Tentang mengakses Google API melalui endpoint
Dokumen ini memberikan ringkasan endpoint Private Service Connect yang digunakan untuk mengakses Google API.
Secara default, jika Anda memiliki aplikasi yang menggunakan layanan Google, seperti Cloud Storage, aplikasi Anda terhubung ke nama DNS default untuk layanan tersebut, seperti storage.googleapis.com
. Nama DNS default untuk layanan Google menghasilkan alamat IP yang dapat dirutekan secara publik. Namun, traffic yang dikirim dari resource Google Cloud ke alamat IP tersebut tetap berada dalam jaringan Google.
Dengan Private Service Connect, Anda dapat membuat endpoint pribadi menggunakan
alamat IP internal global dalam jaringan VPC Anda. Anda dapat menetapkan nama DNS ke alamat IP internal ini dengan nama yang bermakna seperti storage-vialink1.p.googleapis.com
dan bigtable-adsteam.p.googleapis.com
.
Nama dan alamat IP ini bersifat internal untuk jaringan VPC Anda dan jaringan lokal apa pun yang terhubung ke jaringan tersebut menggunakan tunnel Cloud VPN atau lampiran VLAN. Anda dapat mengontrol traffic mana yang menuju ke endpoint, dan dapat menunjukkan bahwa traffic tetap berada di dalam Google Cloud.
Opsi ini memberi Anda akses ke semua Google API dan layanan Google yang disertakan dalam paket API.
Fitur dan kompatibilitas
Tabel ini merangkum fitur-fitur yang didukung oleh endpoint yang digunakan untuk mengakses Google API.
Konfigurasi | Detail |
---|---|
Konfigurasi konsumen (endpoint) | |
Jangkauan global | Menggunakan alamat IP global internal |
Traffic interkoneksi | |
Traffic Cloud VPN | |
Konfigurasi DNS otomatis | |
Stack IP | IPv4 |
Layanan yang didukung | Google API global yang didukung |
Akses lokal
Endpoint Private Service Connect yang Anda gunakan untuk mengakses Google API dapat diakses dari host lokal yang terhubung dan didukung. Untuk mengetahui informasi selengkapnya, lihat Mengakses endpoint dari host lokal.
Private Service Connect dan Direktori Layanan
Endpoint terdaftar dengan Direktori Layanan. Direktori Layanan adalah platform untuk menyimpan, mengelola, dan memublikasikan layanan. Saat membuat endpoint untuk mengakses Google API dan layanan Google, pilih region Direktori Layanan dan namespace Direktori Layanan.
- Region Direktori Layanan
Direktori Layanan adalah layanan regional; region yang Anda pilih menentukan tempat bidang kontrol Direktori Layanan berada. Tidak ada perbedaan fungsional antar-region, tetapi Anda mungkin memiliki preferensi karena alasan administratif.
Saat Anda membuat endpoint pertama untuk Google API di jaringan VPC, region yang Anda pilih akan digunakan sebagai region default untuk semua endpoint berikutnya yang dibuat dalam jaringan tersebut. Jika suatu region belum ditetapkan untuk suatu jaringan, dan Anda tidak menentukan region, region akan disetel ke
us-central1
. Semua endpoint di jaringan harus menggunakan region Direktori Layanan yang sama.- Namespace Direktori Layanan
Saat Anda membuat endpoint pertama untuk Google API di jaringan VPC, namespace yang Anda pilih akan digunakan sebagai namespace default untuk semua endpoint berikutnya yang dibuat dalam jaringan tersebut. Jika namespace belum ditetapkan untuk jaringan, dan Anda tidak menentukan namespace, namespace yang dihasilkan sistem akan digunakan. Semua endpoint dalam jaringan harus menggunakan namespace Direktori Layanan yang sama. Namespace yang Anda pilih harus digunakan hanya untuk endpoint yang digunakan untuk mengakses Google API. Anda dapat menggunakan namespace yang sama untuk endpoint di beberapa jaringan.
Saat Anda membuat endpoint, konfigurasi DNS berikut akan dibuat:
Zona DNS pribadi Direktori Layanan dibuat untuk
p.googleapis.com
Data DNS dibuat di
p.googleapis.com
untuk beberapa Google API dan layanan Google yang umum digunakan yang tersedia menggunakan Private Service Connect dan memiliki nama DNS default yang diakhiri dengangoogleapis.com
.Lihat membuat data DNS untuk mengetahui petunjuk cara membuat data DNS untuk API dan layanan yang tidak memiliki data DNS di
p.googleapis.com
.
