Tentang otomatisasi konektivitas layanan

Otomatisasi konektivitas layanan memungkinkan konsumen layanan mengotomatiskan deployment konektivitas ke layanan terkelola.

Pertimbangkan administrator database yang men-deploy instance database dan ingin mengizinkan konsumen layanan menjangkau database tersebut melalui endpoint Private Service Connect. Administrator database mungkin tidak memiliki kredensial atau keahlian Identity and Access Management (IAM) yang diperlukan untuk men-deploy resource jaringan.

Jika layanan terkelola mendukung otomatisasi konektivitas layanan, konfigurasi instance layanan dan konfigurasi jaringan dapat didelegasikan kepada administrator yang sesuai:

  • Administrator instance layanan dapat mengontrol jaringan mana yang dapat mengakses layanan mereka.

  • Administrator jaringan dapat mengontrol layanan yang ingin diizinkan untuk koneksi.

Jika konfigurasi ini cocok, otomatisasi konektivitas layanan akan membuat endpoint di jaringan yang sesuai, yang menyediakan konektivitas ke instance layanan terkelola.

Ringkasan otomatisasi konektivitas layanan

Bagian berikut menjelaskan konfigurasi dasar dalam satu jaringan VPC yang menggunakan otomatisasi konektivitas layanan. Untuk mengetahui informasi tentang konfigurasi lainnya, lihat VPC Bersama dan layanan Google dengan cakupan instance layanan kustom.

Diperlukan langkah-langkah berikut untuk men-deploy instance layanan terkelola yang mendukung otomatisasi konektivitas layanan:

  1. Administrator jaringan membuat kebijakan koneksi layanan untuk jaringan VPC-nya.

    Kebijakan koneksi layanan mereferensikan class layanan—resource unik global yang mengidentifikasi layanan produsen tertentu. Kebijakan koneksi layanan tunggal mencakup satu class layanan dan satu jaringan VPC konsumen, yang mendelegasikan kemampuan untuk mengonfigurasi konektivitas dalam cakupan tersebut.

  2. Administrator instance layanan men-deploy instance layanan terkelola menggunakan API atau UI administratif layanan. Konfigurasi instance layanan menentukan jaringan mana yang dapat mengakses layanan melalui otomatisasi konektivitas layanan.

  3. Otomatisasi konektivitas layanan akan membuat endpoint di jaringan VPC konsumen. Endpoint ini dapat digunakan untuk mengirim permintaan ke instance layanan.

Otomatisasi konektivitas layanan memungkinkan konsumen layanan mengotomatiskan deployment konektivitas ke layanan terkelola (klik untuk memperbesar).

Konfigurasi produsen

Bagian berikut menjelaskan resource yang digunakan oleh produsen layanan untuk mengonfigurasi otomatisasi konektivitas layanan.

Kelas layanan

Class layanan adalah representasi unik secara global dari jenis layanan terkelola. Setiap produsen memiliki class layanan mereka secara eksklusif. Konsumen mereferensikan class layanan dalam kebijakan koneksi layanan mereka, yang mengizinkan deployment dan mendelegasikan konektivitas kepada produsen.

Kebijakan koneksi layanan hanya dapat dibuat untuk layanan yang memiliki class layanan.

Class layanan tersedia untuk layanan yang dipublikasikan Google. Class layanan juga tersedia dalam Pratinjau terbatas untuk layanan pihak ketiga dan layanan terkelola internal yang dihosting sendiri. Untuk mengetahui informasi selengkapnya, lihat Layanan yang didukung.

Peta koneksi layanan

Peta koneksi layanan adalah resource yang dikelola produsen yang menyimpan detail untuk memberi otorisasi dan membuat koneksi Private Service Connect antara jaringan VPC konsumen dan instance layanan yang dikelola produsen. Peta ini menentukan hubungan yang diizinkan antara instance layanan produsen (diwakili oleh lampiran layanan) dan project konsumen serta jaringan VPC yang diberi otorisasi untuk terhubung ke instance layanan.

