Mengonfigurasi perutean untuk antarmuka Private Service Connect

Halaman ini menjelaskan cara mengonfigurasi perutean untuk antarmuka Private Service Connect virtual dan dinamis.

Merutekan traffic melalui antarmuka Private Service Connect

Setelah membuat antarmuka Private Service Connect, Anda perlu merutekan traffic melalui antarmuka dengan mengonfigurasi sistem operasi tamu (OS tamu) di VM antarmuka.

Mengizinkan konektivitas SSH

Pastikan aturan firewall dikonfigurasi untuk mengizinkan koneksi SSH masuk ke VM antarmuka Private Service Connect.

Menemukan Google Cloud nama antarmuka Private Service Connect Anda

Untuk mengonfigurasi perutean, Anda perlu mengetahui Google Cloud nama antarmuka Private Service Connect Anda.

Untuk menemukan nama Google Cloud antarmuka Private Service Connect dinamis, gunakan Google Cloud CLI.

Mengonfigurasi pengelolaan otomatis antarmuka Private Service Connect dinamis

Jika Anda mengonfigurasi perutean untuk antarmuka Private Service Connect dinamis, Aktifkan pengelolaan otomatis Antarmuka Jaringan Dinamis. Anda hanya perlu melakukannya sekali per VM.

Menemukan nama OS tamu antarmuka Private Service Connect Anda

Untuk mengonfigurasi perutean, Anda perlu mengetahui nama OS tamu antarmuka Private Service Connect Anda, yang berbeda dengan nama antarmuka di Google Cloud.

Untuk menemukan nama antarmuka di VM Debian, lakukan hal berikut. Untuk VM dengan sistem operasi lain, lihat dokumentasi publik sistem operasi.

1. Hubungkan ke VM antarmuka Private Service Connect Anda.

2. Jalankan perintah berikut:

   ip address
   

   Dalam daftar antarmuka jaringan, temukan dan catat nama antarmuka yang terkait dengan alamat IP antarmuka Private Service Connect Anda. Misalnya, jika agen tamu Linux mengelola antarmuka jaringan VM Anda, nama-nama tersebut memiliki bentuk berikut:

   • Antarmuka Virtual Private Service Connect: ens[number]—misalnya, ens5.
   • Antarmuka Private Service Connect dinamis: gcp.ens[parent_interface_number].[VLAN_ID]—misalnya, gcp.ens5.10.

Menemukan alamat IP gateway antarmuka Private Service Connect Anda

Untuk mengonfigurasi perutean, Anda perlu mengetahui alamat IP gateway default antarmuka Private Service Connect Anda.

1. Hubungkan ke VM antarmuka Private Service Connect Anda.

2. Kirim permintaan GET dari VM antarmuka Anda ke server metadata yang terkait.

   • Untuk antarmuka Private Service Connect virtual, kirim permintaan berikut:

     curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/INTERFACE_NUMBER/gateway -H "Metadata-Flavor: Google" && echo
     

     Ganti INTERFACE_NUMBER dengan indeks antarmuka Anda. Misalnya, jika namaGoogle Cloud untuk antarmuka Private Service Connect Anda adalah nic1, gunakan nilai 1.

   • Untuk antarmuka Private Service Connect dinamis, kirim permintaan berikut:

     curl http://metadata.google.internal/computeMetadata/v1/instance/vlan-network-interfaces/PARENT_INTERFACE_NUMBER/VLAN_ID/gateway -H "Metadata-Flavor: Google" && echo
     

     Ganti kode berikut:

     • PARENT_INTERFACE_NUMBER: indeks vNIC induk antarmuka Private Service Connect dinamis

       Misalnya, jika namaGoogle Cloud untuk antarmuka Private Service Connect Anda adalah nic1.5, gunakan nilai 1.

     • VLAN_ID: ID VLAN antarmuka Private Service Connect dinamis Anda

       Misalnya, jika nama Google Cloud untuk antarmuka Private Service Connect Anda adalah nic1.5, gunakan nilai 5.

   Output permintaan menampilkan alamat IP gateway.

Menambahkan rute untuk subnet konsumen

Anda harus menambahkan rute ke gateway default antarmuka Private Service Connect untuk setiap subnet konsumen yang terhubung ke antarmuka Private Service Connect Anda. Hal ini memungkinkan traffic yang terikat untuk jaringan konsumen mengalir melalui antarmuka Private Service Connect.

Langkah-langkah berikut menjelaskan cara memperbarui tabel perutean untuk sementara bagi VM yang menggunakan sistem operasi Debian. Untuk memperbarui tabel secara permanen, atau untuk memperbarui rute di sistem operasi yang berbeda, lihat dokumentasi publik sistem operasi.

