Tentang layanan yang dipublikasikan

Dokumen ini memberikan ringkasan tentang penggunaan Private Service Connect untuk menyediakan layanan bagi konsumen layanan.

Sebagai produsen layanan, Anda dapat menggunakan Private Service Connect untuk memublikasikan layanan menggunakan alamat IP internal di jaringan VPC Anda. Layanan yang Anda publikasikan dapat diakses oleh konsumen layanan dengan menggunakan alamat IP internal di jaringan VPC mereka.

Untuk menyediakan layanan kepada konsumen, Anda membuat satu atau beberapa subnet khusus. Selanjutnya, buat lampiran layanan yang merujuk ke subnet tersebut. Lampiran layanan dapat memiliki preferensi koneksi yang berbeda.

Jenis konsumen layanan

Ada dua jenis konsumen yang dapat terhubung ke layanan Private Service Connect:

Endpoint didasarkan pada aturan penerusan.

Endpoint memungkinkan konsumen layanan mengirimkan traffic dari jaringan VPC konsumen ke layanan di jaringan VPC produsen layanan (klik untuk memperbesar).

Backend didasarkan pada load balancer.

Backend yang menggunakan Load Balancer Aplikasi eksternal global memungkinkan konsumen layanan dengan akses internet mengirimkan traffic ke layanan di jaringan VPC produsen layanan (klik untuk memperbesar).

Subnet NAT

Lampiran layanan Private Service Connect dikonfigurasi dengan satu atau beberapa subnet NAT (juga disebut sebagai subnet Private Service Connect). Paket dari jaringan VPC konsumen diterjemahkan menggunakan NAT sumber (SNAT) sumber sehingga alamat IP sumber aslinya dikonversi menjadi alamat IP sumber dari subnet NAT di jaringan VPC produsen.

Lampiran layanan dapat memiliki beberapa subnet NAT. Selain itu, subnet NAT dapat ditambahkan ke lampiran layanan kapan saja tanpa mengganggu traffic.

Meskipun lampiran layanan dapat memiliki beberapa subnet NAT yang dikonfigurasi, subnet NAT tidak dapat digunakan di lebih dari satu lampiran layanan.

Subnet NAT Private Service Connect tidak dapat digunakan untuk resource seperti instance virtual machine (VM) atau aturan penerusan. Subnet hanya digunakan untuk menyediakan alamat IP untuk SNAT koneksi konsumen yang masuk.

Pengukuran subnet NAT

Saat memublikasikan layanan, buat subnet NAT dan pilih rentang alamat IP. Ukuran subnet menentukan jumlah endpoint atau backend Private Service Connect serentak yang dapat terhubung ke lampiran layanan.

Alamat IP digunakan dari subnet NAT sesuai dengan jumlah koneksi Private Service Connect. Jika semua alamat IP di subnet NAT digunakan, koneksi Private Service Connect tambahan akan gagal. Inilah sebabnya mengapa penting untuk mengukur subnet NAT dengan tepat.

Saat Anda memilih ukuran subnet, pertimbangkan hal berikut:

  • Ada empat alamat IP yang tidak dapat digunakan dalam subnet NAT, sehingga jumlah alamat IP yang tersedia adalah 2(32 - PREFIX_LENGTH) - 4. Misalnya, jika Anda membuat subnet NAT dengan panjang awalan /24, Private Service Connect dapat menggunakan 252 dari alamat IP untuk SNAT. Subnet /29 dengan empat alamat IP yang tersedia adalah ukuran subnet terkecil yang didukung di jaringan VPC.
  • Satu alamat IP digunakan dari subnet NAT untuk setiap endpoint atau backend yang terhubung ke lampiran layanan.
  • Saat Anda memperkirakan jumlah alamat IP yang diperlukan untuk endpoint dan backend, perhitungkan layanan multi-tenant atau konsumen yang menggunakan akses multi-titik untuk Private Service Connect
  • Jumlah koneksi TCP atau UDP, klien, atau jaringan VPC konsumen tidak memengaruhi pemakaian alamat IP dari subnet NAT.

Misalnya, jika ada dua endpoint yang terhubung ke satu lampiran layanan, dua alamat IP akan digunakan dari subnet NAT. Jika jumlah endpoint tidak berubah, Anda dapat menggunakan subnet /29 dengan empat alamat IP yang dapat digunakan untuk lampiran layanan ini.

Pemantauan subnet NAT

Untuk membantu memastikan bahwa koneksi Private Service Connect tidak gagal karena alamat IP yang tidak tersedia di subnet NAT, kami merekomendasikan hal berikut:

  • Pantau metrik lampiran layanan private_service_connect/producer/used_nat_ip_addresses. Pastikan jumlah alamat IP NAT yang digunakan tidak melebihi kapasitas subnet NAT lampiran layanan.
  • Pantau status koneksi dari koneksi lampiran layanan. Jika koneksi memiliki status Needs attention, mungkin tidak ada alamat IP lain yang tersedia di subnet NAT lampiran.
  • Untuk layanan multi-tenant, Anda dapat menggunakan Batas koneksi untuk membantu memastikan bahwa satu konsumen tidak menghabiskan kapasitas subnet NAT lampiran layanan.

