Tentang mengakses layanan yang dipublikasikan melalui endpoint
Dokumen ini memberikan ringkasan tentang cara menghubungkan ke layanan di jaringan VPC lain menggunakan endpoint Private Service Connect. Anda dapat terhubung ke layanan Anda sendiri, atau layanan yang disediakan oleh produsen layanan lain, termasuk oleh Google.
Klien terhubung ke endpoint menggunakan alamat IP internal. Private Service Connect melakukan penafsiran alamat jaringan (NAT) untuk merutekan permintaan ke layanan.
Untuk mengetahui informasi lebih lanjut tentang layanan yang dipublikasikan, lihat Tentang layanan yang dipublikasikan.
Fitur dan kompatibilitas
Tabel ini merangkum opsi konfigurasi yang didukung dan kemampuan endpoint yang mengakses layanan yang dipublikasikan.
Dalam tabel berikut, tanda centang menunjukkan bahwa fitur didukung, dan simbol tidak ada menunjukkan bahwa fitur tidak didukung.
Konfigurasi konsumen (endpoint) | Load balancer produsen | |||
---|---|---|---|---|
Load Balancer Network passthrough internal | Load Balancer Aplikasi internal regional | Load Balancer Jaringan proxy internal regional | Penerusan protokol internal (instance target) | |
Akses global konsumen |
Tidak bergantung setelan akses global pada load balancer |
Hanya jika akses global diaktifkan pada load balancer |
Hanya jika akses global diaktifkan pada load balancer |
Tidak bergantung setelan akses global pada load balancer |
Traffic Cloud VPN | ||||
Konfigurasi DNS otomatis | ||||
Stack IP | IPv4 | IPv4 | IPv4 | IPv4 |
Tabel ini merangkum opsi dan kemampuan konfigurasi yang didukung dari layanan yang dipublikasikan yang diakses oleh endpoint.
Konfigurasi produsen (layanan yang dipublikasikan) | Load balancer produsen | |||
---|---|---|---|---|
Load Balancer Network passthrough internal | Load Balancer Aplikasi internal regional | Load Balancer Jaringan proxy internal regional | Penerusan protokol internal (instance target) | |
Backend produsen yang didukung |
|
|
|
Tidak berlaku |
Protokol PROXY | Hanya traffic TCP | Hanya traffic TCP | ||
Mode afinitas sesi | TIDAK ADA (5 tuple) CLIENT_IP_PORT_PROTO |
Tidak berlaku | Tidak berlaku | Tidak berlaku |
Load balancer yang berbeda mendukung konfigurasi port yang berbeda pula; beberapa load balancer mendukung port tunggal, beberapa mendukung berbagai port, dan beberapa mendukung semua port. Untuk mengetahui informasi selengkapnya, lihat spesifikasi port.
Batasan
Endpoint yang mengakses layanan yang dipublikasikan memiliki batasan berikut:
Anda tidak dapat membuat endpoint dalam jaringan VPC yang sama dengan layanan yang dipublikasikan yang sedang Anda akses.
Endpoint tidak dapat diakses dari jaringan VPC yang di-peering.
Duplikasi Paket tidak dapat menduplikasi paket untuk traffic layanan yang dipublikasikan Private Service Connect.
- Tidak semua rute statis dengan next hop load balancer didukung dengan Private Service Connect. Untuk mengetahui informasi selengkapnya, lihat Rute statis dengan next hop load balancer.
Akses lokal
Endpoint yang Anda gunakan untuk mengakses Google API dapat diakses dari host lokal yang terhubung dan didukung. Untuk mengetahui informasi selengkapnya, lihat Mengakses endpoint dari jaringan hybrid.
Spesifikasi
- Endpoint Private Service Connect harus dibuat di region yang sama dengan layanan yang dipublikasikan yang merupakan target endpoint.
- Endpoint harus dibuat di jaringan VPC yang berbeda dengan jaringan VPC yang berisi layanan target.
- Secara default, endpoint hanya dapat diakses oleh klien yang berada di region yang sama dan jaringan VPC yang sama dengan endpoint. Untuk informasi tentang cara membuat endpoint tersedia di wilayah lain, lihat Akses global.
- Alamat IP yang Anda tetapkan ke endpoint harus berasal dari subnet reguler.
