Mengonfigurasi akses layanan pribadi
Akses layanan pribadi adalah koneksi pribadi antara jaringan VPC Anda dan jaringan yang dimiliki oleh Google atau pihak ketiga. Google atau pihak ketiga, entitas yang menawarkan layanan, juga dikenal sebagai produsen layanan. Koneksi pribadi memungkinkan instance VM di jaringan VPC Anda dan layanan yang diakses untuk berkomunikasi melalui alamat IP internal secara eksklusif. Instance VM tidak memerlukan akses internet atau alamat IP eksternal untuk menjangkau layanan yang tersedia melalui akses layanan pribadi.
Untuk mempelajari lebih lanjut tentang akses layanan pribadi dan opsi akses pribadi lainnya, lihat Opsi Akses Pribadi untuk Layanan.
Pada dasarnya, untuk menggunakan akses layanan pribadi, Anda harus mengalokasikan rentang alamat IP (blok CIDR) di jaringan VPC Anda, lalu membuat koneksi pribadi ke produser layanan.
Sebelum memulai
Untuk membuat koneksi pribadi, lengkapi prasyarat berikut:
- Periksa apakah layanan yang Anda gunakan mendukung akses layanan pribadi.
- Buat project Google Cloud atau pilih yang sudah ada. Untuk mempelajari cara membuat project Google Cloud, lihat Membuat dan Mengelola Project.
- Aktifkan Service Networking API di project Anda. API diperlukan untuk membuat koneksi pribadi.
- Buat atau pilih jaringan VPC yang akan Anda gunakan untuk terhubung ke jaringan produsen layanan. Instance VM harus menggunakan jaringan VPC ini untuk terhubung ke layanan melalui koneksi pribadi.
- Instal gcloud CLI jika Anda ingin menjalankan contoh command line
gcloud
dalam panduan ini.
Izin
Project owner dan anggota IAM dengan peran Admin Jaringan Compute (roles/compute.networkAdmin
) dapat membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi.
Untuk informasi lebih lanjut tentang peran, baca dokumentasi peran IAM VPC.
Skenario VPC Bersama
Jika Anda menggunakan VPC Bersama, buat rentang IP yang dialokasikan dan koneksi pribadi di project host. Biasanya, administrator jaringan di project host harus melakukan tugas ini. Setelah project host disiapkan, instance VM dalam project layanan dapat menggunakan koneksi pribadi.
Kuota dan batas
Karena koneksi pribadi diterapkan sebagai koneksi peering VPC, kuota dan batas yang sama yang berlaku untuk Peering Jaringan VPC juga berlaku untuk akses layanan pribadi.
Rentang alamat IP yang dialokasikan untuk layanan
Sebelum membuat koneksi pribadi, Anda harus mengalokasikan rentang alamat IPv4 yang akan digunakan oleh jaringan VPC produsen layanan. Hal ini memastikan bahwa tidak ada bentrokan alamat IP antara jaringan VPC Anda dan jaringan produsen layanan. Buat rentang yang dialokasikan untuk setiap produsen layanan.
Saat Anda mengalokasikan rentang di jaringan VPC, rentang tersebut tidak memenuhi syarat untuk subnet (rentang utama dan sekunder) dan tujuan rute statis kustom.
Penggunaan rentang alamat IPv6 dengan akses layanan pribadi tidak didukung.
Ukuran rentang alamat IP
Saat produsen layanan membuat subnet di sisi koneksinya, satu rentang terbuka dari alokasi akan dipilih untuk rentang alamat IP subnet.
Setiap produsen layanan memerlukan ukuran rentang alamat IP minimum. Untuk Google, ukuran minimumnya adalah satu blok /24
(256 alamat), tetapi ukuran yang direkomendasikan adalah blok /16
(65.536 alamat).
Ukuran yang Anda pilih bergantung pada beberapa faktor, misalnya:
- Jumlah layanan dan region yang Anda gunakan.
- Persyaratan untuk layanan yang Anda gunakan.
- Ukuran rentang alamat IP minimum untuk layanan.
- Apakah penyedia layanan memerlukan rentang IP terpisah untuk setiap instance layanan yang Anda buat, atau apakah penyedia layanan dapat menggunakan rentang IP yang sama untuk beberapa instance layanan.