Jika diperlukan, subnet NAT dapat ditambahkan ke lampiran layanan kapan saja tanpa mengganggu traffic.

Spesifikasi NAT

Pertimbangkan karakteristik NAT Private Service Connect berikut saat Anda mendesain layanan yang dipublikasikan:

  • Waktu Tunggu Tidak Ada Aktivitas Pemetaan UDP adalah 30 detik dan tidak dapat dikonfigurasi.

  • Waktu Tunggu Tidak Ada Aktivitas Koneksi yang Dibuat TCP adalah 20 menit dan tidak dapat dikonfigurasi.

    Untuk menghindari masalah terkait waktu tunggu koneksi klien, lakukan salah satu tindakan berikut:

    • Pastikan semua koneksi aktif kurang dari 20 menit.

    • Pastikan beberapa traffic dikirim lebih sering daripada sekali setiap 20 menit. Anda dapat menggunakan heartbeat atau keepalive di aplikasi, atau keepalive TCP. Misalnya, Anda dapat mengonfigurasi keepalive di proxy target dari Load Balancer Aplikasi internal Regional atau Load Balancer Jaringan proxy internal Regional.

  • Waktu Tunggu Tidak Ada Aktivitas Koneksi Transitori TCP adalah 30 detik dan tidak dapat dikonfigurasi.

  • Ada penundaan dua menit sebelum 5 tuple apa pun (alamat IP sumber subnet NAT dan port sumber ditambah protokol tujuan, alamat IP, dan port tujuan) dapat digunakan kembali.

  • SNAT untuk Private Service Connect tidak mendukung fragmen IP.

Koneksi maksimum

VM produsen tunggal dapat menerima maksimum 65.536 koneksi TCP serentak dan 65.536 koneksi UDP dari satu endpoint Private Service Connect. Tidak ada batasan jumlah total koneksi TCP dan UDP yang dapat diterima endpoint Private Service Connect secara gabungan di semua backend produsen. VM konsumen dapat menggunakan ke-65.536 port saat memulai koneksi TCP atau UDP ke endpoint Private Service Connect. Semua penafsiran alamat jaringan (NAT) dilakukan secara lokal di host produsen, yang tidak memerlukan kumpulan port NAT yang dialokasikan secara terpusat.

Lampiran layanan

Produsen layanan mengekspos layanan mereka melalui lampiran layanan.

  • Untuk mengekspos layanan, produsen layanan membuat lampiran layanan yang merujuk pada aturan penerusan load balancer layanan.

  • Untuk mengakses layanan, konsumen layanan membuat endpoint yang merujuk ke lampiran layanan.

URI lampiran layanan memiliki format ini: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Setiap load balancer hanya dapat direferensikan oleh satu lampiran layanan. Anda tidak dapat mengonfigurasi beberapa lampiran layanan yang menggunakan load balancer yang sama.

Preferensi koneksi

Setiap lampiran layanan memiliki preferensi koneksi yang menentukan apakah permintaan koneksi akan diterima secara otomatis. Ada tiga opsi:

  • Terima semua koneksi secara otomatis. Lampiran layanan otomatis menerima semua permintaan koneksi masuk dari pelanggan mana pun. Persetujuan otomatis dapat diganti dengan kebijakan organisasi yang memblokir koneksi masuk.
  • Terima koneksi untuk jaringan yang dipilih. Lampiran layanan hanya menerima permintaan koneksi masuk jika jaringan VPC konsumen ada dalam daftar penerimaan konsumen lampiran layanan.
  • Terima koneksi untuk project yang dipilih. Lampiran layanan hanya menerima permintaan koneksi masuk jika project konsumen tercantum dalam daftar penerimaan konsumen lampiran layanan.

Sebaiknya terima koneksi untuk project atau jaringan yang dipilih. Menerima semua koneksi secara otomatis mungkin sesuai jika Anda mengontrol akses konsumen melalui cara lain dan ingin mengaktifkan akses permisif ke layanan Anda.

Status koneksi

Lampiran layanan memiliki status koneksi yang mendeskripsikan status koneksinya. Untuk informasi selengkapnya, lihat Status koneksi.

Daftar yang disetujui dan ditolak konsumen

Daftar yang disetujui konsumen dan daftar yang ditolak konsumen adalah fitur keamanan lampiran layanan. Dengan daftar penerimaan dan penolakan, produsen layanan dapat menentukan konsumen mana yang dapat membuat koneksi Private Service Connect ke layanan mereka. Daftar penerimaan konsumen menentukan apakah koneksi diterima, dan daftar penolakan konsumen menentukan apakah koneksi ditolak. Kedua daftar tersebut memungkinkan Anda menentukan konsumen berdasarkan jaringan VPC atau project resource yang terhubung. Jika Anda menambahkan project atau jaringan ke daftar penerimaan dan penolakan, permintaan koneksi dari project atau jaringan tersebut akan ditolak. Menentukan konsumen menurut folder tidak didukung.

