Tentang layanan yang dipublikasikan
Dokumen ini memberikan ringkasan tentang penggunaan Private Service Connect untuk menyediakan layanan bagi konsumen layanan.
Sebagai produsen layanan, Anda dapat menggunakan Private Service Connect untuk memublikasikan layanan menggunakan alamat IP internal di jaringan VPC Anda. Layanan yang Anda publikasikan dapat diakses oleh konsumen layanan dengan menggunakan alamat IP internal di jaringan VPC mereka.
Untuk menyediakan layanan kepada konsumen, Anda membuat satu atau beberapa subnet khusus. Selanjutnya, buat lampiran layanan yang merujuk ke subnet tersebut. Lampiran layanan dapat memiliki preferensi koneksi yang berbeda.
Jenis konsumen layanan
Ada dua jenis konsumen yang dapat terhubung ke layanan Private Service Connect:
Endpoint didasarkan pada aturan penerusan.
Endpoint memungkinkan konsumen layanan mengirimkan traffic dari jaringan VPC konsumen ke layanan di jaringan VPC produsen layanan (klik untuk memperbesar).
Backend didasarkan pada load balancer.
Backend yang menggunakan Load Balancer Aplikasi eksternal global memungkinkan konsumen layanan dengan akses internet mengirimkan traffic ke layanan di jaringan VPC produsen layanan (klik untuk memperbesar).
Subnet NAT
Lampiran layanan Private Service Connect dikonfigurasi dengan satu atau beberapa subnet NAT (juga disebut sebagai subnet Private Service Connect). Paket dari jaringan VPC konsumen diterjemahkan menggunakan NAT sumber (SNAT) sumber sehingga alamat IP sumber aslinya dikonversi menjadi alamat IP sumber dari subnet NAT di jaringan VPC produsen.
Lampiran layanan dapat memiliki beberapa subnet NAT. Selain itu, subnet NAT dapat ditambahkan ke lampiran layanan kapan saja tanpa mengganggu traffic.
Meskipun lampiran layanan dapat memiliki beberapa subnet NAT yang dikonfigurasi, subnet NAT tidak dapat digunakan di lebih dari satu lampiran layanan.
Subnet NAT Private Service Connect tidak dapat digunakan untuk resource seperti instance virtual machine (VM) atau aturan penerusan. Subnet hanya digunakan untuk menyediakan alamat IP untuk SNAT koneksi konsumen yang masuk.
Pengukuran subnet NAT
Saat memublikasikan layanan, buat subnet NAT dan pilih rentang alamat IP. Ukuran subnet menentukan jumlah endpoint atau backend Private Service Connect serentak yang dapat terhubung ke lampiran layanan.
Alamat IP digunakan dari subnet NAT sesuai dengan jumlah koneksi Private Service Connect. Jika semua alamat IP di subnet NAT digunakan, koneksi Private Service Connect tambahan akan gagal. Inilah sebabnya mengapa penting untuk mengukur subnet NAT dengan tepat.
Saat Anda memilih ukuran subnet, pertimbangkan hal berikut:
-
Ada empat alamat IP yang tidak dapat digunakan dalam subnet NAT, sehingga jumlah alamat IP yang tersedia adalah 2(32 - PREFIX_LENGTH) - 4. Misalnya, jika Anda membuat subnet NAT dengan panjang awalan
/24, Private Service Connect dapat menggunakan 252 dari alamat IP untuk SNAT. Subnet/29dengan empat alamat IP yang tersedia adalah ukuran subnet terkecil yang didukung di jaringan VPC. - Satu alamat IP digunakan dari subnet NAT untuk setiap endpoint atau backend yang terhubung ke lampiran layanan.
- Saat Anda memperkirakan jumlah alamat IP yang diperlukan untuk endpoint dan backend, perhitungkan layanan multi-tenant atau konsumen yang menggunakan akses multi-titik untuk Private Service Connect
- Jumlah koneksi TCP atau UDP, klien, atau jaringan VPC konsumen tidak memengaruhi pemakaian alamat IP dari subnet NAT.
