Tentang memigrasikan layanan berbasis peering ke Private Service Connect
Banyak produsen layanan terkelola menggunakan Peering Jaringan VPC untuk menawarkan konektivitas kepada konsumen layanan yang berada di jaringan Virtual Private Cloud (VPC) lain. Solusi alternatifnya adalah menggunakan Private Service Connect.
Dokumen ini memberikan ringkasan tentang cara produsen layanan dapat memigrasikan layanan berbasis peering ke Private Service Connect dan mempertahankan alamat IP yang digunakan untuk mengakses layanan. Proses migrasi ini memerlukan semua resource yang terhubung ke subnet tertentu untuk dimigrasikan secara bersamaan.
Setiap produsen layanan menentukan apakah dan kapan mereka akan bermigrasi ke Private Service Connect. Untuk mengetahui apakah produsen layanan bermigrasi dari Peering Jaringan VPC ke Private Service Connect, periksa dokumentasi layanan atau hubungi produsen layanan.
Memigrasikan layanan berbasis peering
Dalam contoh layanan berbasis peering ini, klien vm1 mengirimkan traffic ke load balancer layanan 10.10.10.10 di jaringan VPC produsen. Jaringan konsumen memiliki rute subnet peering untuk subnet produsen karena jaringan terhubung melalui Peering Jaringan VPC.
Gambar 1. Dalam layanan berbasis peering, jaringan VPC konsumen dan jaringan VPC produsen dapat saling mengakses melalui Peering Jaringan VPC (klik untuk memperbesar).
Selama migrasi, tugas berikut akan diselesaikan:
- Produsen men-deploy layanan di subnet baru
producer-subnet-2di jaringan VPC baru, dan memublikasikan layanan melalui Private Service Connect. - Produsen membuat rentang internal untuk mencadangkan rentang CIDR
subnet produsen,
10.10.10.0/24. - Produsen menghapus subnet asli
producer-subnet-1dan semua resource di dalamnya. - Subnet migrasi
consumer-subnet-2dibuat di jaringan VPC konsumen, yang dikonfigurasi dengan rentang CIDR yang sama dengan subnet produsen. - Endpoint Private Service Connect dibuat di subnet migrasi, yang dikonfigurasi dengan alamat IP yang sama dengan yang sebelumnya digunakan oleh aturan penerusan load balancer produsen.
Setelah migrasi selesai, klien vm1 masih dapat menjangkau layanan
di 10.10.10.10, tetapi alamat IP ini sekarang dikaitkan dengan
endpoint Private Service Connect di jaringan VPC konsumen.
Gambar 2. Setelah migrasi, klien di jaringan VPC konsumen mengirim permintaan ke endpoint Private Service Connect, yang meneruskan traffic ke jaringan VPC produsen (klik untuk memperbesar).
Tugas migrasi
Migrasi mencakup tugas yang dilakukan di jaringan VPC produsen dan konsumen. Produsen dapat berkoordinasi dengan konsumen untuk melakukan migrasi, atau dalam kasus layanan yang dikelola Google, produsen layanan dapat mengotomatiskan tugas konsumen melalui agen layanan.
| Tugas | Produser | Konsumen |
|---|---|---|
| Men-deploy layanan Private Service Connect | ||
| Men-deploy layanan di subnet baru di jaringan VPC baru di project produsen dan memublikasikannya menggunakan Private Service Connect | Dinyanyikan oleh produser | |
| Menonaktifkan layanan berbasis peering | ||
| Mencadangkan rentang CIDR subnet produsen dengan membuat rentang internal di project produsen | Dinyanyikan oleh produser | Konsumen memberikan nama subnet yang akan digunakan untuk target migrasi |
| Hapus semua resource di subnet produsen, lalu hapus subnet tersebut | Dinyanyikan oleh produser | Konsumen tidak dapat lagi mengakses layanan |
| Membuat endpoint Private Service Connect di jaringan konsumen | ||
| Membuat subnet migrasi di jaringan konsumen | Jika konsumen tidak memilih nama subnet, produsen akan memberikan nama subnet kepada konsumen | Dilakukan oleh konsumen (atau oleh produsen melalui agen layanan) |
| Membuat endpoint Private Service Connect di jaringan konsumen | Produsen memberikan URI lampiran layanan kepada konsumen | Dilakukan oleh konsumen (atau oleh produsen melalui agen layanan) Konsumen dapat mengakses layanan |
| Memvalidasi akses melalui endpoint Private Service Connect | Dilakukan oleh konsumen | |
| Menyelesaikan migrasi | ||
| Menghapus rentang internal | Dinyanyikan oleh produser | |
| Perbarui subnet migrasi konsumen untuk mengonversinya menjadi subnet reguler | Dilakukan oleh konsumen (atau oleh produsen melalui agen layanan) | |
| Jika tidak diperlukan untuk layanan lain, hapus koneksi peering di jaringan produsen dan konsumen | Dinyanyikan oleh produser | Dilakukan oleh konsumen (atau oleh produsen melalui agen layanan) |
Pertimbangan
Jika Anda adalah produsen layanan yang ingin memigrasikan layanan berbasis peering ke Private Service Connect, pertimbangkan hal berikut:
- Penerapan Private Service Connect untuk layanan harus menawarkan fitur yang sama dengan layanan berbasis peering.