Daftar penerimaan konsumen dan daftar penolakan konsumen memungkinkan Anda menentukan project atau jaringan VPC, tetapi tidak keduanya secara bersamaan. Anda dapat mengubah daftar dari satu jenis ke jenis lainnya tanpa mengganggu koneksi, tetapi Anda harus melakukan perubahan dalam satu update. Jika tidak, beberapa koneksi mungkin berubah ke status tertunda untuk sementara.

Daftar konsumen mengontrol apakah endpoint dapat terhubung ke layanan yang dipublikasikan, tetapi tidak mengontrol siapa yang dapat mengirim permintaan ke endpoint tersebut. Misalnya, konsumen memiliki jaringan VPC Bersama yang memiliki dua project layanan yang terpasang. Jika layanan yang dipublikasikan memiliki service-project1 dalam daftar penerimaan konsumen, dan service-project2 dalam daftar penolakan konsumen, hal berikut berlaku:

  • Konsumen di service-project1 dapat membuat endpoint yang terhubung ke layanan yang dipublikasikan.
  • Konsumen di service-project2 tidak dapat membuat endpoint yang terhubung ke layanan yang dipublikasikan.
  • Klien di service-project2 dapat mengirim permintaan ke endpoint di service-project1, jika tidak ada aturan atau kebijakan firewall yang mencegah traffic tersebut.

Untuk informasi tentang bagaimana daftar yang disetujui konsumen berinteraksi dengan kebijakan organisasi, lihat Interaksi antara daftar yang disetujui konsumen dan kebijakan organisasi.

Batas daftar penerimaan konsumen

Daftar penerimaan konsumen memiliki batas koneksi. Batas ini menetapkan jumlah total koneksi endpoint dan backend Private Service Connect yang dapat diterima lampiran layanan dari project konsumen atau jaringan VPC yang ditentukan.

Produsen dapat menggunakan batas koneksi agar konsumen perorangan tidak kehabisan alamat IP atau kuota resource di jaringan VPC produsen. Setiap koneksi Private Service Connect yang diterima mengurangi batas yang dikonfigurasi untuk project konsumen atau jaringan VPC. Batas ditetapkan saat Anda membuat atau mengupdate daftar penerimaan konsumen. Anda dapat melihat koneksi lampiran layanan saat menjelaskan lampiran layanan.

Koneksi yang di-propagasi tidak diperhitungkan dalam batas ini.

Misalnya, pertimbangkan kasus saat lampiran layanan memiliki daftar penerimaan konsumen yang menyertakan project-1 dan project-2, keduanya dengan batas satu koneksi. Project project-1 meminta dua koneksi, project-2 meminta satu koneksi, dan project-3 meminta satu koneksi. Karena project-1 memiliki batas satu koneksi, koneksi pertama diterima, dan koneksi kedua tetap tertunda. Koneksi dari project-2 diterima, dan koneksi dari project-3 tetap tertunda. Koneksi kedua dari project-1 dapat diterima dengan meningkatkan batas untuk project-1. Jika project-3 ditambahkan ke daftar penerimaan konsumen, koneksi tersebut akan bertransisi dari menunggu keputusan menjadi diterima.

Rekonsiliasi koneksi

Rekonsiliasi koneksi menentukan apakah update pada daftar yang disetujui atau yang ditolak lampiran layanan dapat memengaruhi koneksi Private Service Connect yang ada. Jika rekonsiliasi koneksi diaktifkan, memperbarui daftar yang disetujui atau ditolak dapat menghentikan koneksi yang ada. Koneksi yang sebelumnya ditolak dapat diterima. Jika rekonsiliasi koneksi dinonaktifkan, mengupdate daftar yang disetujui atau ditolak hanya akan memengaruhi koneksi baru dan yang tertunda.

Misalnya, pertimbangkan lampiran layanan yang memiliki beberapa koneksi yang diterima dari Project-A. Project-A ada dalam daftar yang disetujui lampiran layanan. Lampiran layanan diupdate dengan menghapus Project-A dari daftar penerimaan.

Jika rekonsiliasi koneksi diaktifkan, semua koneksi yang ada dari Project-A akan bertransisi ke PENDING, yang menghentikan konektivitas jaringan antara kedua jaringan VPC dan segera menghentikan traffic jaringan.

Jika rekonsiliasi koneksi dinonaktifkan, koneksi yang ada dari Project-A tidak akan terpengaruh. Traffic jaringan masih dapat mengalir di seluruh koneksi Private Service Connect yang ada. Namun, koneksi Private Service Connect baru tidak diizinkan.

Untuk informasi tentang cara mengonfigurasi rekonsiliasi koneksi untuk lampiran layanan baru, lihat Memublikasikan layanan dengan persetujuan eksplisit.