Jika tidak memiliki blok /16
yang berdekatan, Anda dapat memulai dengan alokasi yang lebih kecil dan menambahkan yang baru jika nantinya Anda memerlukan lebih banyak alamat IP.
Tentang subnet produsen layanan
Saat Anda membuat koneksi pribadi dan membuat resource dengan alamat IP pribadi, layanan akan membuat subnet untuk menyediakan resource. Layanan akan memilih rentang alamat IP yang tersedia dari rentang yang dialokasikan. Anda tidak dapat memilih atau mengubah rentang alamat IP subnet produsen layanan. Subnet akan dihapus oleh layanan hanya jika Anda menghapus semua resource di subnet.
Saat Anda menyediakan resource tambahan, layanan tersebut akan menyediakannya dalam subnet regional yang ada dan dibuat sebelumnya. Jika subnet penuh, layanan akan membuat subnet yang baru di region tersebut.
Pertimbangan
Sebelum Anda mengalokasikan rentang alamat IP, pertimbangkan hal berikut:
- Pilih rentang yang dialokasikan yang sepenuhnya terpisah dari rentang subnet saat ini dan mendatang, termasuk rentang subnet dari jaringan yang terhubung dengan menggunakan Peering Jaringan VPC, dan rentang subnet dari spoke VPC yang terhubung ke hub Network Connectivity Center yang sama.
Pilih rentang yang tidak sama persis atau berisi tujuan rute statis atau dinamis kustom.
Saat produsen layanan memilih bagian yang tidak digunakan dari rentang yang dialokasikan untuk digunakan sebagai kandidat untuk resource baru, produsen layanan akan mengecualikan semua tujuan rute kustom yang sama persis atau sesuai dengan rentang yang dialokasikan. Jika jaringan VPC berisi rentang yang dialokasikan dan rute kustom dengan tujuan yang cocok atau sesuai dalam rentang yang dialokasikan, bagian yang dapat digunakan dari rentang yang dialokasikan akan berkurang. Konfigurasi ini dapat menyebabkan error alokasi habis yang tidak terduga.
Misalnya, jika Anda membuat rentang yang dialokasikan untuk
10.0.0.0/16
, hal berikut berlaku:Jika rute kustom dengan tujuan untuk
10.0.0.0/16
ada atau dibuat nanti, semua rentang10.0.0.0/16
dianggap tidak tersedia. Jika produsen layanan mencoba menggunakan rentang yang dialokasikan, Google Cloud akan menampilkan error alokasi habis.Jika rute kustom dengan tujuan untuk
10.0.0.0/20
ada atau dibuat nanti, bagian10.0.0.0/20
dari rentang yang dialokasikan10.0.0.0/16
dianggap tidak tersedia. Jika produsen layanan mencoba menggunakan rentang yang dialokasikan, dan bagian yang tersedia dari rentang yang dialokasikan tidak memadai untuk produsen layanan, Google Cloud akan menampilkan error habis alokasi.Jika rute kustom dengan tujuan untuk
10.0.0.0/8
ada atau dibuat nanti, hal ini tidak memengaruhi ketersediaan rentang yang dialokasikan10.0.0.0/16
.
Pilih rentang yang tidak bentrok dengan kebutuhan alamat IP Anda yang lain:
- Beberapa produk Google dan pihak ketiga menggunakan
172.17.0.0/16
untuk perutean dalam sistem operasi tamu. Misalnya, jaringan bridge Docker default menggunakan rentang ini. Jika Anda bergantung pada produk yang menggunakan172.17.0.0/16
, jangan gunakan172.17.0.0/16
dalam rentang yang dialokasikan untuk akses layanan pribadi. - Jika menggunakan jaringan VPC mode otomatis, Anda tidak dapat membuat rentang alokasi yang cocok atau tumpang tindih dengan
10.128.0.0/9
. Google menggunakan rentang10.128.0.0/9
untuk subnet yang dibuat secara otomatis, termasuk subnet di region mendatang.
- Beberapa produk Google dan pihak ketiga menggunakan
Pilih blok CIDR yang cukup besar untuk memenuhi kebutuhan Anda saat ini dan di masa mendatang. Jika nantinya Anda mendapati bahwa ukuran rentang tidak memadai, perluas rentang tersebut jika memungkinkan. Meskipun Anda dapat menetapkan beberapa alokasi ke satu produsen layanan, Google memberlakukan kuota pada jumlah rentang alamat IP yang dapat Anda alokasikan, tetapi tidak untuk ukuran (netmask) dari setiap rentang.
