Private Service Connect

Dokumen ini memberikan ringkasan tentang Private Service Connect.

Private Service Connect adalah kemampuan jaringan Google Cloud yang memungkinkan konsumen mengakses layanan terkelola secara pribadi dari dalam jaringan VPC mereka. Demikian pula, hal ini memungkinkan produsen layanan terkelola nghosting layanan ini di jaringan VPC masing-masing yang terpisah dan menawarkan koneksi pribadi kepada konsumen mereka. Misalnya, saat menggunakan Private Service Connect untuk mengakses Cloud SQL, Anda adalah konsumen layanan, dan Google adalah produsen layanan.

Dengan Private Service Connect, konsumen dapat menggunakan alamat IP internal mereka sendiri untuk mengakses layanan tanpa meninggalkan jaringan VPC mereka. Traffic tetap berada sepenuhnya di dalam Google Cloud. Private Service Connect memberikan akses berorientasi layanan antara konsumen dan produsen dengan kontrol terperinci terkait cara layanan diakses.

Private Service Connect mendukung akses ke jenis layanan terkelola berikut:

Gambar 1. Private Service Connect memungkinkan Anda mengirimkan traffic ke endpoint dan backend yang meneruskan traffic ke layanan terkelola, termasuk Google API dan layanan yang dipublikasikan. Antarmuka Private Service Connect memungkinkan layanan terkelola memulai koneksi ke jaringan VPC konsumen.

Private Service Connect menyediakan konektivitas pribadi yang memiliki karakteristik berikut:

  • Desain berorientasi layanan: Layanan produsen dipublikasikan melalui load balancing yang mengekspos alamat IP tunggal ke jaringan VPC konsumen. Traffic konsumen yang mengakses layanan produsen bersifat searah dan hanya dapat mengakses alamat IP layanan, bukan memiliki akses ke seluruh jaringan VPC yang di-peering.
  • Otorisasi eksplisit: Private Service Connect menyediakan model otorisasi yang memberikan kontrol terperinci kepada konsumen dan produsen, yang memastikan bahwa hanya endpoint layanan yang dimaksud dan tidak ada resource lain yang dapat terhubung ke layanan.
  • Tidak ada dependensi bersama: Traffic antara konsumen dan produsen menggunakan NAT sehingga tidak ada koordinasi alamat IP atau dependensi resource bersama lainnya antara jaringan VPC konsumen dan produsen. Independensi ini menyederhanakan deployment dan memungkinkan Anda menskalakan layanan terkelola dengan lebih mudah.
  • Performa rasio baris: Traffic Private Service Connect langsung beralih dari klien konsumen ke backend produsen tanpa hop atau proxy menengah. NAT dijalankan langsung di mesin host fisik yang menghosting VM konsumen dan produsen, sehingga mengurangi latensi dan meningkatkan kapasitas bandwidth. Kapasitas bandwidth Private Service Connect hanya dibatasi oleh kapasitas bandwidth komputer klien dan server yang berkomunikasi langsung.

Jenis Private Service Connect

Private Service Connect tersedia dalam berbagai jenis yang menyediakan kemampuan dan mode komunikasi yang berbeda.

Produsen layanan memublikasikan aplikasi mereka kepada konsumen dengan membuat layanan Private Service Connect. Konsumen layanan mengakses layanan Private Service Connect tersebut secara langsung melalui salah satu jenis Private Service Connect berikut:

  • Endpoint Private Service Connect: Endpoint di-deploy dengan menggunakan aturan penerusan yang memberikan alamat IP kepada konsumen yang dipetakan ke layanan Private Service Connect.
  • backend Private Service Connect: Backend di-deploy menggunakan grup endpoint jaringan (NEG) yang memungkinkan konsumen mengarahkan traffic ke load balancer mereka sebelum mencapai layanan Private Service Connect.

Produsen layanan dapat memulai koneksi ke konsumen layanan menggunakan antarmuka Private Service Connect. Antarmuka Private Service Connect menyediakan komunikasi dua arah dan dapat digunakan dalam jaringan VPC yang sama dengan endpoint dan backend.

Endpoints

Endpoint Private Service Connect adalah alamat IP internal di jaringan VPC konsumen yang dapat diakses langsung oleh klien di jaringan tersebut. Endpoint dibuat dengan men-deploy aturan penerusan yang mereferensikan lampiran layanan atau paket Google API.

Diagram berikut menunjukkan endpoint Private Service Connect yang menargetkan layanan yang dipublikasikan dan berjalan di jaringan VPC dan organisasi yang terpisah. Endpoint Private Service Connect dan layanan yang dipublikasikan memungkinkan dua perusahaan independen saling berkomunikasi menggunakan alamat IP internal. Untuk mengetahui informasi selengkapnya, lihat Tentang mengakses layanan yang dipublikasikan melalui endpoint.

Gambar 2. Dengan Private Service Connect, Anda dapat mengirim traffic ke endpoint yang meneruskan traffic ke layanan yang dipublikasikan di jaringan VPC lain.

