Tentang layanan yang dipublikasikan
Dokumen ini memberikan ringkasan tentang penggunaan Private Service Connect untuk menyediakan layanan bagi konsumen layanan.
Sebagai produsen layanan, Anda dapat menggunakan Private Service Connect untuk memublikasikan layanan menggunakan alamat IP internal di jaringan VPC Anda. Layanan yang Anda publikasikan dapat diakses oleh konsumen layanan dengan menggunakan alamat IP internal di jaringan VPC mereka.
Untuk menyediakan layanan kepada konsumen, Anda membuat satu atau beberapa subnet khusus. Selanjutnya, buat lampiran layanan yang merujuk ke subnet tersebut. Lampiran layanan dapat memiliki preferensi koneksi yang berbeda.
Jenis konsumen layanan
Ada dua jenis konsumen yang dapat terhubung ke layanan Private Service Connect:
Endpoint didasarkan pada aturan penerusan.
Endpoint memungkinkan konsumen layanan mengirimkan traffic dari jaringan VPC konsumen ke layanan di jaringan VPC produsen layanan (klik untuk memperbesar).
Backend didasarkan pada load balancer.
Backend yang menggunakan Load Balancer Aplikasi eksternal global memungkinkan konsumen layanan dengan akses internet mengirimkan traffic ke layanan di jaringan VPC produsen layanan (klik untuk memperbesar).
Subnet NAT
Lampiran layanan Private Service Connect dikonfigurasi dengan satu atau beberapa subnet NAT (juga disebut sebagai subnet Private Service Connect). Paket dari jaringan VPC konsumen diterjemahkan menggunakan NAT sumber (SNAT) sumber sehingga alamat IP sumber aslinya dikonversi menjadi alamat IP sumber dari subnet NAT di jaringan VPC produsen.
Lampiran layanan dapat memiliki beberapa subnet NAT. Selain itu, subnet NAT dapat ditambahkan ke lampiran layanan kapan saja tanpa mengganggu traffic.
Meskipun lampiran layanan dapat memiliki beberapa subnet NAT yang dikonfigurasi, subnet NAT tidak dapat digunakan di lebih dari satu lampiran layanan.
Subnet NAT Private Service Connect tidak dapat digunakan untuk resource seperti instance virtual machine (VM) atau aturan penerusan. Subnet hanya digunakan untuk menyediakan alamat IP untuk SNAT koneksi konsumen yang masuk.
Pengukuran subnet NAT
Saat memublikasikan layanan, buat subnet NAT dan pilih rentang alamat IP. Ukuran subnet menentukan jumlah endpoint atau backend Private Service Connect serentak yang dapat terhubung ke lampiran layanan.
Alamat IP digunakan dari subnet NAT sesuai dengan jumlah koneksi Private Service Connect. Jika semua alamat IP di subnet NAT digunakan, koneksi Private Service Connect tambahan akan gagal. Inilah sebabnya mengapa penting untuk mengukur subnet NAT dengan tepat.
Saat Anda memilih ukuran subnet, pertimbangkan hal berikut:
-
Ada empat alamat IP yang tidak dapat digunakan dalam subnet NAT, sehingga jumlah alamat IP yang tersedia adalah 2(32 - PREFIX_LENGTH) - 4. Misalnya, jika Anda membuat subnet NAT dengan panjang awalan
/24, Private Service Connect dapat menggunakan 252 dari alamat IP untuk SNAT. Subnet/29dengan empat alamat IP yang tersedia adalah ukuran subnet terkecil yang didukung di jaringan VPC. - Satu alamat IP digunakan dari subnet NAT untuk setiap endpoint atau backend yang terhubung ke lampiran layanan.
- Saat Anda memperkirakan jumlah alamat IP yang diperlukan untuk endpoint dan backend, perhitungkan layanan multi-tenant atau konsumen yang menggunakan akses multi-titik untuk Private Service Connect
- Jumlah koneksi TCP atau UDP, klien, atau jaringan VPC konsumen tidak memengaruhi pemakaian alamat IP dari subnet NAT.
Misalnya, jika ada dua endpoint yang terhubung ke satu lampiran layanan, dua alamat IP akan digunakan dari subnet NAT. Jika jumlah endpoint tidak berubah, Anda dapat menggunakan subnet /29 dengan empat alamat IP yang dapat digunakan untuk lampiran layanan ini.
Pemantauan subnet NAT
Untuk membantu memastikan bahwa koneksi Private Service Connect tidak gagal karena alamat IP yang tidak tersedia di subnet NAT, kami merekomendasikan hal berikut:
- Pantau metrik lampiran layanan
private_service_connect/producer/used_nat_ip_addresses. Pastikan jumlah alamat IP NAT yang digunakan tidak melebihi kapasitas subnet NAT lampiran layanan. - Pantau status koneksi dari koneksi lampiran layanan. Jika koneksi memiliki status Needs attention, mungkin tidak ada alamat IP lain yang tersedia di subnet NAT lampiran.
