Tentang kebijakan koneksi layanan
Dokumen ini menjelaskan cara administrator jaringan dapat menggunakan kebijakan koneksi layanan untuk menyediakan konektivitas ke instance layanan terkelola yang didukung melalui otomatisasi konektivitas layanan. Sebelum membaca dokumen ini, pastikan Anda memahami konsep yang dijelaskan dalam Tentang otomatisasi konektivitas layanan.
Spesifikasi
Kebijakan koneksi layanan memiliki spesifikasi berikut:
Anda hanya dapat membuat satu kebijakan koneksi layanan untuk setiap kombinasi jaringan, region, dan class layanan. Misalnya, Anda hanya dapat memiliki satu kebijakan koneksi layanan untuk
vpc1dius-central1untukgoogle-cloud-sql. Validasi ini berarti hanya satu kebijakan koneksi layanan yang mengatur endpoint Private Service Connect tertentu.Administrator instance layanan dapat menggunakan API atau UI administratif layanan untuk men-deploy layanan tersebut dan mengonfigurasi konektivitas menggunakan otomatisasi konektivitas layanan.
Subnet yang disertakan dalam konfigurasi kebijakan koneksi layanan menyediakan alamat IP yang ditetapkan ke endpoint Private Service Connect. Alamat IP ini secara otomatis dialokasikan dan dikembalikan ke kumpulan subnet saat instance layanan terkelola dibuat dan dihapus.
Subnet harus berupa subnet reguler, dan harus berada di region yang sama dengan kebijakan koneksi layanan. Subnet reguler berbeda dari subnet Private Service Connect.
Sebagai praktik terbaik, sebaiknya Anda menghindari penggunaan subnet untuk resource lain. Jika resource lain menggunakan alamat IP dari subnet, Anda mungkin kehabisan alamat IP untuk ditetapkan ke endpoint.
Layanan terkelola yang menggunakan kebijakan koneksi layanan mungkin mendukung koneksi ke instance layanan menggunakan endpoint IPv4, endpoint IPv6, atau keduanya. Jika layanan mendukung IPv4 dan IPv6, administrator instance layanan dapat memilih versi IP saat men-deploy instance layanan.
Anda dapat menggunakan kebijakan koneksi layanan dengan VPC Bersama.
Secara default, instance layanan dan endpoint yang terhubung ke instance layanan harus berada dalam project yang sama (atau dalam kasus VPC Bersama, dalam project yang terhubung).
Layanan Google yang didukung memungkinkan Anda mengonfigurasi cakupan instance layanan kustom.
Endpoint yang dibuat melalui otomatisasi konektivitas layanan mungkin memiliki label yang diterapkan oleh produsen layanan. Untuk mengetahui informasi selengkapnya tentang label, lihat Mengelola resource menggunakan label.
Jika Anda ingin menggunakan otomatisasi layanan Private Service Connect dengan beberapa jaringan VPC yang berada dalam project yang sama, buat kebijakan koneksi layanan untuk setiap jaringan.
Secara opsional, Anda dapat mengonfigurasi batas koneksi untuk menentukan jumlah maksimum koneksi Private Service Connect yang dapat dibuat oleh produsen layanan tertentu di jaringan dan region VPC kebijakan.
Endpoint yang dibuat melalui kebijakan koneksi layanan dapat tersedia di jaringan VPC lain melalui penyebaran koneksi.
Otorisasi
Kebijakan koneksi layanan memungkinkan konsumen mendelegasikan deployment konektivitas kepada layanan terkelola. Produsen layanan tidak memiliki akses langsung atau hak istimewa IAM untuk project konsumen. Sebagai gantinya, produser mengonfigurasi peta koneksi layanan di project mereka sendiri.
Saat peta koneksi layanan dibuat atau diperbarui, biasanya sebagai respons terhadap permintaan dari administrator layanan konsumen ke API atau UI administratif layanan terkelola, otomatisasi konektivitas layanan akan melakukan serangkaian pemeriksaan otorisasi. Jika semua pemeriksaan lulus, endpoint Private Service Connect akan dibuat seperti yang ditentukan dalam permintaan.
Untuk informasi tentang otorisasi, lihat Model otorisasi.
Kebijakan koneksi di jaringan VPC Bersama
Kebijakan koneksi layanan dapat mengotomatiskan konektivitas ke instance layanan yang berada di project host atau di project layanan terlampir.
Jika menggunakan VPC Bersama, Anda harus membuat kebijakan koneksi layanan di project host. Endpoint dibuat dalam project yang ditentukan dalam konfigurasi instance layanan.
