Tentang otomatisasi konektivitas layanan

Otomatisasi konektivitas layanan memungkinkan konsumen layanan mengotomatiskan deployment konektivitas ke layanan terkelola.

Pertimbangkan administrator database yang men-deploy instance database dan ingin mengizinkan konsumen layanan menjangkau database tersebut melalui endpoint Private Service Connect. Administrator database mungkin tidak memiliki kredensial Identity and Access Management (IAM) atau keahlian yang diperlukan untuk men-deploy resource jaringan.

Jika layanan terkelola mendukung otomatisasi konektivitas layanan, konfigurasi instance layanan dan konfigurasi jaringan dapat didelegasikan kepada administrator yang sesuai:

  • Administrator instance layanan dapat mengontrol jaringan mana yang dapat mengakses layanan mereka.

  • Administrator jaringan dapat mengontrol layanan mana yang ingin mereka izinkan untuk terhubung.

Jika konfigurasi ini cocok, otomatisasi konektivitas layanan akan membuat endpoint di jaringan yang sesuai, sehingga menyediakan konektivitas ke instance layanan terkelola.

Ringkasan otomatisasi konektivitas layanan

Bagian berikut menjelaskan konfigurasi dasar dalam satu jaringan VPC yang menggunakan otomatisasi konektivitas layanan. Untuk informasi tentang konfigurasi lainnya, lihat VPC Bersama dan Layanan Google dengan cakupan instance layanan kustom.

Men-deploy instance layanan terkelola yang mendukung otomatisasi konektivitas layanan memerlukan langkah-langkah berikut:

  1. Administrator jaringan membuat kebijakan koneksi layanan untuk jaringan VPC-nya.

    Kebijakan koneksi layanan mereferensikan class layanan—resource unik global yang mengidentifikasi layanan produsen tertentu. Kebijakan koneksi layanan tunggal mencakup satu kelas layanan dan satu jaringan VPC konsumen, yang mendelegasikan kemampuan untuk mengonfigurasi konektivitas dalam cakupan tersebut.

  2. Administrator instance layanan men-deploy instance layanan terkelola menggunakan API atau UI administratif layanan. Konfigurasi instance layanan menentukan jaringan mana yang dapat mengakses layanan melalui otomatisasi konektivitas layanan.

  3. Otomatisasi konektivitas layanan akan membuat endpoint di jaringan VPC konsumen. Endpoint ini dapat digunakan untuk mengirim permintaan ke instance layanan.

Otomatisasi konektivitas layanan memungkinkan konsumen layanan mengotomatiskan deployment konektivitas ke layanan terkelola (klik untuk memperbesar).

Konfigurasi produsen

Bagian berikut menjelaskan resource yang digunakan oleh produsen layanan untuk mengonfigurasi otomatisasi konektivitas layanan.

Kelas layanan

Class layanan adalah representasi unik secara global dari jenis layanan terkelola. Setiap produsen memiliki class layanan mereka secara eksklusif. Konsumen mereferensikan class layanan dalam kebijakan koneksi layanan mereka, yang mengizinkan deployment dan mendelegasikan konektivitas kepada produsen.

Kebijakan koneksi layanan hanya dapat dibuat untuk layanan yang memiliki class layanan.

Class layanan tersedia untuk layanan yang dipublikasikan Google. Class layanan juga tersedia dalam Pratinjau terbatas untuk layanan pihak ketiga dan layanan terkelola internal yang dihosting sendiri. Untuk informasi selengkapnya, lihat Layanan yang didukung.

Peta koneksi layanan

Peta koneksi layanan adalah resource yang dikelola produsen yang menyimpan detail untuk mengizinkan dan membuat koneksi Private Service Connect antara jaringan VPC konsumen dan instance layanan terkelola produsen. Peta ini menentukan hubungan yang diizinkan antara instance layanan produsen (yang diwakili oleh lampiran layanan) dan project konsumen serta jaringan VPC yang diizinkan untuk terhubung ke instance layanan.

Model otorisasi

Kebijakan koneksi layanan memungkinkan konsumen mendelegasikan deployment konektivitas ke layanan terkelola. Produsen layanan tidak memiliki akses langsung atau hak istimewa IAM untuk project konsumen. Sebagai gantinya, produsen mengonfigurasi peta koneksi layanan di projectnya sendiri.

