Tentang antarmuka Private Service Connect

Halaman ini berisi ringkasan antarmuka Private Service Connect.

Antarmuka Private Service Connect adalah resource yang memungkinkan jaringan Virtual Private Cloud (VPC) produsen memulai koneksi ke berbagai tujuan dalam jaringan VPC konsumen. Jaringan produsen dan konsumen dapat berada dalam project dan organisasi yang berbeda.

Untuk membuat koneksi antarmuka Private Service Connect, Anda memerlukan instance virtual machine (VM) yang memiliki setidaknya dua antarmuka jaringan. Antarmuka pertama terhubung ke subnet di jaringan VPC produsen. Antarmuka lainnya dapat berupa antarmuka Private Service Connect yang meminta koneksi ke lampiran jaringan di jaringan VPC konsumen yang berbeda. Jika koneksi diterima, Cloud de Confiance by S3NS akan menetapkan alamat IP internal dari subnet konsumen yang ditentukan oleh lampiran jaringan ke antarmuka Private Service Connect.

Koneksi antarmuka Private Service Connect ini memungkinkan organisasi produsen dan konsumen mengonfigurasi jaringan VPC mereka sehingga kedua jaringan terhubung dan dapat berkomunikasi menggunakan alamat IP internal. Misalnya, organisasi produsen dapat memperbarui jaringan VPC produsen untuk menambahkan rute bagi subnet konsumen.

Gambar 1. Di jaringan VPC produsen, vm-1 memiliki dua antarmuka jaringan. Satu antarmuka jaringan virtual (vNIC) terhubung ke subnet di jaringan produsen. Antarmuka lainnya adalah antarmuka Private Service Connect virtual yang terhubung ke lampiran jaringan di jaringan konsumen (klik untuk memperbesar).

Koneksi antara antarmuka Private Service Connect dan lampiran jaringan mirip dengan koneksi antara endpoint Private Service Connect dan lampiran layanan, tetapi memiliki dua perbedaan utama:

  • Antarmuka Private Service Connect memungkinkan jaringan VPC produsen memulai koneksi ke jaringan VPC konsumen (traffic keluar layanan terkelola). Endpoint berfungsi dalam arah yang berlawanan, sehingga memungkinkan jaringan VPC konsumen memulai koneksi ke jaringan VPC produsen (traffic masuk layanan terkelola).
  • Koneksi antarmuka Private Service Connect bersifat transitif. Artinya, workload di jaringan produsen dapat memulai koneksi ke workload lain yang terhubung ke jaringan VPC konsumen. Endpoint Private Service Connect hanya dapat memulai koneksi ke jaringan VPC produsen.

Gambar 2. Endpoint Private Service Connect memungkinkan konsumen layanan memulai koneksi ke produsen layanan, sedangkan antarmuka Private Service Connect memungkinkan produsen layanan memulai koneksi ke konsumen layanan (klik untuk memperbesar).

Menghubungkan ke workload di jaringan lain

Karena koneksi antarmuka Private Service Connect bersifat transitif, jika konfigurasi jaringan VPC konsumen mengizinkannya, resource di jaringan VPC produsen dapat berkomunikasi dengan workload yang terhubung ke jaringan konsumen. Hal ini mencakup hal-hal berikut:

  • Workload di jaringan yang terhubung ke jaringan VPC konsumen melalui tunnel Cloud VPN, Cloud Interconnect, atau Peering Jaringan VPC.
  • Workload yang memiliki alamat IP eksternal yang dapat dijangkau dari jaringan VPC konsumen melalui Cloud NAT.
  • Google API dan layanan yang dapat dijangkau dari jaringan VPC konsumen melalui Akses Google Pribadi atau Kontrol Layanan VPC. Konfigurasi tambahan diperlukan untuk menggunakan Kontrol Layanan VPC dengan antarmuka Private Service Connect.
  • Layanan yang dipublikasikan dan Google API yang dapat dijangkau dari jaringan VPC konsumen melalui endpoint dan backend Private Service Connect.
  • Workload di spoke VPC yang terhubung ke jaringan VPC konsumen.

Gambar 3. Jaringan VPC produsen yang terhubung ke jaringan VPC konsumen melalui koneksi antarmuka Private Service Connect dapat berkomunikasi dengan workload yang terhubung ke VPC konsumen (klik untuk memperbesar).