Misalnya, jika ada dua endpoint yang terhubung ke satu lampiran layanan, dua alamat IP akan digunakan dari subnet NAT. Jika jumlah endpoint tidak berubah, Anda dapat menggunakan subnet /29 dengan empat alamat IP yang dapat digunakan untuk lampiran layanan ini.
Pemantauan subnet NAT
Untuk membantu memastikan bahwa koneksi Private Service Connect tidak gagal karena alamat IP yang tidak tersedia di subnet NAT, kami merekomendasikan hal berikut:
- Pantau metrik lampiran layanan
private_service_connect/producer/used_nat_ip_addresses. Pastikan jumlah alamat IP NAT yang digunakan tidak melebihi kapasitas subnet NAT lampiran layanan. - Pantau status koneksi dari koneksi lampiran layanan. Jika koneksi memiliki status Needs attention, mungkin tidak ada alamat IP lain yang tersedia di subnet NAT lampiran.
- Untuk layanan multi-tenant, Anda dapat menggunakan Batas koneksi untuk membantu memastikan bahwa satu konsumen tidak menghabiskan kapasitas subnet NAT lampiran layanan.
Jika diperlukan, subnet NAT dapat ditambahkan ke lampiran layanan kapan saja tanpa mengganggu traffic.
Spesifikasi NAT
Pertimbangkan karakteristik NAT Private Service Connect berikut saat Anda mendesain layanan yang dipublikasikan:
Waktu Tunggu Tidak Ada Aktivitas Pemetaan UDP adalah 30 detik dan tidak dapat dikonfigurasi.
Waktu Tunggu Tidak Ada Aktivitas Koneksi yang Dibuat TCP adalah 20 menit dan tidak dapat dikonfigurasi.
Untuk menghindari masalah terkait waktu tunggu koneksi klien, lakukan salah satu tindakan berikut:
Pastikan semua koneksi aktif kurang dari 20 menit.
Pastikan beberapa traffic dikirim lebih sering daripada sekali setiap 20 menit. Anda dapat menggunakan heartbeat atau keepalive di aplikasi, atau keepalive TCP. Misalnya, Anda dapat mengonfigurasi keepalive di proxy target dari Load Balancer Aplikasi internal Regional atau Load Balancer Jaringan proxy internal Regional.
Waktu Tunggu Tidak Ada Aktivitas Koneksi Transitori TCP adalah 30 detik dan tidak dapat dikonfigurasi.
Ada penundaan dua menit sebelum 5 tuple apa pun (alamat IP sumber subnet NAT dan port sumber ditambah protokol tujuan, alamat IP, dan port tujuan) dapat digunakan kembali.
SNAT untuk Private Service Connect tidak mendukung fragmen IP.
Koneksi maksimum
VM produsen tunggal dapat menerima maksimum 65.536 koneksi TCP serentak dan 65.536 koneksi UDP dari satu endpoint Private Service Connect. Tidak ada batasan jumlah total koneksi TCP dan UDP yang dapat diterima endpoint Private Service Connect secara gabungan di semua backend produsen. VM konsumen dapat menggunakan ke-65.536 port saat memulai koneksi TCP atau UDP ke endpoint Private Service Connect. Semua penafsiran alamat jaringan (NAT) dilakukan secara lokal di host produsen, yang tidak memerlukan kumpulan port NAT yang dialokasikan secara terpusat.
Lampiran layanan
Produsen layanan mengekspos layanan mereka melalui lampiran layanan.
Untuk mengekspos layanan, produsen layanan membuat lampiran layanan yang merujuk pada aturan penerusan load balancer layanan.
Untuk mengakses layanan, konsumen layanan membuat endpoint yang merujuk ke lampiran layanan.
URI lampiran layanan memiliki format ini: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
Setiap load balancer hanya dapat direferensikan oleh satu lampiran layanan. Anda tidak dapat mengonfigurasi beberapa lampiran layanan yang menggunakan load balancer yang sama.
Preferensi koneksi
Setiap lampiran layanan memiliki preferensi koneksi yang menentukan apakah permintaan koneksi akan diterima secara otomatis. Ada tiga opsi:
- Terima semua koneksi secara otomatis. Lampiran layanan otomatis menerima semua permintaan koneksi masuk dari pelanggan mana pun. Persetujuan otomatis dapat diganti dengan kebijakan organisasi yang memblokir koneksi masuk.
