Tentang kebijakan koneksi layanan (original) (raw)

Dokumen ini menjelaskan cara administrator jaringan dapat menggunakan kebijakan koneksi layanan untuk menyediakan konektivitas ke instance layanan terkelola yang didukung melalui otomatisasi konektivitas layanan. Sebelum membaca dokumen ini, pastikan Anda memahami konsep yang dijelaskan dalam Tentang otomatisasi konektivitas layanan.

Spesifikasi

Kebijakan koneksi layanan memiliki spesifikasi berikut:

• Anda hanya dapat membuat satu kebijakan koneksi layanan untuk setiap kombinasi jaringan, region, dan class layanan. Misalnya, Anda hanya dapat memiliki satu kebijakan koneksi layanan untuk vpc1 dius-central1 untuk google-cloud-sql. Validasi ini berarti hanya satu kebijakan koneksi layanan yang mengatur endpoint Private Service Connect tertentu.
• Administrator instance layanan dapat menggunakan API atau UI administratif layanan untuk men-deploy layanan tersebut dan mengonfigurasi konektivitas menggunakan otomatisasi konektivitas layanan.
• Jika pembuatan atau penghapusan endpoint melalui otomatisasi konektivitas layanan diblokir, proses otomatis akan mencoba ulang operasi secara berkalahingga masalah pemblokiran diselesaikan.
• Subnet yang disertakan dalam konfigurasi kebijakan koneksi layanan menyediakan alamat IP yang ditetapkan ke endpoint Private Service Connect. Alamat IP ini dialokasikan dan dikembalikan secara otomatis ke kumpulan subnet saat instance layanan terkelola dibuat dan dihapus.
  Subnet harus berupa subnet reguler, dan harus berada di region yang sama dengan kebijakan koneksi layanan. Subnet reguler berbeda dari subnet Private Service Connect.
  Sebagai praktik terbaik, sebaiknya Anda tidak menggunakan subnet untuk resource lain. Jika resource lain menggunakan alamat IP dari subnet, Anda mungkin kehabisan alamat IP untuk ditetapkan ke endpoint.
• Layanan terkelola yang menggunakan kebijakan koneksi layanan mungkin mendukungkoneksi ke instance layanan menggunakan endpoint IPv4, endpoint IPv6, atau keduanya. Jika layanan mendukung IPv4 dan IPv6, administrator instance layanan dapat memilih versi IP saat men-deploy instance layanan.
• Anda dapat menggunakan kebijakan koneksi layanan dengan VPC Bersama.
• Secara default, instance layanan dan endpoint yang terhubung ke instance layanan harus berada dalam project yang sama (atau dalam kasus VPC Bersama, dalam project yang terhubung).
  Layanan Google yang didukung memungkinkan Anda mengonfigurasi cakupan instance layanan kustom.
• Endpoint yang dibuat melalui otomatisasi konektivitas layanan mungkin memiliki label yang diterapkan padanya oleh produsen layanan. Untuk mengetahui informasi selengkapnya tentang label, lihat Mengelola resource menggunakan label.
• Jika Anda ingin menggunakan otomatisasi layanan Private Service Connect dengan beberapa jaringan VPC yang berada dalam project yang sama, buat kebijakan koneksi layanan untuk setiap jaringan.
• Anda dapat secara opsional mengonfigurasi batas koneksi untuk menentukan jumlah maksimum koneksi Private Service Connect yang dapat dibuat oleh produsen layanan tertentu di jaringan dan region VPC kebijakan.
• Endpoint yang dibuat melalui kebijakan koneksi layanan dapat disediakan di jaringan VPC lain melalui propagasi koneksi.

Kebijakan koneksi layanan memungkinkan konsumen mendelegasikan deployment konektivitas ke layanan terkelola. Produsen layanan tidak memiliki akses langsung atau hak istimewa IAM untuk project konsumen. Sebagai gantinya, produsen mengonfigurasi peta koneksi layanan di project-nya sendiri.

Saat peta koneksi layanan dibuat atau diperbarui, biasanya sebagai respons terhadap permintaan dari administrator layanan konsumen ke API atau UI administratif layanan terkelola, otomatisasi konektivitas layanan akan melakukan serangkaian pemeriksaan otorisasi. Jika semua pemeriksaan berhasil, endpoint Private Service Connect akan dibuat seperti yang ditentukan dalam permintaan.

Untuk mengetahui informasi tentang otorisasi, lihatModel otorisasi.

Kebijakan koneksi layanan dapat mengotomatiskan konektivitas ke instance layanan yang berada di project host atau di project layanan terlampir.

Jika Anda menggunakan VPC Bersama, Anda harus membuat kebijakan koneksi layanan di project host. Endpoint dibuat di project yang ditentukan dalam konfigurasi instance layanan.