Jika Anda menambahkan rentang tambahan yang dialokasikan ke koneksi pribadi, rentang alamat IP yang tersedia untuk produsen layanan akan diperluas saat membuat resource layanan baru untuk setiap layanan yang disediakan produsen tersebut. Anda tidak dapat mencadangkan rentang alokasi tertentu dalam koneksi pribadi untuk digunakan oleh layanan tertentu.
Jangan gunakan kembali rentang alokasi yang sama untuk beberapa produsen layanan. Meskipun mungkin saja, hal itu dapat menyebabkan alamat IP tumpang tindih. Setiap produsen layanan hanya memiliki visibilitas ke jaringannya dan tidak dapat mengetahui alamat IP mana yang digunakan oleh produsen layanan lain.
Anda hanya dapat menetapkan satu blok CIDR ke rentang yang dialokasikan saat membuat alokasi. Jika perlu memperluas rentang alamat IP, Anda tidak dapat menambahkan lebih banyak blok ke alokasi. Sebagai gantinya, Anda dapat membuat alokasi lain atau membuat ulang alokasi yang ada menggunakan blok yang lebih besar dan mencakup rentang baru serta rentang yang sudah ada.
Jika Anda membuat alokasi sendiri, bukan meminta Google melakukannya (seperti melalui Cloud SQL), Anda dapat menggunakan konvensi penamaan yang sama untuk memberi tahu pengguna lain atau layanan Google bahwa alokasi untuk Google sudah ada. Saat layanan Google mengalokasikan rentang atas nama Anda, layanan tersebut menggunakan format berikut untuk memberi nama alokasi:
google-managed-services-[your network name]
. Jika alokasi ini ada, layanan Google akan menggunakan yang sudah ada, bukan membuat yang lain.Karena koneksi pribadi diterapkan sebagai koneksi Peering Jaringan VPC, perilaku dan batasan koneksi peering juga berlaku untuk koneksi pribadi seperti Batas Peering Jaringan VPC.
Jika Anda berencana mengubah alamat IP internal instance layanan yang ada yang menggunakan VPC, pertimbangkan apakah tindakan ini mungkin akan mengganggu, misalnya jika instance layanan perlu dihapus dan dibuat ulang. Untuk mengetahui informasi selengkapnya, tinjau dokumentasi untuk layanan terkelola terkait. Misalnya, jika Anda menggunakan Cloud SQL, lihat Mengubah alamat IP pribadi untuk instance Cloud SQL yang ada.
Membuat alokasi IP
Langkah berikut menjelaskan cara membuat rentang alamat IP yang dialokasikan.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Pilih jaringan VPC yang akan terhubung ke produsen layanan.
Pilih tab Private services access.
Di tab Private services access, pilih tab Allocate IP ranges for services.
Klik Alokasikan rentang IP.
Masukkan Name dan Description untuk rentang yang dialokasikan.
Tentukan IP range untuk alokasi:
- Untuk menentukan rentang alamat IP, pilih Custom, lalu masukkan blok CIDR, seperti
192.168.0.0/16
. - Untuk menentukan panjang awalan dan mengizinkan Google memilih rentang yang tersedia, pilih Automatic, lalu masukkan panjang awalan, seperti
16
.
- Untuk menentukan rentang alamat IP, pilih Custom, lalu masukkan blok CIDR, seperti
Klik Allocate untuk membuat rentang yang dialokasikan.
gcloud
Untuk membuat rentang yang dialokasikan di jaringan VPC Anda, gunakan perintah addresses create
.
Untuk menentukan rentang alamat IP dan panjang awalan (subnet mask), gunakan flag
addresses
danprefix-length
. Misalnya, untuk mengalokasikan blok CIDR192.168.0.0/16
, tentukan192.168.0.0
untuk alamat dan16
untuk panjang awalan.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Untuk menentukan panjang awalan saja (subnet mask), cukup gunakan flag
prefix-length
. Saat Anda menghilangkan rentang alamat IP, Google Cloud akan otomatis memilih rentang alamat IP yang tidak digunakan di jaringan VPC Anda. Contoh berikut ini memilih rentang alamat IP yang tidak digunakan dengan panjang awalan bit16
.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --description="DESCRIPTION" \ --network=VPC_NETWORK
Ganti kode berikut:
RESERVED_RANGE_NAME
: nama untuk rentang yang dialokasikan, sepertimy-allocated-range
.DESCRIPTION
: deskripsi untuk rentang, sepertiallocated for my-service
.VPC_NETWORK
: nama jaringan VPC Anda, sepertimy-vpc-network
.