- Terima koneksi untuk jaringan yang dipilih. Lampiran layanan hanya menerima permintaan koneksi masuk jika jaringan VPC konsumen ada dalam daftar penerimaan konsumen lampiran layanan.
- Terima koneksi untuk project yang dipilih. Lampiran layanan hanya menerima permintaan koneksi masuk jika project konsumen tercantum dalam daftar penerimaan konsumen lampiran layanan.
Sebaiknya terima koneksi untuk project atau jaringan yang dipilih. Menerima semua koneksi secara otomatis mungkin sesuai jika Anda mengontrol akses konsumen melalui cara lain dan ingin mengaktifkan akses permisif ke layanan Anda.
Status koneksi
Lampiran layanan memiliki status koneksi yang mendeskripsikan status koneksinya. Untuk informasi selengkapnya, lihat Status koneksi.
Daftar yang disetujui dan ditolak konsumen
Daftar yang disetujui konsumen dan daftar yang ditolak konsumen adalah fitur keamanan lampiran layanan. Dengan daftar penerimaan dan penolakan, produsen layanan dapat menentukan konsumen mana yang dapat membuat koneksi Private Service Connect ke layanan mereka. Daftar penerimaan konsumen menentukan apakah koneksi diterima, dan daftar penolakan konsumen menentukan apakah koneksi ditolak. Kedua daftar tersebut memungkinkan Anda menentukan konsumen berdasarkan jaringan VPC atau project resource yang terhubung. Jika Anda menambahkan project atau jaringan ke daftar penerimaan dan penolakan, permintaan koneksi dari project atau jaringan tersebut akan ditolak. Menentukan konsumen berdasarkan folder tidak didukung.
Daftar penerimaan konsumen dan daftar penolakan konsumen memungkinkan Anda menentukan project atau jaringan VPC, tetapi tidak keduanya secara bersamaan. Anda dapat mengubah daftar dari satu jenis ke jenis lainnya tanpa mengganggu koneksi, tetapi Anda harus melakukan perubahan dalam satu update. Jika tidak, beberapa koneksi mungkin berubah ke status tertunda untuk sementara.
Daftar konsumen mengontrol apakah endpoint dapat terhubung ke layanan yang dipublikasikan, tetapi tidak mengontrol siapa yang dapat mengirim permintaan ke endpoint tersebut. Misalnya, konsumen memiliki
jaringan VPC Bersama
yang memiliki dua project layanan yang terpasang. Jika layanan yang dipublikasikan memiliki service-project1 dalam daftar penerimaan konsumen, dan service-project2 dalam daftar penolakan konsumen, hal berikut berlaku:
-
Konsumen di
service-project1dapat membuat endpoint yang terhubung ke layanan yang dipublikasikan. -
Konsumen di
service-project2tidak dapat membuat endpoint yang terhubung ke layanan yang dipublikasikan. -
Klien di
service-project2dapat mengirim permintaan ke endpoint diservice-project1, jika tidak ada aturan atau kebijakan firewall yang mencegah traffic tersebut.
Untuk informasi tentang bagaimana daftar yang disetujui konsumen berinteraksi dengan kebijakan organisasi, lihat Interaksi antara daftar yang disetujui konsumen dan kebijakan organisasi.
Batas daftar penerimaan konsumen
Daftar penerimaan konsumen memiliki batas koneksi. Batas ini menetapkan jumlah total koneksi endpoint dan backend Private Service Connect yang dapat diterima lampiran layanan dari project konsumen atau jaringan VPC yang ditentukan.
Produsen dapat menggunakan batas koneksi agar konsumen perorangan tidak kehabisan alamat IP atau kuota resource di jaringan VPC produsen. Setiap koneksi Private Service Connect yang diterima mengurangi batas yang dikonfigurasi untuk project konsumen atau jaringan VPC. Batas ditetapkan saat Anda membuat atau mengupdate daftar penerimaan konsumen. Anda dapat melihat koneksi lampiran layanan saat menjelaskan lampiran layanan.
