Tentang mengakses Google API melalui endpoint

Dokumen ini memberikan ringkasan endpoint Private Service Connect yang digunakan untuk mengakses Google API.

Secara default, jika Anda memiliki aplikasi yang menggunakan layanan Google, seperti Cloud Storage, aplikasi Anda terhubung ke nama DNS default untuk layanan tersebut, seperti storage.googleapis.com. Nama DNS default untuk layanan Google menghasilkan alamat IP yang dapat dirutekan secara publik. Namun, traffic yang dikirim dari resource Google Cloud ke alamat IP tersebut tetap berada dalam jaringan Google.

Dengan Private Service Connect, Anda dapat membuat endpoint pribadi menggunakan alamat IP internal global dalam jaringan VPC Anda. Anda dapat menetapkan nama DNS ke alamat IP internal ini dengan nama yang bermakna seperti storage-vialink1.p.googleapis.com dan bigtable-adsteam.p.googleapis.com. Nama dan alamat IP ini bersifat internal untuk jaringan VPC Anda dan jaringan lokal apa pun yang terhubung ke jaringan tersebut menggunakan tunnel Cloud VPN atau lampiran VLAN. Anda dapat mengontrol traffic mana yang menuju ke endpoint, dan dapat menunjukkan bahwa traffic tetap berada di dalam Google Cloud.

Opsi ini memberi Anda akses ke semua Google API dan layanan Google yang disertakan dalam paket API.

**Gambar 1.** Dengan Private Service Connect, Anda dapat mengirim traffic ke Google API menggunakan endpoint yang bersifat pribadi untuk jaringan VPC Anda (klik untuk memperbesar).

Fitur dan kompatibilitas

Tabel ini merangkum fitur-fitur yang didukung oleh endpoint yang digunakan untuk mengakses Google API.

Konfigurasi	Detail
Konfigurasi konsumen (endpoint)
Jangkauan global	Menggunakan alamat IP global internal
Traffic interkoneksi
Traffic Cloud VPN
Konfigurasi DNS otomatis
Stack IP	IPv4

Layanan yang didukung	Google API global yang didukung

Akses lokal

Endpoint Private Service Connect yang Anda gunakan untuk mengakses Google API dapat diakses dari host lokal yang terhubung dan didukung. Untuk mengetahui informasi selengkapnya, lihat Mengakses endpoint dari host lokal.

Private Service Connect dan Direktori Layanan

Endpoint terdaftar dengan Direktori Layanan. Direktori Layanan adalah platform untuk menyimpan, mengelola, dan memublikasikan layanan. Saat membuat endpoint untuk mengakses Google API dan layanan Google, pilih region Direktori Layanan dan namespace Direktori Layanan.

Region Direktori Layanan

Direktori Layanan adalah layanan regional; region yang Anda pilih menentukan tempat bidang kontrol Direktori Layanan berada. Tidak ada perbedaan fungsional antar-region, tetapi Anda mungkin memiliki preferensi karena alasan administratif.

Saat Anda membuat endpoint pertama untuk Google API di jaringan VPC, region yang Anda pilih akan digunakan sebagai region default untuk semua endpoint berikutnya yang dibuat dalam jaringan tersebut. Jika suatu region belum ditetapkan untuk suatu jaringan, dan Anda tidak menentukan region, region akan disetel ke us-central1. Semua endpoint di jaringan harus menggunakan region Direktori Layanan yang sama.

Namespace Direktori Layanan

Saat Anda membuat endpoint pertama untuk Google API di jaringan VPC, namespace yang Anda pilih akan digunakan sebagai namespace default untuk semua endpoint berikutnya yang dibuat dalam jaringan tersebut. Jika namespace belum ditetapkan untuk jaringan, dan Anda tidak menentukan namespace, namespace yang dihasilkan sistem akan digunakan. Semua endpoint dalam jaringan harus menggunakan namespace Direktori Layanan yang sama. Namespace yang Anda pilih harus digunakan hanya untuk endpoint yang digunakan untuk mengakses Google API. Anda dapat menggunakan namespace yang sama untuk endpoint di beberapa jaringan.

Saat Anda membuat endpoint, konfigurasi DNS berikut akan dibuat:

Zona DNS pribadi Direktori Layanan dibuat untuk p.googleapis.com
Data DNS dibuat di p.googleapis.com untuk beberapa Google API dan layanan Google yang umum digunakan yang tersedia menggunakan Private Service Connect dan memiliki nama DNS default yang diakhiri dengan googleapis.com.

Lihat membuat data DNS untuk mengetahui petunjuk cara membuat data DNS untuk API dan layanan yang tidak memiliki data DNS di p.googleapis.com.