Contoh berikut membuat koneksi pribadi ke Google sehingga instance VM dalam jaringan VPC my-network
dapat menggunakan akses layanan pribadi untuk menjangkau layanan Google yang mendukungnya.
gcloud compute addresses create google-managed-services-my-network \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --description="peering range for Google" \ --network=my-network
Terraform
Untuk membuat rentang yang dialokasikan di jaringan VPC Anda, gunakan resource google_compute_global_address
.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Jika Anda melihat error tentang izin compute.globalAddresses.list
untuk project, lihat Izin akun layanan.
Mencantumkan rentang alamat IP yang dialokasikan
Untuk mencantumkan rentang alamat IP yang dialokasikan, gunakan perintah addresses list
.
gcloud compute addresses list --global --filter="purpose=VPC_PEERING"
Membuat koneksi pribadi
Setelah membuat rentang yang dialokasikan, Anda dapat membuat koneksi pribadi ke produsen layanan. Koneksi pribadi membuat koneksi Peering Jaringan VPC antara jaringan VPC Anda dan jaringan produsen layanan.
Koneksi pribadi adalah hubungan one-to-one antara jaringan VPC Anda dan produsen layanan. Jika satu produsen layanan menawarkan beberapa layanan, Anda hanya memerlukan satu koneksi pribadi untuk semua layanan produsen tersebut.
Jika satu produsen layanan menawarkan beberapa layanan dan Anda ingin mengontrol rentang yang dialokasikan yang digunakan untuk berbagai resource layanan, Anda dapat menggunakan beberapa jaringan VPC yang masing-masing memiliki koneksi pribadinya sendiri. Konfigurasi ini memungkinkan Anda memilih jaringan tertentu saat membuat resource layanan terkelola baru untuk memastikan bahwa rentang alokasi terkait digunakan untuk resource baru.
Jika Anda terhubung ke beberapa produsen layanan, gunakan alokasi unik untuk setiap produsen layanan. Praktik ini membantu Anda mengelola setelan jaringan, seperti rute dan aturan firewall, untuk setiap produsen layanan.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Pilih jaringan VPC yang akan terhubung ke produsen layanan.
Pilih tab Private services access.
Pada tab Private services access, pilih tab Private connections to services.
Klik Create connection untuk membuat koneksi pribadi antara jaringan Anda dan produsen layanan.
Untuk Alokasi yang ditetapkan, pilih salah satu atau beberapa rentang yang sudah dialokasikan dan tidak digunakan oleh produsen layanan lainnya.
Klik Hubungkan untuk membuat koneksi.
gcloud
Gunakan perintah
vpc-peerings connect
.gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=RESERVED_RANGE_NAME \ --network=VPC_NETWORK
Ganti kode berikut:
RESERVED_RANGE_NAME
: nama satu atau beberapa rentang yang dialokasikan.VPC_NETWORK
: nama jaringan VPC Anda.
Perintah tersebut memulai operasi yang berjalan lama, dan menampilkan nama operasi.
Untuk memeriksa apakah operasi berhasil, gunakan perintah
vpc-peerings operations describe
.gcloud services vpc-peerings operations describe \ --name=OPERATION_NAME
Ganti
OPERATION_NAME
dengan nama operasi yang ditampilkan dari langkah sebelumnya.
Anda dapat menentukan lebih dari satu rentang IP yang dialokasikan saat membuat koneksi pribadi. Misalnya, jika rentang sudah habis, Anda dapat menetapkan rentang tambahan yang dialokasikan. Layanan ini akan menggunakan alamat IP dari semua rentang yang diberikan sesuai dengan urutan yang Anda tentukan.
Terraform
Untuk membuat koneksi pribadi, gunakan resource google_service_networking_connection
.
Melihat daftar koneksi pribadi
Setelah membuat koneksi pribadi, Anda dapat melihat daftarnya untuk memeriksa apakah koneksi tersebut ada. Daftar ini juga menunjukkan daftar rentang yang dialokasikan yang dikaitkan dengan setiap koneksi. Misalnya, jika Anda tidak ingat rentang alokasi mana yang ditetapkan ke suatu koneksi, lihat daftar untuk mengetahuinya.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Pilih jaringan VPC yang berisi koneksi.