Layanan yang tersedia bervariasi bergantung pada apakah Anda memilih paket API all-apis
atau vpc-sc
.
Satu zona DNS Direktori Layanan dibuat untuk setiap jaringan VPC yang berisi sebuah endpoint.
Nama DNS untuk endpoint dapat diakses di semua region dalam jaringan VPC Anda.
API yang didukung
Saat membuat endpoint untuk mengakses Google API dan layanan Google, Anda memilih paket API yang perlu diakses—Semua API (all-apis
) atau VPC-SC (vpc-sc
):
Paket
all-apis
menyediakan akses ke sebagian besar layanan dan API Google, termasuk semua endpoint layanan*.googleapis.com
.Paket
vpc-sc
memberikan akses ke API dan layanan yang mendukung Kontrol Layanan VPC.
Paket API hanya mendukung protokol berbasis HTTP melalui TCP (HTTP, HTTPS, dan HTTP/2). Semua protokol lainnya, termasuk MQTT dan ICMP tidak didukung.
Paket API | Layanan yang didukung | Contoh penggunaan |
---|---|---|
all-apis |
Mengaktifkan akses API ke sebagian besar API Google dan layanan Google terlepas dari apakah keduanya didukung oleh Kontrol Layanan VPC. Mencakup akses API ke Google Maps, Google Ads, Google Cloud, dan sebagian besar API Google lainnya, termasuk daftar di bawah ini. Tidak mendukung aplikasi web Google Workspace seperti Gmail dan Google Dokumen. Tidak mendukung situs interaktif apa pun. Nama domain yang cocok:
|
Pilih
|
vpc-sc
| Mengaktifkan akses API ke Google API dan layanan Google yang didukung oleh Kontrol Layanan VPC. Memblokir akses ke Google API dan layanan Google yang tidak mendukung Kontrol Layanan VPC. Tidak mendukung Google Workspace API atau aplikasi web Google Workspace seperti Gmail dan Google Dokumen. |
Pilih |
vpc-sc
. Meskipun Kontrol Layanan VPC diterapkan untuk layanan yang kompatibel dan dikonfigurasi, terlepas dari paket yang Anda gunakan, vpc-sc
memberikan mitigasi risiko tambahan untuk pemindahan data yang tidak sah. Penggunaan vpc-sc
akan menolak akses ke API Google dan layanan yang tidak didukung oleh Kontrol Layanan VPC. Lihat Menyiapkan konektivitas pribadi dalam dokumentasi Kontrol Layanan VPC untuk mengetahui detail selengkapnya.
Persyaratan alamat IP
Saat mengonfigurasi Private Service Connect pada jaringan VPC, Anda memberikan alamat IP yang akan digunakan untuk endpoint.
Alamat diperhitungkan dalam kuota project untuk alamat IP internal global.
Alamat IP harus memenuhi spesifikasi berikut:
Alamat IP harus berupa alamat IP tunggal dan bukan rentang alamat IP.
Alamat IP harus berupa alamat IPv4 yang valid Alamat IP dapat berupa alamat RFC 1918 atau alamat non-RFC 1918. Alamat IPv6 tidak didukung untuk Private Service Connect.
Alamat IP ini tidak boleh berada dalam rentang subnet yang dikonfigurasi di jaringan VPC.
Alamat IP tidak boleh berada dalam rentang alamat IP primer atau sekunder subnet apa pun di jaringan VPC atau jaringan yang terhubung ke jaringan VPC menggunakan Peering Jaringan VPC.
Alamat IP tidak boleh tumpang tindih dengan rute statis kustom
/32
di jaringan VPC lokal. Misalnya, jika jaringan VPC memiliki rute statis kustom untuk10.10.10.10/32
, Anda tidak dapat memesan alamat10.10.10.10
untuk Private Service Connect.Alamat IP tidak boleh tumpang tindih dengan rute statis kustom peering
/32
jika Anda telah mengonfigurasi jaringan yang di-peering untuk mengekspor rute kustom dan mengonfigurasi jaringan VPC untuk mengimpor rute kustom.Alamat IP tidak boleh berada dalam rentang IP mode otomatis (dalam
10.128.0.0/9
) jika jaringan VPC lokal adalah jaringan mode otomatis atau jika di-peering dengan jaringan mode otomatis.Alamat IP tidak boleh berada dalam rentang IP yang dialokasikan di jaringan VPC lokal. Namun, Alamat IP ini dapat berada dalam rentang IP yang dialokasikan di jaringan VPC yang di-peering.