- Untuk layanan multi-tenant, Anda dapat menggunakan Batas koneksi untuk membantu memastikan bahwa satu konsumen tidak menghabiskan kapasitas subnet NAT lampiran layanan.
Jika diperlukan, subnet NAT dapat ditambahkan ke lampiran layanan kapan saja tanpa mengganggu traffic.
Spesifikasi NAT
Pertimbangkan karakteristik NAT Private Service Connect berikut saat Anda mendesain layanan yang dipublikasikan:
Waktu Tunggu Tidak Ada Aktivitas Pemetaan UDP adalah 30 detik dan tidak dapat dikonfigurasi.
Waktu Tunggu Tidak Ada Aktivitas Koneksi yang Dibuat TCP adalah 20 menit dan tidak dapat dikonfigurasi.
Untuk menghindari masalah terkait waktu tunggu koneksi klien, lakukan salah satu tindakan berikut:
Pastikan semua koneksi aktif kurang dari 20 menit.
Pastikan beberapa traffic dikirim lebih sering daripada sekali setiap 20 menit. Anda dapat menggunakan heartbeat atau keepalive di aplikasi, atau keepalive TCP. Misalnya, Anda dapat mengonfigurasi keepalive di proxy target dari Load Balancer Aplikasi internal Regional atau Load Balancer Jaringan proxy internal Regional.
Waktu Tunggu Tidak Ada Aktivitas Koneksi Transitori TCP adalah 30 detik dan tidak dapat dikonfigurasi.
Ada penundaan dua menit sebelum 5 tuple apa pun (alamat IP sumber subnet NAT dan port sumber ditambah protokol tujuan, alamat IP, dan port tujuan) dapat digunakan kembali.
SNAT untuk Private Service Connect tidak mendukung fragmen IP.
Koneksi maksimum
VM produsen tunggal dapat menerima maksimum 65.536 koneksi TCP serentak dan 65.536 koneksi UDP dari satu endpoint Private Service Connect. Tidak ada batasan jumlah total koneksi TCP dan UDP yang dapat diterima endpoint Private Service Connect secara gabungan di semua backend produsen. VM konsumen dapat menggunakan ke-65.536 port saat memulai koneksi TCP atau UDP ke endpoint Private Service Connect. Semua penafsiran alamat jaringan (NAT) dilakukan secara lokal di host produsen, yang tidak memerlukan kumpulan port NAT yang dialokasikan secara terpusat.
Lampiran layanan
Produsen layanan mengekspos layanan mereka melalui lampiran layanan.
Untuk mengekspos layanan, produsen layanan membuat lampiran layanan yang merujuk pada aturan penerusan load balancer layanan.
Untuk mengakses layanan, konsumen layanan membuat endpoint yang merujuk ke lampiran layanan.
URI lampiran layanan memiliki format ini: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
Setiap load balancer hanya dapat direferensikan oleh satu lampiran layanan. Anda tidak dapat mengonfigurasi beberapa lampiran layanan yang menggunakan load balancer yang sama.
Preferensi koneksi
Setiap lampiran layanan memiliki preferensi koneksi yang menentukan apakah permintaan koneksi akan diterima secara otomatis. Ada tiga opsi:
- Terima semua koneksi secara otomatis. Lampiran layanan otomatis menerima semua permintaan koneksi masuk dari pelanggan mana pun. Persetujuan otomatis dapat diganti dengan kebijakan organisasi yang memblokir koneksi masuk.
- Terima koneksi untuk jaringan yang dipilih. Lampiran layanan hanya menerima permintaan koneksi masuk jika jaringan VPC konsumen ada dalam daftar penerimaan konsumen lampiran layanan.
- Terima koneksi untuk project yang dipilih. Lampiran layanan hanya menerima permintaan koneksi masuk jika project konsumen tercantum dalam daftar penerimaan konsumen lampiran layanan.
Sebaiknya terima koneksi untuk project atau jaringan yang dipilih. Menerima semua koneksi secara otomatis mungkin sesuai jika Anda mengontrol akses konsumen melalui cara lain dan ingin mengaktifkan akses permisif ke layanan Anda.
Status koneksi
Lampiran layanan memiliki status koneksi yang mendeskripsikan status koneksinya. Untuk informasi selengkapnya, lihat Status koneksi.
Daftar yang disetujui dan ditolak konsumen
Daftar yang disetujui konsumen dan daftar yang ditolak konsumen adalah fitur keamanan lampiran layanan. Dengan daftar penerimaan dan penolakan, produsen layanan dapat menentukan konsumen mana yang dapat membuat koneksi Private Service Connect ke layanan mereka. Daftar penerimaan konsumen menentukan apakah koneksi diterima, dan daftar penolakan konsumen menentukan apakah koneksi ditolak. Kedua daftar tersebut memungkinkan Anda menentukan konsumen berdasarkan jaringan VPC atau project resource yang terhubung. Jika Anda menambahkan project atau jaringan ke daftar penerimaan dan penolakan, permintaan koneksi dari project atau jaringan tersebut akan ditolak. Menentukan konsumen berdasarkan folder tidak didukung.