Pilih tab Private services access.
Pada tab Private services access, pilih tab Private connections to services untuk melihat semua koneksi pribadi jaringan.
gcloud
Gunakan perintah vpc-peerings list
.
gcloud services vpc-peerings list \ --network=VPC_NETWORK
Ganti VPC_NETWORK
dengan nama jaringan VPC Anda.
Mengubah koneksi pribadi
Untuk koneksi pribadi yang ada, Anda dapat menambahkan atau menghapus rentang alamat IP yang dialokasikan tanpa mengganggu traffic. Misalnya, saat menskalakan, Anda dapat menambahkan rentang yang dialokasikan jika Anda hampir menghabiskan rentang yang ada.
Anda tidak dapat menghapus rentang IP yang dialokasikan menggunakan Konsol Google Cloud. Jika Anda ingin menghapus rentang yang dialokasikan, gunakan petunjuk gcloud
untuk mengubah koneksi. Jika Anda menghapus rentang dari koneksi pribadi, hal berikut akan diterapkan:
Rentang yang dialokasikan tidak lagi terkait dengan koneksi pribadi, tetapi juga tidak dihapus.
- Jika rentang yang dihapus tidak lagi digunakan, Anda dapat menghapus alokasi.
Resource produsen layanan yang ada mungkin terus menggunakan rentang yang dihapus.
Akses layanan pribadi tidak akan menggunakan rentang yang dihapus untuk mengalokasikan subnet baru.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Pilih jaringan VPC yang berisi koneksi.
Pilih tab Private services access.
Pada tab Private services access, pilih tab Private connections to services untuk melihat semua koneksi pribadi jaringan.
Klik nama koneksi dalam daftar.
Di menu pull-down Assigned allocation, pilih rentang yang ingin dialokasikan.
Klik OK.
gcloud
Untuk menambahkan atau menghapus rentang alamat IP yang dialokasikan yang ditetapkan pada koneksi pribadi yang ada, gunakan perintah vpc-peerings update
.
gcloud services vpc-peerings update \ --service=servicenetworking.googleapis.com \ --ranges=RESERVED_RANGE_NAME \ --network=VPC_NETWORK \ [--force]
Ganti kode berikut:
RESERVED_RANGE_NAME
: daftar satu atau beberapa nama rentang yang dialokasikan untuk ditetapkan ke koneksi pribadi.RESERVED_RANGE_NAME
menggantikan daftar rentang yang dialokasikan sebelumnya. Jika Anda menghilangkan rentang yang sebelumnya dikaitkan dengan koneksi pribadi ini, rentang tersebut akan dihapus dari koneksi. Anda harus menggunakan opsi--force
untuk menghapus rentang.VPC_NETWORK
: nama jaringan VPC Anda.
Menghapus rentang alamat IP yang dialokasikan
Sebelum menghapus rentang alamat IP yang dialokasikan, periksa apakah rentang tersebut digunakan oleh koneksi pribadi.
Jika rentang alamat IP yang dialokasikan sedang digunakan, ubah koneksi pribadi terlebih dahulu untuk menghapus rentang tersebut. Kemudian, hapus rentang alamat IP yang dialokasikan.
Jika Anda menghapus alamat IP yang dialokasikan saat sedang digunakan, dan Anda tidak mengubah koneksi pribadi, hal berikut akan berlaku:
Koneksi yang ada akan tetap aktif, tetapi tidak ada yang mencegah jaringan VPC Anda menggunakan alamat IP yang tumpang tindih dengan jaringan produsen layanan.
Jika Anda menghapus satu-satunya rentang alamat IP yang dialokasikan yang terkait dengan koneksi pribadi, layanan tidak dapat membuat subnet baru karena tidak ada rentang alamat IP yang dialokasikan untuk dipilih.
Jika Anda membuat rentang alamat IP yang dialokasikan yang cocok atau tumpang tindih dengan rentang yang dihapus, penambahan rentang ke koneksi pribadi akan gagal.
Untuk menghindari masalah tersebut, selalu ubah koneksi pribadi Anda saat menghapus rentang alamat IP yang dialokasikan yang sedang digunakan.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Pilih jaringan VPC yang berisi alokasi yang akan dihapus.