Jika Anda membuat kebijakan koneksi layanan di jaringan VPC Bersama dan men-deploy instance layanan di project layanan, otomatisasi konektivitas layanan akan membagikan subnet yang terkait dengan kebijakan koneksi layanan dengan memperbarui Akun Layanan Network Connectivity project layanan. Akun layanan ini diberiperan Compute Network User(roles/compute.networkUser) di subnet bersama.

Untuk contoh deployment, lihatVPC Bersama.

Kebijakan koneksi dengan cakupan instance layanan kustom

Secara default, otomatisasi konektivitas layanan membuat endpoint untuk instance layanan dan kebijakan koneksi layanan terkait yang berada dalamGoogle Cloud project yang sama (atau dalam kasus VPC Bersama, di project yang terhubung). Untuk layanan Google yang didukung, instance layanan dan endpoint penghubung juga dapat berada di project atau organisasi yang berbeda.

Tidak semua layanan Google mendukung konfigurasi cakupan instance layanan kustom. Untuk menentukan apakah layanan mendukung cakupan instance layanan kustom, lihat dokumentasi untuk layanan tertentu.

Gunakan setelan Cakupan instance layanan (--producer-instance-location) untuk mengonfigurasi konektivitas ke instance layanan yang berada di node Resource Manager lainnya (project, folder, dan organisasi).

• Jika ditetapkan ke no_producer_instance_location, endpoint hanya dibuat di project yang sama. Ini adalah nilai defaultnya.
• Jika ditetapkan ke custom_resource_hierarchy_levels, Anda menentukan daftar node Resource Manager di kolom --allowed-google-producers-resource-hierarchy-level.

Jika Anda mengupdate cakupan instance layanan untuk kebijakan koneksi layanan, endpoint yang ada tidak akan terpengaruh.

Untuk contoh deployment, lihat Layanan Google dengan cakupan instance layanan kustom.

Versi IP endpoint

Kemungkinan versi IP endpoint yang terhubung ke instance layanan (IPv4, IPv6, atau keduanya) ditentukan oleh produsen layanan, bukan oleh otomatisasi konektivitas layanan. Jika layanan mendukung IPv4 dan IPv6, administrator instance layanan dapat memilih versi IP saat men-deploy instance melalui API administratif layanan. Untuk mengetahui informasi tentang versi IP yang didukung layanan, lihat dokumentasi layanan.

Saat administrator instance layanan memilih versi IP, otomatisasi konektivitas layanan akan memeriksa kebijakan koneksi layanan untuk subnet yang kompatibel yang akan digunakan untuk membuat alamat IP endpoint:

• Subnet khusus IPv4 mendukung endpoint IPv4.
• Subnet stack ganda mendukung endpoint IPv4 dan IPv6.
• Subnet khusus IPv6 mendukung endpoint IPv6.

Jika kebijakan koneksi layanan tidak memiliki subnet yang kompatibel, permintaan akan gagal, dan tidak ada endpoint yang dibuat.

Selain itu, versi IP endpoint harus kompatibel dengan versi IP instance layanan, yang ditentukan oleh aturan penerusan lampiran layanan terkait. Private Service Connect mendukung kombinasi versi IP berikut:

• Endpoint IPv4 ke lampiran layanan IPv4
• Endpoint IPv6 ke lampiran layanan IPv6
• Endpoint IPv6 ke lampiran layanan IPv4
  Dalam konfigurasi ini, Private Service Connect secara otomatis menerjemahkan antara dua versi IP.

Menghubungkan endpoint IPv4 ke lampiran layanan IPv6 tidak didukung.

Jika Anda ingin mengizinkan klien IPv4 dan IPv6 mengakses instance layanan terkelola, konfigurasi konektivitas untuk endpoint IPv4 dan IPv6 terpisah yang terhubung ke layanan yang sama.

Batasan

• Kebijakan koneksi layanan hanya mendukung otomatisasi pembuatan endpoint Private Service Connect. Pembuatan backend atau lampiran layanan Private Service Connect tidak didukung.
• Anda tidak dapat langsung menghapus endpoint Private Service Connect yang dibuat melalui otomatisasi konektivitas layanan. Untuk memicu penghapusan endpoint ini, lihat konektivitas layanan penghentian.
• Anda hanya dapat memperbarui subnet dan batas koneksi untuk kebijakan koneksi layanan. Jika Anda ingin memperbarui kolom lain,hapus kebijakandan buat kebijakan baru.

Harga

Harga untuk Private Service Connect dijelaskan di halaman harga VPC.

Langkah selanjutnya

• Mengonfigurasi kebijakan koneksi layanan