Mengonfigurasi akses layanan pribadi

Akses layanan pribadi adalah koneksi pribadi antara jaringan VPC Anda dan jaringan yang dimiliki oleh Google atau pihak ketiga. Google atau pihak ketiga, entitas yang menawarkan layanan, juga dikenal sebagai produsen layanan. Koneksi pribadi memungkinkan instance VM di jaringan VPC Anda dan layanan yang diakses untuk berkomunikasi melalui alamat IP internal secara eksklusif. Instance VM tidak memerlukan akses internet atau alamat IP eksternal untuk menjangkau layanan yang tersedia melalui akses layanan pribadi.

Untuk mempelajari lebih lanjut tentang akses layanan pribadi dan opsi akses pribadi lainnya, lihat Opsi Akses Pribadi untuk Layanan.

Pada dasarnya, untuk menggunakan akses layanan pribadi, Anda harus mengalokasikan rentang alamat IP (blok CIDR) di jaringan VPC Anda, lalu membuat koneksi pribadi ke produser layanan.

Sebelum memulai

Untuk membuat koneksi pribadi, lengkapi prasyarat berikut:

  • Periksa apakah layanan yang Anda gunakan mendukung akses layanan pribadi.
  • Anda harus memiliki jaringan VPC yang sudah ada yang akan digunakan untuk terhubung ke jaringan produsen layanan. Instance VM harus menggunakan jaringan VPC ini untuk terhubung ke layanan melalui koneksi pribadi.
  • Aktifkan Service Networking API di project Anda. API diperlukan untuk membuat koneksi pribadi.
  • Buat project Google Cloud atau pilih yang sudah ada. Untuk mempelajari cara membuat project Google Cloud, lihat Membuat dan Mengelola Project.
  • Instal gcloud CLI jika Anda ingin menjalankan contoh command line gcloud dalam panduan ini.

Izin

Project owner dan anggota IAM dengan peran Admin Jaringan Compute (roles/compute.networkAdmin) dapat membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi.

Untuk informasi lebih lanjut tentang peran, baca dokumentasi peran IAM VPC.

Skenario VPC Bersama

Jika Anda menggunakan VPC Bersama, buat rentang IP yang dialokasikan dan koneksi pribadi di project host. Biasanya, administrator jaringan di project host harus melakukan tugas ini. Setelah project host disiapkan, instance VM dalam project layanan dapat menggunakan koneksi pribadi.

Kuota dan batas

Karena koneksi pribadi diterapkan sebagai koneksi peering VPC, kuota dan batas yang sama yang berlaku untuk Peering Jaringan VPC juga berlaku untuk akses layanan pribadi.

Mengalokasikan rentang alamat IP untuk layanan

Sebelum membuat koneksi pribadi, Anda harus mengalokasikan rentang alamat IPv4 yang akan digunakan oleh jaringan VPC produsen layanan. Hal ini memastikan bahwa tidak ada bentrokan alamat IP antara jaringan VPC Anda dan jaringan produsen layanan. Buatlah rentang yang dialokasikan untuk setiap produsen layanan.

Saat Anda mengalokasikan rentang di jaringan VPC, rentang tersebut tidak memenuhi syarat untuk subnet (rentang utama dan sekunder) dan tujuan rute statis kustom.

Penggunaan rentang alamat IPv6 dengan akses layanan pribadi tidak didukung.

Ukuran rentang alamat IP

Rentang akses layanan pribadi (klik untuk memperbesar)

Saat produsen layanan membuat subnet di sisi koneksinya, satu rentang terbuka dari alokasi akan dipilih untuk rentang alamat IP subnet.

Setiap produsen layanan memerlukan ukuran rentang alamat IP minimum. Untuk Google, ukuran minimumnya adalah satu blok /24 (256 alamat), tetapi ukuran yang direkomendasikan adalah blok /16 (65.536 alamat).