Saat peta koneksi layanan dibuat atau diperbarui, biasanya sebagai respons terhadap permintaan dari administrator layanan konsumen ke API atau UI administratif layanan terkelola, otomatisasi konektivitas layanan akan melakukan serangkaian pemeriksaan otorisasi. Jika semua pemeriksaan berhasil, endpoint Private Service Connect dibuat seperti yang ditentukan dalam permintaan.

  • Konfigurasi jaringan (kebijakan koneksi layanan):

    • Otorisasi jaringan. Jaringan VPC konsumen harus memiliki kebijakan koneksi layanan yang valid yang memberikan otorisasi ke jaringan VPC, region, dan class layanan yang ditentukan oleh permintaan. Pemeriksaan ini membantu memastikan bahwa administrator jaringan konsumen dengan izin IAM di jaringan VPC secara eksplisit mendelegasikan kemampuan untuk membuat endpoint Private Service Connect untuk jenis layanan yang ditentukan.
    • Cakupan instance layanan. Jika instance layanan terkelola adalah layanan Google dan kebijakan koneksi layanan menentukan cakupan instance layanan kustom (custom-resource-hierarchy-levels), maka otomatisasi konektivitas layanan akan memeriksa daftar node Resource Manager yang disediakan (--allowed-google-producers-resource-hierarchy-level). Project yang ditentukan oleh administrator instance layanan di UI atau API layanan terkelola untuk men-deploy dan mengelola instance layanan harus berada dalam cakupan yang diizinkan yang ditentukan oleh daftar ini. Cakupan dapat berupa campuran organisasi, folder, dan project.
    • Validasi project endpoint. Project tempat kebijakan koneksi dibuat harus dikaitkan dengan jaringan VPC tempat endpoint akan dibuat. Project harus berisi jaringan VPC atau berupa project layanan yang terlampir ke jaringan VPC Bersama.

  • Konfigurasi instance layanan:

    • Otorisasi IAM administrator layanan. Administrator layanan konsumen harus memiliki izin IAM yang diperlukan untuk membuat atau memperbarui instance layanan produsen. Izin ini bervariasi berdasarkan layanan yang di-deploy.

    • Otorisasi administrator instance layanan. Di API administratif layanan, administrator instance layanan yang membuat instance layanan harus telah mengonfigurasi instance untuk mengizinkan koneksi dari jaringan VPC yang meminta koneksi.

  • Konfigurasi produsen:

    • Izin IAM produser. Administrator layanan produsen yang membuat atau memperbarui peta koneksi layanan harus memiliki izin IAM pada class layanan terkait. Pemeriksaan ini membantu mencegah pernyataan class layanan publik yang salah.

Jika setiap kondisi terpenuhi, Akun Layanan Network Connectivity akan membuat endpoint yang diminta di jaringan yang diberi otorisasi. Akun Layanan Network Connectivity adalah agen layanan.

Percobaan ulang otomatis untuk kegagalan endpoint

Otomatisasi konektivitas layanan mengelola sepenuhnya pembuatan dan penghapusan endpoint Private Service Connect Anda.

Jika otomatisasi konektivitas layanan gagal membuat atau menghapus endpoint yang sah—misalnya, karena batasan kuota atau subnet kebijakan koneksi layanan kehabisan alamat IP—proses otomatis akan mencoba ulang operasi secara berkala hingga masalah pemblokiran teratasi. Namun, jika pembuatan atau penghapusan endpoint gagal karena pemeriksaan otorisasi, operasi tidak dicoba lagi.

Anda dapat melihat error yang memblokir pembuatan endpoint dengan menjelaskan kebijakan koneksi layanan dan memeriksa kolom pscConnections. Untuk mengetahui informasi tentang cara memecahkan masalah kegagalan pembuatan atau penghapusan endpoint, lihat Pemecahan masalah.

VPC Bersama

Otomatisasi konektivitas layanan dapat digunakan untuk membuat endpoint Private Service Connect secara otomatis di jaringan Shared VPC. Karena endpoint dikonfigurasi dengan alamat IP dari jaringan VPC Bersama, endpoint dapat diakses dari project host dan semua project layanan yang terlampir.

Untuk membuat konfigurasi yang ditampilkan dalam diagram berikut, tugas-tugas berikut diselesaikan:

  1. Administrator jaringan membuat kebijakan koneksi layanan untuk jaringan vpc1 di project host project1, dan mengizinkan konektivitas ke instance layanan yang menggunakan class layanan google-cloud-sql. Alamat IP endpoint dialokasikan dari subnet endpoint-subnet.

