Tentang antarmuka Private Service Connect
Halaman ini menyediakan ringkasan antarmuka Private Service Connect.
Antarmuka Private Service Connect adalah resource yang memungkinkan jaringan Virtual Private Cloud (VPC) produsen memulai koneksi ke berbagai tujuan dalam jaringan VPC konsumen. Jaringan produsen dan konsumen dapat berada dalam proyek dan organisasi yang berbeda.
Saat membuat antarmuka Private Service Connect, buat instance virtual machine (VM) yang memiliki setidaknya dua antarmuka jaringan. Antarmuka pertama terhubung ke subnet di jaringan VPC produsen. Antarmuka kedua adalah antarmuka Private Service Connect yang meminta koneksi ke lampiran jaringan di jaringan konsumen. Jika koneksi diterima, Google Cloud akan menetapkan alamat IP internal dari subnet konsumen yang ditentukan oleh lampiran jaringan ke antarmuka Private Service Connect.
Koneksi antarmuka Private Service Connect ini memungkinkan organisasi produsen dan konsumen mengonfigurasi jaringan VPC mereka sehingga kedua jaringan terhubung dan dapat berkomunikasi menggunakan alamat IP internal. Misalnya, organisasi produsen dapat memperbarui jaringan VPC produsen untuk menambahkan rute untuk subnet konsumen.
Koneksi antara antarmuka Private Service Connect dan lampiran jaringan mirip dengan koneksi antara endpoint Private Service Connect dan lampiran layanan, tetapi memiliki dua perbedaan utama:
- Antarmuka Private Service Connect memungkinkan jaringan VPC produsen memulai koneksi ke jaringan VPC konsumen (traffic keluar layanan terkelola). Endpoint berfungsi dalam arah sebaliknya, sehingga jaringan VPC konsumen dapat memulai koneksi ke jaringan VPC produsen (traffic masuk layanan terkelola).
- Koneksi antarmuka Private Service Connect bersifat transitif. Artinya, workload di jaringan produsen dapat memulai koneksi ke workload lain yang terhubung ke jaringan VPC konsumen. Endpoint Private Service Connect hanya dapat memulai koneksi ke jaringan VPC produsen.
Menghubungkan ke workload di jaringan lain
Karena koneksi antarmuka Private Service Connect bersifat transitive, jika konfigurasi jaringan VPC konsumen mengizinkannya, resource di jaringan VPC produsen dapat berkomunikasi dengan beban kerja yang terhubung ke jaringan konsumen. Ini mencakup hal-hal berikut:
- Workload di jaringan yang terhubung ke jaringan VPC konsumen melalui tunnel Cloud VPN, Cloud Interconnect, atau Peering Jaringan VPC.
- Workload yang memiliki alamat IP eksternal yang dapat dijangkau dari jaringan VPC konsumen melalui Cloud NAT.
- Google API dan layanan yang dapat dijangkau dari jaringan VPC konsumen melalui Akses Google Pribadi atau Kontrol Layanan VPC. Konfigurasi tambahan diperlukan untuk menggunakan Kontrol Layanan VPC dengan antarmuka Private Service Connect.
- Layanan yang dipublikasikan dan Google API yang dapat dijangkau dari jaringan VPC konsumen melalui endpoint dan backend Private Service Connect.
- Beban kerja di spoke VPC yang terhubung ke jaringan VPC konsumen.
Contoh kasus penggunaan
Contoh kasus penggunaan untuk antarmuka Private Service Connect adalah layanan terkelola yang perlu memulai koneksi ke jaringan VPC konsumen untuk mengakses data konsumen. Layanan tersebut mungkin juga memerlukan akses ke data atau layanan yang tersedia di jaringan lokal konsumen, melalui koneksi VPN atau Cloud Interconnect, atau dari layanan pihak ketiga. Koneksi antarmuka Private Service Connect dapat memenuhi semua persyaratan ini.
Kasus penggunaan lainnya merupakan layanan terkelola yang menyediakan gateway API. Karena layanan menerima panggilan untuk API yang berbeda, layanan tersebut menggunakan antarmuka Private Service Connect untuk memulai koneksi ke jaringan VPC konsumen. Layanan gateway mengirimkan permintaan API ke target backend yang memproses permintaan tersebut.