Ukuran yang Anda pilih bergantung pada beberapa faktor, misalnya:

  • Jumlah layanan dan region yang Anda gunakan.
  • Persyaratan untuk layanan yang Anda gunakan.
    • Ukuran rentang alamat IP minimum untuk layanan.
    • Apakah penyedia layanan memerlukan rentang IP terpisah untuk setiap instance layanan yang Anda buat, atau apakah penyedia layanan dapat menggunakan rentang IP yang sama untuk beberapa instance layanan.

Jika tidak memiliki blok /16 yang berdekatan, Anda dapat memulai dengan alokasi yang lebih kecil dan menambahkan yang baru jika nantinya Anda memerlukan lebih banyak alamat IP.

Tentang subnet produsen layanan

Saat Anda membuat koneksi pribadi dan membuat resource dengan alamat IP pribadi, layanan akan membuat subnet untuk menyediakan resource. Layanan akan memilih rentang alamat IP yang tersedia dari rentang yang dialokasikan. Anda tidak dapat memilih atau mengubah rentang alamat IP subnet produsen layanan. Subnet akan dihapus oleh layanan hanya jika Anda menghapus semua resource di subnet.

Saat Anda menyediakan resource tambahan, layanan tersebut akan menyediakannya dalam subnet regional yang ada dan dibuat sebelumnya. Jika subnet penuh, layanan akan membuat subnet yang baru di region tersebut.

Pertimbangan

Sebelum Anda mengalokasikan rentang alamat IP, pertimbangkan batasan berikut:

  • Pilih rentang yang tidak tumpang tindih dengan rentang, subnet, atau rute statis kustom yang sudah dialokasikan. Tidak ada dua rentang yang bisa tumpang tindih.
  • Pilih rentang yang tidak bentrok dengan kebutuhan alamat IP Anda yang lain:
    • Beberapa produk Google dan pihak ketiga menggunakan 172.17.0.0/16 untuk perutean dalam sistem operasi tamu. Misalnya, jaringan bridge Docker default menggunakan rentang ini. Jika Anda bergantung pada produk yang menggunakan 172.17.0.0/16, jangan gunakan 172.17.0.0/16 dalam rentang yang dialokasikan untuk akses layanan pribadi.
    • Jika menggunakan jaringan VPC mode otomatis, Anda tidak dapat membuat rentang alokasi yang cocok atau tumpang tindih dengan 10.128.0.0/9. Google menggunakan rentang 10.128.0.0/9 untuk subnet yang dibuat secara otomatis, termasuk subnet di region mendatang.
  • Pilih blok CIDR yang cukup besar untuk memenuhi kebutuhan Anda saat ini dan di masa mendatang. Jika nantinya Anda mendapati bahwa ukuran rentang tidak memadai, perluas rentang tersebut jika memungkinkan. Meskipun Anda dapat menetapkan beberapa alokasi ke satu produsen layanan, Google memberlakukan kuota pada jumlah rentang alamat IP yang dapat Anda alokasikan, tetapi tidak untuk ukuran (netmask) dari setiap rentang.
  • Jika Anda menambahkan rentang tambahan yang dialokasikan ke koneksi pribadi, rentang alamat IP yang tersedia untuk produsen layanan akan diperluas saat membuat resource layanan baru untuk setiap layanan yang disediakan produsen tersebut. Anda tidak dapat mencadangkan rentang alokasi tertentu dalam koneksi pribadi untuk digunakan oleh layanan tertentu.
  • Jangan gunakan kembali rentang alokasi yang sama untuk beberapa produsen layanan. Meskipun mungkin saja, hal itu dapat menyebabkan alamat IP tumpang tindih. Setiap produsen layanan hanya memiliki visibilitas ke jaringannya dan tidak dapat mengetahui alamat IP mana yang digunakan oleh produsen layanan lain.
  • Anda hanya dapat menetapkan satu blok CIDR ke rentang yang dialokasikan saat membuat alokasi. Jika perlu memperluas rentang alamat IP, Anda tidak dapat menambahkan lebih banyak blok ke alokasi. Sebagai gantinya, Anda dapat membuat alokasi lain atau membuat ulang alokasi yang ada menggunakan blok yang lebih besar dan mencakup rentang baru serta rentang yang sudah ada.
  • Jika Anda membuat alokasi sendiri, bukan meminta Google melakukannya (seperti melalui Cloud SQL), Anda dapat menggunakan konvensi penamaan yang sama untuk memberi tahu pengguna lain atau layanan Google bahwa alokasi untuk Google sudah ada. Saat layanan Google mengalokasikan rentang atas nama Anda, layanan tersebut menggunakan format berikut untuk memberi nama alokasi: google-managed-services-[your network name]. Jika alokasi ini ada, layanan Google akan menggunakan yang sudah ada, bukan membuat yang lain.
  • Karena koneksi pribadi diterapkan sebagai koneksi Peering Jaringan VPC, perilaku dan batasan koneksi peering juga berlaku untuk koneksi pribadi seperti Batas Peering Jaringan VPC.
  • Jika Anda berencana mengubah alamat IP internal instance layanan yang ada yang menggunakan VPC, pertimbangkan apakah tindakan ini mungkin akan mengganggu, misalnya jika instance layanan perlu dihapus dan dibuat ulang. Untuk mengetahui informasi selengkapnya, tinjau dokumentasi untuk layanan terkelola terkait. Misalnya, jika Anda menggunakan Cloud SQL, lihat Mengubah alamat IP pribadi untuk instance Cloud SQL yang ada.