- Saat Anda membuat endpoint untuk terhubung ke layanan, dan jika layanan memiliki nama domain DNS yang telah dikonfigurasi, entri DNS pribadi akan otomatis dibuat di jaringan VPC Anda untuk endpoint tersebut.
- Setiap endpoint memiliki alamat IP unik dan, secara opsional, nama DNS uniknya sendiri.
Status koneksi
Endpoint, backend, dan lampiran layanan Private Service Connect memiliki status koneksi yang menjelaskan status koneksinya. Resource konsumen dan produsen yang membentuk dua sisi koneksi selalu memiliki status yang sama. Anda dapat melihat status koneksi saat melihat detail endpoint, mendeskripsikan backend, atau melihat detail untuk layanan yang dipublikasikan.
Tabel berikut menjelaskan kemungkinan status.
Status koneksi | Deskripsi |
---|---|
Diterima | Koneksi Private Service Connect sudah terhubung. Kedua jaringan VPC memiliki konektivitas, dan koneksinya berfungsi secara normal. |
Tertunda | Koneksi Private Service Connect tidak dibuat, dan traffic jaringan tidak dapat berpindah di antara kedua jaringan. Koneksi mungkin memiliki status ini karena alasan berikut:
Koneksi yang diblokir karena alasan ini tetap berada dalam status tertunda tanpa batas waktu hingga masalah yang mendasarinya diselesaikan. |
Ditolak | Koneksi Private Service Connect tidak terhubung. Traffic jaringan tidak dapat berpindah di antara dua jaringan. Koneksi mungkin memiliki status ini karena alasan berikut:
|
Perlu diperhatikan | Ada masalah pada koneksi sisi produsen. Beberapa traffic mungkin dapat berjalan di antara dua jaringan, tetapi beberapa koneksi mungkin tidak berfungsi. Misalnya, subnet NAT produsen mungkin habis dan tidak dapat mengalokasikan alamat IP untuk koneksi baru. |
Ditutup | Lampiran layanan dihapus, dan koneksi Private Service Connect ditutup. Traffic jaringan tidak dapat berpindah di antara dua jaringan. Koneksi tertutup adalah status terminal. Untuk memulihkan koneksi, Anda harus membuat ulang lampiran layanan dan endpoint atau backend. |
Akses global
Endpoint Private Service Connect yang digunakan untuk mengakses layanan merupakan resource regional. Namun, Anda dapat menyediakan endpoint di region lain dengan mengonfigurasi akses global.
Akses global memungkinkan resource di region mana pun mengirim traffic ke endpoint Private Service Connect. Anda dapat menggunakan akses global untuk memberikan ketersediaan tinggi di seluruh layanan yang dihosting di beberapa region, atau untuk mengizinkan klien mengakses layanan yang tidak berada di region yang sama dengan klien.
Diagram berikut mengilustrasikan klien di berbagai region yang mengakses endpoint yang sama:
Endpoint berada di
us-west1
dan memiliki akses global yang dikonfigurasi.VM di
us-west1
dapat mengirim traffic ke endpoint, dan traffic tetap berada di region yang sama.VM di
us-east1
dan VM dari jaringan lokal juga dapat menghubungkan endpoint dius-west1
, meskipun berada di region yang berbeda. Garis putus-putus mewakili jalur traffic antar-regional.
Spesifikasi akses global
- Anda dapat mengaktifkan atau menonaktifkan akses global kapan saja untuk endpoint.
- Mengaktifkan akses global tidak akan menyebabkan gangguan traffic untuk koneksi yang ada.
- Menonaktifkan akses global akan menghentikan semua koneksi dari region selain region tempat endpoint berada.
Endpoint dengan akses global dapat dibuat di project host atau project layanan VPC Bersama. VM klien, tunnel Cloud VPN, atau lampiran VLAN untuk Cloud Interconnect tidak perlu berada di project yang sama dengan endpoint.
Tidak semua layanan Private Service Connect mendukung endpoint dengan akses global. Hubungi produsen layanan Anda untuk memverifikasi apakah layanan mereka mendukung akses global. Untuk mengetahui informasi selengkapnya, lihat Konfigurasi yang didukung.
Akses global tidak menyediakan satu alamat IP global atau nama DNS untuk beberapa endpoint akses global.