Daftar penerimaan konsumen dan daftar penolakan konsumen memungkinkan Anda menentukan project atau jaringan VPC, tetapi tidak keduanya secara bersamaan. Anda dapat mengubah daftar dari satu jenis ke jenis lainnya tanpa mengganggu koneksi, tetapi Anda harus melakukan perubahan dalam satu update. Jika tidak, beberapa koneksi mungkin berubah ke status tertunda untuk sementara.
Daftar konsumen mengontrol apakah endpoint dapat terhubung ke layanan yang dipublikasikan, tetapi tidak mengontrol siapa yang dapat mengirim permintaan ke endpoint tersebut. Misalnya, konsumen memiliki
jaringan VPC Bersama
yang memiliki dua project layanan yang terpasang. Jika layanan yang dipublikasikan memiliki service-project1 dalam daftar penerimaan konsumen, dan service-project2 dalam daftar penolakan konsumen, hal berikut berlaku:
-
Konsumen di
service-project1dapat membuat endpoint yang terhubung ke layanan yang dipublikasikan. -
Konsumen di
service-project2tidak dapat membuat endpoint yang terhubung ke layanan yang dipublikasikan. -
Klien di
service-project2dapat mengirim permintaan ke endpoint diservice-project1, jika tidak ada aturan atau kebijakan firewall yang mencegah traffic tersebut.
Untuk informasi tentang bagaimana daftar yang disetujui konsumen berinteraksi dengan kebijakan organisasi, lihat Interaksi antara daftar yang disetujui konsumen dan kebijakan organisasi.
Batas daftar penerimaan konsumen
Daftar penerimaan konsumen memiliki batas koneksi. Batas ini menetapkan jumlah total koneksi endpoint dan backend Private Service Connect yang dapat diterima lampiran layanan dari project konsumen atau jaringan VPC yang ditentukan.
Produsen dapat menggunakan batas koneksi agar konsumen perorangan tidak kehabisan alamat IP atau kuota resource di jaringan VPC produsen. Setiap koneksi Private Service Connect yang diterima mengurangi batas yang dikonfigurasi untuk project konsumen atau jaringan VPC. Batas ditetapkan saat Anda membuat atau mengupdate daftar penerimaan konsumen. Anda dapat melihat koneksi lampiran layanan saat menjelaskan lampiran layanan.
Koneksi yang di-propagasi tidak diperhitungkan dalam batas ini.
Misalnya, pertimbangkan kasus saat lampiran layanan memiliki daftar penerimaan konsumen yang menyertakan project-1 dan project-2, keduanya dengan batas satu koneksi. Project project-1 meminta dua koneksi, project-2 meminta satu koneksi, dan project-3 meminta satu koneksi. Karena project-1 memiliki batas satu koneksi, koneksi pertama diterima, dan koneksi kedua tetap tertunda.
Koneksi dari project-2 diterima, dan koneksi dari project-3 tetap tertunda. Koneksi kedua dari project-1 dapat diterima dengan meningkatkan batas untuk project-1. Jika project-3 ditambahkan ke daftar penerimaan konsumen, koneksi tersebut akan bertransisi dari menunggu keputusan menjadi diterima.
Rekonsiliasi koneksi
Rekonsiliasi koneksi menentukan apakah update pada daftar yang disetujui atau yang ditolak lampiran layanan dapat memengaruhi koneksi Private Service Connect yang ada. Jika rekonsiliasi koneksi diaktifkan, memperbarui daftar yang disetujui atau ditolak dapat menghentikan koneksi yang ada. Koneksi yang sebelumnya ditolak dapat diterima. Jika rekonsiliasi koneksi dinonaktifkan, mengupdate daftar yang disetujui atau ditolak hanya akan memengaruhi koneksi baru dan yang tertunda.
Misalnya, pertimbangkan lampiran layanan yang memiliki beberapa koneksi yang diterima dari Project-A. Project-A ada dalam daftar yang disetujui lampiran layanan. Lampiran layanan diupdate dengan menghapus Project-A dari daftar penerimaan.
Jika rekonsiliasi koneksi diaktifkan, semua koneksi yang ada dari Project-A akan bertransisi ke PENDING, yang menghentikan konektivitas jaringan antara kedua jaringan VPC dan segera menghentikan traffic jaringan.
Jika rekonsiliasi koneksi dinonaktifkan, koneksi yang ada dari Project-A tidak akan terpengaruh. Traffic jaringan masih dapat mengalir di seluruh koneksi Private Service Connect yang ada. Namun, koneksi Private Service Connect baru tidak diizinkan.
Untuk informasi tentang cara mengonfigurasi rekonsiliasi koneksi untuk lampiran layanan baru, lihat Memublikasikan layanan dengan persetujuan eksplisit.
Untuk informasi tentang cara mengonfigurasi rekonsiliasi koneksi untuk lampiran layanan yang ada, lihat Mengonfigurasi rekonsiliasi koneksi.