Pilih tab Private services access.
Di tab Private services access, pilih tab Allocate IP ranges for services.
Pilih alokasi yang akan dihapus.
Klik Release untuk menampilkan rentang alamat IP yang dialokasikan ke kumpulan alamat IP internal yang tersedia di jaringan.
Jika rentang alamat IP yang dialokasikan masih ditetapkan ke koneksi yang ada, Anda harus memasukkan konfirmasi tambahan sebelum dapat melepaskan alokasi tersebut.
Klik Release lagi untuk mengonfirmasi penghapusan.
gcloud
Hapus alokasi dengan menetapkan nama alokasi Anda.
gcloud compute addresses delete NAME \ --global
Ganti NAME
dengan nama rentang yang dialokasikan yang ingin Anda hapus.
Hapus koneksi pribadi
Sebelum menghapus koneksi pribadi, Anda harus menghapus semua instance layanan yang diakses melalui koneksi tersebut. Misalnya, jika ingin menghapus koneksi pribadi yang digunakan untuk mengakses Cloud SQL, Anda harus menghapus instance Cloud SQL yang menggunakan koneksi tersebut terlebih dahulu. Setelah Anda menghapus instance layanan, resource produsen layanan akan dihapus, tetapi penghapusan ini mungkin tidak langsung terjadi. Beberapa produsen layanan menunda penghapusan hingga periode tunggu berlalu. Anda tidak dapat menghapus koneksi pribadi selama periode tunggu. Anda harus menunggu hingga resource produsen layanan dihapus sebelum koneksi dapat dihapus.
Misalnya, jika instance Cloud SQL dihapus, Anda akan menerima respons berhasil, tetapi layanan akan menunggu selama empat hari sebelum menghapus resource produsen layanan. Periode tunggu berarti jika Anda berubah pikiran untuk menghapus layanan, Anda dapat meminta untuk mengaktifkan kembali resource. Jika Anda mencoba menghapus koneksi selama periode tunggu, penghapusan akan gagal dengan pesan bahwa resource masih digunakan oleh produsen layanan.
Konsol
Di Konsol Google Cloud, buka halaman jaringan VPC.
Pilih jaringan VPC yang berisi koneksi yang akan dihapus.
Pilih tab Private services access.
Pada tab Private services access, pilih tab Private connection to services.
Pilih koneksi pribadi yang akan dihapus.
Klik Delete untuk menghapus.
Klik Delete lagi untuk mengonfirmasi penghapusan.
gcloud
Untuk menghapus koneksi Peering Jaringan VPC koneksi pribadi, gunakan perintah vpc-peerings delete
.
gcloud services vpc-peerings delete \ --service=servicenetworking.googleapis.com \ --network=VPC_NETWORK
Ganti VPC_NETWORK
dengan nama jaringan VPC Anda.
Berbagi zona DNS pribadi dengan produser layanan
Zona pribadi Cloud DNS bersifat pribadi untuk jaringan VPC Anda. Jika ingin mengizinkan jaringan produsen layanan me-resolve nama dari zona pribadi, Anda dapat mengonfigurasi peering DNS di antara kedua jaringan tersebut.
Saat mengonfigurasi peering DNS, Anda menyediakan jaringan VPC dan suffix DNS. Jika produsen layanan perlu me-resolve alamat dengan suffix DNS tersebut, produsen layanan akan meneruskan kueri tersebut ke jaringan PC Anda untuk diselesaikan.
Layanan yang didukung ini mendukung peering DNS, kecuali Cloud SQL.
Jika ingin mengaktifkan peering DNS, Anda harus mengaktifkan Cloud DNS API di project Anda
Melakukan peering DNS dengan produser layanan
gcloud
Untuk menyiapkan peering DNS antara jaringan VPC dan jaringan penyedia layanan, gunakan perintah peered-dns-domains create
.
gcloud services peered-dns-domains create PEERING_NAME \ --network=VPC_NETWORK \ --dns-suffix=DNS_SUFFIX
Ganti kode berikut:
PEERING_NAME
: nama untuk konfigurasi peering DNS ini.VPC_NETWORK
: nama jaringan VPC Anda yang terhubung ke produsen layanan menggunakan akses layanan pribadi.DNS_SUFFIX
: suffix DNS yang ingin Anda peering dengan produsen layanan. Anda harus memberikan nama domain DNS lengkap, termasuk titik. Misalnya,example.com.
adalah suffix DNS yang valid.