Layanan yang tersedia bervariasi bergantung pada apakah Anda memilih paket API all-apis atau vpc-sc.

Satu zona DNS Direktori Layanan dibuat untuk setiap jaringan VPC yang berisi sebuah endpoint.

Nama DNS untuk endpoint dapat diakses di semua region dalam jaringan VPC Anda.

API yang didukung

Saat membuat endpoint untuk mengakses Google API dan layanan Google, Anda memilih paket API yang perlu diakses—Semua API (all-apis) atau VPC-SC (vpc-sc):

Paket all-apis menyediakan akses ke sebagian besar layanan dan API Google, termasuk semua endpoint layanan *.googleapis.com.
Paket vpc-sc memberikan akses ke API dan layanan yang mendukung Kontrol Layanan VPC.

Catatan: Catatan: Paket ini memberikan akses ke API yang sama yang tersedia melalui VIP Akses Google Pribadi—all-apis setara dengan private.googleapis.com dan vpc-sc setara dengan restricted.googleapis.com.

Paket API hanya mendukung protokol berbasis HTTP melalui TCP (HTTP, HTTPS, dan HTTP/2). Semua protokol lainnya, termasuk MQTT dan ICMP tidak didukung.

Paket API Layanan yang didukung Contoh penggunaan

Paket API	Layanan yang didukung	Contoh penggunaan
`all-apis`	Mengaktifkan akses API ke sebagian besar API Google dan layanan Google terlepas dari apakah keduanya didukung oleh Kontrol Layanan VPC. Mencakup akses API ke Google Maps, Google Ads, Google Cloud, dan sebagian besar API Google lainnya, termasuk daftar di bawah ini. Tidak mendukung aplikasi web Google Workspace seperti Gmail dan Google Dokumen. Tidak mendukung situs interaktif apa pun. Nama domain yang cocok: `accounts.google.com` (hanya jalur yang diperlukan untuk autentikasi OAuth) `.aiplatform-notebook.cloud.google.com` `.aiplatform-notebook.googleusercontent.com` `appengine.google.com` `.appspot.com` `.backupdr.cloud.google.com` `backupdr.cloud.google.com` `.backupdr.googleusercontent.com` `backupdr.googleusercontent.com` `.cloudfunctions.net` `.cloudproxy.app` `.composer.cloud.google.com` `.composer.googleusercontent.com` `.datafusion.cloud.google.com` `.datafusion.googleusercontent.com` `.dataproc.cloud.google.com` `dataproc.cloud.google.com` `.dataproc.googleusercontent.com` `dataproc.googleusercontent.com` `dl.google.com` `gcr.io` atau `.gcr.io` `.googleapis.com` `.gstatic.com` `.ltsapis.goog` `.notebooks.cloud.google.com` `.notebooks.googleusercontent.com` `packages.cloud.google.com` `pkg.dev` atau `.pkg.dev` `pki.goog` atau `.pki.goog` `.run.app` `source.developers.google.com` `storage.cloud.google.com`	Pilih `all-apis` dalam situasi berikut: Anda tidak menggunakan Kontrol Layanan VPC. Meskipun menggunakan Kontrol Layanan VPC, Anda juga perlu mengakses API dan layanan Google yang tidak didukung oleh Kontrol Layanan VPC. ¹
`vpc-sc`	Mengaktifkan akses API ke Google API dan layanan Google yang didukung oleh Kontrol Layanan VPC. Memblokir akses ke Google API dan layanan Google yang tidak mendukung Kontrol Layanan VPC. Tidak mendukung Google Workspace API atau aplikasi web Google Workspace seperti Gmail dan Google Dokumen.	Pilih `vpc-sc` saat Anda hanya memerlukan akses ke API Google dan layanan Google yang didukung oleh Kontrol Layanan VPC. Paket `vpc-sc` tidak mengizinkan akses ke API Google dan layanan yang tidak mendukung Kontrol Layanan VPC. ¹

all-apis

Mengaktifkan akses API ke sebagian besar API Google dan layanan Google terlepas dari apakah keduanya didukung oleh Kontrol Layanan VPC. Mencakup akses API ke Google Maps, Google Ads, Google Cloud, dan sebagian besar API Google lainnya, termasuk daftar di bawah ini. Tidak mendukung aplikasi web Google Workspace seperti Gmail dan Google Dokumen. Tidak mendukung situs interaktif apa pun.

