Tentang otomatisasi konektivitas layanan
Otomatisasi konektivitas layanan memungkinkan konsumen layanan mengotomatiskan deployment konektivitas ke layanan terkelola.
Pertimbangkan administrator database yang men-deploy instance database dan ingin mengizinkan konsumen layanan menjangkau database tersebut melalui endpoint Private Service Connect. Administrator database mungkin tidak memiliki kredensial atau keahlian Identity and Access Management (IAM) yang diperlukan untuk men-deploy resource jaringan.
Jika layanan terkelola mendukung otomatisasi konektivitas layanan, konfigurasi instance layanan dan konfigurasi jaringan dapat didelegasikan kepada administrator yang sesuai:
Administrator instance layanan dapat mengontrol jaringan mana yang dapat mengakses layanan mereka.
Administrator jaringan dapat mengontrol layanan yang ingin diizinkan untuk koneksi.
Jika konfigurasi ini cocok, otomatisasi konektivitas layanan akan membuat endpoint di jaringan yang sesuai, yang menyediakan konektivitas ke instance layanan terkelola.
Ringkasan otomatisasi konektivitas layanan
Bagian berikut menjelaskan konfigurasi dasar dalam satu jaringan VPC yang menggunakan otomatisasi konektivitas layanan. Untuk mengetahui informasi tentang konfigurasi lainnya, lihat VPC Bersama dan layanan Google dengan cakupan instance layanan kustom.
Diperlukan langkah-langkah berikut untuk men-deploy instance layanan terkelola yang mendukung otomatisasi konektivitas layanan:
Administrator jaringan membuat kebijakan koneksi layanan untuk jaringan VPC-nya.
Kebijakan koneksi layanan mereferensikan class layanan—resource unik global yang mengidentifikasi layanan produsen tertentu. Kebijakan koneksi layanan tunggal mencakup satu class layanan dan satu jaringan VPC konsumen, yang mendelegasikan kemampuan untuk mengonfigurasi konektivitas dalam cakupan tersebut.
Administrator instance layanan men-deploy instance layanan terkelola menggunakan API atau UI administratif layanan. Konfigurasi instance layanan menentukan jaringan mana yang dapat mengakses layanan melalui otomatisasi konektivitas layanan.
Otomatisasi konektivitas layanan akan membuat endpoint di jaringan VPC konsumen. Endpoint ini dapat digunakan untuk mengirim permintaan ke instance layanan.
Konfigurasi produsen
Bagian berikut menjelaskan resource yang digunakan oleh produsen layanan untuk mengonfigurasi otomatisasi konektivitas layanan.
Kelas layanan
Class layanan adalah representasi unik secara global dari jenis layanan terkelola. Setiap produsen memiliki class layanan mereka secara eksklusif. Konsumen mereferensikan class layanan dalam kebijakan koneksi layanan mereka, yang mengizinkan deployment dan mendelegasikan konektivitas kepada produsen.
Kebijakan koneksi layanan hanya dapat dibuat untuk layanan yang memiliki class layanan.
Class layanan tersedia untuk layanan yang dipublikasikan Google. Class layanan juga tersedia dalam Pratinjau terbatas untuk layanan pihak ketiga dan layanan terkelola internal yang dihosting sendiri. Untuk mengetahui informasi selengkapnya, lihat Layanan yang didukung.
Peta koneksi layanan
Peta koneksi layanan adalah resource yang dikelola produsen yang menyimpan detail untuk memberi otorisasi dan membuat koneksi Private Service Connect antara jaringan VPC konsumen dan instance layanan yang dikelola produsen. Peta ini menentukan hubungan yang diizinkan antara instance layanan produsen (diwakili oleh lampiran layanan) dan project konsumen serta jaringan VPC yang diberi otorisasi untuk terhubung ke instance layanan.
Model otorisasi
Kebijakan koneksi layanan memungkinkan konsumen mendelegasikan deployment konektivitas kepada layanan terkelola. Produsen layanan tidak memiliki akses langsung atau hak istimewa IAM untuk project konsumen. Sebagai gantinya, produser mengonfigurasi peta koneksi layanan di project mereka sendiri.
Saat peta koneksi layanan dibuat atau diperbarui, biasanya sebagai respons terhadap permintaan dari administrator layanan konsumen ke API atau UI administratif layanan terkelola, otomatisasi konektivitas layanan akan melakukan serangkaian pemeriksaan otorisasi. Jika semua pemeriksaan lulus, endpoint Private Service Connect akan dibuat seperti yang ditentukan dalam permintaan.
Konfigurasi jaringan (kebijakan koneksi layanan):
- Otorisasi jaringan. Jaringan VPC konsumen harus memiliki kebijakan koneksi layanan yang valid yang memberikan otorisasi ke jaringan, region, dan class layanan VPC yang ditentukan oleh permintaan. Pemeriksaan ini membantu memastikan bahwa administrator jaringan konsumen dengan izin IAM di jaringan VPC secara eksplisit mendelegasikan kemampuan untuk membuat endpoint Private Service Connect untuk jenis layanan yang ditentukan.
- Cakupan instance layanan. Jika instance layanan terkelola adalah layanan Google dan kebijakan koneksi layanan menentukan cakupan instance layanan kustom (
custom-resource-hierarchy-levels
), otomatisasi konektivitas layanan akan memeriksa daftar node Resource Manager yang disediakan (--allowed-google-producers-resource-hierarchy-level
). Project yang ditentukan administrator instance layanan di UI atau API layanan terkelola untuk men-deploy dan mengelola instance layanan harus berada dalam cakupan yang diizinkan yang ditentukan oleh daftar ini. Cakupan dapat berupa campuran organisasi, folder, dan project. - Validasi project endpoint. Project tempat kebijakan koneksi dibuat harus dikaitkan dengan jaringan VPC tempat endpoint akan dibuat. Project harus berisi jaringan VPC atau berupa project layanan yang dilampirkan ke jaringan VPC Bersama.