Jika endpoint tumpang-tindih dengan rute dinamis kustom yang tujuannya adalah
/32
yang sama, endpoint akan diprioritaskan.Jika alamat IP endpoint berada dalam rentang tujuan rute statis kustom, rute dinamis kustom, atau rute peering kustom, dan rute tersebut memiliki subnet mask yang lebih pendek dari
/32
, endpoint memiliki prioritas yang lebih tinggi.
Kasus penggunaan
Anda dapat membuat beberapa endpoint di jaringan VPC yang sama. Tidak ada batasan total bandwidth yang dikirim ke endpoint tertentu. Karena endpoint menggunakan alamat IP internal global, endpoint dapat digunakan oleh resource apa pun di jaringan VPC Anda atau jaringan lokal yang terhubung menggunakan tunnel Cloud VPN atau lampiran Cloud Interconnect.
Dengan beberapa endpoint, Anda dapat menentukan jalur jaringan yang berbeda menggunakan Cloud Router dan aturan firewall.
Anda dapat membuat aturan firewall untuk mencegah beberapa VM mengakses Google API melalui endpoint, sekaligus mengizinkan VM lain agar memiliki akses.
Anda dapat memiliki aturan firewall pada instance VM yang melarang semua traffic ke internet; traffic yang dikirim ke endpoint Private Service Connect masih sampai ke Google.
Jika memiliki host lokal yang terhubung ke VPC menggunakan tunnel Cloud VPN atau lampiran VLAN, Anda dapat mengirim beberapa permintaan melalui tunnel atau VLAN saat mengirimkan permintaan lain melalui internet publik. Konfigurasi ini memungkinkan Anda melewati tunnel atau VLAN untuk layanan seperti Google Buku yang tidak didukung oleh Akses Google Pribadi.
Untuk membuat konfigurasi ini, buat endpoint Private Service Connect, beri tahukan alamat IP endpoint menggunakan pemberitahuan rute kustom Cloud Router, dan aktifkan Kebijakan penerusan masuk Cloud DNS. Aplikasi dapat mengirim beberapa permintaan melalui tunnel Cloud VPN atau lampiran VLAN menggunakan nama endpoint, dan dapat mengirim permintaan lain melalui internet menggunakan nama DNS default.
Jika menghubungkan jaringan lokal ke jaringan VPC menggunakan beberapa lampiran VLAN, Anda dapat mengirim beberapa traffic dari lokal melalui satu VLAN dan sisanya melalui VLAN lainnya, seperti yang ditunjukkan pada gambar 2. Hal ini memungkinkan Anda menggunakan jaringan area luas Anda sendiri, bukan milik Google, dan mengontrol pergerakan data untuk memenuhi persyaratan geografis.
Untuk membuat konfigurasi ini, buat dua endpoint. Buat pemberitahuan rute kustom untuk endpoint pertama di sesi BGP Cloud Router yang mengelola VLAN pertama, dan buat pemberitahuan rute kustom yang berbeda untuk endpoint kedua di sesi BGP Cloud Router yang mengelola VLAN kedua. Host lokal yang dikonfigurasi untuk menggunakan nama endpoint akan mengirimkan traffic melalui lampiran VLAN yang sesuai.
Anda juga dapat menggunakan beberapa lampiran VLAN dalam topologi aktif/aktif. Jika Anda memberitahukan alamat IP endpoint yang sama menggunakan pemberitahuan rute kustom untuk sesi BGP di Cloud Router yang mengelola VLAN, paket yang dikirim dari sistem lokal ke endpoint akan dirutekan di seluruh VLAN menggunakan ECMP.
Harga
Harga untuk Private Service Connect dijelaskan di halaman harga VPC.
Kuota
Jumlah endpoint Private Service Connect yang dapat Anda buat untuk mengakses Google API dikontrol oleh kuota PSC Google APIs Forwarding Rules per VPC Network
.
Untuk mengetahui informasi selengkapnya, lihat quotas.
Batasan kebijakan organisasi
Administrator Kebijakan Organisasi dapat menggunakan batasan constraints/compute.disablePrivateServiceConnectCreationForConsumers
untuk menentukan kumpulan jenis endpoint yang aturan penerusannya tidak dapat dibuat oleh pengguna.
Untuk mengetahui informasi tentang cara membuat kebijakan organisasi yang menggunakan batasan ini, lihat Memblokir konsumen agar tidak men-deploy endpoint menurut jenis koneksi.
Langkah selanjutnya
- Konfigurasikan Private Service Connect untuk mengakses Google API dan layanan Google