Membuat alokasi IP

Langkah berikut menjelaskan cara membuat rentang alamat IP yang dialokasikan.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Pilih jaringan VPC yang akan terhubung ke produsen layanan.

  3. Pilih tab Private service connection.

  4. Di tab Private service connection, pilih Allocate IP ranges for services.

  5. Klik Allocate IP range.

  6. Masukkan Name dan Description untuk rentang yang dialokasikan.

  7. Tentukan IP range untuk alokasi:

    • Untuk menentukan rentang alamat IP, pilih Custom, lalu masukkan blok CIDR, seperti 192.168.0.0/16.
    • Untuk menentukan panjang awalan dan mengizinkan Google memilih rentang yang tersedia, pilih Automatic, lalu masukkan panjang awalan, seperti 16.
  8. Klik Allocate untuk membuat rentang yang dialokasikan.

gcloud

Untuk membuat rentang yang dialokasikan di jaringan VPC Anda, gunakan perintah addresses create.

  • Untuk menentukan rentang alamat IP dan panjang awalan (subnet mask), gunakan flag addresses dan prefix-length. Misalnya, untuk mengalokasikan blok CIDR 192.168.0.0/16, tentukan 192.168.0.0 untuk alamat dan 16 untuk panjang awalan.

    gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --addresses=192.168.0.0 \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK
    
  • Untuk menentukan panjang awalan saja (subnet mask), cukup gunakan flag prefix-length. Saat Anda menghilangkan rentang alamat IP, Google Cloud akan otomatis memilih rentang alamat IP yang tidak digunakan di jaringan VPC Anda. Contoh berikut ini memilih rentang alamat IP yang tidak digunakan dengan panjang awalan bit 16.

    gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK
    

Ganti kode berikut:

  • RESERVED_RANGE_NAME: nama untuk rentang yang dialokasikan, seperti my-allocated-range.

  • DESCRIPTION: deskripsi untuk rentang, seperti allocated for my-service.

  • VPC_NETWORK: nama jaringan VPC Anda, seperti my-vpc-network.

Contoh berikut membuat koneksi pribadi ke Google sehingga instance VM dalam jaringan VPC my-network dapat menggunakan akses layanan pribadi untuk menjangkau layanan Google yang mendukungnya.

gcloud compute addresses create google-managed-services-my-network \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=16 \
    --description="peering range for Google" \
    --network=my-network

Terraform

Untuk membuat rentang yang dialokasikan di jaringan VPC Anda, gunakan resource google_compute_global_address.

resource "google_compute_global_address" "private_ip_address" {
  name          = "private-ip-address"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 16
  network       = google_compute_network.peering_network.id
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

Jika Anda melihat error tentang izin compute.globalAddresses.list untuk project, lihat Izin akun layanan.

