Tentang kebijakan koneksi layanan

Halaman ini menyediakan ringkasan kebijakan koneksi layanan.

Konsumen layanan dapat membuat kebijakan koneksi layanan yang mengotomatiskan deployment dan konektivitas untuk instance layanan terkelola yang memenuhi syarat. Proses ini disebut Otomatisasi konektivitas layanan Private Service Connect.

Misalnya, administrator layanan konsumen mungkin adalah administrator database yang men-deploy database, lalu mengonfigurasi Private Service Connect untuk menjangkau database tersebut. Namun, administrator database mungkin tidak memiliki kredensial Identity and Access Management (IAM) yang diperlukan atau pengetahuan tentang cara men-deploy resource jaringan. Jika terdapat kebijakan koneksi layanan, dan layanan produsen dikonfigurasi untuk otomatisasi layanan, maka administrator database dapat meminta agar instance layanan produsen di-deploy dan terhubung ke jaringan mereka melalui otomatisasi konektivitas layanan.

Kebijakan koneksi layanan berguna untuk peran berikut:

  • Administrator layanan konsumen dapat men-deploy instance layanan produser terkelola dan mengonfigurasi konektivitas melalui API atau UI administratif layanan produsen. Tidak ada langkah tambahan untuk mengonfigurasi Private Service Connect.
  • Administrator jaringan dapat membuat satu set kebijakan yang mengontrol layanan dan subnet yang digunakan untuk konektivitas.
  • Produsen layanan dapat menyederhanakan proses berbagi lampiran layanan dan memandu konsumen melalui deployment konektivitas. Konsumen yang memiliki kebijakan koneksi layanan dapat mengonfigurasi layanan produsen menggunakan API atau UI administratif produsen.

Deployment instance layanan

Diperlukan langkah-langkah berikut untuk men-deploy instance layanan terkelola menggunakan kebijakan koneksi layanan, seperti yang ditunjukkan pada gambar 1:

  1. Administrator jaringan konsumen membuat kebijakan koneksi layanan untuk jaringan VPC-nya. Jaringan ini secara opsional dapat berupa Jaringan VPC bersama.

    Kebijakan koneksi layanan memungkinkan Google men-deploy endpoint Private Service Connect secara otomatis atas nama administrator layanan konsumen. Kebijakan koneksi layanan mereferensikan class layanan, yaitu resource unik global yang mengidentifikasi layanan produsen tertentu. Kebijakan koneksi layanan tunggal mencakup satu class layanan dan satu jaringan VPC konsumen, yang mendelegasikan kemampuan untuk mengonfigurasi konektivitas dalam cakupan tersebut.

  2. Administrator layanan konsumen men-deploy instance layanan terkelola dan mengonfigurasi konektivitas ke instance tersebut menggunakan API atau UI administratif layanan.

    Jika membuat kebijakan koneksi layanan di jaringan VPC Bersama, Anda dapat men-deploy instance layanan terkelola di project layanan terlampir.

  3. Producer menerima konfigurasi konektivitas konsumen dan meneruskan informasi ini ke peta koneksi layanan.

  4. Akun Layanan Network Connectivity membuat endpoint di jaringan VPC konsumen. Endpoint ini terhubung ke lampiran layanan di jaringan VPC produsen.

Administrator jaringan membuat kebijakan koneksi layanan. Administrator layanan konsumen kemudian dapat men-deploy instance layanan terkelola menggunakan API atau UI administratif layanan tersebut (klik untuk memperbesar).

Layanan yang didukung

Untuk mengetahui apakah layanan terkelola mendukung kebijakan koneksi layanan, hubungi penyedia layanan. Jika layanan mendukung kebijakan koneksi layanan, penyedia layanan dapat memberi Anda class layanan terkait.

Class layanan, yang memungkinkan produsen untuk mengotomatiskan layanan mereka atas nama konsumen, tersedia bagi produsen dalam Pratinjau terbatas. Untuk mengetahui informasi tentang cara mengotomatiskan konektivitas untuk layanan terkelola Anda sendiri melalui class layanan, hubungi Sales Rep Google Cloud Anda.

Kebijakan koneksi layanan

Kebijakan koneksi layanan adalah resource Google Cloud regional. Resource ini memungkinkan administrator jaringan menentukan layanan produsen mana yang dapat di-deploy dan dihubungkan melalui otomatisasi konektivitas layanan. Jika ada kebijakan koneksi layanan untuk layanan terkelola, administrator layanan konsumen dapat men-deploy layanan tersebut.

Kebijakan koneksi layanan memiliki kolom berikut:

  • Class layanan: menentukan jenis layanan terkelola yang menjadi tujuan kebijakan tersebut. Setiap produsen yang mendukung kebijakan koneksi layanan memiliki class layanan uniknya sendiri secara global.
  • Jaringan VPC: menentukan jaringan VPC yang dicakup dalam kebijakan.
  • Subnet: menentukan subnet yang menjadi sumber alokasi alamat IP untuk endpoint Private Service Connect.
  • Batas koneksi: menentukan jumlah maksimum koneksi Private Service Connect yang dapat dibuat oleh produser di jaringan dan region VPC kebijakan.