Koneksi yang di-propagasi
Konsumen yang terhubung ke lampiran layanan Anda menggunakan endpoint dapat mengaktifkan penyebaran koneksi. Koneksi yang di-propagasi memungkinkan beban kerja di spoke VPC konsumen mengakses layanan terkelola di jaringan VPC produsen seolah-olah kedua jaringan VPC terhubung langsung melalui endpoint. Setiap koneksi yang di-propagate menggunakan alamat IP dari subnet NAT lampiran layanan.
Anda dapat melihat jumlah koneksi yang di-propagate yang terkait dengan endpoint terhubung saat melihat detail untuk layanan yang dipublikasikan. Jumlah ini tidak mencakup koneksi yang di-propagate yang diblokir oleh batas koneksi yang di-propagate produsen.
Batas koneksi yang di-propagasi
Lampiran layanan memiliki batas koneksi yang di-propagate, yang memungkinkan produsen layanan membatasi jumlah koneksi yang di-propagate yang dapat dibuat ke lampiran layanan dari satu konsumen. Jika tidak ditentukan, batas koneksi yang di-propagate secara default adalah 250.
- Jika preferensi koneksi lampiran layanan adalah
ACCEPT_MANUAL, batas berlaku untuk setiap project atau jaringan VPC yang tercantum dalam daftar penerimaan konsumen. - Jika preferensi koneksi adalah
ACCEPT_AUTOMATIC, batas berlaku untuk setiap project yang berisi endpoint yang terhubung.
Jika konsumen melebihi batas koneksi yang di-propagate, tidak ada koneksi yang di-propagate lebih lanjut yang dibuat. Untuk mengizinkan pembuatan lebih banyak endpoint yang di-propagate, Anda dapat meningkatkan batas koneksi yang di-propagate. Saat Anda menaikkan batas ini, Network Connectivity Center akan membuat koneksi yang di-propagate yang diblokir oleh batas, selama koneksi baru tidak melebihi batas yang diperbarui. Memperbarui batas ini tidak memengaruhi koneksi yang di-propagate yang ada.
Mencegah kehabisan kuota
Jumlah total endpoint Private Service Connect dan koneksi yang di-propagate, dari konsumen mana pun, yang dapat mengakses jaringan VPC produsen Anda dikontrol oleh kuota PSC ILB consumer forwarding rules per producer VPC network.
Khusus untuk
layanan multi-tenant,
penting untuk melindungi dari kehabisan kuota ini.
Anda dapat menggunakan batas berikut untuk melindungi dari kehabisan kuota:
- Batas koneksi daftar persetujuan konsumen mengontrol jumlah total endpoint Private Service Connect yang dapat membuat koneksi ke lampiran layanan dari satu project atau jaringan VPC konsumen. Menurunkan batas ini tidak memengaruhi koneksi yang ada. Batasan ini tidak berlaku untuk koneksi yang di-propagate.
- Batas koneksi yang di-propagate mengontrol jumlah total koneksi yang di-propagate yang dapat dibuat ke lampiran layanan dari satu konsumen. Menurunkan batas ini tidak memengaruhi koneksi yang sudah ada dan di-propagate.
Contoh
Contoh berikut menunjukkan cara kerja batas koneksi yang di-propagate dan batas daftar konsumen yang diterima sehubungan dengan kuota PSC ILB consumer forwarding rules per producer VPC network.
Pertimbangkan kasus saat konsumen telah membuat dua
endpoint di jaringan VPC spoke, spoke-vpc-1. Kedua endpoint
terhubung ke service-attachment-1 di producer-vpc-1. Spoke terhubung ke
hub Network Connectivity Center yang mengaktifkan penyebaran koneksi, dan tidak ada spoke lain yang terhubung ke hub tersebut.
Produsen layanan telah mengonfigurasi service-attachment-1 agar memiliki batas daftar
penerimaan konsumen sebanyak empat untuk setiap project dalam daftar penerimaan. Produsen telah mengonfigurasi batas koneksi yang disebarkan sebanyak dua, yang menentukan bahwa satu project dapat memiliki hingga dua koneksi yang disebarkan.
Contoh konfigurasi ini berisi dua endpoint dan tidak ada koneksi yang di-propagate (klik untuk memperbesar).
Penggunaan kuota dan batas untuk konfigurasi ini adalah sebagai berikut:
| Kuota / Batas | Penggunaan | Penjelasan |
|---|---|---|
| Aturan penerusan konsumen PSC ILB per jaringan VPC produsen | 2 | satu per endpoint |
Batas koneksi daftar penerimaan konsumen lampiran layanan untuk consumer-project-1 |
2 | satu per endpoint |
Batas koneksi yang di-propagate lampiran layanan untuk consumer-project-1 |
0 | tidak ada koneksi yang di-propagate |
Misalkan consumer-project-1 menghubungkan spoke lain bernama spoke-vpc-2 ke
hub Network Connectivity Center yang sama dengan spoke-vpc-1. Tindakan ini akan membuat dua koneksi yang di-propagate di consumer-project-1, satu untuk setiap endpoint yang ada.
