Tentang mengakses layanan yang dipublikasikan melalui endpoint

Dokumen ini memberikan ringkasan tentang cara menghubungkan ke layanan di jaringan VPC lain menggunakan endpoint Private Service Connect. Anda dapat terhubung ke layanan Anda sendiri, atau layanan yang disediakan oleh produsen layanan lain, termasuk oleh Google.

Klien terhubung ke endpoint menggunakan alamat IP internal. Private Service Connect melakukan penafsiran alamat jaringan (NAT) untuk merutekan permintaan ke layanan.

Untuk mengetahui informasi lebih lanjut tentang layanan yang dipublikasikan, lihat Tentang layanan yang dipublikasikan.

Endpoint Private Service Connect memungkinkan konsumen layanan mengirimkan traffic dari jaringan VPC konsumen ke layanan di jaringan VPC produsen layanan. Konsumen, endpoint, dan layanan harus berada di region yang sama. (klik untuk memperbesar).

Fitur dan kompatibilitas

Dalam tabel berikut, tanda centang menunjukkan bahwa fitur didukung, dan simbol tidak ada menunjukkan bahwa fitur tidak didukung.

Konfigurasi konsumen

Tabel ini merangkum opsi konfigurasi yang didukung dan kemampuan endpoint yang mengakses layanan yang dipublikasikan.

Konfigurasi konsumen (endpoint) Load balancer produsen
Load Balancer Network passthrough internal Load Balancer Aplikasi internal regional Load Balancer Jaringan proxy internal regional Penerusan protokol internal (instance target)
Akses global konsumen

Tidak bergantung setelan akses global pada load balancer

Hanya jika akses global diaktifkan di load balancer sebelum lampiran layanan dibuat

Hanya jika akses global diaktifkan di load balancer sebelum lampiran layanan dibuat

Tidak bergantung setelan akses global pada load balancer

Traffic interkoneksi

Traffic Cloud VPN
Konfigurasi DNS otomatis Khusus IPv4 Khusus IPv4 Khusus IPv4 Khusus IPv4
Endpoint IPv4
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4

Konfigurasi produsen

Tabel ini merangkum opsi dan kemampuan konfigurasi yang didukung dari layanan yang dipublikasikan yang diakses oleh endpoint.

Konfigurasi produsen (layanan yang dipublikasikan) Load balancer produsen
Load Balancer Network passthrough internal Load Balancer Aplikasi internal regional Load Balancer Jaringan proxy internal regional Penerusan protokol internal (instance target)

Backend produsen yang didukung:

  • NEG zona GCE_VM_IP
  • Grup instance
  • NEG zona GCE_VM_IP_PORT
  • NEG Hybrid
  • NEG Serverless
  • NEG Private Service Connect
  • Grup instance
  • NEG zona GCE_VM_IP_PORT
  • NEG Hybrid
  • NEG Serverless
  • NEG Private Service Connect
  • Grup instance
Tidak berlaku
Protokol PROXY Khusus traffic TCP Khusus traffic TCP
Mode afinitas sesi TIDAK ADA (5 tuple)
CLIENT_IP_PORT_PROTO
Tidak berlaku Tidak berlaku Tidak berlaku
IP version
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4

Load balancer yang berbeda mendukung konfigurasi port yang berbeda pula; beberapa load balancer mendukung port tunggal, beberapa mendukung berbagai port, dan beberapa mendukung semua port. Untuk mengetahui informasi selengkapnya, lihat spesifikasi port.

Batasan

Endpoint yang mengakses layanan yang dipublikasikan memiliki batasan berikut:

  • Anda tidak dapat membuat endpoint dalam jaringan VPC yang sama dengan layanan yang dipublikasikan yang sedang Anda akses.

  • Endpoint tidak dapat diakses dari jaringan VPC yang di-peering.

  • Duplikasi Paket tidak dapat menduplikasi paket untuk traffic layanan yang dipublikasikan Private Service Connect.

  • Tidak semua rute statis dengan next hop load balancer didukung dengan Private Service Connect. Untuk mengetahui informasi selengkapnya, lihat Rute statis dengan next hop load balancer.

Akses lokal

Endpoint yang Anda gunakan untuk mengakses Google API dapat diakses dari host lokal yang terhubung dan didukung. Untuk mengetahui informasi selengkapnya, lihat Mengakses endpoint dari jaringan hybrid.