Jika Anda membuat kebijakan koneksi layanan di jaringan VPC Bersama dan men-deploy instance layanan di project layanan, otomatisasi konektivitas layanan akan membagikan subnet yang terkait dengan kebijakan koneksi layanan dengan memperbarui Akun Layanan Koneksi Jaringan project layanan.
Akun layanan ini diberi peran Compute Network User (roles/compute.networkUser) di subnet bersama.
Untuk contoh deployment, lihat VPC Bersama.
Kebijakan koneksi dengan cakupan instance layanan kustom
Secara default, otomatisasi konektivitas layanan akan membuat endpoint untuk instance layanan dan kebijakan koneksi layanan terkait yang berada dalam project Google Cloud yang sama (atau dalam kasus VPC Bersama, dalam project yang terhubung). Untuk layanan Google yang didukung, instance layanan dan endpoint koneksi juga dapat berada di project atau organisasi yang berbeda.
Tidak semua layanan Google mendukung konfigurasi cakupan instance layanan kustom. Untuk menentukan apakah layanan mendukung cakupan instance layanan kustom, lihat dokumentasi untuk layanan tertentu.
Gunakan setelan Cakupan instance layanan (--producer-instance-location) untuk mengonfigurasi konektivitas ke instance layanan yang berada di node Resource Manager lain (project, folder, dan organisasi).
- Jika ditetapkan ke
no_producer_instance_location, endpoint hanya dibuat di project yang sama. Ini adalah nilai defaultnya. - Jika ditetapkan ke
custom_resource_hierarchy_levels, Anda menentukan daftar node Pengelola Resource di kolom--allowed-google-producers-resource-hierarchy-level.
Jika Anda mengupdate cakupan instance layanan untuk kebijakan koneksi layanan, endpoint yang ada tidak akan terpengaruh.
Untuk contoh deployment, lihat Layanan Google dengan cakupan instance layanan kustom.
Versi IP endpoint
Kemungkinan versi IP endpoint yang terhubung ke instance layanan (IPv4, IPv6, atau keduanya) ditentukan oleh produsen layanan, bukan oleh otomatisasi konektivitas layanan. Jika layanan mendukung IPv4 dan IPv6, administrator instance layanan dapat memilih versi IP saat men-deploy instance melalui API administratif layanan. Untuk informasi tentang versi IP yang didukung layanan, lihat dokumentasi layanan.
Saat administrator instance layanan memilih versi IP, otomatisasi konektivitas layanan akan memeriksa kebijakan koneksi layanan untuk menemukan subnet yang kompatibel untuk digunakan dalam membuat alamat IP endpoint:
- Subnet khusus IPv4 mendukung endpoint IPv4.
- Subnet stack ganda mendukung endpoint IPv4 dan IPv6.
- Subnet khusus IPv6 (Pratinjau) mendukung endpoint IPv6.
Jika kebijakan koneksi layanan tidak memiliki subnet yang kompatibel, permintaan akan gagal, dan tidak ada endpoint yang dibuat.
Selain itu, versi IP endpoint harus kompatibel dengan versi IP instance layanan, yang ditentukan oleh aturan penerusan lampiran layanan terkait. Private Service Connect mendukung kombinasi versi IP berikut:
- Endpoint IPv4 ke lampiran layanan IPv4
- Endpoint IPv6 ke lampiran layanan IPv6
Endpoint IPv6 ke lampiran layanan IPv4
Dalam konfigurasi ini, Private Service Connect secara otomatis menerjemahkan antara dua versi IP.
Menghubungkan endpoint IPv4 ke lampiran layanan IPv6 tidak didukung.
Jika Anda ingin mengizinkan klien IPv4 dan IPv6 mengakses instance layanan terkelola, konfigurasikan konektivitas untuk endpoint IPv4 dan IPv6 terpisah yang terhubung ke layanan yang sama.
Batasan
- Kebijakan koneksi layanan hanya mendukung otomatisasi pembuatan endpoint Private Service Connect. Membuat backend atau lampiran layanan Private Service Connect tidak didukung.
- Anda tidak dapat langsung menghapus endpoint Private Service Connect yang dibuat melalui otomatisasi konektivitas layanan. Untuk memicu penghapusan endpoint ini, lihat konektivitas layanan penghentian.
- Anda hanya dapat memperbarui subnet dan batas koneksi untuk kebijakan koneksi layanan. Jika Anda ingin memperbarui kolom lain, hapus kebijakan dan buat kebijakan baru.
- Kebijakan koneksi layanan mendukung pembuatan endpoint dengan alamat IPv4. Membuat endpoint yang memiliki alamat IPv6 tidak didukung.
Harga
Harga untuk Private Service Connect dijelaskan di halaman harga VPC.