Misalnya, pertimbangkan kasus saat lampiran layanan memiliki daftar penerimaan konsumen yang menyertakan project-1 dan project-2, keduanya dengan batas satu koneksi. Project project-1 meminta dua koneksi, project-2 meminta satu koneksi, dan project-3 meminta satu koneksi. Karena project-1 memiliki batas satu koneksi, koneksi pertama diterima, dan koneksi kedua tetap tertunda.
Koneksi dari project-2 diterima, dan koneksi dari project-3 tetap tertunda. Koneksi kedua dari project-1 dapat diterima dengan meningkatkan batas untuk project-1. Jika project-3 ditambahkan ke daftar penerimaan konsumen, koneksi tersebut akan bertransisi dari menunggu keputusan menjadi diterima.
Rekonsiliasi koneksi
Rekonsiliasi koneksi menentukan apakah update pada daftar yang disetujui atau yang ditolak lampiran layanan dapat memengaruhi koneksi Private Service Connect yang ada. Jika rekonsiliasi koneksi diaktifkan, memperbarui daftar yang disetujui atau ditolak dapat menghentikan koneksi yang ada. Koneksi yang sebelumnya ditolak dapat diterima. Jika rekonsiliasi koneksi dinonaktifkan, mengupdate daftar yang disetujui atau ditolak hanya akan memengaruhi koneksi baru dan yang tertunda.
Misalnya, pertimbangkan lampiran layanan yang memiliki beberapa koneksi yang diterima dari Project-A. Project-A ada dalam daftar yang disetujui lampiran layanan. Lampiran layanan diupdate dengan menghapus Project-A dari daftar penerimaan.
Jika rekonsiliasi koneksi diaktifkan, semua koneksi yang ada dari Project-A akan bertransisi ke PENDING, yang menghentikan konektivitas jaringan antara kedua jaringan VPC dan segera menghentikan traffic jaringan.
Jika rekonsiliasi koneksi dinonaktifkan, koneksi yang ada dari Project-A tidak akan terpengaruh. Traffic jaringan masih dapat mengalir di seluruh koneksi Private Service Connect yang ada. Namun, koneksi Private Service Connect baru tidak diizinkan.
Untuk informasi tentang cara mengonfigurasi rekonsiliasi koneksi untuk lampiran layanan baru, lihat Memublikasikan layanan dengan persetujuan eksplisit.
Untuk informasi tentang cara mengonfigurasi rekonsiliasi koneksi untuk lampiran layanan yang ada, lihat Mengonfigurasi rekonsiliasi koneksi.
Konfigurasi DNS
Untuk informasi tentang konfigurasi DNS untuk layanan dan endpoint yang dipublikasikan yang terhubung ke layanan yang dipublikasikan, lihat Konfigurasi DNS untuk layanan.
Konfigurasi beberapa region
Anda dapat menyediakan layanan di beberapa region dengan membuat konfigurasi berikut.
Konfigurasi produsen:
Deploy layanan di setiap region. Setiap instance layanan regional harus dikonfigurasi pada load balancer yang mendukung akses oleh backend.
Buat lampiran layanan untuk memublikasikan setiap instance regional dari layanan.
Konfigurasi konsumen:
Buat backend untuk mengakses layanan yang dipublikasikan. Backend didasarkan pada Load Balancer Aplikasi eksternal global dan mencakup konfigurasi berikut:
NEG Private Service Connect di setiap region yang mengarah ke lampiran layanan region tersebut.
Layanan backend yang berisi backend NEG.
Dalam konfigurasi ini, endpoint merutekan traffic menggunakan kebijakan load balancing global default, pertama berdasarkan respons, lalu berdasarkan lokasi terdekat dengan klien.
Penggunaan Load Balancer Aplikasi eksternal global memungkinkan konsumen layanan yang memiliki akses internet mengirim traffic ke layanan di jaringan VPC produsen layanan. Karena layanan di-deploy di beberapa region, load balancer dapat mengarahkan traffic ke NEG di region terdekat yang sehat (klik untuk memperbesar).
