Pola deployment Private Service Connect
Halaman ini menguraikan beberapa cara umum untuk men-deploy dan mengakses Private Service Connect.
Layanan tenant tunggal
Layanan tenant tunggal adalah layanan yang dikhususkan untuk satu konsumen atau tenant. Instance layanan biasanya dihosting di jaringan VPC terpisah yang dikhususkan untuk tenant tersebut guna mengisolasinya dari jaringan VPC tenant lain di organisasi produsen. Setiap layanan menggunakan daftar persetujuan konsumen untuk mengontrol project yang dapat terhubung ke layanan. Dengan menggunakan daftar yang diterima, Anda dapat membatasi akses ke satu tenant. Meskipun hanya satu tenant yang dapat terhubung ke layanan, tenant dapat membuat beberapa endpoint atau backend jika terhubung dari beberapa jaringan VPC.
Gambar 1. Pada layanan yang dikelola tenant tunggal, produser men-deploy layanan di jaringan VPC terpisah yang dikhususkan untuk konsumen tersebut.
Layanan multi-tenant
Layanan multi-tenant adalah layanan yang dapat diakses oleh beberapa konsumen atau tenant. Produsen mengonfigurasi daftar layanan yang diterima konsumen sehingga konsumen dalam beberapa atau semua project dapat terhubung ke layanan. Daftar persetujuan konsumen juga memungkinkan produsen mengontrol jumlah koneksi Private Service Connect yang dapat dibuat oleh setiap project. Batasan ini membantu produsen mencegah kehabisan resource atau kuota. Jika produsen perlu mengidentifikasi tenant mana yang merupakan sumber traffic, mereka dapat mengaktifkan protokol PROXY di layanan.
Gambar 2. Dalam layanan terkelola multi-tenant, layanan dalam satu jaringan VPC dapat diakses oleh beberapa konsumen.
Akses multi-titik
Akses multi-titik adalah saat beberapa endpoint atau backend Private Service Connect terhubung ke lampiran layanan yang sama. Private Service Connect multi-titik berguna untuk layanan multi-tenant karena memungkinkan beberapa konsumen independen untuk terhubung ke layanan yang sama. Hal ini juga berguna untuk layanan tenant tunggal untuk kasus seperti membuat konektivitas layanan di beberapa jaringan VPC dalam satu konsumen.
Tidak semua produsen layanan memilih untuk mendukung akses multi-titik dalam layanan terkelola mereka. Hubungi produsen layanan untuk memverifikasi apakah lampiran layanannya mendukung akses multi-titik.
Akses multi-region
Layanan terkelola multi-region adalah layanan yang di-deploy atau diakses di beberapa region. Klien mungkin mengakses layanan di region berbeda karena layanan tidak ada di region lokal mereka atau untuk ketersediaan tinggi dan failover multi-region. Karena Google Cloud mendukung jaringan VPC global, akses global Private Service Connect memungkinkan klien menjangkau endpoint Private Service Connect dari region mana pun. Traffic klien dapat berasal dari instance virtual machine (VM) Compute Engine, tunnel Cloud VPN, dan lampiran VLAN untuk Cloud Interconnect.
Gambar 3. Endpoint Private Service Connect dengan akses global dapat diakses dari region mana pun.
Akses lokal dan hybrid
Anda dapat menghubungkan jaringan lokal atau penyedia cloud lainnya ke jaringan VPC menggunakan lampiran VLAN untuk tunnel Cloud Interconnect dan Cloud VPN. Karena endpoint untuk Google API dan endpoint untuk layanan yang dipublikasikan dapat diakses secara global, klien dalam jaringan yang terhubung dapat mengirim permintaan ke endpoint di region mana pun. Namun, Anda dapat men-deploy endpoint di beberapa region untuk mengontrol perutean dari jaringan hybrid secara lebih terperinci. Anda dapat merutekan traffic hybrid dari region tertentu ke endpoint lokal yang mengoptimalkan rute terpendek untuk jalur traffic tersebut.