Contoh konfigurasi ini berisi dua endpoint dan dua koneksi yang diterapkan (klik untuk memperbesar).
Penggunaan kuota dan batas untuk konfigurasi ini adalah sebagai berikut:
| Kuota / Batas | Penggunaan | Penjelasan |
|---|---|---|
| Aturan penerusan konsumen PSC ILB per jaringan VPC produsen | 4 | satu per endpoint dan satu per koneksi yang di-propagate |
Batas koneksi daftar penerimaan konsumen lampiran layanan untuk consumer-project-1 |
2 | satu per endpoint |
Batas koneksi yang di-propagate lampiran layanan untuk consumer-project-1 |
2 | satu per koneksi yang di-propagate |
Consumer-project-1 telah menghabiskan batas koneksi yang di-propagate. Jika konsumen menambahkan spoke VPC lain, Private Service Connect tidak akan membuat koneksi baru yang di-propagate.
Misalkan konsumen lain memiliki dua spoke VPC di consumer-project-2. Spoke terhubung ke hub Network Connectivity Center dengan koneksi yang di-propagate
diaktifkan. Salah satu spoke VPC berisi satu endpoint yang
terhubung ke service-attachment-1.
Contoh konfigurasi ini berisi tiga endpoint dan tiga koneksi yang di-propagate (klik untuk memperbesar).
Penggunaan kuota dan batas untuk konfigurasi ini adalah sebagai berikut:
| Kuota / Batas | Penggunaan | Penjelasan |
|---|---|---|
| Aturan penerusan konsumen PSC ILB per jaringan VPC produsen | 6 | empat dari consumer-project-1 dan dua dari consumer-project-2 |
Batas koneksi daftar penerimaan konsumen lampiran layanan untuk consumer-project-1 |
2 | satu per endpoint di consumer-project-1 |
Batas koneksi daftar penerimaan konsumen lampiran layanan untuk consumer-project-2 |
1 | satu per endpoint di consumer-project-2 |
Batas koneksi yang di-propagate lampiran layanan untuk consumer-project-1 |
2 | satu per koneksi yang di-propagate di consumer-project-1 |
Batas koneksi yang di-propagate lampiran layanan untuk consumer-project-2 |
1 | satu per koneksi yang di-propagate di consumer-project-2 |
Konfigurasi DNS
Untuk informasi tentang konfigurasi DNS untuk layanan dan endpoint yang dipublikasikan yang terhubung ke layanan yang dipublikasikan, lihat Konfigurasi DNS untuk layanan.
Konfigurasi beberapa region
Anda dapat menyediakan layanan di beberapa region dengan membuat konfigurasi berikut.
Konfigurasi produsen:
Deploy layanan di setiap region. Setiap instance layanan regional harus dikonfigurasi pada load balancer yang mendukung akses oleh backend.
Buat lampiran layanan untuk memublikasikan setiap instance regional dari layanan.
Konfigurasi konsumen:
Buat backend untuk mengakses layanan yang dipublikasikan. Backend didasarkan pada Load Balancer Aplikasi eksternal global dan mencakup konfigurasi berikut:
NEG Private Service Connect di setiap region yang mengarah ke lampiran layanan region tersebut.
Layanan backend yang berisi backend NEG.
Dalam konfigurasi ini, endpoint merutekan traffic menggunakan kebijakan load balancing global default, pertama berdasarkan respons, lalu berdasarkan lokasi terdekat dengan klien.
Penggunaan Load Balancer Aplikasi eksternal global memungkinkan konsumen layanan yang memiliki akses internet mengirim traffic ke layanan di jaringan VPC produsen layanan. Karena layanan di-deploy di beberapa region, load balancer dapat mengarahkan traffic ke NEG di region terdekat yang sehat (klik untuk memperbesar).
Terjemahan versi IP
Untuk koneksi antara endpoint Private Service Connect untuk layanan yang dipublikasikan dan lampiran layanan, versi IP alamat IP aturan penerusan konsumen menentukan versi IP endpoint dan traffic yang keluar dari endpoint. Versi IP endpoint dapat berupa IPv4 atau IPv6, tetapi tidak keduanya. Konsumen dapat menggunakan alamat IPv4 jika subnet alamat adalah single-stack. Konsumen dapat menggunakan alamat IPv4 atau IPv6 jika subnet alamat tersebut adalah dual-stack. Konsumen dapat menghubungkan endpoint IPv4 dan IPv6 ke lampiran layanan yang sama, yang dapat membantu memigrasikan layanan ke IPv6.
Untuk koneksi antara endpoint Private Service Connect untuk layanan yang dipublikasikan dan lampiran layanan, versi IP aturan penerusan produsen menentukan versi IP lampiran layanan dan traffic yang keluar dari lampiran layanan. Versi IP lampiran layanan dapat berupa IPv4 atau IPv6, tetapi tidak keduanya. Produsen dapat menggunakan alamat IPv4 jika subnet alamat tersebut adalah single-stack. Produsen dapat menggunakan alamat IPv4 atau IPv6 jika subnet alamat tersebut adalah dual-stack.