Mencantumkan rentang alamat IP yang dialokasikan

Untuk mencantumkan rentang alamat IP yang dialokasikan, gunakan perintah addresses list.

gcloud compute addresses list --global --filter="purpose=VPC_PEERING"

Membuat koneksi pribadi

Setelah membuat rentang yang dialokasikan, Anda dapat membuat koneksi pribadi ke produsen layanan. Koneksi pribadi membuat koneksi Peering Jaringan VPC antara jaringan VPC Anda dan jaringan produsen layanan.

Koneksi pribadi adalah hubungan one-to-one antara jaringan VPC Anda dan produsen layanan. Jika satu produsen layanan menawarkan beberapa layanan, Anda hanya memerlukan satu koneksi pribadi untuk semua layanan produsen tersebut.

Jika satu produsen layanan menawarkan beberapa layanan dan Anda ingin mengontrol rentang yang dialokasikan yang digunakan untuk berbagai resource layanan, Anda dapat menggunakan beberapa jaringan VPC yang masing-masing memiliki koneksi pribadinya sendiri. Konfigurasi ini memungkinkan Anda memilih jaringan tertentu saat membuat resource layanan terkelola baru untuk memastikan bahwa rentang alokasi terkait digunakan untuk resource baru.

Jika Anda terhubung ke beberapa produsen layanan, gunakan alokasi unik untuk setiap produsen layanan. Praktik ini membantu Anda mengelola setelan jaringan, seperti rute dan aturan firewall, untuk setiap produsen layanan.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Pilih jaringan VPC yang akan terhubung ke produsen layanan.

  3. Pilih tab Private service connection.

  4. Pada tab Private service connection, pilih Private connections to services.

  5. Klik Create connection untuk membuat koneksi pribadi antara jaringan Anda dan produsen layanan.

  6. Untuk Alokasi yang ditetapkan, pilih salah satu atau beberapa rentang yang sudah dialokasikan dan tidak digunakan oleh produsen layanan lainnya.

  7. Klik Hubungkan untuk membuat koneksi.

gcloud

  1. Gunakan perintah vpc-peerings connect.

    gcloud services vpc-peerings connect \
        --service=servicenetworking.googleapis.com \
        --ranges=RESERVED_RANGE_NAME \
        --network=VPC_NETWORK
    

    Ganti kode berikut:

    • RESERVED_RANGE_NAME: nama satu atau beberapa rentang yang dialokasikan.

    • VPC_NETWORK: nama jaringan VPC Anda.

    Perintah tersebut memulai operasi yang berjalan lama, dan menampilkan nama operasi.

  2. Untuk memeriksa apakah operasi berhasil, gunakan perintah vpc-peerings operations describe.

    gcloud services vpc-peerings operations describe \
        --name=OPERATION_NAME
    

    Ganti OPERATION_NAME dengan nama operasi yang ditampilkan dari langkah sebelumnya.

Anda dapat menentukan lebih dari satu rentang IP yang dialokasikan saat membuat koneksi pribadi. Misalnya, jika rentang sudah habis, Anda dapat menetapkan rentang tambahan yang dialokasikan. Layanan ini akan menggunakan alamat IP dari semua rentang yang diberikan sesuai dengan urutan yang Anda tentukan.

Terraform

Untuk membuat koneksi pribadi, gunakan resource google_service_networking_connection.

resource "google_service_networking_connection" "default" {
  network                 = google_compute_network.peering_network.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.private_ip_address.name]
}

Melihat daftar koneksi pribadi

Setelah membuat koneksi pribadi, Anda dapat melihat daftarnya untuk memeriksa apakah koneksi tersebut ada. Daftar ini juga menunjukkan daftar rentang yang dialokasikan yang dikaitkan dengan setiap koneksi. Misalnya, jika Anda tidak ingat rentang alokasi mana yang ditetapkan ke suatu koneksi, lihat daftar untuk mengetahuinya.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Pilih jaringan VPC yang berisi koneksi.