Untuk informasi tentang cara mengonfigurasi rekonsiliasi koneksi untuk lampiran layanan yang ada, lihat Mengonfigurasi rekonsiliasi koneksi.

Koneksi yang di-propagasi

Konsumen yang terhubung ke lampiran layanan Anda menggunakan endpoint dapat mengaktifkan penyebaran koneksi. Koneksi yang di-propagasi memungkinkan beban kerja di spoke VPC konsumen mengakses layanan terkelola di jaringan VPC produsen seolah-olah kedua jaringan VPC terhubung langsung melalui endpoint. Setiap koneksi yang di-propagate menggunakan alamat IP dari subnet NAT lampiran layanan.

Anda dapat melihat jumlah koneksi yang di-propagate yang terkait dengan endpoint terhubung saat melihat detail untuk layanan yang dipublikasikan. Jumlah ini tidak mencakup koneksi yang di-propagate yang diblokir oleh batas koneksi yang di-propagate produsen.

Batas koneksi yang di-propagasi

Lampiran layanan memiliki batas koneksi yang di-propagate, yang memungkinkan produsen layanan membatasi jumlah koneksi yang di-propagate yang dapat dibuat ke lampiran layanan dari satu konsumen. Jika tidak ditentukan, batas koneksi yang di-propagate secara default adalah 250.

  • Jika preferensi koneksi lampiran layanan adalah ACCEPT_MANUAL, batas ini berlaku untuk setiap project atau jaringan VPC yang tercantum dalam daftar penerimaan konsumen.
  • Jika preferensi koneksi adalah ACCEPT_AUTOMATIC, batas berlaku untuk setiap project yang berisi endpoint yang terhubung.

Jika konsumen melebihi batas koneksi yang di-propagate, tidak ada koneksi yang di-propagate lebih lanjut yang dibuat. Untuk mengizinkan pembuatan lebih banyak endpoint yang di-propagate, Anda dapat meningkatkan batas koneksi yang di-propagate. Saat Anda menaikkan batas ini, Network Connectivity Center akan membuat koneksi yang di-propagate yang diblokir oleh batas, selama koneksi baru tidak melebihi batas yang diperbarui. Memperbarui batas ini tidak memengaruhi koneksi yang sudah di-propagate.

Mencegah kehabisan kuota

Jumlah total endpoint Private Service Connect dan koneksi yang di-propagate, dari konsumen mana pun, yang dapat mengakses jaringan VPC produsen Anda dikontrol oleh kuota PSC ILB consumer forwarding rules per producer VPC network. Khusus untuk layanan multi-tenant, penting untuk melindungi dari kehabisan kuota ini.

Anda dapat menggunakan batas berikut untuk melindungi dari kehabisan kuota:

  • Batas koneksi daftar persetujuan konsumen mengontrol jumlah total endpoint Private Service Connect yang dapat membuat koneksi ke lampiran layanan dari satu project atau jaringan VPC konsumen. Menurunkan batas ini tidak memengaruhi koneksi yang ada. Batasan ini tidak berlaku untuk koneksi yang di-propagate.
  • Batas koneksi yang di-propagate mengontrol jumlah total koneksi yang di-propagate yang dapat dibuat ke lampiran layanan dari satu konsumen. Menurunkan batas ini tidak memengaruhi koneksi yang sudah ada dan di-propagate.

Contoh

Contoh berikut menunjukkan cara kerja batas koneksi yang di-propagate dan batas daftar konsumen yang diterima sehubungan dengan kuota PSC ILB consumer forwarding rules per producer VPC network.

Pertimbangkan kasus saat konsumen telah membuat dua endpoint di jaringan VPC spoke, spoke-vpc-1. Kedua endpoint terhubung ke service-attachment-1 di producer-vpc-1. Spoke terhubung ke hub Network Connectivity Center yang telah mengaktifkan penyebaran koneksi, dan tidak ada spoke lain yang terhubung ke hub tersebut.

Produsen layanan telah mengonfigurasi service-attachment-1 agar memiliki batas daftar penerimaan konsumen sebanyak empat untuk setiap project dalam daftar penerimaan. Produsen telah mengonfigurasi batas koneksi yang disebarkan sebanyak dua, yang menentukan bahwa satu project dapat memiliki hingga dua koneksi yang disebarkan.

Contoh konfigurasi ini berisi dua endpoint dan tidak ada koneksi yang di-propagate (klik untuk memperbesar).

Penggunaan kuota dan batas untuk konfigurasi ini adalah sebagai berikut:

Kuota / Batas Penggunaan Penjelasan
Aturan penerusan konsumen PSC ILB per jaringan VPC produsen 2 satu per endpoint
Batas koneksi daftar penerimaan konsumen lampiran layanan untuk consumer-project-1 2 satu per endpoint
Batas koneksi yang di-propagate lampiran layanan untuk consumer-project-1 0 tidak ada koneksi yang di-propagate

Misalkan consumer-project-1 menghubungkan spoke lain bernama spoke-vpc-2 ke hub Network Connectivity Center yang sama dengan spoke-vpc-1. Tindakan ini akan membuat dua koneksi yang di-propagate di consumer-project-1, satu untuk setiap endpoint yang ada.