Versi IP alamat IP aturan penerusan produsen harus kompatibel dengan jenis stack subnet NAT lampiran layanan. Jika aturan penerusan produsen adalah IPv4, subnet NAT dapat berupa stack tunggal atau stack ganda. Jika aturan penerusan produsen adalah IPv6, subnet NAT harus berupa dual-stack.
Private Service Connect tidak mendukung koneksi endpoint IPv4 dengan lampiran layanan IPv6. Dalam hal ini, pembuatan endpoint gagal dengan pesan error berikut:
Private Service Connect forwarding rule with an IPv4 address
cannot target an IPv6 service attachment.
Kombinasi berikut dapat digunakan untuk konfigurasi yang didukung:
- Endpoint IPv4 ke lampiran layanan IPv4
- Endpoint IPv6 ke lampiran layanan IPv6
-
Endpoint IPv6 ke lampiran layanan IPv4
Dalam konfigurasi ini, Private Service Connect akan otomatis menerjemahkan antara dua versi IP.
Untuk koneksi antara backend Private Service Connect dan lampiran layanan, aturan penerusan konsumen dan produsen harus menggunakan IPv4.
Fitur dan kompatibilitas
Dalam tabel berikut, tanda centang menunjukkan bahwa fitur didukung, dan simbol tidak ada menunjukkan bahwa fitur tidak didukung.
Bergantung pada load balancer produsen yang dipilih, layanan produsen dapat mendukung akses melalui endpoint, backend, atau keduanya.
Dukungan untuk endpoint
Bagian ini merangkum opsi konfigurasi yang tersedia untuk konsumen dan produsen saat menggunakan endpoint untuk mengakses layanan publikasi.
Konfigurasi konsumen
Tabel ini merangkum opsi konfigurasi yang didukung dan kemampuan endpoint yang mengakses layanan yang dipublikasikan.
| Konfigurasi konsumen (endpoint) | Load balancer produsen | |||
|---|---|---|---|---|
| Load Balancer Network passthrough internal | Load Balancer Aplikasi internal regional | Load Balancer Jaringan proxy internal regional | Penerusan protokol internal (instance target) | |
| Akses global konsumen |
Tidak bergantung setelan akses global pada load balancer |
Hanya jika akses global diaktifkan di load balancer sebelum lampiran layanan dibuat |
Hanya jika akses global diaktifkan di load balancer sebelum lampiran layanan dibuat |
Tidak bergantung setelan akses global pada load balancer |
| Traffic Cloud VPN | ||||
| Konfigurasi DNS otomatis | Khusus IPv4 | Khusus IPv4 | Khusus IPv4 | Khusus IPv4 |
| Penyebaran koneksi | Khusus IPv4 | Khusus IPv4 | Khusus IPv4 | Khusus IPv4 |
| Endpoint IPv4 |
|
|
|
|
| Endpoint IPv6 |
|
|
|
|
Konfigurasi produsen
Tabel ini merangkum opsi konfigurasi yang didukung dan kemampuan layanan yang dipublikasikan yang diakses oleh endpoint.
| Konfigurasi produsen (layanan yang dipublikasikan) | Load balancer produsen | |||
|---|---|---|---|---|
| Load Balancer Network passthrough internal | Load Balancer Aplikasi internal regional | Load Balancer Jaringan proxy internal regional | Penerusan protokol internal (instance target) | |
Backend produsen yang didukung: |
|
|
|
Tidak berlaku |
| Protokol PROXY | Khusus traffic TCP | Khusus traffic TCP | ||
| Mode afinitas sesi | TIDAK ADA (5 tuple) CLIENT_IP_PORT_PROTO |
Tidak berlaku | Tidak berlaku | Tidak berlaku |
| IP version |
|
|
|
|
Load balancer yang berbeda mendukung konfigurasi port yang berbeda pula; beberapa load balancer mendukung port tunggal, beberapa mendukung berbagai port, dan beberapa mendukung semua port. Untuk informasi selengkapnya, lihat spesifikasi port.
Dukungan untuk backend
Backend Private Service Connect untuk layanan yang dipublikasikan memerlukan dua load balancer, yaitu load balancer konsumen dan load balancer produsen. Bagian ini merangkum opsi konfigurasi yang tersedia untuk konsumen dan produsen saat menggunakan backend untuk mengakses layanan publikasi.