  3. Pilih tab Private service connection.

  4. Pada tab Private service connection, pilih Private connections to services untuk melihat semua koneksi pribadi jaringan.

gcloud

Gunakan perintah vpc-peerings list.

gcloud services vpc-peerings list \
    --network=VPC_NETWORK

Ganti VPC_NETWORK dengan nama jaringan VPC Anda.

Mengubah koneksi pribadi

Untuk koneksi pribadi yang ada, Anda dapat menambahkan atau menghapus rentang alamat IP yang dialokasikan tanpa mengganggu traffic. Misalnya, saat menskalakan, Anda dapat menambahkan rentang yang dialokasikan jika Anda hampir menghabiskan rentang yang ada.

Anda tidak dapat menghapus rentang IP yang dialokasikan menggunakan Konsol Google Cloud. Jika Anda ingin menghapus rentang yang dialokasikan, gunakan petunjuk gcloud untuk mengubah koneksi. Jika Anda menghapus rentang dari koneksi pribadi, hal berikut akan diterapkan:

  • Rentang yang dialokasikan tidak lagi terkait dengan koneksi pribadi, tetapi juga tidak dihapus.

  • Resource produsen layanan yang ada mungkin terus menggunakan rentang yang dihapus.

  • Akses layanan pribadi tidak akan menggunakan rentang yang dihapus untuk mengalokasikan subnet baru.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Pilih jaringan VPC yang berisi koneksi.

  3. Pilih tab Private service connection.

  4. Pada tab Private service connection, pilih Private connections to services untuk melihat semua koneksi pribadi jaringan.

  5. Klik nama koneksi dalam daftar.

  6. Di menu pull-down Assigned allocation, pilih rentang yang ingin dialokasikan.

  7. Klik OK.

gcloud

Untuk menambahkan atau menghapus rentang alamat IP yang dialokasikan yang ditetapkan pada koneksi pribadi yang ada, gunakan perintah vpc-peerings update.

gcloud services vpc-peerings update \
    --service=servicenetworking.googleapis.com \
    --ranges=RESERVED_RANGE_NAME \
    --network=VPC_NETWORK \
    [--force]

Ganti kode berikut:

  • RESERVED_RANGE_NAME: daftar satu atau beberapa nama rentang yang dialokasikan untuk ditetapkan ke koneksi pribadi.

    RESERVED_RANGE_NAME menggantikan daftar rentang yang dialokasikan sebelumnya. Jika Anda menghilangkan rentang yang sebelumnya dikaitkan dengan koneksi pribadi ini, rentang tersebut akan dihapus dari koneksi. Anda harus menggunakan opsi --force untuk menghapus rentang.

  • VPC_NETWORK: nama jaringan VPC Anda.

Menghapus rentang alamat IP yang dialokasikan

Sebelum menghapus rentang alamat IP yang dialokasikan, periksa apakah rentang tersebut digunakan oleh koneksi pribadi.

Jika rentang alamat IP yang dialokasikan sedang digunakan, ubah koneksi pribadi terlebih dahulu untuk menghapus rentang tersebut. Kemudian, hapus rentang alamat IP yang dialokasikan.

Jika Anda menghapus alamat IP yang dialokasikan saat sedang digunakan, dan Anda tidak mengubah koneksi pribadi, hal berikut akan berlaku:

  • Koneksi yang ada akan tetap aktif, tetapi tidak ada yang mencegah jaringan VPC Anda menggunakan alamat IP yang tumpang tindih dengan jaringan produsen layanan.

  • Jika Anda menghapus satu-satunya rentang alamat IP yang dialokasikan yang terkait dengan koneksi pribadi, layanan tidak dapat membuat subnet baru karena tidak ada rentang alamat IP yang dialokasikan untuk dipilih.

  • Jika Anda membuat rentang alamat IP yang dialokasikan yang cocok atau tumpang tindih dengan rentang yang dihapus, penambahan rentang ke koneksi pribadi akan gagal.

Untuk menghindari masalah tersebut, selalu ubah koneksi pribadi Anda saat menghapus rentang alamat IP yang dialokasikan yang sedang digunakan.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Pilih jaringan VPC yang berisi alokasi yang akan dihapus.

