Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Tentang mengontrol akses ke layanan yang dipublikasikan

Halaman ini menjelaskan fitur yang dapat Anda gunakan untuk mengontrol akses ke layanan yang dipublikasikan menggunakan Private Service Connect.

Preferensi koneksi

Setiap lampiran layanan memiliki preferensi koneksi yang mengontrol apakah koneksi akan diterima secara otomatis.

Terima semua koneksi secara otomatis. Lampiran layanan otomatis menerima semua permintaan koneksi masuk dari pelanggan mana pun.
Terima koneksi dari konsumen tertentu secara eksplisit. Lampiran layanan hanya menerima permintaan koneksi masuk jika konsumen tercantum dalam daftar penerimaan konsumen lampiran layanan. Anda dapat menentukan konsumen menurut project, jaringan VPC, atau endpoint Private Service Connect individual (Pratinjau). Anda tidak dapat menyertakan berbagai jenis konsumen dalam daftar penerimaan atau penolakan konsumen yang sama.

Untuk preferensi koneksi apa pun, koneksi yang diterima dapat diganti dan ditolak oleh kebijakan organisasi yang memblokir koneksi masuk.

Sebaiknya Anda menerima koneksi secara eksplisit untuk konsumen yang dipilih. Menerima semua koneksi secara otomatis mungkin sesuai jika Anda mengontrol akses konsumen melalui cara lain dan ingin mengaktifkan akses permisif ke layanan Anda.

Daftar penerimaan dan penolakan konsumen

Daftar penerimaan konsumen dan daftar penolakan konsumen adalah fitur keamanan lampiran layanan. Dengan daftar ini, produsen layanan dapat menentukan konsumen mana yang dapat membuat koneksi Private Service Connect ke layanan mereka. Jika lampiran layanan dikonfigurasi untuk persetujuan eksplisit, koneksi baru hanya akan diterima jika konsumen tercantum dalam daftar penerimaan dan tidak tercantum dalam daftar penolakan. Pembaruan pada daftar konsumen hanya memengaruhi koneksi baru, kecuali jika Rekonsiliasi koneksi diaktifkan.

Daftar penerimaan dan penolakan konsumen memungkinkan Anda menentukan konsumen dengan salah satu cara berikut:

Project
Jaringan VPC
Endpoint Private Service Connect (Pratinjau)

Metode ini tidak berlaku untuk backend Private Service Connect.

Jika Anda menambahkan konsumen yang sama ke daftar penerimaan dan penolakan, konsumen tersebut akan diblokir agar tidak dapat terhubung ke lampiran layanan. Menentukan konsumen menurut folder tidak didukung.

Kedua daftar konsumen lampiran layanan harus berisi jenis konsumen yang sama. Misalnya, jika Anda menambahkan project ke daftar penerimaan, Anda tidak dapat menambahkan Jaringan VPC atau URI endpoint ke salah satu daftar, kecuali jika Anda mengganti project dalam daftar penerimaan dengan jenis konsumen baru.

Jika ingin memublikasikan layanan yang menerima berbagai jenis konsumen, Anda dapat membuat beberapa lampiran layanan yang terhubung ke layanan yang sama. Setiap lampiran layanan dapat dikonfigurasi dengan preferensi koneksi dan daftar konsumennya sendiri.

Anda dapat mengubah jenis konsumen dalam daftar konsumen tanpa mengganggu koneksi, tetapi Anda harus melakukan perubahan dalam satu update. Jika tidak, operasi akan gagal.

Ada batasan jumlah konsumen yang dapat Anda tambahkan ke daftar penerimaan dan penolakan:

Anda dapat menambahkan maksimal 5.000 nilai ke daftar yang diterima konsumen.
Anda dapat menambahkan maksimal 64 nilai ke daftar penolakan konsumen.

Daftar konsumen mengontrol apakah endpoint atau backend dapat terhubung ke layanan yang dipublikasikan, tetapi tidak mengontrol siapa yang dapat mengirim permintaan ke endpoint tersebut. Misalnya, konsumen memiliki jaringan VPC Bersama yang memiliki dua project layanan yang terlampir padanya. Jika layanan yang dipublikasikan memiliki service-project1 dalam daftar penerimaan konsumen, dan service-project2 dalam daftar penolakan konsumen, hal berikut berlaku:

Konsumen di service-project1 dapat membuat endpoint yang terhubung ke layanan yang dipublikasikan.
Konsumen di service-project2 tidak dapat membuat endpoint yang terhubung ke layanan yang dipublikasikan.
Klien di service-project2 dapat mengirim permintaan ke endpoint di service-project1, jika tidak ada aturan atau kebijakan firewall yang mencegah traffic tersebut.

Untuk informasi tentang bagaimana daftar yang disetujui konsumen berinteraksi dengan kebijakan organisasi, lihat Interaksi antara daftar yang disetujui konsumen dan kebijakan organisasi.