Contoh kasus penggunaan

Contoh kasus penggunaan untuk antarmuka Private Service Connect adalah layanan terkelola yang perlu memulai koneksi ke jaringan VPC konsumen untuk mengakses data konsumen. Layanan tersebut mungkin juga memerlukan akses ke data atau layanan yang tersedia di jaringan lokal konsumen, melalui koneksi VPN atau Cloud Interconnect, atau dari layanan pihak ketiga. Koneksi antarmuka Private Service Connect dapat memenuhi semua persyaratan ini.

Kasus penggunaan lainnya merupakan layanan terkelola yang menyediakan gateway API. Karena layanan menerima panggilan untuk API yang berbeda, layanan tersebut menggunakan antarmuka Private Service Connect untuk memulai koneksi ke jaringan VPC konsumen. Layanan gateway mengirimkan permintaan API ke target backend yang memproses permintaan tersebut.

Antarmuka Private Service Connect dan endpoint Private Service Connect saling melengkapi dan dapat digunakan bersama dalam jaringan VPC yang sama.

Misalnya, gambar 4 menjelaskan konfigurasi jaringan layanan terkelola yang menyediakan analisis. Layanan analisis dapat memulai koneksi ke jaringan VPC konsumen menggunakan antarmuka Private Service Connect. Endpoint Private Service Connect di jaringan konsumen memungkinkan layanan analisis memulai koneksi ke layanan database dalam jaringan VPC lain. Traffic dari layanan analisis ke layanan database akan melewati jaringan konsumen, sehingga konsumen dapat memantau dan memberikan keamanan untuk traffic di antara kedua layanan tersebut.

Gambar 4. Antarmuka Private Service Connect dan endpoint Private Service Connect saling melengkapi dalam contoh konfigurasi ini. Antarmuka tersebut memungkinkan layanan analisis memulai koneksi ke jaringan VPC konsumen. Endpoint memungkinkan layanan analisis memulai koneksi dari jaringan VPC konsumen ke layanan database (klik untuk memperbesar).

Jenis antarmuka Private Service Connect

Ada dua jenis antarmuka Private Service Connect:

Perbedaan utama antara antarmuka Private Service Connect virtual dan dinamis dijelaskan dalam tabel berikut:

Jenis Maksimum antarmuka Private Service Connect per VM Pengelolaan antarmuka OS tamu yang didukung Mendukung satu VM dengan beberapa antarmuka di jaringan VPC profil RDMA yang sama
Antarmuka Private Service Connect virtual Hingga 9 (bergantung pada jumlah vCPU) Ditambahkan saat pembuatan VM; dihapus dengan penghapusan VM Linux, Windows Ya (khusus jaringan VPC Falcon)
Antarmuka Private Service Connect dinamis Hingga 15 (bergantung pada jumlah vCPU) Ditambahkan kapan saja; dapat dihapus secara terpisah dari VM Khusus Linux Tidak

Pertimbangkan untuk menggunakan antarmuka Private Service Connect virtual jika hal berikut berlaku:

  • Anda ingin konfigurasi antarmuka tetap tidak berubah sepanjang siklus proses VM.
  • Anda ingin satu VM menghubungkan beberapa antarmuka ke jaringan yang menggunakan profil jaringan RDMA untuk jaringan VPC Falcon.

Pertimbangkan untuk menggunakan antarmuka Private Service Connect dinamis jika hal berikut berlaku:

  • Anda perlu mengelola koneksi ke jaringan VPC konsumen secara dinamis.
  • Anda memerlukan lebih banyak antarmuka Private Service Connect per VM.
  • Anda perlu menghindari waktu non-aktif selama perubahan antarmuka Private Service Connect.

Spesifikasi

Antarmuka Private Service Connect adalah jenis antarmuka jaringan khusus yang terhubung ke lampiran jaringan.

Spesifikasi antarmuka jaringan juga berlaku untuk antarmuka Private Service Connect.

Spesifikasi berikut berlaku untuk kedua jenis antarmuka Private Service Connect:

  • VM yang menggunakan antarmuka Private Service Connect memerlukan setidaknya dua antarmuka jaringan. Antarmuka jaringan pertama adalah antarmuka jaringan default, yang diberi nama nic0. Antarmuka ini terhubung ke subnet produsen. Antarmuka kedua adalah antarmuka Private Service Connect yang meminta koneksi ke subnet konsumen.
  • Saat project konsumen menerima koneksi dari antarmuka Private Service Connect, Cloud de Confiance antarmuka tersebut akan dikonfigurasi dengan alamat IP internal dari subnet lampiran jaringan. Jenis stack subnet lampiran jaringan menentukan kemungkinan jenis stack antarmuka.
  • Jika satu VM memiliki beberapa antarmuka Private Service Connect, setiap antarmuka harus terhubung ke:
  • Cloud de Confiance memvalidasi bahwa alamat IP yang dialokasikan ke antarmuka Private Service Connect tidak tumpang-tindih dengan rentang alamat subnet yang terhubung ke antarmuka jaringan lain milik VM.
  • Jika lampiran jaringan tidak memiliki cukup alamat IP untuk dialokasikan ke antarmuka Private Service Connect, pembuatan antarmuka akan gagal dan menampilkan error:
    • Jika kegagalan terjadi saat membuat VM, VM tidak akan dibuat.
    • Jika kegagalan terjadi saat menambahkan antarmuka Private Service Connect dinamis ke VM yang ada, antarmuka tidak akan ditambahkan.
  • Anda harus mengonfigurasi OS tamu VM antarmuka Private Service Connect secara manual untuk merutekan traffic melalui antarmuka.
  • Antarmuka Private Service Connect mendukung rentang IP alias. Rentang IP alias harus berasal dari rentang alamat IPv4 utama subnet lampiran jaringan.
  • Antarmuka Private Service Connect berkomunikasi dengan cara yang sama seperti antarmuka jaringan.
  • Koneksi antara lampiran jaringan dan antarmuka Private Service Connect bersifat dua arah dan transitif. Workload di jaringan VPC produsen dapat memulai koneksi ke workload yang terhubung ke konsumen jaringan VPC.
  • Antarmuka Private Service Connect dinamis dan virtual dapat berada di VM yang sama.
  • Antarmuka Private Service Connect mendukung Kontrol Layanan VPC. Kombinasi ini memerlukan konfigurasi pemilihan rute tambahan.

Spesifikasi antarmuka Private Service Connect virtual

Spesifikasi berikut khusus untuk antarmuka Private Service Connect virtual.

Spesifikasi antarmuka Private Service Connect dinamis

Spesifikasi berikut khusus untuk antarmuka Private Service Connect dinamis.

Batasan

  • Koneksi antarmuka Private Service Connect hanya dapat dihentikan dengan cara berikut:

    • Produsen menghapus VM antarmuka.
    • Produsen menghapus antarmuka Private Service Connect dinamis.
    • Konsumen menghapus project yang terhubung ke antarmuka Private Service Connect. Tindakan ini akan menghentikan VM antarmuka.
    • Konsumen menonaktifkan Compute Engine API di project yang terhubung ke antarmuka Private Service Connect. Tindakan ini akan menghentikan VM antarmuka.
  • Anda tidak dapat menetapkan eksternal (yang diiklankan secara publik) IP alamat ke antarmuka Private Service Connect.

  • Antarmuka Private Service Connect dinamis tidak didukung di VM yang menggunakan OS tamu Windows. Meskipun konfigurasi ini tidak dicegah oleh API, paket tidak mengalir karena driver OS tamu Windows tidak mendukung NIC Dinamis.

  • Dukungan untuk antarmuka Private Service Connect dinamis di VM Container-Optimized OS terbatas pada milestone 129 atau yang lebih baru.

  • Antarmuka Private Service Connect tidak boleh menjadi next hop dari aturan penerusan internal.

  • Anda tidak dapat mengaitkan antarmuka Private Service Connect secara langsung dengan node atau Pod Google Kubernetes Engine (GKE). Namun, traffic keluar layanan dapat dilakukan dengan GKE melalui antarmuka Private Service Connect yang dikonfigurasi di VM proxy.

  • VM dengan antarmuka Private Service Connect tidak dapat menjadi bagian dari layanan backend yang menargetkan VM Compute Engine. Hal ini karena VM harus berada dalam project yang sama dengan layanan backend.

Otorisasi konsumen dan ID class layanan

Lampiran jaringan memiliki kebijakan otorisasi yang menentukan apakah koneksi dari antarmuka Private Service Connect diterima secara otomatis atau memerlukan otorisasi eksplisit. Untuk lampiran jaringan yang memerlukan otorisasi eksplisit, konsumen dapat mengotorisasi produsen berdasarkan ID project atau ID class layanan.

ID class layanan adalah ID unik yang disediakan oleh beberapa layanan Google untuk menyederhanakan otorisasi untuk layanan tersebut. Jika lampiran jaringan dikonfigurasi untuk menerima produsen berdasarkan ID class layanan, produsen harus menentukan ID selama pembuatan antarmuka Private Service Connect. Jika produsen mencoba membuat antarmuka dengan ID class layanan yang tidak memiliki izin untuk digunakan, operasi akan gagal.

Harga

Harga untuk antarmuka Private Service Connect dijelaskan di halaman harga VPC.

Langkah berikutnya