  3. Pilih tab Private service connection.

  4. Di tab Private service connection, pilih Allocate IP ranges for services.

  5. Pilih alokasi yang akan dihapus.

  6. Klik Release untuk menampilkan rentang alamat IP yang dialokasikan ke kumpulan alamat IP internal yang tersedia di jaringan.

    Jika rentang alamat IP yang dialokasikan masih ditetapkan ke koneksi yang ada, Anda harus memasukkan konfirmasi tambahan sebelum dapat melepaskan alokasi tersebut.

  7. Klik Release lagi untuk mengonfirmasi penghapusan.

gcloud

Hapus alokasi dengan menetapkan nama alokasi Anda.

gcloud compute addresses delete NAME \
    --global

Ganti NAME dengan nama rentang yang dialokasikan yang ingin Anda hapus.

Hapus koneksi pribadi

Sebelum menghapus koneksi pribadi, Anda harus menghapus semua instance layanan yang diakses melalui koneksi tersebut. Misalnya, jika ingin menghapus koneksi pribadi yang digunakan untuk mengakses Cloud SQL, Anda harus menghapus instance Cloud SQL yang menggunakan koneksi tersebut terlebih dahulu. Setelah Anda menghapus instance layanan, resource produsen layanan akan dihapus, tetapi penghapusan ini mungkin tidak langsung terjadi. Beberapa produsen layanan menunda penghapusan hingga periode tunggu berlalu. Anda tidak dapat menghapus koneksi pribadi selama periode tunggu. Anda harus menunggu hingga resource produsen layanan dihapus sebelum koneksi dapat dihapus.

Misalnya, jika instance Cloud SQL dihapus, Anda akan menerima respons berhasil, tetapi layanan akan menunggu selama empat hari sebelum menghapus resource produsen layanan. Periode tunggu berarti jika Anda berubah pikiran untuk menghapus layanan, Anda dapat meminta untuk mengaktifkan kembali resource. Jika Anda mencoba menghapus koneksi selama periode tunggu, penghapusan akan gagal dengan pesan bahwa resource masih digunakan oleh produsen layanan.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Pilih jaringan VPC yang berisi koneksi yang akan dihapus.

  3. Pilih tab Private service connection.

  4. Pada tab Private service connection, pilih Private connection to services.

  5. Pilih koneksi pribadi yang akan dihapus.

  6. Klik Delete untuk menghapus.

  7. Klik Delete lagi untuk mengonfirmasi penghapusan.

gcloud

Untuk menghapus koneksi Peering Jaringan VPC koneksi pribadi, gunakan perintah vpc-peerings delete.

gcloud services vpc-peerings delete \
    --service=servicenetworking.googleapis.com \
    --network=VPC_NETWORK

Ganti VPC_NETWORK dengan nama jaringan VPC Anda.

Berbagi zona DNS pribadi dengan produser layanan

Zona pribadi Cloud DNS bersifat pribadi untuk jaringan VPC Anda. Jika ingin mengizinkan jaringan produsen layanan me-resolve nama dari zona pribadi, Anda dapat mengonfigurasi peering DNS di antara kedua jaringan tersebut.

Saat mengonfigurasi peering DNS, Anda menyediakan jaringan VPC dan suffix DNS. Jika produsen layanan perlu me-resolve alamat dengan suffix DNS tersebut, produsen layanan akan meneruskan kueri tersebut ke jaringan PC Anda untuk diselesaikan.

Layanan yang didukung ini mendukung peering DNS, kecuali Cloud SQL.

Jika ingin mengaktifkan peering DNS, Anda harus enable Cloud DNS API di project Anda

Melakukan peering DNS dengan produser layanan

gcloud

Untuk menyiapkan peering DNS antara jaringan VPC dan jaringan penyedia layanan, gunakan perintah peered-dns-domains create.

gcloud services peered-dns-domains create PEERING_NAME \
    --network=VPC_NETWORK \
    --dns-suffix=DNS_SUFFIX

Ganti kode berikut:

  • PEERING_NAME: nama untuk konfigurasi peering DNS ini.

