanan untuk produsen layanan (klik untuk memperbesar)
  • Ada dua project Endpoint: satu untuk layanan terkelola dan satu lagi untuk layanan pengelolaan akses pribadi. Akun ini harus berada dalam organisasi Google Cloud yang sama.

  • Dalam organisasi Google Cloud, ada dua folder, satu untuk setiap layanan Endpoint. Folder layanan pengelolaan akses pribadi berisi project host VPC Bersama untuk koneksi pribadi. Folder layanan terkelola berisi project layanan untuk resource konsumen layanan.

    • Di setiap folder, project terkait konsumen layanan dimuat dalam unit tenancy. Kedua unit tenant dikaitkan dengan consumer-project-a.
  • Konsumen layanan harus memulai koneksi pribadi (yang juga merupakan koneksi Peering Jaringan VPC). Parameter ini harus menyediakan rentang alamat IP yang dialokasikan untuk koneksi pribadi tempat alamat IP subnet berasal. Untuk informasi selengkapnya tentang langkah-langkah konsumen layanan, lihat Mengonfigurasi Akses Layanan Pribadi.

    • Jika Anda menawarkan beberapa layanan, konsumen layanan hanya memerlukan satu koneksi pribadi. Semua traffic ke dan dari konsumen layanan melewati project host VPC Bersama.
  • Dalam satu project konsumen layanan, beberapa jaringan VPC dapat terhubung secara pribadi ke layanan Anda. Tindakan ini memerlukan project host VPC Bersama untuk setiap jaringan VPC yang terhubung. Namun, semua project tersebut dapat dimuat dalam unit tenant consumer-project-a yang sama.

  • Dalam project host, Anda harus mengonfigurasi aturan dan rute firewall untuk mengaktifkan konektivitas ke resource baru. Karena layanan lain dapat menggunakan jaringan VPC Bersama yang sama, aturan ini dapat mengizinkan atau menolak konektivitas antara layanan Anda yang berbeda.

Proses orientasi

Daftar berikut adalah garis besar umum proses orientasi. Anda harus menyelesaikan proses ini untuk setiap layanan terkelola yang akan menawarkan konektivitas pribadi. Hubungi perwakilan Google Anda untuk mendapatkan informasi selengkapnya.

  1. Membuat layanan pengelolaan peering.

    Ini adalah layanan terkelola yang dibuat oleh pembuat layanan melalui Service Management dan Endpoints API. Untuk informasi selengkapnya, hubungi perwakilan Google Anda.

  2. Berikan informasi konfigurasi berikut kepada perwakilan Google Anda:

    • Rentang alamat IP minimum yang harus dialokasikan oleh konsumen layanan saat mereka terhubung dengan Anda, yang ditetapkan sebagai panjang awalan IPv4. Jika menawarkan beberapa layanan, Anda mungkin ingin pengguna mengalokasikan rentang alamat IP yang lebih besar, seperti /16.
    • ID folder tempat layanan pengelolaan akses pribadi Anda membuat project host VPC Bersama. Gunakan Resource Manager untuk menemukan ID folder.
    • Akun penagihan yang terkait dengan organisasi tempat layanan pengelolaan akses pribadi Anda membuat project host VPC Bersama.
    • Entity utama (biasanya adalah ID akun layanan) yang mengelola aturan firewall jaringan project host.
  3. Aktifkan Compute Engine API.

    Untuk setiap project host VPC Bersama, aktifkan compute.googleapis.com API, yang dapat Anda lakukan menggunakan Service Usage API atau dalam konfigurasi project.

    Setelah resource disediakan, konfigurasi aturan firewall untuk jaringan VPC Bersama di project host. Anda harus menggunakan identitas yang diberikan selama proses orientasi agar dapat mengakses jaringan VPC. Jika Anda menawarkan layanan lain, layanan tersebut mungkin menggunakan jaringan VPC yang sama. Jangan membuat aturan yang mungkin secara tidak sengaja mengizinkan atau menolak traffic ke layanan lain.

  4. Memberi tahu konsumen layanan.

    Menginformasikan konsumen layanan bahwa mereka harus membuat koneksi pribadi. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi Akses Layanan Pribadi. Konsumen layanan harus memberikan informasi berikut:

    • Nama project dan jaringan tempat mereka ingin menetapkan konektivitas pribadi.
    • Region Cloud tempat resource harus disediakan.

Langkah selanjutnya