Spesifikasi

  • Endpoint Private Service Connect harus dibuat di region yang sama dengan layanan yang dipublikasikan yang merupakan target endpoint.
  • Endpoint harus dibuat di jaringan VPC yang berbeda dari jaringan VPC yang berisi layanan target.
  • Jika menggunakan VPC Bersama, Anda dapat membuat endpoint di project host atau project layanan.
  • Secara default, endpoint hanya dapat diakses oleh klien yang berada di region yang sama dan jaringan VPC yang sama (atau jaringan VPC Bersama) dengan endpoint. Untuk mengetahui informasi tentang cara menyediakan endpoint di region lain, lihat Akses global.
  • Alamat IP yang Anda tetapkan ke endpoint harus berasal dari subnet reguler.
  • Saat Anda membuat endpoint untuk terhubung ke layanan, jika layanan memiliki nama domain DNS yang dikonfigurasi, entri DNS pribadi akan otomatis dibuat di jaringan VPC Anda untuk endpoint tersebut.
  • Setiap endpoint memiliki alamat IP unik dan secara opsional memiliki nama DNS unik sendiri.

Status koneksi

Endpoint, backend, dan lampiran layanan Private Service Connect memiliki status koneksi yang mendeskripsikan status koneksinya. Resource konsumen dan produsen yang membentuk dua sisi koneksi selalu memiliki status yang sama. Anda dapat melihat status koneksi saat melihat detail endpoint, mendeskripsikan backend, atau melihat detail untuk layanan yang dipublikasikan.

Tabel berikut menjelaskan kemungkinan status.

Status koneksi Deskripsi
Diterima Koneksi Private Service Connect sudah terhubung. Kedua jaringan VPC memiliki konektivitas, dan koneksinya berfungsi secara normal.
Tertunda

Koneksi Private Service Connect tidak terhubung, dan traffic jaringan tidak dapat berpindah di antara dua jaringan. Koneksi mungkin memiliki status ini karena alasan berikut:

Koneksi yang diblokir karena alasan ini akan tetap dalam status tertunda tanpa batas waktu hingga masalah yang mendasarinya teratasi.

Ditolak

Koneksi Private Service Connect tidak terhubung. Traffic jaringan tidak dapat berpindah di antara dua jaringan. Koneksi mungkin memiliki status ini karena alasan berikut:

Perlu diperhatikan atau Tidak ditentukan Ada masalah pada koneksi sisi produsen. Beberapa traffic mungkin dapat berjalan di antara dua jaringan, tetapi beberapa koneksi mungkin tidak berfungsi. Misalnya, subnet NAT produsen mungkin habis dan tidak dapat mengalokasikan alamat IP untuk koneksi baru.
Ditutup

Lampiran layanan dihapus, dan koneksi Private Service Connect ditutup. Traffic jaringan tidak dapat berpindah di antara dua jaringan.

Koneksi tertutup adalah status terminal. Untuk memulihkan koneksi, Anda harus membuat ulang lampiran layanan dan endpoint atau backend.

Akses global

Endpoint Private Service Connect yang digunakan untuk mengakses layanan merupakan resource regional. Namun, Anda dapat menyediakan endpoint di region lain dengan mengonfigurasi akses global.

Akses global memungkinkan resource di region mana pun mengirim traffic ke endpoint Private Service Connect. Anda dapat menggunakan akses global untuk memberikan ketersediaan tinggi di seluruh layanan yang dihosting di beberapa region, atau untuk mengizinkan klien mengakses layanan yang tidak berada di region yang sama dengan klien.

Diagram berikut mengilustrasikan klien di berbagai region yang mengakses endpoint yang sama:

  • Endpoint berada di us-west1 dan memiliki akses global yang dikonfigurasi.

  • VM di us-west1 dapat mengirim traffic ke endpoint, dan traffic tetap berada di region yang sama.

  • VM di us-east1 dan VM dari jaringan lokal juga dapat menghubungkan endpoint di us-west1, meskipun berada di region yang berbeda. Garis putus-putus mewakili jalur traffic antar-regional.

    Endpoint Private Service Connect dengan akses global memungkinkan konsumen layanan mengirimkan traffic dari jaringan VPC konsumen ke layanan di jaringan VPC produsen layanan. Klien dapat berada di region yang sama atau berbeda dengan endpoint (klik untuk memperbesar).

Spesifikasi akses global

  • Anda dapat mengaktifkan atau menonaktifkan akses global kapan saja untuk endpoint.