Contoh konfigurasi ini berisi dua endpoint dan dua koneksi yang diterapkan (klik untuk memperbesar).

Penggunaan kuota dan batas untuk konfigurasi ini adalah sebagai berikut:

Kuota / Batas Penggunaan Penjelasan
Aturan penerusan konsumen PSC ILB per jaringan VPC produsen 4 satu per endpoint dan satu per koneksi yang di-propagate
Batas koneksi daftar penerimaan konsumen lampiran layanan untuk consumer-project-1 2 satu per endpoint
Batas koneksi yang di-propagate lampiran layanan untuk consumer-project-1 2 satu per koneksi yang di-propagate

Consumer-project-1 telah menghabiskan batas koneksi yang di-propagate. Jika konsumen menambahkan spoke VPC lain, Private Service Connect tidak akan membuat koneksi baru yang di-propagate.

Misalkan konsumen lain memiliki dua spoke VPC di consumer-project-2. Spoke terhubung ke hub Network Connectivity Center dengan koneksi yang di-propagate diaktifkan. Salah satu spoke VPC berisi satu endpoint yang terhubung ke service-attachment-1.

Contoh konfigurasi ini berisi tiga endpoint dan tiga koneksi yang di-propagate (klik untuk memperbesar).

Penggunaan kuota dan batas untuk konfigurasi ini adalah sebagai berikut:

Kuota / Batas Penggunaan Penjelasan
Aturan penerusan konsumen PSC ILB per jaringan VPC produsen 6 empat dari consumer-project-1 dan dua dari consumer-project-2
Batas koneksi daftar penerimaan konsumen lampiran layanan untuk consumer-project-1 2 satu per endpoint di consumer-project-1
Batas koneksi daftar penerimaan konsumen lampiran layanan untuk consumer-project-2 1 satu per endpoint di consumer-project-2
Batas koneksi yang di-propagate lampiran layanan untuk consumer-project-1 2 satu per koneksi yang di-propagate di consumer-project-1
Batas koneksi yang di-propagate lampiran layanan untuk consumer-project-2 1 satu per koneksi yang di-propagate di consumer-project-2

Konfigurasi DNS

Untuk informasi tentang konfigurasi DNS untuk layanan dan endpoint yang dipublikasikan yang terhubung ke layanan yang dipublikasikan, lihat Konfigurasi DNS untuk layanan.

Konfigurasi beberapa region

Anda dapat menyediakan layanan di beberapa region dengan membuat konfigurasi berikut.

Konfigurasi produsen:

Konfigurasi konsumen:

Dalam konfigurasi ini, endpoint merutekan traffic menggunakan kebijakan load balancing global default, pertama berdasarkan respons, lalu berdasarkan lokasi terdekat dengan klien.

Penggunaan Load Balancer Aplikasi eksternal global memungkinkan konsumen layanan yang memiliki akses internet mengirim traffic ke layanan di jaringan VPC produsen layanan. Karena layanan di-deploy di beberapa region, load balancer dapat mengarahkan traffic ke NEG di region terdekat yang sehat (klik untuk memperbesar).

Terjemahan versi IP

Untuk endpoint Private Service Connect yang terhubung ke layanan yang dipublikasikan (lampiran layanan), versi IP alamat IP aturan penerusan konsumen menentukan versi IP endpoint dan traffic yang keluar dari endpoint. Alamat IP dapat berasal dari subnet khusus IPv4, khusus IPv6 (Pratinjau), atau dual-stack. Versi IP endpoint dapat berupa IPv4 atau IPv6, tetapi tidak keduanya.

Untuk layanan yang dipublikasikan (lampiran layanan), versi IP subnet NAT lampiran layanan harus kompatibel dengan alamat IP aturan penerusan produsen. Subnet NAT dapat berupa subnet khusus IPv4 atau stack ganda. Jika subnet NAT adalah subnet dual-stack, rentang alamat IPv4 atau IPv6 akan digunakan, tetapi tidak keduanya. Private Service Connect tidak mendukung penggunaan subnet khusus IPv6 (Pratinjau) untuk subnet NAT.

Private Service Connect tidak mendukung koneksi endpoint IPv4 dengan lampiran layanan IPv6. Dalam hal ini, pembuatan endpoint gagal dengan pesan error berikut:

Private Service Connect forwarding rule with an IPv4 address cannot target an IPv6 service attachment.

Kombinasi berikut dapat digunakan untuk konfigurasi yang didukung:

  • Endpoint IPv4 ke lampiran layanan IPv4
  • Endpoint IPv6 ke lampiran layanan IPv6
  • Endpoint IPv6 ke lampiran layanan IPv4

    Dalam konfigurasi ini, Private Service Connect akan otomatis menerjemahkan antara dua versi IP.