Antarmuka Private Service Connect dan endpoint Private Service Connect saling melengkapi dan dapat digunakan bersama dalam jaringan VPC yang sama.
Misalnya, gambar 4 menjelaskan konfigurasi jaringan layanan terkelola yang menyediakan analisis. Layanan analisis dapat memulai koneksi ke jaringan VPC konsumen menggunakan antarmuka Private Service Connect. Endpoint Private Service Connect di jaringan konsumen memungkinkan layanan analisis memulai koneksi ke layanan database di jaringan VPC lain. Traffic dari layanan analisis ke layanan database akan melewati jaringan konsumen, sehingga konsumen dapat memantau dan memberikan keamanan untuk traffic di antara kedua layanan tersebut.
Spesifikasi
- Antarmuka Private Service Connect adalah jenis antarmuka jaringan khusus yang terhubung ke lampiran jaringan. Spesifikasi antarmuka jaringan juga berlaku untuk antarmuka Private Service Connect.
- Saat membuat VM untuk antarmuka Private Service Connect, buat minimal dua antarmuka jaringan. Antarmuka jaringan pertama
selalu merupakan antarmuka jaringan default, yang bernama
nic0
. Antarmuka ini terhubung ke subnet produsen. Antarmuka kedua adalah antarmuka Private Service Connect yang meminta koneksi ke subnet konsumen. Anda dapat menyertakan hingga tujuh antarmuka Private Service Connect pada satu VM. - Saat project konsumen menerima koneksi dari antarmuka Private Service Connect, Google Cloud akan mengonfigurasi antarmuka dengan alamat IP dari subnet lampiran jaringan:
- Alamat IPv4 internal ditetapkan dari rentang alamat IP utama subnet.
- Jika subnet lampiran jaringan adalah dual-stack, dan antarmuka Private Service Connect adalah dual-stack, alamat IPv6 internal akan ditetapkan dari rentang IPv6 subnet.
- Antarmuka Private Service Connect mendukung rentang IP alias. Rentang IP alias harus berasal dari rentang alamat IPv4 utama dari subnet lampiran jaringan.
- Google Cloud memastikan bahwa alamat IP yang dialokasikan ke antarmuka Private Service Connect tidak tumpang-tindih dengan rentang alamat subnet yang terhubung ke antarmuka jaringan lain milik VM. Jika tidak ada cukup alamat yang tersedia, pembuatan VM akan gagal.
- Antarmuka Private Service Connect berkomunikasi dengan cara yang sama seperti antarmuka jaringan.
- Koneksi antara lampiran jaringan dan antarmuka Private Service Connect bersifat dua arah dan transitif. Workload di jaringan VPC produsen dapat memulai koneksi ke workload yang terhubung ke jaringan VPC konsumen.
Batasan
Koneksi antarmuka Private Service Connect hanya dapat dihentikan dengan cara berikut:
- Produsen menghapus VM antarmuka.
- Konsumen menghapus project yang terhubung ke antarmuka Private Service Connect. Tindakan ini akan menghentikan VM antarmuka.
- Konsumen menonaktifkan Compute Engine API dalam project yang terhubung ke antarmuka Private Service Connect. Tindakan ini akan menghentikan VM antarmuka.
Antarmuka Private Service Connect tidak mendukung alamat IP eksternal.
Antarmuka Private Service Connect tidak boleh menjadi next hop dari aturan penerusan internal.
Anda tidak dapat mengaitkan antarmuka Private Service Connect secara langsung dengan node atau Pod Google Kubernetes Engine (GKE). Namun, egress layanan dapat dilakukan dengan GKE melalui antarmuka Private Service Connect yang dikonfigurasi di VM proxy.
Harga
Harga untuk antarmuka Private Service Connect dijelaskan di halaman harga VPC.
Langkah selanjutnya
- Pelajari cara Membuat dan mengelola antarmuka Private Service Connect.
- Selesaikan Codelab layanan terkelola antarmuka Private Service Connect.