    • Mengaktifkan akses global tidak akan menyebabkan gangguan traffic untuk koneksi yang ada.
    • Menonaktifkan akses global akan menghentikan semua koneksi dari region selain region tempat endpoint berada.
  • Tidak semua layanan Private Service Connect mendukung endpoint dengan akses global. Hubungi produsen layanan Anda untuk memverifikasi apakah layanan mereka mendukung akses global. Untuk mengetahui informasi selengkapnya, lihat Konfigurasi yang didukung.

  • Akses global tidak menyediakan satu alamat IP global atau nama DNS untuk beberapa endpoint akses global.

VPC Bersama

Service Project Admin dapat membuat endpoint di project layanan VPC Bersama yang menggunakan alamat IP dari jaringan VPC Bersama. Konfigurasi ini sama dengan endpoint reguler, tetapi endpoint menggunakan alamat IP yang dicadangkan dari subnet bersama VPC Bersama.

Resource alamat IP dapat dicadangkan di project layanan atau project host. Sumber alamat IP harus berupa subnet yang dibagikan dengan project layanan.

Untuk informasi selengkapnya, lihat Membuat endpoint dengan alamat IP dari jaringan VPC Bersama.

Kontrol Layanan VPC

Kontrol Layanan VPC dan Private Service Connect itu kompatibel satu sama lain. Jika jaringan VPC tempat endpoint Private Service Connect diterapkan berada dalam perimeter Kontrol Layanan VPC, endpoint tersebut merupakan bagian dari perimeter yang sama. Setiap layanan yang didukung Kontrol Layanan VPC yang diakses melalui endpoint tunduk pada kebijakan perimeter Kontrol Layanan VPC tersebut.

Saat Anda membuat endpoint, panggilan API bidang kontrol akan dilakukan antara project konsumen dan produsen untuk membuat koneksi Private Service Connect. Membuat koneksi Private Service Connect antara project konsumen dan produsen yang tidak berada dalam perimeter Kontrol Layanan VPC yang sama tidak memerlukan otorisasi eksplisit dengan kebijakan keluar. Komunikasi ke layanan yang didukung Kontrol Layanan VPC melalui endpoint dilindungi oleh perimeter Kontrol Layanan VPC.

Rute statis dengan next hop load balancer

Rute statis dapat dikonfigurasi untuk menggunakan aturan penerusan Load Balancer Jaringan passthrough internal sebagai next hop (--next-hop-ilb). Tidak semua rute jenis ini didukung dengan Private Service Connect.

Rute statis yang menggunakan --next-hop-ilb untuk menentukan nama aturan penerusan Load Balancer Jaringan passthrough internal dapat digunakan untuk mengirim dan menerima traffic ke endpoint Private Service Connect saat rute dan endpoint berada di jaringan VPC dan region yang sama.

Konfigurasi perutean berikut tidak didukung dengan Private Service Connect:

  • Rute statis yang menggunakan --next-hop-ilb untuk menentukan alamat IP dari aturan penerusan Load Balancer Jaringan passthrough internal.
  • Rute statis yang menggunakan --next-hop-ilb untuk menentukan nama atau alamat IP dari aturan penerusan endpoint Private Service Connect.

Logging

  • Anda dapat mengaktifkan Log Aliran VPC di subnet yang berisi VM yang mengakses layanan di jaringan VPC lain menggunakan endpoint. Log ini menampilkan aliran antara VM dan endpoint.

  • Anda dapat melihat perubahan status koneksi untuk endpoint menggunakan log audit. Perubahan status koneksi untuk endpoint dicatat dalam metadata peristiwa sistem untuk jenis resource Aturan penerusan GCE. Anda dapat memfilter pscConnectionStatus untuk melihat entri ini.

    Misalnya, jika produsen layanan mengizinkan koneksi dari project Anda, status koneksi endpoint akan berubah dari PENDING menjadi ACCEPTED, dan perubahan ini akan tercermin dalam log audit.

Harga

Harga untuk Private Service Connect dijelaskan di halaman harga VPC.

Kuota

Jumlah endpoint yang dapat Anda buat untuk mengakses layanan yang dipublikasikan dikontrol oleh kuota PSC Internal LB Forwarding Rules. Untuk mengetahui informasi selengkapnya, lihat kuota.

Batasan kebijakan organisasi

Administrator Kebijakan Organisasi dapat menggunakan batasan constraints/compute.disablePrivateServiceConnectCreationForConsumers untuk menentukan kumpulan jenis endpoint yang aturan penerusannya tidak dapat dibuat oleh pengguna.

Untuk mengetahui informasi tentang cara membuat kebijakan organisasi yang menggunakan batasan ini, lihat Memblokir konsumen agar tidak men-deploy endpoint menurut jenis koneksi.

Langkah selanjutnya