Nama domain yang cocok:

accounts.google.com (hanya jalur yang diperlukan untuk autentikasi OAuth)
*.aiplatform-notebook.cloud.google.com
*.aiplatform-notebook.googleusercontent.com
appengine.google.com
*.appspot.com
*.backupdr.cloud.google.com
backupdr.cloud.google.com
*.backupdr.googleusercontent.com
backupdr.googleusercontent.com
*.cloudfunctions.net
*.cloudproxy.app
*.composer.cloud.google.com
*.composer.googleusercontent.com
*.datafusion.cloud.google.com
*.datafusion.googleusercontent.com
*.dataproc.cloud.google.com
dataproc.cloud.google.com
*.dataproc.googleusercontent.com
dataproc.googleusercontent.com
dl.google.com
gcr.io atau *.gcr.io
*.googleapis.com
*.gstatic.com
*.ltsapis.goog
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
packages.cloud.google.com
pkg.dev atau *.pkg.dev
pki.goog atau *.pki.goog
*.run.app
source.developers.google.com
storage.cloud.google.com

Pilih all-apis dalam situasi berikut:

Anda tidak menggunakan Kontrol Layanan VPC.
Meskipun menggunakan Kontrol Layanan VPC, Anda juga perlu mengakses API dan layanan Google yang tidak didukung oleh Kontrol Layanan VPC. ¹

vpc-sc

Mengaktifkan akses API ke Google API dan layanan Google yang didukung oleh Kontrol Layanan VPC.

Memblokir akses ke Google API dan layanan Google yang tidak mendukung Kontrol Layanan VPC. Tidak mendukung Google Workspace API atau aplikasi web Google Workspace seperti Gmail dan Google Dokumen.

Pilih vpc-sc saat Anda hanya memerlukan akses ke API Google dan layanan Google yang didukung oleh Kontrol Layanan VPC. Paket vpc-sc tidak mengizinkan akses ke API Google dan layanan yang tidak mendukung Kontrol Layanan VPC. ¹

¹ Jika Anda perlu membatasi pengguna hanya ke API Google dan layanan Google yang mendukung Kontrol Layanan VPC, gunakan vpc-sc. Meskipun Kontrol Layanan VPC diterapkan untuk layanan yang kompatibel dan dikonfigurasi, terlepas dari paket yang Anda gunakan, vpc-sc memberikan mitigasi risiko tambahan untuk pemindahan data yang tidak sah. Penggunaan vpc-sc akan menolak akses ke API Google dan layanan yang tidak didukung oleh Kontrol Layanan VPC. Lihat Menyiapkan konektivitas pribadi dalam dokumentasi Kontrol Layanan VPC untuk mengetahui detail selengkapnya.

Persyaratan alamat IP

Saat mengonfigurasi Private Service Connect pada jaringan VPC, Anda memberikan alamat IP yang akan digunakan untuk endpoint.

Alamat diperhitungkan dalam kuota project untuk alamat IP internal global.

Alamat IP harus memenuhi spesifikasi berikut:

Alamat IP harus berupa alamat IP tunggal dan bukan rentang alamat IP.
Alamat IP harus berupa alamat IPv4 yang valid Alamat IP dapat berupa alamat RFC 1918 atau alamat non-RFC 1918. Alamat IPv6 tidak didukung untuk Private Service Connect.
Alamat IP ini tidak boleh berada dalam rentang subnet yang dikonfigurasi di jaringan VPC.
Alamat IP tidak boleh berada dalam rentang alamat IP primer atau sekunder subnet apa pun di jaringan VPC atau jaringan yang terhubung ke jaringan VPC menggunakan Peering Jaringan VPC.
Alamat IP tidak boleh tumpang tindih dengan rute statis kustom /32 di jaringan VPC lokal. Misalnya, jika jaringan VPC memiliki rute statis kustom untuk 10.10.10.10/32, Anda tidak dapat memesan alamat 10.10.10.10 untuk Private Service Connect.
Alamat IP tidak boleh tumpang tindih dengan rute statis kustom peering /32 jika Anda telah mengonfigurasi jaringan yang di-peering untuk mengekspor rute kustom dan mengonfigurasi jaringan VPC untuk mengimpor rute kustom.
Alamat IP tidak boleh berada dalam rentang IP mode otomatis (dalam 10.128.0.0/9) jika jaringan VPC lokal adalah jaringan mode otomatis atau jika di-peering dengan jaringan mode otomatis.
Alamat IP tidak boleh berada dalam rentang IP yang dialokasikan di jaringan VPC lokal. Namun, Alamat IP ini dapat berada dalam rentang IP yang dialokasikan di jaringan VPC yang di-peering.
Jika endpoint tumpang-tindih dengan rute dinamis kustom yang tujuannya adalah /32 yang sama, endpoint akan diprioritaskan.
Jika alamat IP endpoint berada dalam rentang tujuan rute statis kustom, rute dinamis kustom, atau rute peering kustom, dan rute tersebut memiliki subnet mask yang lebih pendek dari /32, endpoint memiliki prioritas yang lebih tinggi.