Untuk koneksi antara backend Private Service Connect dan lampiran layanan, aturan penerusan konsumen dan produsen harus menggunakan IPv4.

Fitur dan kompatibilitas

Dalam tabel berikut, tanda centang menunjukkan bahwa fitur didukung, dan simbol tidak ada menunjukkan bahwa fitur tidak didukung.

Bergantung pada load balancer produsen yang dipilih, layanan produsen dapat mendukung akses melalui endpoint, backend, atau keduanya.

Dukungan untuk endpoint

Bagian ini merangkum opsi konfigurasi yang tersedia untuk konsumen dan produsen saat menggunakan endpoint untuk mengakses layanan publikasi.

Konfigurasi konsumen

Tabel ini merangkum opsi konfigurasi yang didukung dan kemampuan endpoint yang mengakses layanan yang dipublikasikan.

Konfigurasi konsumen (endpoint) Load balancer produsen
Load Balancer Network passthrough internal Load Balancer Aplikasi internal regional Load Balancer Jaringan proxy internal regional Penerusan protokol internal (instance target)
Akses global konsumen

Tidak bergantung setelan akses global pada load balancer

Hanya jika akses global diaktifkan di load balancer sebelum lampiran layanan dibuat

Hanya jika akses global diaktifkan di load balancer sebelum lampiran layanan dibuat

Tidak bergantung setelan akses global pada load balancer

Traffic interkoneksi

Traffic Cloud VPN
Konfigurasi DNS otomatis Khusus IPv4 Khusus IPv4 Khusus IPv4 Khusus IPv4
Penyebaran koneksi Khusus IPv4 Khusus IPv4 Khusus IPv4 Khusus IPv4
Endpoint IPv4
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4
Endpoint IPv6
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv6
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv6

Konfigurasi produsen

Tabel ini merangkum opsi konfigurasi yang didukung dan kemampuan layanan yang dipublikasikan yang diakses oleh endpoint.

Konfigurasi produsen (layanan yang dipublikasikan) Load balancer produsen
Load Balancer Network passthrough internal Load Balancer Aplikasi internal regional Load Balancer Jaringan proxy internal regional Penerusan protokol internal (instance target)

Backend produsen yang didukung:

  • NEG zona GCE_VM_IP
  • Grup instance
  • NEG pemetaan port
  • NEG zona GCE_VM_IP_PORT
  • NEG Hybrid
  • NEG Serverless
  • NEG Private Service Connect
  • Grup instance
  • NEG zona GCE_VM_IP_PORT
  • NEG Hybrid
  • NEG Serverless
  • NEG Private Service Connect
  • Grup instance
Tidak berlaku
Protokol PROXY Khusus traffic TCP Khusus traffic TCP
Mode afinitas sesi TIDAK ADA (5 tuple)
CLIENT_IP_PORT_PROTO
Tidak berlaku Tidak berlaku Tidak berlaku
IP version
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv6
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv4
  • Aturan penerusan produsen IPv6

Load balancer yang berbeda mendukung konfigurasi port yang berbeda pula; beberapa load balancer mendukung port tunggal, beberapa mendukung berbagai port, dan beberapa mendukung semua port. Untuk informasi selengkapnya, lihat spesifikasi port.

Dukungan untuk backend

Backend Private Service Connect untuk layanan yang dipublikasikan memerlukan dua load balancer, yaitu load balancer konsumen dan load balancer produsen. Bagian ini merangkum opsi konfigurasi yang tersedia untuk konsumen dan produsen saat menggunakan backend untuk mengakses layanan publikasi.

Konfigurasi konsumen

Tabel ini menjelaskan load balancer konsumen yang didukung oleh backend Private Service Connect untuk layanan yang dipublikasikan, termasuk protokol layanan backend yang dapat digunakan dengan setiap load balancer konsumen. Load balancer konsumen dapat mengakses layanan yang dipublikasikan dan dihosting di load balancer produsen yang didukung.

Load balancer konsumen Protokol IP version

Load Balancer Aplikasi eksternal global (mendukung beberapa region)

Catatan: Load Balancer Aplikasi Klasik tidak didukung.

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Load Balancer Aplikasi eksternal regional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Load Balancer Aplikasi internal regional

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Load Balancer Aplikasi internal lintas region

  • HTTP
  • HTTPS
  • HTTP2
IPv4

Load Balancer Jaringan proxy internal regional

  • TCP
IPv4

Load Balancer Jaringan proxy lintas region

  • TCP
IPv4

Load Balancer Jaringan proxy eksternal regional

  • TCP
IPv4

Load Balancer Jaringan proxy eksternal global

Untuk mengaitkan load balancer ini dengan NEG Private Service Connect, gunakan Google Cloud CLI atau kirim permintaan API.

Catatan: Load Balancer Jaringan proxy klasik tidak didukung.