Spesifikasi

Kebijakan koneksi layanan memiliki spesifikasi berikut:

  • Anda dapat membuat satu kebijakan koneksi layanan per kombinasi jaringan, region, dan class layanan. Hal ini memastikan bahwa hanya satu kebijakan yang mengatur pembuatan endpoint Private Service Connect.
  • Jika ada kebijakan koneksi layanan untuk class layanan tertentu, administrator layanan konsumen dapat menggunakan API atau UI administratif layanan untuk men-deploy layanan tersebut dan mengonfigurasi konektivitas menggunakan otomatisasi konektivitas layanan.
  • Subnet yang disertakan dalam konfigurasi kebijakan koneksi layanan menyediakan alamat IP yang ditetapkan ke endpoint Private Service Connect. Subnet ini harus berupa subnet reguler, dan harus berada di region yang sama dengan kebijakan koneksi layanan. Subnet reguler berbeda dari subnet Private Service Connect.
  • Sebagai praktik terbaik, Google merekomendasikan penggunaan subnet khusus dengan kebijakan koneksi layanan. Hal ini membantu memastikan bahwa alamat IP subnet tidak digunakan kembali untuk resource yang berbeda.
  • Kebijakan koneksi layanan hanya dapat dibuat dalam project yang sama dengan jaringan VPC tempat kebijakan diterapkan.
  • Jika Anda ingin menggunakan otomatisasi layanan Private Service Connect dengan beberapa jaringan VPC yang berada dalam project yang sama, buat kebijakan koneksi layanan untuk setiap jaringan.
  • Anda dapat menggunakan kebijakan koneksi layanan dengan VPC Bersama.

Konfigurasi produsen

Bagian berikut menjelaskan resource yang digunakan oleh produsen layanan untuk mengonfigurasi otomatisasi konektivitas layanan.

Peta koneksi layanan

Peta koneksi layanan adalah resource sisi produsen yang memungkinkan produsen menentukan pemetaan antara lampiran layanan dan endpoint Private Service Connect. Peta ini berisi daftar kombinasi jaringan dan project VPC yang dapat dipetakan ke daftar lampiran layanan.

Produsen menggunakan peta koneksi layanan untuk menentukan project konsumen dan jaringan Private Service Connect yang akan digunakan saat endpoint dibuat melalui otomatisasi layanan.

Saat administrator layanan konsumen membuat permintaan untuk instance layanan agar di-deploy melalui otomatisasi konektivitas layanan, administrator akan menentukan jaringan VPC. Layanan terkelola menggunakan informasi ini untuk memperbarui peta koneksi layanan yang sesuai dan menentukan lampiran layanan mana yang akan dihubungkan dengan konsumen.

Kelas layanan

Class layanan adalah representasi unik secara global dari jenis layanan terkelola. Setiap produsen memiliki class layanan mereka secara eksklusif. Konsumen mereferensikan class layanan dalam kebijakan koneksi layanan mereka, yang mengizinkan deployment dan mendelegasikan konektivitas kepada produsen.

Class layanan dapat tersedia untuk layanan yang dipublikasikan Google, layanan pihak ketiga, dan layanan terkelola internal yang dihosting sendiri. Kebijakan koneksi layanan hanya dapat dibuat untuk layanan yang memiliki class layanan.

Model otorisasi

Kebijakan koneksi layanan memungkinkan konsumen mendelegasikan deployment konektivitas kepada produsen. Produsen tidak memiliki akses langsung atau hak istimewa IAM untuk project konsumen. Sebagai gantinya, produser mengonfigurasi peta koneksi layanan di project mereka sendiri. Hal ini memungkinkan produsen menentukan project konsumen dan jaringan VPC untuk men-deploy endpoint.

Saat peta koneksi layanan dibuat atau diperbarui oleh produsen, Google Cloud akan melakukan pemeriksaan otorisasi berikut:

  • Pengguna produsen yang membuat atau mengupdate peta koneksi memiliki kepemilikan IAM dari class layanan terkait. Pemeriksaan ini membantu mencegah pernyataan class layanan publik yang salah.
  • Jaringan konsumen memiliki kebijakan koneksi layanan valid yang memberikan otorisasi ke jaringan, region, dan class layanan VPC yang ditentukan oleh peta koneksi layanan. Pemeriksaan ini memastikan bahwa administrator yang memiliki izin IAM ke jaringan VPC secara eksplisit mendelegasikan kemampuan untuk membuat endpoint Private Service Connect untuk jenis layanan yang ditentukan.
  • Project yang ditentukan konsumen untuk konektivitas di UI atau API layanan terkelola dikaitkan dengan instance layanan terkelola. Pemeriksaan ini membantu mencegah spoofing atau mengelabui layanan terkelola agar membuat konektivitas untuk project yang tidak sah.

Jika setiap kondisi terpenuhi, Akun Layanan Network Connectivity akan membuat endpoint yang diminta di jaringan konsumen. Akun Layanan Network Connectivity adalah agen layanan.

Batasan

  • Kebijakan koneksi layanan hanya mendukung otomatisasi endpoint Private Service Connect dalam jaringan VPC konsumen. Backend atau lampiran layanan Private Service Connect tidak didukung.
  • Anda tidak dapat langsung menghapus endpoint Private Service Connect yang dibuat melalui otomatisasi konektivitas layanan. Untuk memicu penghapusan endpoint ini, lihat konektivitas layanan penghentian.
  • Anda hanya dapat memperbarui subnet dan batas koneksi untuk kebijakan koneksi layanan. Jika Anda ingin memperbarui kolom lain, hapus kebijakan dan buat kebijakan baru.
  • Kebijakan koneksi layanan mendukung pembuatan endpoint dengan alamat IPv4. Pembuatan endpoint yang memiliki alamat IPv6 tidak didukung.

Harga

Harga untuk Private Service Connect dijelaskan di halaman harga VPC.

Langkah selanjutnya