Mengaktifkan akses layanan pribadi

Sebagai produsen layanan, Anda dapat mengizinkan konsumen layanan menyediakan resource dengan alamat IP pribadi (RFC 1918) atau publik. Jika konsumen layanan ingin menggunakan alamat IP pribadi, mereka harus menggunakan akses layanan pribadi. Namun, konsumen layanan hanya dapat menggunakan akses layanan pribadi jika layanan terkelola Anda menawarkannya. Untuk menawarkan konektivitas pribadi, Anda harus menyelesaikan proses aktivasi satu kali.

Proses aktivasi mengharuskan Anda menggunakan Service Networking API dan unit tenancy. Untuk petunjuk langkah demi langkah yang mendetail, hubungi perwakilan Google Anda.

Ringkasan

Bagian berikut menjelaskan komponen dan topologi jaringan umum yang diperlukan untuk mengaktifkan akses layanan pribadi untuk layanan terkelola Anda.

Unit tenancy

Saat konsumen layanan mengaktifkan layanan terkelola, layanan akan membuat unit tenancy untuk meresmikan hubungan antara organisasi Google Cloud Anda dan project konsumen layanan. Unit tenancy mengisolasi resource dan biaya penagihan di antara konsumen layanan yang berbeda.

Untuk setiap konsumen layanan, Anda akan memiliki dua unit tenancy. Satu untuk layanan terkelola Anda dan satu lagi untuk layanan pengelolaan akses pribadi. Layanan terkelola adalah layanan eksternal yang Anda tawarkan kepada konsumen layanan, dan layanan pengelolaan akses pribadi mengelola koneksi pribadi dengan jaringan VPC konsumen layanan. Unit sewa ini harus berada di organisasi Google Cloud yang sama dengan tempat layanan terkelola Anda berada.

Service Networking

Service Networking mengotomatiskan penyiapan konektivitas pribadi (menggunakan Peering Jaringan VPC) antara Anda dan konsumen layanan. Anda mengaktifkan dan menggunakan Jaringan Layanan di project yang sama dengan tempat Anda membuat layanan pengelolaan akses pribadi. Project ini berbeda dengan project yang berisi layanan terkelola Anda.

Saat konsumen layanan membuat koneksi pribadi dengan layanan terkelola Anda, Jaringan Layanan akan membuat project host VPC Bersama dan jaringan VPC Bersama untuk Anda. Project dan jaringan host dibuat di folder Google Cloud yang telah ditetapkan sebelumnya di organisasi Anda. Anda menentukan nama folder ini sebagai bagian dari proses orientasi. Project dan jaringan berisi dalam unit sewa, sehingga terisolasi dan hanya dapat digunakan oleh konsumen layanan tersebut.

Setelah Jaringan Layanan membuat jaringan VPC Bersama, Jaringan Layanan akan otomatis membuat koneksi VPC Networking Peering antara jaringan VPC Bersama dan jaringan VPC yang ditentukan konsumen layanan.

Konsumen layanan juga harus memberikan rentang alamat IP yang dialokasikan saat mereka membuat koneksi pribadi. Alokasi ini mencadangkan alamat IP yang hanya dapat digunakan oleh Anda, produsen layanan. Misalnya, saat konsumen layanan menyediakan resource, Anda menggunakan Jaringan Layanan untuk membuat subnet di jaringan VPC Bersama. Untuk rentang alamat IP subnet, Jaringan Layanan akan otomatis memilih rentang dari rentang yang dialokasikan. Proses ini mencegah konflik antara jaringan VPC Bersama dan jaringan VPC konsumen layanan.

Project layanan VPC Bersama

Saat layanan Anda menyediakan resource konsumen layanan untuk pertama kalinya, layanan terkelola Anda akan menyediakannya di project layanan VPC Bersama, yang dilampirkan ke project host Jaringan Layanan. Hubungan VPC Bersama ini memungkinkan resource dalam project layanan menggunakan subnet di jaringan VPC Bersama.

Layanan terkelola Anda membuat project layanan di unit tenancy dan folder yang telah ditetapkan sebelumnya, yang ditentukan selama proses aktivasi. Folder dan unit tenancy terkait dengan layanan terkelola Anda dan berbeda dengan unit yang digunakan oleh Service Networking.

Topologi jaringan

Contoh berikut menunjukkan satu konsumen layanan yang memiliki konektivitas pribadi ke satu produsen layanan. Konsumen layanan menyediakan dua resource di region yang berbeda. Karena setiap resource berada di region yang berbeda, resource tersebut berada di subnet yang berbeda.

