Tentang antarmuka Private Service Connect

Halaman ini memberikan ringkasan antarmuka Private Service Connect.

Antarmuka Private Service Connect adalah resource yang memungkinkan jaringan Virtual Private Cloud (VPC) produsen memulai koneksi ke berbagai tujuan dalam jaringan VPC konsumen. Jaringan produsen dan konsumen dapat berada dalam proyek dan organisasi yang berbeda.

Untuk membuat koneksi antarmuka Private Service Connect, Anda memerlukan instance virtual machine (VM) yang memiliki setidaknya dua antarmuka jaringan. Antarmuka pertama terhubung ke subnet di jaringan VPC produsen. Antarmuka lainnya dapat berupa antarmuka Private Service Connect yang meminta koneksi ke lampiran jaringan di jaringan VPC konsumen yang berbeda. Jika koneksi diterima, Google Cloud menetapkan alamat IP internal dari subnet konsumen yang ditentukan oleh lampiran jaringan ke antarmuka Private Service Connect.

Koneksi antarmuka Private Service Connect ini memungkinkan organisasi produsen dan konsumen mengonfigurasi jaringan VPC mereka sehingga kedua jaringan terhubung dan dapat berkomunikasi menggunakan alamat IP internal. Misalnya, organisasi produsen dapat memperbarui jaringan VPC produsen untuk menambahkan rute untuk subnet konsumen.

Koneksi antara antarmuka Private Service Connect dan lampiran jaringan mirip dengan koneksi antara endpoint Private Service Connect dan lampiran layanan, tetapi memiliki dua perbedaan utama:

• Antarmuka Private Service Connect memungkinkan jaringan VPC produsen memulai koneksi ke jaringan VPC konsumen (traffic keluar layanan terkelola). Endpoint berfungsi dalam arah terbalik, sehingga jaringan VPC konsumen dapat memulai koneksi ke jaringan VPC produsen (traffic masuk layanan terkelola).
• Koneksi antarmuka Private Service Connect bersifat transitif. Artinya, workload di jaringan produsen dapat memulai koneksi ke workload lain yang terhubung ke jaringan VPC konsumen. Endpoint Private Service Connect hanya dapat memulai koneksi ke jaringan VPC produsen.

Menghubungkan ke workload di jaringan lain

Karena koneksi antarmuka Private Service Connect bersifat transitif, jika konfigurasi jaringan VPC konsumen mengizinkannya, resource di jaringan VPC produsen dapat berkomunikasi dengan beban kerja yang terhubung ke jaringan konsumen. Ini mencakup hal-hal berikut:

• Workload di jaringan yang terhubung ke jaringan VPC konsumen melalui tunnel Cloud VPN, Cloud Interconnect, atau Peering Jaringan VPC.
• Workload yang memiliki alamat IP eksternal yang dapat dijangkau dari jaringan VPC konsumen melalui Cloud NAT.
• API dan layanan Google yang dapat dijangkau dari jaringan VPC konsumen melalui Akses Google Pribadi atau Kontrol Layanan VPC. Konfigurasi tambahan diperlukan untuk menggunakan Kontrol Layanan VPC dengan antarmuka Private Service Connect.
• Layanan yang dipublikasikan dan Google API yang dapat dijangkau dari jaringan VPC konsumen melalui endpoint dan backend Private Service Connect.
• Beban kerja di spoke VPC yang terhubung ke jaringan VPC konsumen.

Contoh kasus penggunaan

Contoh kasus penggunaan untuk antarmuka Private Service Connect adalah layanan terkelola yang perlu memulai koneksi ke jaringan VPC konsumen untuk mengakses data konsumen. Layanan tersebut mungkin juga memerlukan akses ke data atau layanan yang tersedia di jaringan lokal konsumen, melalui koneksi VPN atau Cloud Interconnect, atau dari layanan pihak ketiga. Koneksi antarmuka Private Service Connect dapat memenuhi semua persyaratan ini.

Kasus penggunaan lainnya merupakan layanan terkelola yang menyediakan gateway API. Saat menerima panggilan untuk API yang berbeda, layanan tersebut menggunakan antarmuka Private Service Connect untuk memulai koneksi ke jaringan VPC konsumen. Layanan gateway mengirimkan permintaan API ke target backend yang memproses permintaan tersebut.