  • TCP/SSL
IPv4

Konfigurasi produsen

Tabel ini menjelaskan konfigurasi untuk load balancer produsen yang didukung oleh backend Private Service Connect untuk layanan yang dipublikasikan.

Konfigurasi Load balancer produsen
Load Balancer Network passthrough internal Load Balancer Aplikasi internal regional Load Balancer Jaringan proxy internal regional
Backend produsen yang didukung
  • NEG zona GCE_VM_IP
  • Grup instance
  • NEG zona GCE_VM_IP_PORT
  • NEG Hybrid
  • NEG Serverless
  • NEG Private Service Connect
  • Grup instance
  • NEG zona GCE_VM_IP_PORT
  • NEG Hybrid
  • NEG Serverless
  • NEG Private Service Connect
  • Grup instance
Protokol aturan penerusan
  • TCP
  • HTTP
  • HTTPS
  • HTTP/2
  • TCP
Port aturan penerusan Sebaiknya gunakan satu port, lihat Konfigurasi port produsen Mendukung satu port Mendukung satu port
Protokol PROXY
IP version IPv4 IPv4 IPv4

Konfigurasi port produsen

Saat backend konsumen terhubung ke layanan yang dipublikasikan dan dihosting di Load Balancer Jaringan passthrough Internal, Google Cloud akan memilih port yang akan digunakan konsumen. Port dipilih berdasarkan konfigurasi port aturan penerusan produsen. Pertimbangkan hal berikut saat Anda membuat aturan penerusan untuk load balancer produser:

  • Sebaiknya tentukan satu port. Dalam konfigurasi ini, backend konsumen menggunakan port yang sama.
  • Jika Anda menentukan beberapa port, hal berikut berlaku:

    • Jika port 443 disertakan, backend konsumen akan menggunakan port 443.
    • Jika port 443 tidak disertakan, backend konsumen akan menggunakan port pertama dalam daftar, setelah daftar diurutkan menurut abjad. Misalnya, jika Anda menentukan port 80 dan port 1111, backend konsumen akan menggunakan port 1111.
    • Mengubah port yang digunakan oleh backend produsen dapat menyebabkan gangguan layanan bagi konsumen.

      Misalnya, Anda membuat layanan yang dipublikasikan dengan aturan penerusan yang menggunakan port 443 dan 8443, serta VM backend yang merespons di port 443 dan 8443. Saat backend konsumen terhubung ke layanan ini, backend tersebut akan menggunakan port 443 untuk komunikasi.

      Jika Anda mengubah VM backend agar hanya merespons di port 8443, backend konsumen tidak dapat lagi menjangkau layanan yang dipublikasikan.

  • Jangan gunakan --port=ALL. Jika konfigurasi ini digunakan, backend konsumen akan menggunakan port 1, yang tidak berfungsi.

VPC Bersama

Admin Project Layanan dapat membuat lampiran layanan di project layanan VPC Bersama yang terhubung ke resource di jaringan VPC Bersama.

Konfigurasinya sama dengan lampiran layanan reguler, kecuali untuk hal berikut:

  • Aturan penerusan load balancer produsen dikaitkan dengan alamat IP dari jaringan VPC Bersama. Subnet aturan penerusan harus dibagikan dengan project layanan.
  • Lampiran layanan menggunakan subnet Private Service Connect dari jaringan VPC Bersama. Subnet ini harus dibagikan dengan project layanan.

Logging

Anda dapat mengaktifkan Log Aliran VPC di subnet yang berisi VM backend. Log ini menampilkan alur antara VM backend dan alamat IP di subnet Private Service Connect.

Kontrol Layanan VPC

Kontrol Layanan VPC dan Private Service Connect itu kompatibel satu sama lain. Jika jaringan VPC tempat endpoint Private Service Connect diterapkan berada dalam perimeter Kontrol Layanan VPC, endpoint tersebut merupakan bagian dari perimeter yang sama. Setiap layanan yang didukung Kontrol Layanan VPC yang diakses melalui endpoint tunduk pada kebijakan perimeter Kontrol Layanan VPC tersebut.

Saat Anda membuat endpoint, panggilan API bidang kontrol akan dilakukan antara project konsumen dan produsen untuk membuat koneksi Private Service Connect. Membuat koneksi Private Service Connect antara project konsumen dan produsen yang tidak berada dalam perimeter Kontrol Layanan VPC yang sama tidak memerlukan otorisasi eksplisit dengan kebijakan keluar. Komunikasi ke layanan yang didukung Kontrol Layanan VPC melalui endpoint dilindungi oleh perimeter Kontrol Layanan VPC.

Melihat informasi koneksi konsumen

Secara default, Private Service Connect menerjemahkan alamat IP sumber konsumen ke alamat di salah satu subnet Private Service Connect di jaringan VPC produsen layanan. Jika ingin melihat alamat IP sumber asli konsumen, Anda dapat mengaktifkan protokol PROXY saat memublikasikan layanan. Private Service Connect mendukung protokol PROXY versi 2.