Kasus penggunaan

Anda dapat membuat beberapa endpoint di jaringan VPC yang sama. Tidak ada batasan total bandwidth yang dikirim ke endpoint tertentu. Karena endpoint menggunakan alamat IP internal global, endpoint dapat digunakan oleh resource apa pun di jaringan VPC Anda atau jaringan lokal yang terhubung menggunakan tunnel Cloud VPN atau lampiran Cloud Interconnect.

Dengan beberapa endpoint, Anda dapat menentukan jalur jaringan yang berbeda menggunakan Cloud Router dan aturan firewall.

Anda dapat membuat aturan firewall untuk mencegah beberapa VM mengakses Google API melalui endpoint, sekaligus mengizinkan VM lain agar memiliki akses.
Anda dapat memiliki aturan firewall pada instance VM yang melarang semua traffic ke internet; traffic yang dikirim ke endpoint Private Service Connect masih sampai ke Google.
Jika memiliki host lokal yang terhubung ke VPC menggunakan tunnel Cloud VPN atau lampiran VLAN, Anda dapat mengirim beberapa permintaan melalui tunnel atau VLAN saat mengirimkan permintaan lain melalui internet publik. Konfigurasi ini memungkinkan Anda melewati tunnel atau VLAN untuk layanan seperti Google Buku yang tidak didukung oleh Akses Google Pribadi.

Untuk membuat konfigurasi ini, buat endpoint Private Service Connect, beri tahukan alamat IP endpoint menggunakan pemberitahuan rute kustom Cloud Router, dan aktifkan Kebijakan penerusan masuk Cloud DNS. Aplikasi dapat mengirim beberapa permintaan melalui tunnel Cloud VPN atau lampiran VLAN menggunakan nama endpoint, dan dapat mengirim permintaan lain melalui internet menggunakan nama DNS default.
Jika menghubungkan jaringan lokal ke jaringan VPC menggunakan beberapa lampiran VLAN, Anda dapat mengirim beberapa traffic dari lokal melalui satu VLAN dan sisanya melalui VLAN lainnya, seperti yang ditunjukkan pada gambar 2. Hal ini memungkinkan Anda menggunakan jaringan area luas Anda sendiri, bukan milik Google, dan mengontrol pergerakan data untuk memenuhi persyaratan geografis.

Untuk membuat konfigurasi ini, buat dua endpoint. Buat pemberitahuan rute kustom untuk endpoint pertama di sesi BGP Cloud Router yang mengelola VLAN pertama, dan buat pemberitahuan rute kustom yang berbeda untuk endpoint kedua di sesi BGP Cloud Router yang mengelola VLAN kedua. Host lokal yang dikonfigurasi untuk menggunakan nama endpoint akan mengirimkan traffic melalui lampiran VLAN yang sesuai.
Anda juga dapat menggunakan beberapa lampiran VLAN dalam topologi aktif/aktif. Jika Anda memberitahukan alamat IP endpoint yang sama menggunakan pemberitahuan rute kustom untuk sesi BGP di Cloud Router yang mengelola VLAN, paket yang dikirim dari sistem lokal ke endpoint akan dirutekan di seluruh VLAN menggunakan ECMP.

Gambar 2. Dengan mengonfigurasi Private Service Connect, Cloud Router, dan host lokal, Anda dapat mengontrol lampiran VLAN mana yang digunakan untuk mengirim traffic ke Google API.

Harga

Harga untuk Private Service Connect dijelaskan di halaman harga VPC.

Kuota

Jumlah endpoint Private Service Connect yang dapat Anda buat untuk mengakses Google API dikontrol oleh kuota PSC Google APIs Forwarding Rules per VPC Network. Untuk mengetahui informasi selengkapnya, lihat quotas.

Batasan kebijakan organisasi

Administrator Kebijakan Organisasi dapat menggunakan batasan constraints/compute.disablePrivateServiceConnectCreationForConsumers untuk menentukan kumpulan jenis endpoint yang aturan penerusannya tidak dapat dibuat oleh pengguna.

Untuk mengetahui informasi tentang cara membuat kebijakan organisasi yang menggunakan batasan ini, lihat Memblokir konsumen agar tidak men-deploy endpoint menurut jenis koneksi.

Langkah selanjutnya

Konfigurasikan Private Service Connect untuk mengakses Google API dan layanan Google