Antarmuka Private Service Connect dan endpoint Private Service Connect saling melengkapi dan dapat digunakan bersama dalam jaringan VPC yang sama.

Misalnya, gambar 4 menjelaskan konfigurasi jaringan layanan terkelola yang menyediakan analisis. Layanan analisis dapat memulai koneksi ke jaringan VPC konsumen menggunakan antarmuka Private Service Connect. Endpoint Private Service Connect di jaringan konsumen memungkinkan layanan analisis memulai koneksi ke layanan database di jaringan VPC lain. Traffic dari layanan analisis ke layanan database akan melewati jaringan konsumen, sehingga konsumen dapat memantau dan memberikan keamanan untuk traffic di antara kedua layanan tersebut.

Jenis antarmuka Private Service Connect

Ada dua jenis antarmuka Private Service Connect:

• Antarmuka Virtual Private Service Connect didasarkan pada antarmuka jaringan virtual (vNIC) yang digunakan oleh VM Compute Engine.

• Antarmuka Private Service Connect dinamis (Pratinjau) didasarkan pada NIC Dinamis.

Perbedaan utama antara antarmuka Private Service Connect virtual dan dinamis dijelaskan dalam tabel berikut:

Jenis	Jumlah maksimum antarmuka Private Service Connect per VM	Pengelolaan antarmuka	OS tamu yang didukung
Antarmuka Virtual Private Service Connect	Hingga 9 (bergantung pada jumlah vCPU)	Ditambahkan saat pembuatan VM; dihapus saat penghapusan VM	Linux, Windows
Antarmuka Private Service Connect dinamis	Hingga 15 (bergantung pada jumlah vCPU)	Ditambahkan kapan saja; dapat dihapus secara terpisah dari VM	Khusus Linux

Pertimbangkan untuk menggunakan antarmuka Private Service Connect virtual jika Anda ingin konfigurasi antarmuka tetap tidak berubah selama siklus proses VM.

Pertimbangkan untuk menggunakan antarmuka Private Service Connect dinamis jika hal berikut benar:

• Anda perlu mengelola koneksi ke jaringan VPC konsumen secara dinamis.
• Anda memerlukan lebih banyak antarmuka Private Service Connect per VM.
• Anda harus menghindari periode nonaktif selama perubahan antarmuka Private Service Connect.

Spesifikasi

Antarmuka Private Service Connect adalah jenis antarmuka jaringan khusus yang terhubung ke lampiran jaringan.

Spesifikasi antarmuka jaringan juga berlaku untuk antarmuka Private Service Connect.

Spesifikasi berikut berlaku untuk kedua jenis antarmuka Private Service Connect:

• VM yang menggunakan antarmuka Private Service Connect memerlukan setidaknya dua antarmuka jaringan. Antarmuka jaringan pertama selalu menjadi antarmuka jaringan default, yang diberi nama nic0. Antarmuka ini terhubung ke subnet produsen. Antarmuka kedua adalah antarmuka Private Service Connect yang meminta koneksi ke subnet konsumen.
• Saat project konsumen menerima koneksi dari antarmuka Private Service Connect, Google Cloud mengonfigurasi antarmuka dengan alamat IP dari subnet lampiran jaringan:
  • Alamat IPv4 internal ditetapkan dari rentang alamat IP utama subnet.
  • Jika subnet lampiran jaringan adalah stack ganda, dan antarmuka Private Service Connect adalah stack ganda, alamat IPv6 internal akan ditetapkan dari rentang IPv6 subnet.
  • Anda tidak dapat menggunakan subnet khusus IPv6 (Pratinjau) untuk lampiran jaringan.
• Jika lampiran jaringan tidak memiliki alamat IP yang cukup untuk dialokasikan bagi antarmuka Private Service Connect, pembuatan antarmuka akan gagal dan menampilkan error:
  • Jika kegagalan terjadi saat membuat VM, VM tidak akan dibuat.
  • Jika kegagalan terjadi saat menambahkan antarmuka Private Service Connect dinamis ke VM yang ada, antarmuka tidak akan ditambahkan.
• Anda harus mengonfigurasi OS tamu VM antarmuka Private Service Connect secara manual untuk merutekan traffic melalui antarmuka.
• Antarmuka Private Service Connect mendukung rentang IP alias. Rentang IP alias harus berasal dari rentang alamat IPv4 utama subnet lampiran jaringan.
• Google Cloud memvalidasi bahwa alamat IP yang dialokasikan ke antarmuka Private Service Connect tidak tumpang-tindih dengan rentang alamat subnet yang terhubung ke antarmuka jaringan lain milik VM. Jika tidak ada cukup alamat yang tersedia, pembuatan VM akan gagal.
• Antarmuka Private Service Connect berkomunikasi dengan cara yang sama seperti antarmuka jaringan.
• Koneksi antara lampiran jaringan dan antarmuka Private Service Connect bersifat dua arah dan transitif. Workload di jaringan VPC produsen dapat memulai koneksi ke workload yang terhubung ke jaringan VPC konsumen.
• Antarmuka Private Service Connect dinamis dan virtual dapat berada bersama di VM yang sama.
• Antarmuka Private Service Connect mendukung Kontrol Layanan VPC. Kombinasi ini memerlukan konfigurasi perutean tambahan.