Fitur dan kompatibilitas
Dalam tabel berikut, tanda centang menunjukkan bahwa fitur didukung, dan simbol tidak ada menunjukkan bahwa fitur tidak didukung.
Bergantung pada load balancer produsen yang dipilih, layanan produsen dapat mendukung akses melalui endpoint, backend, atau keduanya.
Dukungan untuk endpoint
Bagian ini merangkum opsi konfigurasi yang tersedia untuk konsumen dan produsen saat menggunakan endpoint untuk mengakses layanan publikasi.
Konfigurasi konsumen
Tabel ini merangkum opsi konfigurasi yang didukung dan kemampuan endpoint yang mengakses layanan yang dipublikasikan.
| Konfigurasi konsumen (endpoint) | Load balancer produsen | |||
|---|---|---|---|---|
| Load Balancer Network passthrough internal | Load Balancer Aplikasi internal regional | Load Balancer Jaringan proxy internal regional | Penerusan protokol internal (instance target) | |
| Akses global konsumen |
Tidak bergantung setelan akses global pada load balancer |
Hanya jika akses global diaktifkan di load balancer sebelum lampiran layanan dibuat |
Hanya jika akses global diaktifkan di load balancer sebelum lampiran layanan dibuat |
Tidak bergantung setelan akses global pada load balancer |
| Traffic Cloud VPN | ||||
| Konfigurasi DNS otomatis | Khusus IPv4 | Khusus IPv4 | Khusus IPv4 | Khusus IPv4 |
| Endpoint IPv4 |
|
|
|
|
Konfigurasi produsen
Tabel ini merangkum opsi konfigurasi yang didukung dan kemampuan layanan yang dipublikasikan yang diakses oleh endpoint.
| Konfigurasi produsen (layanan yang dipublikasikan) | Load balancer produsen | |||
|---|---|---|---|---|
| Load Balancer Network passthrough internal | Load Balancer Aplikasi internal regional | Load Balancer Jaringan proxy internal regional | Penerusan protokol internal (instance target) | |
Backend produsen yang didukung: |
|
|
|
Tidak berlaku |
| Protokol PROXY | Khusus traffic TCP | Khusus traffic TCP | ||
| Mode afinitas sesi | TIDAK ADA (5 tuple) CLIENT_IP_PORT_PROTO |
Tidak berlaku | Tidak berlaku | Tidak berlaku |
| IP version |
|
|
|
|
Load balancer yang berbeda mendukung konfigurasi port yang berbeda pula; beberapa load balancer mendukung port tunggal, beberapa mendukung berbagai port, dan beberapa mendukung semua port. Untuk informasi selengkapnya, lihat spesifikasi port.
Dukungan untuk backend
Backend Private Service Connect untuk layanan yang dipublikasikan memerlukan dua load balancer, yaitu load balancer konsumen dan load balancer produsen. Bagian ini merangkum opsi konfigurasi yang tersedia untuk konsumen dan produsen saat menggunakan backend untuk mengakses layanan publikasi.
Konfigurasi konsumen
Tabel ini menjelaskan load balancer konsumen yang didukung oleh backend Private Service Connect untuk layanan yang dipublikasikan, termasuk protokol layanan backend yang dapat digunakan dengan setiap load balancer konsumen. Load balancer konsumen dapat mengakses layanan yang dipublikasikan dan dihosting di load balancer produsen yang didukung.
| Load balancer konsumen | Protokol | IP version |
|---|---|---|
|
Load Balancer Aplikasi eksternal global (mendukung beberapa region) Catatan: Load Balancer Aplikasi Klasik tidak didukung. |
|
IPv4 |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
Load Balancer Jaringan proxy eksternal global Untuk mengaitkan load balancer ini dengan NEG Private Service Connect, gunakan Google Cloud CLI atau kirim permintaan API. Catatan: Load Balancer Jaringan proxy klasik tidak didukung. |
|
IPv4 |
Konfigurasi produsen
Tabel ini menjelaskan konfigurasi untuk load balancer produsen yang didukung oleh backend Private Service Connect untuk layanan yang dipublikasikan.