  • VPC_NETWORK: nama jaringan VPC Anda yang terhubung ke produsen layanan menggunakan akses layanan pribadi.

  • DNS_SUFFIX: suffix DNS yang ingin Anda peering dengan produsen layanan. Anda harus memberikan nama domain DNS lengkap, termasuk titik. Misalnya, example.com. adalah akhiran DNS yang valid.

Terraform

Untuk menyiapkan peering DNS antara jaringan VPC dan jaringan penyedia layanan, gunakan resource google_service_networking_peered_dns_domain.


## Uncomment this block after adding a valid DNS suffix

# resource "google_service_networking_peered_dns_domain" "default" {
#   name       = "example-com"
#   network    = google_compute_network.peering_network.name
#   dns_suffix = "example.com."
#   service    = "servicenetworking.googleapis.com"
# }

Menampilkan daftar konfigurasi peering DNS

gcloud

Gunakan perintah peered-dns-domains list.

gcloud services peered-dns-domains list \
    --network=VPC_NETWORK

Ganti VPC_NETWORK dengan nama jaringan VPC Anda.

Menghapus konfigurasi peering DNS

gcloud

Gunakan perintah peered-dns-domains delete.

gcloud services peered-dns-domains delete PEERING_NAME \
    --network=VPC_NETWORK

Ganti kode berikut:

  • PEERING_NAME: nama konfigurasi peering DNS.

  • VPC_NETWORK: nama jaringan VPC Anda.

Pemecahan masalah

Berapa banyak alokasi saya yang digunakan?

Saat membuat koneksi pribadi dengan produser layanan, Anda mengalokasikan rentang alamat IP untuk digunakan oleh produsen tersebut. Jika Anda menggunakan beberapa layanan dari produsen layanan, setiap layanan akan mencadangkan sekumpulan alamat IP dari rentang yang dialokasikan tersebut. Anda dapat memeriksa layanan mana yang menggunakan alamat IP tertentu sehingga, sebagai contoh, Anda dapat melihat layanan mana yang menggunakan blok alamat IP besar dan menghindari kehabisan alamat IP.

Untuk melihat layanan mana yang menggunakan rentang alamat IP tertentu:

  1. Tampilkan koneksi pribadi Anda.
  2. Temukan nama koneksi peering yang menghubungkan Anda ke produsen layanan yang relevan.
  3. Tampilkan rute untuk jaringan VPC Anda.
  4. Temukan rute dengan next hop yang cocok dengan nama koneksi peering. Rentang tujuan rute menunjukkan alamat IP yang digunakan setiap layanan.

Kehabisan rentang alamat IP

Untuk koneksi pribadi tertentu, jika ruang alamat IP yang dialokasikan habis, Google Cloud akan menampilkan error ini: Failed to create subnetwork. Couldn't find free blocks in allocated IP ranges.

Anda dapat memperluas alokasi yang ada atau menambahkan yang baru. Alokasi yang diperluas harus berupa rentang alamat IP berdekatan yang mencakup rentang yang sudah ada. Memperluas alokasi direkomendasikan karena tidak ada batas pada ukuran alokasi, tetapi ada batasan untuk jumlah alokasi yang dapat Anda buat.

Untuk memperluas alokasi yang ada:

  1. Tampilkan koneksi pribadi Anda dan catat nama rentang yang dialokasikan yang perlu diperluas.
  2. Hapus rentang alokasi yang sudah ada.
  3. Buat rentang baru yang dialokasikan menggunakan nama yang sama dengan rentang yang dihapus. Tentukan rentang alamat IP yang mencakup rentang alamat IP yang dihapus. Dengan begitu, resource yang di-peering dan menggunakan rentang lama yang dialokasikan dapat terus menggunakan alamat IP yang sama tanpa bertabrakan dengan resource di jaringan VPC Anda. Misalnya, jika rentang yang dialokasikan sebelumnya adalah 192.168.0.0/20, buat rentang baru yang dialokasikan sebagai 192.168.0.0/16.