Model otorisasi

Kebijakan koneksi layanan memungkinkan konsumen mendelegasikan deployment konektivitas kepada layanan terkelola. Produsen layanan tidak memiliki akses langsung atau hak istimewa IAM untuk project konsumen. Sebagai gantinya, produser mengonfigurasi peta koneksi layanan di project mereka sendiri.

Saat peta koneksi layanan dibuat atau diperbarui, biasanya sebagai respons terhadap permintaan dari administrator layanan konsumen ke API atau UI administratif layanan terkelola, otomatisasi konektivitas layanan akan melakukan serangkaian pemeriksaan otorisasi. Jika semua pemeriksaan lulus, endpoint Private Service Connect akan dibuat seperti yang ditentukan dalam permintaan.

  • Konfigurasi jaringan (kebijakan koneksi layanan):

    • Otorisasi jaringan. Jaringan VPC konsumen harus memiliki kebijakan koneksi layanan yang valid yang memberikan otorisasi ke jaringan, region, dan class layanan VPC yang ditentukan oleh permintaan. Pemeriksaan ini membantu memastikan bahwa administrator jaringan konsumen dengan izin IAM di jaringan VPC secara eksplisit mendelegasikan kemampuan untuk membuat endpoint Private Service Connect untuk jenis layanan yang ditentukan.
    • Cakupan instance layanan. Jika instance layanan terkelola adalah layanan Google dan kebijakan koneksi layanan menentukan cakupan instance layanan kustom (custom-resource-hierarchy-levels), otomatisasi konektivitas layanan akan memeriksa daftar node Resource Manager yang disediakan (--allowed-google-producers-resource-hierarchy-level). Project yang ditentukan administrator instance layanan di UI atau API layanan terkelola untuk men-deploy dan mengelola instance layanan harus berada dalam cakupan yang diizinkan yang ditentukan oleh daftar ini. Cakupan dapat berupa campuran organisasi, folder, dan project.
    • Validasi project endpoint. Project tempat kebijakan koneksi dibuat harus dikaitkan dengan jaringan VPC tempat endpoint akan dibuat. Project harus berisi jaringan VPC atau berupa project layanan yang dilampirkan ke jaringan VPC Bersama.
  • Konfigurasi instance layanan:

    • Otorisasi IAM administrator layanan. Administrator layanan konsumen harus memiliki izin IAM yang diperlukan untuk membuat atau memperbarui instance layanan produsen. Izin ini bervariasi berdasarkan layanan yang di-deploy.

    • Otorisasi administrator instance layanan. Di API administrative layanan, administrator instance layanan yang membuat instance layanan harus telah mengonfigurasi instance untuk mengizinkan koneksi dari jaringan VPC yang meminta koneksi.

  • Konfigurasi produsen:

    • Izin IAM produser. Administrator layanan produsen yang membuat atau memperbarui peta koneksi layanan harus memiliki izin IAM pada class layanan terkait. Pemeriksaan ini membantu mencegah pernyataan class layanan publik yang salah.

Jika setiap kondisi terpenuhi, Akun Layanan Network Connectivity akan membuat endpoint yang diminta di jaringan yang diotorisasi. Akun Layanan Network Connectivity adalah agen layanan.

VPC Bersama

Otomatisasi konektivitas layanan dapat digunakan untuk membuat endpoint Private Service Connect secara otomatis di jaringan VPC Bersama. Karena endpoint dikonfigurasi dengan alamat IP dari jaringan VPC Bersama, endpoint dapat diakses dari project host dan semua project layanan yang terpasang.

Untuk membuat konfigurasi yang ditampilkan dalam diagram berikut, tugas berikut harus diselesaikan:

  1. Administrator jaringan membuat kebijakan koneksi layanan untuk jaringan vpc1 di project host project1, dan mengizinkan konektivitas ke instance layanan yang menggunakan class layanan google-cloud-sql. Alamat IP endpoint dialokasikan dari subnet endpoint-subnet.