| Konfigurasi | Load balancer produsen | ||
|---|---|---|---|
| Load Balancer Network passthrough internal | Load Balancer Aplikasi internal regional | Load Balancer Jaringan proxy internal regional | |
| Backend produsen yang didukung |
|
|
|
| Protokol aturan penerusan |
|
|
|
| Port aturan penerusan | Sebaiknya gunakan satu port, lihat Konfigurasi port produsen | Mendukung satu port | Mendukung satu port |
| Protokol PROXY | |||
| IP version | IPv4 | IPv4 | IPv4 |
Konfigurasi port produsen
Saat backend konsumen terhubung ke layanan yang dipublikasikan dan dihosting di Load Balancer Jaringan passthrough internal, Google Cloud akan memilih port yang akan digunakan konsumen. Port dipilih berdasarkan konfigurasi port aturan penerusan produsen. Pertimbangkan hal berikut saat Anda membuat aturan penerusan untuk load balancer produser:
- Sebaiknya tentukan satu port. Dalam konfigurasi ini, backend konsumen menggunakan port yang sama.
Jika Anda menentukan beberapa port, hal berikut berlaku:
- Jika port
443disertakan, backend konsumen akan menggunakan port443. - Jika port
443tidak disertakan, backend konsumen akan menggunakan port pertama dalam daftar, setelah daftar diurutkan menurut abjad. Misalnya, jika Anda menentukan port80dan port1111, backend konsumen akan menggunakan port1111. Mengubah port yang digunakan oleh backend produsen dapat menyebabkan gangguan layanan bagi konsumen.
Misalnya, Anda membuat layanan yang dipublikasikan dengan aturan penerusan yang menggunakan port
443dan8443, serta VM backend yang merespons di port443dan8443. Saat backend konsumen terhubung ke layanan ini, backend tersebut akan menggunakan port443untuk komunikasi.Jika Anda mengubah VM backend agar hanya merespons di port
8443, backend konsumen tidak dapat lagi menjangkau layanan yang dipublikasikan.
- Jika port
Jangan gunakan
--port=ALL. Jika konfigurasi ini digunakan, backend konsumen akan menggunakan port1, yang tidak berfungsi.
VPC Bersama
Admin Project Layanan dapat membuat lampiran layanan di project layanan VPC Bersama yang terhubung ke resource di jaringan VPC Bersama.
Konfigurasinya sama dengan lampiran layanan reguler, kecuali untuk hal berikut:
- Aturan penerusan load balancer produsen dikaitkan dengan alamat IP dari jaringan VPC Bersama. Subnet aturan penerusan harus dibagikan dengan project layanan.
- Lampiran layanan menggunakan subnet Private Service Connect dari jaringan VPC Bersama. Subnet ini harus dibagikan dengan project layanan.
Logging
Anda dapat mengaktifkan Log Aliran VPC di subnet yang berisi VM backend. Log ini menampilkan alur antara VM backend dan alamat IP di subnet Private Service Connect.
Kontrol Layanan VPC
Kontrol Layanan VPC dan Private Service Connect itu kompatibel satu sama lain. Jika jaringan VPC tempat endpoint Private Service Connect diterapkan berada dalam perimeter Kontrol Layanan VPC, endpoint tersebut merupakan bagian dari perimeter yang sama. Setiap layanan yang didukung Kontrol Layanan VPC yang diakses melalui endpoint tunduk pada kebijakan perimeter Kontrol Layanan VPC tersebut.
Saat Anda membuat endpoint, panggilan API bidang kontrol akan dilakukan antara project konsumen dan produsen untuk membuat koneksi Private Service Connect. Membuat koneksi Private Service Connect antara project konsumen dan produsen yang tidak berada dalam perimeter Kontrol Layanan VPC yang sama tidak memerlukan otorisasi eksplisit dengan kebijakan keluar. Komunikasi ke layanan yang didukung Kontrol Layanan VPC melalui endpoint dilindungi oleh perimeter Kontrol Layanan VPC.