Ringkasan Jaringan Layanan untuk produsen layanan (klik untuk memperbesar)

  • Ada dua project Endpoint: satu untuk layanan terkelola dan satu lagi untuk layanan pengelolaan akses pribadi. Project ini harus berada dalam organisasi Google Cloud yang sama.

  • Dalam organisasi Google Cloud, ada dua folder, satu untuk setiap layanan Endpoints. Folder layanan pengelolaan akses pribadi berisi project host VPC Bersama untuk koneksi pribadi. Folder layanan terkelola berisi project layanan untuk resource konsumen layanan.

    • Di setiap folder, project terkait konsumen layanan terdapat dalam unit tenancy. Kedua unit tenancy dikaitkan dengan consumer-project-a.

  • Konsumen layanan harus memulai koneksi pribadi (yang juga merupakan koneksi Peering Jaringan VPC). Mereka harus menyediakan rentang alamat IP yang dialokasikan untuk koneksi pribadi tempat alamat IP subnet berasal. Untuk mengetahui informasi selengkapnya tentang langkah-langkah konsumen layanan, lihat Mengonfigurasi Akses Layanan Pribadi.

    • Jika Anda menawarkan beberapa layanan, konsumen layanan hanya memerlukan satu koneksi pribadi. Semua traffic ke dan dari konsumen layanan akan melalui project host VPC Bersama.

  • Dalam satu project konsumen layanan, beberapa jaringan VPC dapat terhubung secara pribadi ke layanan Anda. Hal ini memerlukan project host VPC Bersama untuk setiap jaringan VPC yang terhubung. Namun, semua project tersebut dapat ditempatkan dalam unit kepemilikan consumer-project-a yang sama.

  • Di project host, Anda harus mengonfigurasi aturan dan rute firewall untuk mengaktifkan konektivitas ke resource baru. Karena layanan lain dapat menggunakan jaringan VPC Bersama yang sama, aturan ini dapat mengizinkan atau menolak konektivitas antar-layanan Anda yang berbeda.

Proses orientasi

Daftar berikut adalah ringkasan umum proses orientasi. Anda harus menyelesaikan proses ini untuk setiap layanan terkelola yang akan menawarkan konektivitas pribadi. Hubungi perwakilan Google Anda untuk mendapatkan informasi selengkapnya.

  1. Buat layanan pengelolaan peering.

    Ini adalah layanan terkelola yang dibuat oleh produsen layanan melalui Service Management and Endpoints API. Untuk mengetahui informasi selengkapnya, hubungi perwakilan Google Anda.

  2. Berikan informasi konfigurasi berikut kepada perwakilan Google Anda:

    • Rentang alamat IP minimum yang harus dialokasikan konsumen layanan saat terhubung ke Anda, yang ditentukan sebagai panjang awalan IPv4. Jika menawarkan beberapa layanan, Anda dapat meminta pengguna untuk mengalokasikan rentang alamat IP yang lebih besar, seperti /16.
    • ID folder tempat layanan pengelolaan akses pribadi Anda membuat project host VPC Bersama. Gunakan Resource Manager untuk menemukan ID folder.
    • Akun penagihan yang dikaitkan dengan organisasi tempat layanan pengelolaan akses pribadi Anda membuat project host VPC Bersama.
    • Akun utama (biasanya berupa ID akun layanan) yang mengelola aturan firewall jaringan project host.

  3. Aktifkan Compute Engine API.

    Untuk setiap project host VPC Bersama, aktifkan compute.googleapis.com API, yang dapat Anda lakukan dengan menggunakan Service Usage API atau dalam konfigurasi project.

    Setelah resource disediakan, konfigurasikan aturan firewall untuk jaringan VPC Bersama di project host. Anda harus menggunakan identitas yang Anda berikan selama proses aktivasi untuk mengakses jaringan VPC. Jika Anda menawarkan layanan lain, layanan tersebut mungkin menggunakan jaringan VPC yang sama. Jangan buat aturan yang mungkin secara tidak sengaja mengizinkan atau menolak traffic ke layanan lain.

  4. Memberi tahu konsumen layanan.

    Beri tahu konsumen layanan bahwa mereka harus membuat koneksi pribadi. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi Akses Layanan Pribadi. Konsumen layanan harus memberikan informasi berikut:

    • Nama project dan jaringan tempat mereka ingin membangun konektivitas pribadi.
    • Region Cloud tempat resource harus disediakan.

Langkah selanjutnya