  2. Administrator instance layanan men-deploy dua instance layanan terkelola: db-test dalam project service-project-test, dan db-prod dalam project service-project-prod. Administrator mengonfigurasi instance layanan agar otomatisasi konektivitas layanan dapat men-deploy endpoint di jaringan vpc1 di project1 yang terhubung ke instance layanan.

  3. Karena semua pemeriksaan otorisasi lulus, otomatisasi konektivitas layanan akan membuat dua endpoint yang terhubung ke endpoint-subnet, satu untuk setiap instance layanan. Semua VM yang terhubung ke subnet vm-subnet dapat mengakses endpoint karena terhubung ke jaringan VPC Bersama yang sama dengan endpoint.

Anda dapat menggunakan kebijakan koneksi layanan di jaringan VPC Bersama untuk membuat konektivitas ke instance layanan yang di-deploy di project layanan (klik untuk memperbesar).

Layanan Google dengan cakupan instance layanan kustom

Secara default, otomatisasi konektivitas layanan mengharuskan instance layanan dan endpoint yang terhubung ke instance layanan harus berada dalam project yang sama (atau dalam kasus VPC Bersama, dalam project yang terhubung). Untuk layanan Google yang didukung, instance layanan dan endpoint penghubung dapat berada di project atau organisasi yang berbeda.

Untuk membuat konfigurasi yang ditampilkan dalam diagram berikut, tugas berikut selesai:

  1. Administrator jaringan untuk vpc-1, vpc-2, dan vpc-3 membuat kebijakan koneksi layanan di jaringan VPC masing-masing. Keduanya memungkinkan konektivitas ke instance layanan yang menggunakan class layanan google-cloud-sql dan di-deploy di project project-1 di organisasi org-1.

  2. Administrator instance layanan men-deploy instance layanan terkelola db-1 di project-1 menggunakan API atau UI administratif layanan. Administrator mengonfigurasi instance layanan untuk mengizinkan otomatisasi konektivitas layanan men-deploy endpoint di vpc-1 dan vpc-2 yang terhubung ke db-1.

  3. Untuk vpc-1 dan vpc-2, semua pemeriksaan otorisasi lolos dan otomatisasi konektivitas layanan akan membuat endpoint di setiap jaringan. VM dalam jaringan tersebut dapat mengirim traffic ke instance layanan melalui endpoint.

    Namun, endpoint tidak dibuat di vpc-3 karena jaringan tersebut tidak dikonfigurasi untuk konektivitas otomatis dalam konfigurasi instance layanan db-1.

    Jika vpc-3 perlu mengakses instance layanan db-1, administrator jaringan dapat menghubungi administrator database dan meminta mereka untuk menambahkan vpc-3 ke konfigurasi konektivitas untuk db-1.

Anda dapat mengotomatiskan konektivitas ke layanan Google yang didukung dari berbagai project, folder, atau organisasi (klik untuk memperbesar).

Layanan yang didukung

Layanan Google berikut mendukung otomatisasi konektivitas layanan.

Google service Akses yang diberikan
Cloud SQL Memungkinkan Anda mengotomatiskan pembuatan koneksi ke instance Cloud SQL.
Memorystore for Redis Cluster Memungkinkan Anda mengotomatiskan pembuatan koneksi ke instance Memorystore for Redis Cluster.
Memorystore for Valkey Memungkinkan Anda mengotomatiskan pembuatan koneksi ke instance Memorystore for Valkey.
Vector Search Vertex AI Memungkinkan Anda mengotomatiskan pembuatan koneksi ke endpoint Vector Search.

Untuk menentukan apakah layanan terkelola pihak ketiga mendukung kebijakan koneksi layanan, hubungi penyedia layanan. Jika layanan mendukung kebijakan koneksi layanan, penyedia layanan dapat memberi Anda class layanan terkait.

Referensi otomatisasi sisi produsen tersedia dalam Pratinjau terbatas. Jika Anda ingin mengotomatiskan konektivitas konsumen untuk layanan terkelola Anda sendiri, hubungi Sales Rep Google Cloud Anda.