1. Hubungkan ke VM antarmuka Private Service Connect Anda.

2. Jalankan perintah berikut untuk setiap subnet konsumen yang terhubung ke antarmuka Private Service Connect Anda:

   sudo ip route add CONSUMER_SUBNET_RANGE via GATEWAY_IP dev OS_INTERFACE_NAME
   

   Ganti kode berikut:

   • CONSUMER_SUBNET_RANGE: rentang alamat IP subnet konsumen Anda
   • GATEWAY_IP: alamat IP gateway default untuk subnet antarmuka Anda.
   • OS_INTERFACE_NAME: nama OS tamu untuk antarmuka Private Service Connect Anda—misalnya, ens5 atau gcp.ens5.10

3. Jalankan perintah berikut untuk menghapus semua entri dari tabel rute cache. Tindakan ini mungkin diperlukan jika Anda menggunakan instance yang ada dengan tabel rute yang dikonfigurasi sebelumnya.

   sudo ip route flush cache
   

Menggunakan antarmuka Private Service Connect dengan Kontrol Layanan VPC

Anda dapat menggunakan antarmuka Private Service Connect dengan Kontrol Layanan VPC. Hal ini memungkinkan jaringan VPC produsen mengakses Google API dan layanan melalui jaringan VPC konsumen, sementara organisasi konsumen dapat menerapkan manfaat keamanan Kontrol Layanan VPC.

Anda dapat menerapkan konfigurasi ini menggunakan salah satu pendekatan berikut, yang dijelaskan di bagian berikut:

• Mengonfigurasi perutean OS tamu
• Mengisolasi antarmuka Private Service Connect dengan namespace jaringan atau VRF, lalu mengonfigurasi perutean

Mengonfigurasi perutean OS tamu

Untuk menggunakan antarmuka Private Service Connect dengan VPC Service Controls, konfigurasikan perutean di OS tamu VM antarmuka. Mengarahkan traffic yang ditujukan untuk Google API dan layanan Google melalui antarmuka Private Service Connect Anda.

Langkah-langkah berikut menjelaskan cara memperbarui tabel perutean untuk sementara bagi VM yang menggunakan sistem operasi Debian. Untuk memperbarui tabel secara permanen, atau untuk memperbarui rute di sistem operasi yang berbeda, lihat dokumentasi publik sistem operasi.

Untuk mengonfigurasi perutean, lakukan hal berikut:

1. Izinkan konektivitas SSH ke VM antarmuka Private Service Connect Anda.
2. Hubungkan ke VM.

3. Untuk membuat tabel rute kustom untuk antarmuka Private Service Connect Anda, jalankan perintah berikut:

   echo "1 ROUTE_TABLE_NAME" | sudo tee -a /etc/iproute2/rt_tables
   

   Ganti ROUTE_TABLE_NAME dengan nama untuk tabel rute.

4. Tambahkan rute ke tabel rute untuk traffic ke Google API dan layanan Google. Misalnya, untuk menambahkan rute traffic ke IP virtual (VIP) restricted.googleapis.com, gunakan perintah berikut, yang menentukan rentang alamat IPv4 untuk restricted.googleapis.com:

   sudo ip route add 199.36.153.4/30 dev OS_INTERFACE_NAME table ROUTE_TABLE_NAME
   

   Ganti OS_INTERFACE_NAME dengan nama OS tamu untuk antarmuka Private Service Connect Anda—misalnya, ens5 atau gcp.ens5.10

5. Untuk menambahkan aturan perutean yang menggunakan tabel rute kustom untuk paket yang berasal dari antarmuka Private Service Connect Anda, gunakan perintah berikut:

   sudo ip rule add from INTERFACE_IP table ROUTE_TABLE_NAME
   

   Ganti INTERFACE_IP dengan alamat IP antarmuka Private Service Connect Anda. Anda dapat menemukan alamat IP antarmuka dengan mendeskripsikan VM antarmuka.

6. Jalankan perintah berikut untuk menghapus semua entri dari tabel rute cache. Tindakan ini mungkin diperlukan jika Anda menggunakan instance yang ada dengan tabel rute yang dikonfigurasi sebelumnya.

   sudo ip route flush cache
   

Mengisolasi antarmuka Private Service Connect dengan namespace atau VRF

Atau, Anda dapat mengonfigurasi VM untuk menggunakan namespace jaringan atau perutean dan penerusan virtual (VRF) untuk mengisolasi antarmuka Private Service Connect. Pendekatan ini berguna untuk workload dalam container, seperti yang berjalan di pod Google Kubernetes Engine.

Konfigurasi perutean menggunakan konteks yang sama dengan yang Anda gunakan untuk mengisolasi antarmuka, dan pastikan bahwa beban kerja yang menggunakan antarmuka Private Service Connect Anda ada dalam konteks yang sama ini.