Terraform
Untuk menyiapkan peering DNS antara jaringan VPC dan jaringan penyedia layanan, gunakan resource google_service_networking_peered_dns_domain
.
Menampilkan daftar konfigurasi peering DNS
gcloud
Gunakan perintah peered-dns-domains list
.
gcloud services peered-dns-domains list \ --network=VPC_NETWORK
Ganti VPC_NETWORK
dengan nama jaringan VPC Anda.
Menghapus konfigurasi peering DNS
gcloud
Gunakan
perintah peered-dns-domains delete
.
gcloud services peered-dns-domains delete PEERING_NAME \ --network=VPC_NETWORK
Ganti kode berikut:
PEERING_NAME
: nama konfigurasi peering DNS.VPC_NETWORK
: nama jaringan VPC Anda.
Pemecahan masalah
Berapa banyak alokasi saya yang digunakan?
Saat membuat koneksi pribadi dengan produser layanan, Anda mengalokasikan rentang alamat IP untuk digunakan oleh produsen tersebut. Jika Anda menggunakan beberapa layanan dari produsen layanan, setiap layanan akan mencadangkan sekumpulan alamat IP dari rentang yang dialokasikan tersebut. Anda dapat memeriksa layanan mana yang menggunakan alamat IP tertentu sehingga, sebagai contoh, Anda dapat melihat layanan mana yang menggunakan blok alamat IP besar dan menghindari kehabisan alamat IP.
Untuk melihat rasio alokasi untuk rentang yang dialokasikan, gunakan Network Analyzer. Untuk mengetahui informasi selengkapnya, lihat Ringkasan penggunaan alamat IP akses layanan pribadi.
Atau, untuk melihat layanan mana yang menggunakan rentang alamat IP tertentu:
- Tampilkan koneksi pribadi Anda.
- Temukan nama koneksi peering yang menghubungkan Anda ke produsen layanan yang relevan.
- Tampilkan rute untuk jaringan VPC Anda.
- Temukan rute dengan next hop yang cocok dengan nama koneksi peering. Rentang tujuan rute menunjukkan alamat IP yang digunakan setiap layanan.
Kehabisan rentang alamat IP
Untuk koneksi pribadi tertentu, jika ruang alamat IP yang dialokasikan habis, Google Cloud akan menampilkan error ini: Failed to create subnetwork.
Couldn't find free blocks in allocated IP ranges.
Anda mungkin melihat error ini karena rentang yang dialokasikan tidak memadai untuk penggunaan Anda, atau karena rute statis atau dinamis kustom mencegah rentang yang dialokasikan digunakan sepenuhnya. Untuk mengetahui informasi selengkapnya tentang pertimbangan pemilihan rute, lihat Pertimbangan.
Anda dapat memperluas alokasi yang ada atau menambahkan yang baru. Alokasi yang diperluas harus berupa rentang alamat IP berdekatan yang mencakup rentang yang sudah ada. Memperluas alokasi direkomendasikan karena tidak ada batas pada ukuran alokasi, tetapi ada batasan untuk jumlah alokasi yang dapat Anda buat.
Untuk memperluas alokasi yang ada:
- Tampilkan koneksi pribadi Anda dan catat nama rentang yang dialokasikan yang perlu diperluas.
- Hapus rentang alokasi yang sudah ada.
- Buat rentang baru yang dialokasikan menggunakan nama yang sama dengan rentang yang dihapus. Tentukan rentang alamat IP yang mencakup rentang alamat IP yang dihapus. Dengan begitu, resource yang di-peering dan menggunakan rentang lama yang dialokasikan dapat terus menggunakan alamat IP yang sama tanpa bertabrakan dengan resource di jaringan VPC Anda. Misalnya, jika rentang yang dialokasikan sebelumnya adalah
192.168.0.0/20
, buat rentang baru yang dialokasikan sebagai192.168.0.0/16
.
Untuk menambahkan rentang yang dialokasikan ke koneksi pribadi yang ada:
- Buat rentang alokasi baru. Rentang ini tidak harus berdekatan dengan rentang yang dialokasikan yang sudah ada.
- Tambahkan rentang yang dialokasikan ke koneksi pribadi yang sudah ada.