Konfigurasi instance layanan:
Otorisasi IAM administrator layanan. Administrator layanan konsumen harus memiliki izin IAM yang diperlukan untuk membuat atau memperbarui instance layanan produsen. Izin ini bervariasi berdasarkan layanan yang di-deploy.
Otorisasi administrator instance layanan. Di API administrative layanan, administrator instance layanan yang membuat instance layanan harus telah mengonfigurasi instance untuk mengizinkan koneksi dari jaringan VPC yang meminta koneksi.
Konfigurasi produsen:
- Izin IAM produser. Administrator layanan produsen yang membuat atau memperbarui peta koneksi layanan harus memiliki izin IAM pada class layanan terkait. Pemeriksaan ini membantu mencegah pernyataan class layanan publik yang salah.
Jika setiap kondisi terpenuhi, Akun Layanan Network Connectivity akan membuat endpoint yang diminta di jaringan yang diotorisasi. Akun Layanan Network Connectivity adalah agen layanan.
VPC Bersama
Otomatisasi konektivitas layanan dapat digunakan untuk membuat endpoint Private Service Connect secara otomatis di jaringan VPC Bersama. Karena endpoint dikonfigurasi dengan alamat IP dari jaringan VPC Bersama, endpoint dapat diakses dari project host dan semua project layanan yang terpasang.
Untuk membuat konfigurasi yang ditampilkan dalam diagram berikut, tugas berikut harus diselesaikan:
Administrator jaringan membuat kebijakan koneksi layanan untuk jaringan
vpc1
di project hostproject1
, dan mengizinkan konektivitas ke instance layanan yang menggunakan class layanangoogle-cloud-sql
. Alamat IP endpoint dialokasikan dari subnetendpoint-subnet
.Administrator instance layanan men-deploy dua instance layanan terkelola:
db-test
dalam projectservice-project-test
, dandb-prod
dalam projectservice-project-prod
. Administrator mengonfigurasi instance layanan agar otomatisasi konektivitas layanan dapat men-deploy endpoint di jaringanvpc1
diproject1
yang terhubung ke instance layanan.Karena semua pemeriksaan otorisasi lulus, otomatisasi konektivitas layanan akan membuat dua endpoint yang terhubung ke
endpoint-subnet
, satu untuk setiap instance layanan. Semua VM yang terhubung ke subnetvm-subnet
dapat mengakses endpoint karena terhubung ke jaringan VPC Bersama yang sama dengan endpoint.
Layanan Google dengan cakupan instance layanan kustom
Secara default, otomatisasi konektivitas layanan mengharuskan instance layanan dan endpoint yang terhubung ke instance layanan harus berada dalam project yang sama (atau dalam kasus VPC Bersama, dalam project yang terhubung). Untuk layanan Google yang didukung, instance layanan dan endpoint penghubung dapat berada di project atau organisasi yang berbeda.
Untuk membuat konfigurasi yang ditampilkan dalam diagram berikut, tugas berikut selesai:
Administrator jaringan untuk
vpc-1
,vpc-2
, danvpc-3
membuat kebijakan koneksi layanan di jaringan VPC masing-masing. Keduanya memungkinkan konektivitas ke instance layanan yang menggunakan class layanangoogle-cloud-sql
dan di-deploy di projectproject-1
di organisasiorg-1
.Administrator instance layanan men-deploy instance layanan terkelola
db-1
diproject-1
menggunakan API atau UI administratif layanan. Administrator mengonfigurasi instance layanan untuk mengizinkan otomatisasi konektivitas layanan men-deploy endpoint divpc-1
danvpc-2
yang terhubung kedb-1
.Untuk
vpc-1
danvpc-2
, semua pemeriksaan otorisasi lolos dan otomatisasi konektivitas layanan akan membuat endpoint di setiap jaringan. VM dalam jaringan tersebut dapat mengirim traffic ke instance layanan melalui endpoint.Namun, endpoint tidak dibuat di
vpc-3
karena jaringan tersebut tidak dikonfigurasi untuk konektivitas otomatis dalam konfigurasi instance layanandb-1
.Jika
vpc-3
perlu mengakses instance layanandb-1
, administrator jaringan dapat menghubungi administrator database dan meminta mereka untuk menambahkanvpc-3
ke konfigurasi konektivitas untukdb-1
.
Layanan yang didukung
Layanan Google berikut mendukung otomatisasi konektivitas layanan.
Google service | Akses yang diberikan |
---|---|
Cloud SQL | Memungkinkan Anda mengotomatiskan pembuatan koneksi ke instance Cloud SQL. |
Memorystore for Redis Cluster | Memungkinkan Anda mengotomatiskan pembuatan koneksi ke instance Memorystore for Redis Cluster. |
Memorystore for Valkey | Memungkinkan Anda mengotomatiskan pembuatan koneksi ke instance Memorystore for Valkey. |
Vector Search Vertex AI | Memungkinkan Anda mengotomatiskan pembuatan koneksi ke endpoint Vector Search. |
Untuk menentukan apakah layanan terkelola pihak ketiga mendukung kebijakan koneksi layanan, hubungi penyedia layanan. Jika layanan mendukung kebijakan koneksi layanan, penyedia layanan dapat memberi Anda class layanan terkait.
Referensi otomatisasi sisi produsen tersedia dalam Pratinjau terbatas. Jika Anda ingin mengotomatiskan konektivitas konsumen untuk layanan terkelola Anda sendiri, hubungi Sales Rep Google Cloud Anda.