Gambar 4. Endpoint dan backend Private Service Connect dapat diakses dari jaringan yang terhubung.
Konektivitas dua arah
Meskipun klien konsumen biasanya memulai koneksi ke layanan terkelola, layanan terkelola terkadang perlu memulai koneksi ke layanan yang dimiliki konsumen.
Membalik konektivitas pribadi
Konektivitas pribadi terbalik adalah saat konsumen mengizinkan VM dan cluster GKE di jaringan VPC produsen memulai traffic ke jaringan VPC konsumen dengan men-deploy Private Service Connect secara terbalik. Dalam hal ini, konsumen men-deploy load balancer internal dan lampiran layanan, yang memublikasikan layanan mereka ke produsen. Bersama-sama, produsen dan konsumen dapat menggunakan Private Service Connect dalam arah maju dan terbalik secara bersamaan untuk saling menciptakan konektivitas dua arah.
Gambar 5. Dengan membalik konektivitas pribadi, konsumen dan produsen dapat saling membuat konektivitas dua arah.
Antarmuka Private Service Connect
Antarmuka Private Service Connect membuat koneksi transitif dua arah antara jaringan VPC konsumen dan produsen. Resource di jaringan VPC konsumen dan produsen dapat memulai koneksi melalui antarmuka Private Service Connect. Selain itu, karena koneksi bersifat transitif, resource dalam jaringan VPC produsen dapat berkomunikasi dengan beban kerja lain yang terhubung ke jaringan VPC konsumen. Misalnya, VM di jaringan VPC produsen dapat menjangkau beban kerja di jaringan yang terhubung ke jaringan VPC konsumen melalui Cloud Interconnect atau Peering Jaringan VPC.
Layanan hybrid
Layanan hybrid yang tidak berada di Google Cloud dapat berada di cloud lain, di lingkungan lokal, atau kombinasi dari lokasi tersebut. Private Service Connect memungkinkan Anda membuat layanan hybrid dapat diakses di jaringan VPC lain.
Layanan hybrid dapat diakses melalui NEG hybrid yang kompatibel dengan load balancing yang didukung.
Konfigurasi ini sering digunakan sebagai bentuk konektivitas pribadi terbalik, dengan produsen layanan yang membuat koneksi ke layanan konsumen yang dihosting di jaringan lokal. Private Service Connect memungkinkan produsen menjangkau jaringan hybrid konsumen tanpa menetapkan konektivitas langsung dengan jaringan tersebut.
Gambar 6. Dengan membalik konektivitas pribadi, konsumen dan produsen dapat saling membuat konektivitas dua arah.
Untuk contoh konfigurasi, lihat Memublikasikan layanan hybrid menggunakan Private Service Connect.
VPC Bersama
Resource Private Service Connect dapat di-deploy di jaringan VPC mandiri atau jaringan VPC Bersama. Endpoint, backend, dan lampiran layanan Private Service Connect dapat di-deploy di project host atau project layanan.
Misalnya, administrator layanan konsumen dapat men-deploy endpoint dan backend Private Service Connect dalam project layanan menggunakan alamat IP dari subnet dalam project host. Dengan konfigurasi ini, endpoint dan backend dapat dijangkau dari project layanan lain dalam jaringan VPC Bersama yang sama.
Semua klien dalam jaringan VPC Bersama memiliki konektivitas ke endpoint Private Service Connect terlepas dari project tempatnya di-deploy. Namun, pilihan project memengaruhi visibilitas, akses IAM, dan project yang dikenai tagihan resource per jam.
Gambar 7. Anda dapat menyediakan resource Private Service Connect di semua project layanan yang terkait dengan jaringan VPC Bersama.
Langkah selanjutnya
- Pelajari lebih lanjut Private Service Connect.
- Lihat informasi kompatibilitas Private Service Connect.