Host lokal tidak dapat berkomunikasi dengan jaringan produsen layanan
Jaringan produsen layanan mungkin tidak memiliki rute yang tepat untuk mengarahkan traffic ke jaringan lokal Anda. Secara default, jaringan produsen layanan hanya mempelajari rute subnet dari jaringan VPC Anda. Oleh karena itu, permintaan apa pun yang bukan dari rentang IP subnet akan dihapus oleh produsen layanan.
Untuk mengonfigurasi konektivitas antara host lokal dan jaringan produsen layanan, lakukan hal berikut:
Di jaringan VPC Anda, update koneksi peering untuk mengekspor rute kustom ke jaringan produsen layanan. Mengekspor rute akan mengirimkan semua rute statis dan dinamis yang memenuhi syarat yang berada di jaringan VPC Anda, seperti rute ke jaringan lokal dan ke jaringan produsen layanan. Jaringan produsen layanan akan otomatis mengimpor rute tersebut, lalu dapat mengirim traffic kembali ke jaringan lokal Anda melalui jaringan VPC.
Pastikan awalan yang menyertakan rentang IP yang dialokasikan untuk akses layanan pribadi diiklankan dengan benar ke jaringan lokal Anda. Untuk memahami cara mengiklankan awalan IPv4 kustom menggunakan Cloud Router, lihat Rute yang diiklankan.
Pastikan lampiran VLAN atau tunnel Cloud VPN dihentikan di jaringan VPC yang sama (atau jaringan VPC Bersama) dengan koneksi pribadi karena Peering Jaringan VPC tidak menyediakan perutean transitif.
Izin akun layanan
Jika Anda melihat error tentang izin compute.globalAddresses.list
untuk suatu project saat membuat alokasi IP, atau jika Anda mengalami error seperti Error 400: Precondition check failed
saat membuat, mencantumkan, atau mengubah koneksi pribadi, mungkin terdapat masalah dengan peran Identity and Access Management (IAM) untuk akun layanan Service Networking API Anda.
Akun layanan ini dibuat secara otomatis setelah Anda mengaktifkan Service Networking API. Diperlukan waktu hingga akun tersedia dan ditampilkan di halaman IAM.
Konsol
Untuk memastikan akun layanan memiliki peran IAM yang benar, lakukan hal berikut:
Di Konsol Google Cloud, buka halaman IAM.
Centang kotak Include Google-provided role grants.
Di kolom Name, temukan akun utama Service Networking Service Agent, lalu klik
Edit principal di baris yang sesuai.Di kolom Role, pastikan peran Service Networking Service Agent (
roles/servicenetworking.serviceAgent
) ada.Jika peran Service Networking Service Agent tidak ada, klik
Add role atau Add another role.Klik Select a role.
Di kotak teks Filter, masukkan
Service Networking Service Agent
.Pilih Service Networking Service Agent dari daftar, lalu klik Save.
gcloud
Untuk membuat akun layanan Service Networking API, gunakan perintah add-iam-policy-binding
.
gcloud projects add-iam-policy-binding HOST_PROJECT_NAME \ --member=serviceAccount:service-HOST_PROJECT_NUMBER@service-networking.iam.gserviceaccount.com \ --role=roles/servicenetworking.serviceAgent
Ganti kode berikut:
HOST_PROJECT_NAME
: nama project host.HOST_PROJECT_NUMBER
: jumlah project host.
Rute subnet peering tetap ada setelah memperbarui alokasi IP
Setelah Anda memperbarui rentang alamat IP yang dialokasikan untuk koneksi layanan pribadi, rute subnet peering lama mungkin masih muncul di tabel perutean jaringan VPC Anda. Rute tetap ada karena rentang alamat IP masih digunakan.
Untuk menyelesaikan masalah ini, lakukan tindakan berikut:
- Pastikan bahwa jika Anda menghapus alokasi IP, Anda juga memperbarui koneksi pribadi.
- Hapus atau perbarui resource apa pun yang menggunakan rentang alamat IP lama.
Rute subnet peering akan otomatis dihapus setelah rentang alamat IP tidak lagi digunakan. Mungkin ada penundaan antara penghapusan resource dan produsen layanan yang menghapus resource sepenuhnya. Misalnya, jika rentang alamat IP lama digunakan oleh instance Cloud SQL, produsen layanan mungkin memerlukan waktu hingga empat hari untuk menghapus instance Anda sepenuhnya. Rute subnet peering akan dihapus setelah penghapusan selesai.