Melihat informasi koneksi konsumen
Secara default, Private Service Connect menerjemahkan alamat IP sumber konsumen ke alamat di salah satu subnet Private Service Connect di jaringan VPC produsen layanan. Jika ingin melihat alamat IP sumber asli konsumen, Anda dapat mengaktifkan protokol PROXY saat memublikasikan layanan. Private Service Connect mendukung protokol PROXY versi 2.
Tidak semua layanan mendukung protokol PROXY. Untuk mengetahui informasi selengkapnya, lihat Fitur dan kompatibilitas.
Jika protokol PROXY diaktifkan, Anda bisa mendapatkan alamat IP sumber konsumen dan ID koneksi PSC (pscConnectionId) dari header protokol PROXY.
Jika Anda mengaktifkan protokol PROXY untuk lampiran layanan, perubahan hanya berlaku untuk koneksi baru. Koneksi yang ada tidak menyertakan header protokol PROXY.
Jika Anda mengaktifkan protokol PROXY, periksa dokumentasi software server web backend Anda untuk mendapatkan informasi tentang penguraian dan pemrosesan header protokol PROXY yang masuk di payload TCP koneksi klien. Jika protokol PROXY diaktifkan pada lampiran layanan, tetapi server web backend tidak dikonfigurasi untuk memproses header protokol PROXY, format permintaan web mungkin salah. Jika format permintaan salah, server tidak dapat menafsirkan permintaan tersebut.
ID koneksi Private Service Connect (pscConnectionId) dienkode dalam header protokol PROXY dalam format Type-Length-Value (TLV).
| Kolom | Panjang kolom | Nilai kolom |
|---|---|---|
| Jenis | 1 byte | 0xE0 (PP2_TYPE_GCP)
|
| Length | 2 byte | 0x8 (8 byte) |
| Value | 8 byte | pscConnectionId 8 byte di urutan jaringan |
Anda dapat melihat nilai pscConnectionId 8 byte dari aturan penerusan konsumen atau
lampiran layanan produsen.
Nilai pscConnectionId akan berbeda di seluruh dunia untuk semua koneksi aktif pada titik waktu tertentu. Namun, seiring waktu, pscConnectionId dapat digunakan kembali dalam
skenario berikut:
Dalam jaringan VPC tertentu, jika Anda menghapus endpoint (aturan penerusan), dan membuat endpoint baru menggunakan alamat IP yang sama, nilai
pscConnectionIdyang sama dapat digunakan.Jika Anda menghapus jaringan VPC yang berisi endpoint (aturan penerusan), setelah masa tunggu selama tujuh hari, nilai
pscConnectionIdyang digunakan untuk endpoint tersebut dapat digunakan untuk endpoint yang berbeda di jaringan VPC lain.
Anda dapat menggunakan nilai pscConnectionId untuk melakukan proses debug dan melacak sumber
paket.
ID lampiran layanan Private Service Connect 16 byte (pscServiceAttachmentId)
terpisah tersedia dari lampiran layanan
produsen.
Nilai pscServiceAttachmentId adalah ID unik di seluruh dunia yang mengidentifikasi
lampiran layanan Private Service Connect. Anda dapat menggunakan
nilai pscServiceAttachmentId untuk visibilitas dan proses debug. Nilai ini tidak
disertakan dalam header protokol PROXY.
Harga
Harga untuk Private Service Connect dijelaskan di halaman harga VPC.
Akses lokal
Layanan Private Service Connect disediakan menggunakan endpoint. Endpoint ini dapat diakses dari host lokal yang terhubung dan didukung. Untuk informasi selengkapnya, lihat Mengakses endpoint dari host lokal.
Batasan
Layanan yang dipublikasikan memiliki batasan berikut:
- Load balancer produsen tidak mendukung fitur berikut:
- Beberapa aturan penerusan yang menggunakan alamat IP bersama (
SHARED_LOADBALANCER_VIP) - Sub-setelan backend
- Duplikasi Paket tidak dapat menduplikasi paket untuk traffic layanan yang dipublikasikan Private Service Connect.
- Anda harus menggunakan Google Cloud CLI atau API untuk membuat lampiran layanan yang mengarah ke aturan penerusan yang digunakan untuk penerusan protokol internal.
Untuk masalah dan solusinya, lihat Masalah umum.