VPC Bersama
Admin Project Layanan dapat membuat endpoint dalam project layanan VPC Bersama yang menggunakan alamat IP dari jaringan VPC Bersama. Konfigurasinya sama seperti endpoint reguler, tetapi endpoint menggunakan alamat IP yang dicadangkan dari subnet bersama VPC Bersama.
Resource alamat IP dapat dicadangkan dalam project layanan atau project host. Sumber alamat IP harus berupa subnet yang dibagikan dengan project layanan.
Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint dengan alamat IP dari Jaringan VPC Bersama.
Kontrol Layanan VPC
Kontrol Layanan VPC dan Private Service Connect itu kompatibel satu sama lain. Jika jaringan VPC tempat endpoint Private Service Connect diterapkan berada dalam perimeter Kontrol Layanan VPC, endpoint tersebut merupakan bagian dari perimeter yang sama. Setiap layanan yang didukung Kontrol Layanan VPC yang diakses melalui endpoint tunduk pada kebijakan perimeter Kontrol Layanan VPC tersebut.
Saat Anda membuat endpoint, panggilan API bidang kontrol akan dilakukan antara project konsumen dan produsen untuk membuat koneksi Private Service Connect. Membuat koneksi Private Service Connect antara project konsumen dan produsen yang tidak berada dalam perimeter Kontrol Layanan VPC yang sama tidak memerlukan otorisasi eksplisit dengan kebijakan keluar. Komunikasi ke layanan yang didukung Kontrol Layanan VPC melalui endpoint dilindungi oleh perimeter Kontrol Layanan VPC.
Rute statis dengan next hop load balancer
Rute statis dapat dikonfigurasi untuk menggunakan aturan penerusan
Load Balancer Jaringan passthrough internal sebagai next
hop
(--next-hop-ilb
). Tidak semua rute jenis ini didukung dengan
Private Service Connect.
Rute statis yang menggunakan --next-hop-ilb
untuk menentukan nama aturan penerusan Load Balancer Jaringan passthrough internal dapat digunakan untuk mengirim dan menerima traffic ke endpoint Private Service Connect saat rute dan endpoint berada di jaringan VPC dan region yang sama.
Konfigurasi perutean berikut tidak didukung dengan Private Service Connect:
- Rute statis yang menggunakan
--next-hop-ilb
untuk menentukan alamat IP dari aturan penerusan Load Balancer Jaringan passthrough internal. - Rute statis yang menggunakan
--next-hop-ilb
untuk menentukan nama atau alamat IP dari aturan penerusan endpoint Private Service Connect.
Logging
Anda dapat mengaktifkan Log Aliran VPC di subnet yang berisi VM yang mengakses layanan di jaringan VPC lain menggunakan endpoint. Log ini menampilkan aliran antara VM dan endpoint.
Anda dapat melihat perubahan status koneksi untuk endpoint menggunakan log audit. Perubahan status koneksi untuk endpoint dicatat dalam metadata peristiwa sistem untuk jenis resource Aturan penerusan GCE. Anda dapat memfilter
pscConnectionStatus
untuk melihat entri ini.Misalnya, jika produsen layanan mengizinkan koneksi dari project Anda, status koneksi endpoint akan berubah dari
PENDING
menjadiACCEPTED
, dan perubahan ini akan tercermin dalam log audit.- Untuk melihat log audit, buka Melihat log.
- Untuk menetapkan pemberitahuan berdasarkan log audit, lihat Mengelola pemberitahuan berbasis log.
Harga
Harga untuk Private Service Connect dijelaskan di halaman harga VPC.
Kuota
Jumlah endpoint yang dapat Anda buat untuk mengakses layanan yang dipublikasikan dikontrol oleh kuota PSC Internal LB Forwarding Rules
.
Untuk mengetahui informasi selengkapnya, lihat quotas.
Batasan kebijakan organisasi
Administrator Kebijakan Organisasi dapat menggunakan batasan constraints/compute.disablePrivateServiceConnectCreationForConsumers
untuk menentukan kumpulan jenis endpoint yang aturan penerusannya tidak dapat dibuat oleh pengguna.
Untuk mengetahui informasi tentang cara membuat kebijakan organisasi yang menggunakan batasan ini, lihat Memblokir konsumen agar tidak men-deploy endpoint menurut jenis koneksi.