  2. Administrator instance layanan men-deploy dua instance layanan terkelola: db-test di project service-project-test, dan db-prod di project service-project-prod. Administrator mengonfigurasi instance layanan untuk mengizinkan otomatisasi konektivitas layanan men-deploy endpoint di jaringan vpc1 di project1 yang terhubung ke instance layanan.

  3. Karena semua pemeriksaan otorisasi berhasil, otomatisasi konektivitas layanan akan membuat dua endpoint yang terhubung ke endpoint-subnet, satu untuk setiap instance layanan. Semua VM yang terhubung ke subnet vm-subnet dapat mengakses endpoint karena terhubung ke jaringan VPC Bersama yang sama dengan endpoint.

Anda dapat menggunakan kebijakan koneksi layanan di jaringan VPC Bersama untuk membuat konektivitas ke instance layanan yang di-deploy di project layanan (klik untuk memperbesar).

Layanan Google dengan cakupan instance layanan kustom

Secara default, otomatisasi konektivitas layanan mengharuskan instance layanan dan endpoint yang terhubung ke instance layanan berada dalam project yang sama (atau dalam kasus VPC Bersama, di project yang terhubung). Untuk layanan Google yang didukung, instance layanan dan endpoint penghubung dapat berada di project atau organisasi yang berbeda.

Untuk membuat konfigurasi yang ditampilkan dalam diagram berikut, tugas-tugas berikut harus diselesaikan:

  1. Administrator jaringan untuk vpc-1, vpc-2, dan vpc-3 membuat kebijakan koneksi layanan di jaringan VPC masing-masing. Kebijakan ini mengizinkan konektivitas ke instance layanan yang menggunakan class layanan google-cloud-sql dan di-deploy di project project-1 dalam organisasi org-1.

  2. Administrator instance layanan men-deploy instance layanan terkelola db-1 di project-1 menggunakan API atau UI administratif layanan. Administrator mengonfigurasi instance layanan untuk memungkinkan otomatisasi konektivitas layanan men-deploy endpoint di vpc-1 dan vpc-2 yang terhubung ke db-1.

  3. Untuk vpc-1 dan vpc-2, semua pemeriksaan otorisasi berhasil dan otomatisasi konektivitas layanan membuat endpoint di setiap jaringan. VM di jaringan tersebut dapat mengirim traffic ke instance layanan melalui endpoint.

    Namun, endpoint tidak dibuat di vpc-3 karena jaringan tersebut tidak dikonfigurasi untuk konektivitas otomatis dalam konfigurasi instance layanan db-1.

    Jika vpc-3 perlu mengakses instance layanan db-1, administrator jaringan dapat menghubungi administrator database dan memintanya untuk menambahkan vpc-3 ke konfigurasi konektivitas untuk db-1.

Anda dapat mengotomatiskan konektivitas ke layanan Google yang didukung dari berbagai project, folder, atau organisasi (klik untuk memperbesar).

Layanan yang didukung

Layanan Google berikut mendukung otomatisasi konektivitas layanan.

Layanan Google Akses yang diberikan
AlloyDB untuk PostgreSQL Memungkinkan Anda mengotomatiskan pembuatan koneksi ke instance AlloyDB untuk PostgreSQL.
Cloud SQL Memungkinkan Anda mengotomatiskan pembuatan koneksi ke instance Cloud SQL.
Memorystore for Redis Cluster Memungkinkan Anda mengotomatiskan pembuatan koneksi ke instance Memorystore for Redis Cluster.
Memorystore for Valkey Memungkinkan Anda mengotomatiskan pembuatan koneksi ke instance Memorystore for Valkey.
Vector Search Vertex AI Memungkinkan Anda mengotomatiskan pembuatan koneksi ke endpoint Vector Search.

Untuk menentukan apakah layanan terkelola pihak ketiga mendukung kebijakan koneksi layanan, hubungi penyedia layanan. Jika layanan mendukung kebijakan koneksi layanan, penyedia layanan dapat memberi Anda class layanan terkait.

Referensi otomatisasi sisi produsen tersedia dalam Pratinjau terbatas. Jika Anda ingin mengotomatiskan konektivitas konsumen untuk layanan terkelola Anda sendiri, hubungi Sales Rep Anda. Google Cloud