Spesifikasi antarmuka Virtual Private Service Connect

Spesifikasi berikut khusus untuk antarmuka Private Service Connect virtual.

• Antarmuka Virtual Private Service Connect hanya dapat dibuat pada saat pembuatan VM, dan hanya dapat dihapus dengan menghapus VM terkait.
• Anda dapat membuat maksimal tujuh antarmuka Private Service Connect virtual pada satu VM, bergantung pada jumlah vCPU di VM.

Spesifikasi antarmuka Private Service Connect dinamis

Spesifikasi berikut khusus untuk antarmuka Private Service Connect dinamis.

• Properti dan batasan NIC Dinamis juga berlaku untuk antarmuka Private Service Connect dinamis.
• Anda dapat menambahkan atau menghapus antarmuka Private Service Connect dinamis kapan saja, tanpa perlu memulai ulang VM.
• Satu VM dapat memiliki hingga 15 antarmuka Private Service Connect dinamis, bergantung pada jumlah vCPU dalam VM.
• Unit transmisi maksimum (MTU) antarmuka jaringan ditetapkan ke MTU jaringan VPC yang terhubung dengannya. MTU antarmuka Private Service Connect dinamis harus kurang dari atau sama dengan MTU antarmuka jaringan induknya, atau pembuatan antarmuka akan gagal dengan error.

Batasan

• Koneksi antarmuka Private Service Connect hanya dapat dihentikan dengan cara berikut:

  • Produsen menghapus VM antarmuka.
  • Produsen menghapus antarmuka Private Service Connect dinamis.
  • Konsumen menghapus project yang terhubung ke antarmuka Private Service Connect. Tindakan ini akan menghentikan VM antarmuka.
  • Konsumen menonaktifkan Compute Engine API di project yang terhubung ke antarmuka Private Service Connect. Tindakan ini akan menghentikan VM antarmuka.

• Jika VM memiliki beberapa antarmuka Private Service Connect, setiap antarmuka harus terhubung ke lampiran jaringan yang unik, dan setiap lampiran jaringan harus berada di jaringan VPC konsumen yang berbeda.

• Anda tidak dapat menetapkan alamat IP eksternal (yang diiklankan secara publik) ke antarmuka Private Service Connect.

• Antarmuka Private Service Connect dinamis tidak didukung di VM yang menggunakan OS tamu Windows. Meskipun konfigurasi ini tidak dicegah oleh API, paket tidak mengalir karena driver OS tamu Windows tidak mendukung NIC Dinamis.

• Antarmuka Private Service Connect tidak boleh menjadi next hop dari aturan penerusan internal.

• Anda tidak dapat mengaitkan antarmuka Private Service Connect secara langsung dengan node atau Pod Google Kubernetes Engine (GKE). Namun, egress layanan dapat dilakukan dengan GKE melalui antarmuka Private Service Connect yang dikonfigurasi di VM proxy.

• VM dengan antarmuka Private Service Connect tidak dapat menjadi bagian dari layanan backend yang menargetkan VM Compute Engine. Hal ini karena VM harus berada dalam project yang sama dengan layanan backend.

Harga

Harga untuk antarmuka Private Service Connect dijelaskan di halaman harga VPC.

Langkah berikutnya

• Pelajari cara Membuat dan mengelola antarmuka Private Service Connect.
• Selesaikan Codelab layanan terkelola antarmuka Private Service Connect.