Batas daftar penerimaan konsumen

Daftar penerimaan konsumen memiliki batas koneksi. Batas ini menetapkan jumlah total koneksi endpoint Private Service Connect yang dapat diterima lampiran layanan dari project konsumen atau jaringan VPC yang ditentukan.

Produsen dapat menggunakan batas koneksi agar konsumen perorangan tidak kehabisan alamat IP atau kuota resource di jaringan VPC produsen. Setiap koneksi Private Service Connect yang diterima mengurangi batas yang dikonfigurasi untuk project konsumen atau jaringan VPC. Batas ditetapkan saat Anda membuat atau mengupdate daftar penerimaan konsumen. Anda dapat melihat koneksi lampiran layanan saat menjelaskan lampiran layanan.

Misalnya, pertimbangkan kasus saat lampiran layanan memiliki daftar penerimaan konsumen yang menyertakan project-1 dan project-2, keduanya dengan batas satu koneksi. Project project-1 meminta dua koneksi, project-2 meminta satu koneksi, dan project-3 meminta satu koneksi. Karena project-1 memiliki batas satu koneksi, koneksi pertama diterima, dan koneksi kedua tetap tertunda. Koneksi dari project-2 diterima, dan koneksi dari project-3 tetap tertunda. Koneksi kedua dari project-1 dapat diterima dengan meningkatkan batas untuk project-1. Jika project-3 ditambahkan ke daftar penerimaan konsumen, koneksi tersebut akan bertransisi dari menunggu keputusan menjadi diterima.

Rekonsiliasi koneksi

Rekonsiliasi koneksi menentukan apakah update pada daftar yang disetujui atau yang ditolak lampiran layanan dapat memengaruhi koneksi Private Service Connect yang ada. Jika rekonsiliasi koneksi diaktifkan, memperbarui daftar yang disetujui atau ditolak dapat menghentikan koneksi yang ada. Koneksi yang sebelumnya ditolak dapat diterima. Jika rekonsiliasi koneksi dinonaktifkan, mengupdate daftar yang disetujui atau ditolak hanya akan memengaruhi koneksi baru dan yang tertunda.

Misalnya, pertimbangkan lampiran layanan yang memiliki beberapa koneksi yang diterima dari Project-A. Project-A ada dalam daftar yang disetujui lampiran layanan. Lampiran layanan diupdate dengan menghapus Project-A dari daftar penerimaan.

Jika rekonsiliasi koneksi diaktifkan, semua koneksi yang ada dari Project-A akan bertransisi ke PENDING, yang menghentikan konektivitas jaringan antara kedua jaringan VPC dan segera menghentikan traffic jaringan.

Jika rekonsiliasi koneksi dinonaktifkan, koneksi yang ada dari Project-A tidak akan terpengaruh. Traffic jaringan masih dapat mengalir di seluruh koneksi Private Service Connect yang ada. Namun, koneksi Private Service Connect baru tidak diizinkan.

Untuk informasi tentang cara mengonfigurasi rekonsiliasi koneksi untuk lampiran layanan baru, lihat Memublikasikan layanan dengan persetujuan eksplisit.

Untuk informasi tentang cara mengonfigurasi rekonsiliasi koneksi untuk lampiran layanan yang ada, lihat Mengonfigurasi rekonsiliasi koneksi.

Menerima atau menolak koneksi endpoint Private Service Connect

Anda dapat menerima atau menolak koneksi endpoint Private Service Connect individual dengan menambahkan URI berbasis ID endpoint ke salah satu daftar konsumen lampiran layanan. Pendekatan ini, yang direkomendasikan untuk layanan multi-tenant, memberikan kontrol paling terperinci untuk mengelola koneksi. Menerima konsumen menurut endpoint Private Service Connect hanya berlaku untuk endpoint Private Service Connect dan tidak mendukung backend Private Service Connect.

Tidak seperti project atau jaringan VPC, Anda hanya dapat menerima atau menolak endpoint Private Service Connect individual setelah konsumen membuat endpoint. Hal ini karena URI unik endpoint tidak diketahui hingga setelah konsumen membuat endpoint. Menambahkan endpoint ke daftar penerimaan konsumen mencakup langkah-langkah berikut:

Produsen memublikasikan layanan yang memerlukan persetujuan eksplisit, tanpa menambahkan nilai apa pun ke daftar penerimaan konsumen.
Konsumen membuat endpoint yang terhubung ke layanan yang dipublikasikan. Koneksi terlihat di lampiran layanan dengan status Pending.
Untuk menemukan URI berbasis ID endpoint yang tertunda, produsen dapat mendeskripsikan lampiran layanan, atau konsumen dapat mendeskripsikan endpoint.
Produsen menambahkan URI berbasis ID endpoint ke daftar penerimaan konsumen. Koneksi dibuat dan statusnya berubah menjadi Accepted.