- Anda harus dapat menghapus semua resource di subnet yang berisi instance layanan selama migrasi. Jika beberapa instance layanan menggunakan subnet yang sama, semua instance harus dimigrasikan secara bersamaan.
Endpoint Private Service Connect konsumen dan lampiran layanan serta aturan penerusan produsen harus berada di region yang sama.
Agar endpoint dapat diakses dari region mana pun, Anda dapat mengaktifkan akses global di endpoint.
Jika layanan menyimpan status, Anda harus memiliki metode untuk memigrasikan status ke instance layanan baru.
Anda tidak dapat menghapus koneksi peering hingga semua instance layanan di jaringan VPC produsen dimigrasikan.
Layanan mengalami periode nonaktif selama migrasi.
Bermigrasi ke Private Service Connect akan berdampak pada harga untuk produsen dan konsumen. Pastikan konsumen Anda mengetahui perubahan ini sebelum Anda memigrasikannya.
Private Service Connect menerjemahkan alamat IP sumber klien ke alamat IP di subnet NAT. Jika layanan memerlukan informasi alamat IP tentang klien, Anda harus menggunakan protokol PROXY untuk mendapatkan alamat IP klien, dan menangani paket dengan tepat antara VM backend dan aplikasi Anda.
Rentang internal untuk migrasi
Rentang internal digunakan untuk mencadangkan rentang CIDR yang digunakan di subnet produsen sehingga saat subnet produsen dihapus, rentang CIDR tidak dapat digunakan untuk tujuan lain.
Saat membuat rentang internal untuk migrasi peer, Anda menetapkan penggunaan ke FOR_MIGRATION dan menentukan subnet sumber dan target. Subnet sumber adalah
subnet produsen, dan subnet target adalah subnet migrasi peer baru yang
nanti akan dibuat di jaringan konsumen.
Membuat rentang internal akan mencegah pembuatan subnet yang cocok dengan nama subnet target dan rentang CIDR. Namun, subnet lain dapat dibuat di jaringan konsumen yang memiliki nama yang sama jika menggunakan rentang CIDR yang berbeda. Jika hal itu terjadi, migrasi tidak dapat dilanjutkan hingga subnet konsumen dengan nama yang cocok dihapus, atau rentang internal dihapus.
Subnet migrasi peer
Subnet yang dibuat di jaringan konsumen untuk migrasi memiliki tujuan
yang ditetapkan ke PEER_MIGRATION. Subnet migrasi peer hanya dapat berisi alamat IP dan endpoint Private Service Connect.
Setelah migrasi selesai dan diverifikasi, subnet akan diperbarui menjadi
subnet reguler dengan menetapkan tujuan ke PRIVATE, dan resource lain dapat
dibuat di subnet. Subnet reguler tidak dapat dikonversi kembali ke subnet migrasi peer.
Anda harus memiliki izin Identity and Access Management (IAM) compute.subnetworks.usePeerMigration
untuk membuat atau menggunakan subnet migrasi peer. Izin ini tidak disertakan dalam peran standar apa pun; Anda harus membuat peran kustom untuk menggunakannya.
Hanya akun utama yang memiliki izin compute.subnetworks.usePeerMigration yang dapat
melakukan hal berikut:
- Membuat dan menghapus resource alamat IP di subnet migrasi peer.
- Membuat dan menghapus endpoint Private Service Connect (aturan penerusan) di subnet migrasi peer.
Akun utama yang memiliki peran Compute Network Admin (roles/compute.networkAdmin) tetapi
tidak memiliki izin compute.subnetworks.usePeerMigration tidak dapat melakukan
tugas sebelumnya, tetapi dapat melakukan hal berikut:
- Buat subnet dengan tujuan yang ditetapkan ke
PEER_MIGRATION. - Perbarui subnet—misalnya, untuk memperluas rentang CIDR atau mengaktifkan Akses Google Pribadi.
- Perbarui tujuan subnet menjadi
PRIVATE. - Hapus subnet.
Harga
Untuk mengetahui informasi harga, lihat referensi berikut:
Produsen layanan: harga untuk memublikasikan layanan.
Konsumen layanan: harga untuk mengakses layanan yang dipublikasikan melalui endpoint.
Langkah selanjutnya
- Memigrasikan subnet layanan dari peering ke Private Service Connect
- Memublikasikan layanan melalui Private Service Connect