Konfigurasi konsumen
Tabel ini menjelaskan load balancer konsumen yang didukung oleh backend Private Service Connect untuk layanan yang dipublikasikan, termasuk protokol layanan backend yang dapat digunakan dengan setiap load balancer konsumen. Load balancer konsumen dapat mengakses layanan yang dipublikasikan dan dihosting di load balancer produsen yang didukung.
| Load balancer konsumen | Protokol | IP version |
|---|---|---|
|
Load Balancer Aplikasi eksternal global (mendukung beberapa region) Catatan: Load Balancer Aplikasi Klasik tidak didukung. |
|
IPv4 |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
IPv4 | |
|
Load Balancer Jaringan proxy eksternal global Untuk mengaitkan load balancer ini dengan NEG Private Service Connect, gunakan Google Cloud CLI atau kirim permintaan API. Catatan: Load Balancer Jaringan proxy klasik tidak didukung. |
|
IPv4 |
Konfigurasi produsen
Tabel ini menjelaskan konfigurasi untuk load balancer produsen yang didukung oleh backend Private Service Connect untuk layanan yang dipublikasikan.
| Konfigurasi | Load balancer produsen | ||
|---|---|---|---|
| Load Balancer Network passthrough internal | Load Balancer Aplikasi internal regional | Load Balancer Jaringan proxy internal regional | |
| Backend produsen yang didukung |
|
|
|
| Protokol aturan penerusan |
|
|
|
| Port aturan penerusan | Sebaiknya gunakan satu port, lihat Konfigurasi port produsen | Mendukung satu port | Mendukung satu port |
| Protokol PROXY | |||
| IP version | IPv4 | IPv4 | IPv4 |
Konfigurasi port produsen
Saat backend konsumen terhubung ke layanan yang dipublikasikan dan dihosting di Load Balancer Jaringan passthrough internal, Google Cloud akan memilih port yang akan digunakan konsumen. Port dipilih berdasarkan konfigurasi port aturan penerusan produsen. Pertimbangkan hal berikut saat Anda membuat aturan penerusan untuk load balancer produser:
- Sebaiknya tentukan satu port. Dalam konfigurasi ini, backend konsumen menggunakan port yang sama.
Jika Anda menentukan beberapa port, hal berikut berlaku:
- Jika port
443disertakan, backend konsumen akan menggunakan port443. - Jika port
443tidak disertakan, backend konsumen akan menggunakan port pertama dalam daftar, setelah daftar diurutkan menurut abjad. Misalnya, jika Anda menentukan port80dan port1111, backend konsumen akan menggunakan port1111. Mengubah port yang digunakan oleh backend produsen dapat menyebabkan gangguan layanan bagi konsumen.
Misalnya, Anda membuat layanan yang dipublikasikan dengan aturan penerusan yang menggunakan port
443dan8443, serta VM backend yang merespons di port443dan8443. Saat backend konsumen terhubung ke layanan ini, backend tersebut akan menggunakan port443untuk komunikasi.Jika Anda mengubah VM backend agar hanya merespons di port
8443, backend konsumen tidak dapat lagi menjangkau layanan yang dipublikasikan.
- Jika port
Jangan gunakan
--port=ALL. Jika konfigurasi ini digunakan, backend konsumen akan menggunakan port1, yang tidak berfungsi.
VPC Bersama
Admin Project Layanan dapat membuat lampiran layanan di project layanan VPC Bersama yang terhubung ke resource di jaringan VPC Bersama.
Konfigurasinya sama dengan lampiran layanan reguler, kecuali untuk hal berikut:
- Aturan penerusan load balancer produsen dikaitkan dengan alamat IP dari jaringan VPC Bersama. Subnet aturan penerusan harus dibagikan dengan project layanan.
- Lampiran layanan menggunakan subnet Private Service Connect dari jaringan VPC Bersama. Subnet ini harus dibagikan dengan project layanan.
Logging
Anda dapat mengaktifkan Log Aliran VPC di subnet yang berisi VM backend. Log ini menampilkan alur antara VM backend dan alamat IP di subnet Private Service Connect.
Kontrol Layanan VPC
Kontrol Layanan VPC dan Private Service Connect itu kompatibel satu sama lain. Jika jaringan VPC tempat endpoint Private Service Connect diterapkan berada dalam perimeter Kontrol Layanan VPC, endpoint tersebut merupakan bagian dari perimeter yang sama. Setiap layanan yang didukung Kontrol Layanan VPC yang diakses melalui endpoint tunduk pada kebijakan perimeter Kontrol Layanan VPC tersebut.
Saat Anda membuat endpoint, panggilan API bidang kontrol akan dilakukan antara project konsumen dan produsen untuk membuat koneksi Private Service Connect. Membuat koneksi Private Service Connect antara project konsumen dan produsen yang tidak berada dalam perimeter Kontrol Layanan VPC yang sama tidak memerlukan otorisasi eksplisit dengan kebijakan keluar. Komunikasi ke layanan yang didukung Kontrol Layanan VPC melalui endpoint dilindungi oleh perimeter Kontrol Layanan VPC.
Melihat informasi koneksi konsumen
Secara default, Private Service Connect menerjemahkan alamat IP sumber konsumen ke alamat di salah satu subnet Private Service Connect di jaringan VPC produsen layanan. Jika ingin melihat alamat IP sumber asli konsumen, Anda dapat mengaktifkan protokol PROXY saat memublikasikan layanan. Private Service Connect mendukung protokol PROXY versi 2.
Tidak semua layanan mendukung protokol PROXY. Untuk mengetahui informasi selengkapnya, lihat Fitur dan kompatibilitas.