Untuk menambahkan rentang yang dialokasikan ke koneksi pribadi yang ada:

  1. Buat rentang alokasi baru. Rentang ini tidak harus berdekatan dengan rentang yang dialokasikan yang sudah ada.
  2. Tambahkan rentang yang dialokasikan ke koneksi pribadi yang sudah ada.

Host lokal tidak dapat berkomunikasi dengan jaringan produsen layanan

Jaringan produsen layanan mungkin tidak memiliki rute yang tepat untuk mengarahkan traffic ke jaringan lokal Anda. Secara default, jaringan produsen layanan hanya mempelajari rute subnet dari jaringan VPC Anda. Oleh karena itu, permintaan apa pun yang bukan dari rentang IP subnet akan dihapus oleh produsen layanan.

Di jaringan VPC Anda, update koneksi peering untuk mengekspor rute kustom ke jaringan produsen layanan. Mengekspor rute akan mengirimkan semua rute statis dan dinamis yang memenuhi syarat yang berada di jaringan VPC Anda, seperti rute ke jaringan lokal dan ke jaringan produsen layanan. Jaringan produsen layanan akan otomatis mengimpor rute tersebut, lalu dapat mengirim traffic kembali ke jaringan lokal Anda melalui jaringan VPC.

Izin akun layanan

Jika Anda melihat error tentang izin compute.globalAddresses.list untuk suatu project saat membuat alokasi IP, atau jika Anda mengalami error seperti Error 400: Precondition check failed saat membuat, mencantumkan, atau mengubah koneksi pribadi, mungkin terdapat masalah dengan peran Identity and Access Management (IAM) untuk akun layanan Service Networking API Anda. Akun layanan ini dibuat secara otomatis setelah Anda mengaktifkan Service Networking API. Diperlukan waktu hingga akun tersedia dan ditampilkan di halaman IAM.

Konsol

Untuk memastikan akun layanan memiliki peran IAM yang benar, lakukan hal berikut:

  1. Di Konsol Google Cloud, buka halaman IAM.

    Buka IAM

  2. Centang kotak Include Google-provided role grants.

  3. Di kolom Name, temukan akun utama Service Networking Service Agent, lalu klik Edit principal di baris yang sesuai.

  4. Di kolom Role, pastikan peran Service Networking Service Agent (roles/servicenetworking.serviceAgent) ada.

  5. Jika peran Service Networking Service Agent tidak ada, klik Add role atau Add another role.

  6. Klik Select a role.

  7. Di kotak teks Filter, masukkan Service Networking Service Agent.

  8. Pilih Service Networking Service Agent dari daftar, lalu klik Save.

gcloud

Untuk membuat akun layanan Service Networking API, gunakan perintah add-iam-policy-binding.

gcloud projects add-iam-policy-binding HOST_PROJECT_NAME \
    --member=serviceAccount:service-HOST_PROJECT_NUMBER@service-networking.iam.gserviceaccount.com \
    --role=roles/servicenetworking.serviceAgent

Ganti kode berikut:

  • HOST_PROJECT_NAME: nama project host.
  • HOST_PROJECT_NUMBER: jumlah project host.

Rute subnet peering tetap ada setelah memperbarui alokasi IP

Setelah Anda memperbarui rentang alamat IP yang dialokasikan dari koneksi layanan pribadi, rute subnet peering lama mungkin masih muncul di tabel perutean jaringan VPC Anda. Rute tetap ada karena rentang alamat IP masih digunakan.

Untuk mengatasi masalah ini, lakukan langkah berikut:

Rute subnet peering akan otomatis dihapus setelah rentang alamat IP tidak lagi digunakan. Mungkin ada penundaan antara penghapusan resource, dan produser layanan yang menghapus resource sepenuhnya. Misalnya, jika rentang alamat IP lama sedang digunakan oleh instance Cloud SQL, perlu waktu hingga empat hari bagi produsen layanan untuk menghapus instance Anda sepenuhnya. Rute subnet peering akan dihapus setelah penghapusan selesai.