Tidak semua layanan mendukung protokol PROXY. Untuk mengetahui informasi selengkapnya, lihat Fitur dan kompatibilitas.

Jika protokol PROXY diaktifkan, Anda bisa mendapatkan alamat IP sumber konsumen dan ID koneksi PSC (pscConnectionId) dari header protokol PROXY.

Format header protokol PROXY bergantung pada versi IP endpoint konsumen. Jika load balancer lampiran layanan Anda memiliki alamat IPv6, konsumen dapat terhubung dengan alamat IPv4 dan IPv6. Konfigurasikan aplikasi Anda untuk menerima dan membaca header protokol PROXY untuk versi IP traffic yang akan diterima.

Untuk traffic konsumen yang mengalir melalui koneksi yang di-propagate, alamat IP sumber konsumen dan ID koneksi PSC merujuk ke endpoint Private Service Connect yang di-propagate.

Jika Anda mengaktifkan protokol PROXY untuk lampiran layanan, perubahan hanya berlaku untuk koneksi baru. Koneksi yang ada tidak menyertakan header protokol PROXY.

Jika Anda mengaktifkan protokol PROXY, periksa dokumentasi software server web backend Anda untuk mendapatkan informasi tentang penguraian dan pemrosesan header protokol PROXY yang masuk di payload TCP koneksi klien. Jika protokol PROXY diaktifkan pada lampiran layanan, tetapi server web backend tidak dikonfigurasi untuk memproses header protokol PROXY, format permintaan web mungkin salah. Jika format permintaan salah, server tidak dapat menafsirkan permintaan tersebut.

ID koneksi Private Service Connect (pscConnectionId) dienkode dalam header protokol PROXY dalam format Type-Length-Value (TLV).

Kolom Panjang kolom Nilai kolom
Jenis 1 byte 0xE0 (PP2_TYPE_GCP)
Length 2 byte 0x8 (8 byte)
Value 8 byte pscConnectionId 8 byte di urutan jaringan

Anda dapat melihat nilai pscConnectionId 8 byte dari aturan penerusan konsumen atau lampiran layanan produsen.

Nilai pscConnectionId akan berbeda di seluruh dunia untuk semua koneksi aktif pada titik waktu tertentu. Namun, seiring waktu, pscConnectionId dapat digunakan kembali dalam skenario berikut:

  • Dalam jaringan VPC tertentu, jika Anda menghapus endpoint (aturan penerusan), dan membuat endpoint baru menggunakan alamat IP yang sama, nilai pscConnectionId yang sama dapat digunakan.

  • Jika Anda menghapus jaringan VPC yang berisi endpoint (aturan penerusan), setelah masa tunggu selama tujuh hari, nilai pscConnectionId yang digunakan untuk endpoint tersebut dapat digunakan untuk endpoint yang berbeda di jaringan VPC lain.

Anda dapat menggunakan nilai pscConnectionId untuk melakukan proses debug dan melacak sumber paket.

ID lampiran layanan Private Service Connect 16 byte (pscServiceAttachmentId) terpisah tersedia dari lampiran layanan produsen. Nilai pscServiceAttachmentId adalah ID unik di seluruh dunia yang mengidentifikasi lampiran layanan Private Service Connect. Anda dapat menggunakan nilai pscServiceAttachmentId untuk visibilitas dan proses debug. Nilai ini tidak disertakan dalam header protokol PROXY.

Harga

Harga untuk Private Service Connect dijelaskan di halaman harga VPC.

Kuota

Jumlah total endpoint Private Service Connect dan koneksi yang di-propagate, dari konsumen mana pun, yang dapat mengakses jaringan VPC produsen Anda dikontrol oleh kuota PSC ILB consumer forwarding rules per producer VPC network.

Endpoint berkontribusi pada kuota ini hingga dihapus, meskipun lampiran layanan terkait dihapus atau dikonfigurasi untuk menolak koneksi. Koneksi yang di-propagasi berkontribusi pada kuota ini hingga endpoint terkait dihapus, meskipun propagasi koneksi dinonaktifkan di hub Network Connectivity Center atau spoke koneksi yang di-propagasi dihapus.

Akses lokal

Layanan Private Service Connect disediakan menggunakan endpoint. Endpoint ini dapat diakses dari host lokal yang terhubung dan didukung. Untuk informasi selengkapnya, lihat Mengakses endpoint dari host lokal.

Batasan

Layanan yang dipublikasikan memiliki batasan berikut:

  • Load balancer yang dikonfigurasi dengan beberapa protokol—protokol ditetapkan ke L3_DEFAULT—tidak didukung.
  • Duplikasi Paket tidak dapat menduplikasi paket untuk traffic layanan yang dipublikasikan Private Service Connect.
  • Anda harus menggunakan Google Cloud CLI atau API untuk membuat lampiran layanan yang mengarah ke aturan penerusan yang digunakan untuk penerusan protokol internal.

Untuk masalah dan solusinya, lihat Masalah umum.