Jika protokol PROXY diaktifkan, Anda bisa mendapatkan alamat IP sumber konsumen dan ID koneksi PSC (pscConnectionId) dari header protokol PROXY.
Format header protokol PROXY bergantung pada versi IP endpoint konsumen. Jika load balancer lampiran layanan Anda memiliki alamat IPv6, konsumen dapat terhubung dengan alamat IPv4 dan IPv6. Konfigurasikan aplikasi Anda untuk menerima dan membaca header protokol PROXY untuk versi IP traffic yang akan diterima.
Untuk traffic konsumen yang mengalir melalui koneksi yang di-propagate, alamat IP sumber konsumen dan ID koneksi PSC merujuk ke endpoint Private Service Connect yang di-propagate.
Jika Anda mengaktifkan protokol PROXY untuk lampiran layanan, perubahan hanya berlaku untuk koneksi baru. Koneksi yang ada tidak menyertakan header protokol PROXY.
Jika Anda mengaktifkan protokol PROXY, periksa dokumentasi software server web backend Anda untuk mendapatkan informasi tentang penguraian dan pemrosesan header protokol PROXY yang masuk di payload TCP koneksi klien. Jika protokol PROXY diaktifkan pada lampiran layanan, tetapi server web backend tidak dikonfigurasi untuk memproses header protokol PROXY, format permintaan web mungkin salah. Jika format permintaan salah, server tidak dapat menafsirkan permintaan tersebut.
ID koneksi Private Service Connect (pscConnectionId) dienkode dalam header protokol PROXY dalam format Type-Length-Value (TLV).
| Kolom | Panjang kolom | Nilai kolom |
|---|---|---|
| Jenis | 1 byte | 0xE0 (PP2_TYPE_GCP)
|
| Length | 2 byte | 0x8 (8 byte) |
| Value | 8 byte | pscConnectionId 8 byte di urutan jaringan |
Anda dapat melihat nilai pscConnectionId 8 byte dari aturan penerusan konsumen atau
lampiran layanan produsen.
Nilai pscConnectionId akan berbeda di seluruh dunia untuk semua koneksi aktif pada titik waktu tertentu. Namun, seiring waktu, pscConnectionId dapat digunakan kembali dalam
skenario berikut:
Dalam jaringan VPC tertentu, jika Anda menghapus endpoint (aturan penerusan), dan membuat endpoint baru menggunakan alamat IP yang sama, nilai
pscConnectionIdyang sama dapat digunakan.Jika Anda menghapus jaringan VPC yang berisi endpoint (aturan penerusan), setelah masa tunggu selama tujuh hari, nilai
pscConnectionIdyang digunakan untuk endpoint tersebut dapat digunakan untuk endpoint yang berbeda di jaringan VPC lain.
Anda dapat menggunakan nilai pscConnectionId untuk melakukan proses debug dan melacak sumber
paket.
ID lampiran layanan Private Service Connect 16 byte (pscServiceAttachmentId)
terpisah tersedia dari lampiran layanan
produsen.
Nilai pscServiceAttachmentId adalah ID unik di seluruh dunia yang mengidentifikasi
lampiran layanan Private Service Connect. Anda dapat menggunakan
nilai pscServiceAttachmentId untuk visibilitas dan proses debug. Nilai ini tidak
disertakan dalam header protokol PROXY.
Harga
Harga untuk Private Service Connect dijelaskan di halaman harga VPC.
Kuota
Jumlah total endpoint Private Service Connect dan koneksi yang di-propagasi, dari konsumen mana pun, yang dapat mengakses jaringan VPC produsen Anda dikontrol oleh kuota PSC ILB consumer forwarding rules per producer VPC network.
Endpoint berkontribusi pada kuota ini hingga dihapus, meskipun lampiran layanan terkait dihapus atau dikonfigurasi untuk menolak koneksi. Koneksi yang di-propagasi berkontribusi pada kuota ini hingga endpoint terkait dihapus, meskipun propagasi koneksi dinonaktifkan di hub Network Connectivity Center atau spoke koneksi yang di-propagasi dihapus.
Akses lokal
Layanan Private Service Connect disediakan menggunakan endpoint. Endpoint ini dapat diakses dari host lokal yang terhubung dan didukung. Untuk informasi selengkapnya, lihat Mengakses endpoint dari host lokal.
Batasan
Layanan yang dipublikasikan memiliki batasan berikut:
- Load balancer produsen tidak mendukung fitur berikut:
- Beberapa aturan penerusan yang menggunakan alamat IP bersama (
SHARED_LOADBALANCER_VIP) - Sub-setelan backend
- Duplikasi Paket tidak dapat menduplikasi paket untuk traffic layanan yang dipublikasikan Private Service Connect.
- Anda harus menggunakan Google Cloud CLI atau API untuk membuat lampiran layanan yang mengarah ke aturan penerusan yang digunakan untuk penerusan protokol internal.
Untuk masalah dan solusinya, lihat Masalah umum.