Demikian pula, endpoint Private Service Connect dapat digunakan untuk mengakses Google API seperti Cloud Storage atau BigQuery. Fungsi ini mirip dengan Akses Google Pribadi, tetapi Anda dapat menggunakan alamat IP internal Anda sendiri untuk endpoint. Private Service Connect memungkinkan Anda mengontrol perutean secara lebih langsung dan membuat endpoint sebanyak yang diperlukan untuk jaringan Anda. Untuk informasi selengkapnya, lihat Tentang mengakses Google API melalui endpoint.

Gambar 3. Private Service Connect memungkinkan Anda mengirim traffic ke endpoint yang meneruskan traffic ke Google API.

Backend

Backend Private Service Connect memungkinkan load balancer Google Cloud mengirimkan traffic melalui Private Service Connect untuk menjangkau layanan yang dipublikasikan atau Google API. Backend di-deploy melalui grup endpoint jaringan (NEG) Private Service Connect yang mereferensikan lampiran layanan produsen atau Google API yang didukung. Menempatkan load balancer di depan layanan terkelola akan memberi konsumen visibilitas dan kontrol yang lebih besar daripada yang dapat dilakukan melalui endpoint Private Service Connect. Backend memungkinkan Anda membuat konfigurasi seperti berikut:

  • Domain dan sertifikat milik pelanggan di depan layanan terkelola
  • Failover yang dikontrol konsumen di antara layanan terkelola di region yang berbeda
  • Konfigurasi keamanan terpusat dan kontrol akses untuk layanan terkelola

Diagram berikut menunjukkan Load Balancer Aplikasi internal yang di-deploy dengan backend Private Service Connect yang mereferensikan layanan yang dipublikasikan. Ada dua load balancer dalam konfigurasi:

  • Load balancer konsumen yang menyediakan kontrol, visibilitas, dan keamanan traffic ke layanan.
  • Load balancer produsen yang melakukan load balancing pada traffic di seluruh backend layanan.

Gambar 4. Private Service Connect memungkinkan Anda mengirim traffic ke backend yang meneruskan traffic ke layanan yang dipublikasikan.

Demikian pula dengan endpoint Private Service Connect, backend juga mendukung penargetan Google API. Diagram berikut menunjukkan Load Balancer Aplikasi internal yang menargetkan bucket Cloud Storage dan menghentikan traffic menggunakan domain milik pelanggan.

Gambar 5. Private Service Connect memungkinkan Anda mengirim traffic ke backend yang meneruskan traffic ke Google API lokasi.

Antarmuka

Antarmuka Private Service Connect adalah jenis antarmuka jaringan khusus yang mengacu pada lampiran jaringan.

Produsen layanan dapat membuat antarmuka Private Service Connect dan meminta koneksi ke lampiran jaringan. Jika konsumen layanan menerima koneksi, Google Cloud akan mengalokasikan antarmuka alamat IP dari subnet di jaringan VPC konsumen yang ditentukan oleh lampiran jaringan. VM antarmuka Private Service Connect memiliki antarmuka jaringan standar kedua yang terhubung ke jaringan VPC produsen.

Koneksi antara antarmuka Private Service Connect dan lampiran jaringan mirip dengan koneksi antara endpoint Private Service Connect dan lampiran layanan, tetapi memiliki dua perbedaan utama:

  • Antarmuka Private Service Connect memungkinkan jaringan VPC produser memulai koneksi ke jaringan VPC konsumen (traffic keluar layanan terkelola). Endpoint bekerja dalam arah terbalik, sehingga jaringan VPC konsumen dapat memulai koneksi ke jaringan VPC produsen (ingress layanan terkelola).
  • Koneksi antarmuka Private Service Connect bersifat transitif. Artinya, workload di jaringan produsen dapat memulai koneksi ke beban kerja lain yang terhubung ke jaringan VPC konsumen. Endpoint Private Service Connect hanya dapat memulai koneksi ke jaringan VPC produsen.

Gambar 6. Antarmuka Private Service Connect memungkinkan produsen layanan memulai koneksi ke konsumen layanan.

Layanan terkelola Private Service Connect

Layanan terkelola adalah layanan yang dimiliki dan dikelola oleh seseorang selain konsumen layanan. Private Service Connect dapat digunakan untuk mengakses layanan terkelola milik Google, perusahaan software pihak ketiga as a service (SaaS), atau tim lain dalam perusahaan konsumen itu sendiri. Baik layanan yang dipublikasikan maupun Google API dapat menjadi target Private Service Connect.

Layanan yang dipublikasikan

Layanan yang dipublikasikan adalah layanan yang dihosting VPC yang di-deploy di jaringan VPC produsen dan diakses dari jaringan VPC konsumen. Dengan memublikasikan layanan, produsen layanan akan memiliki dan mengontrol deployment layanan di jaringan VPC mereka sendiri. Layanan yang dipublikasikan dapat mencakup hal berikut:

  • Layanan Google, seperti GKE, Apigee, atau Cloud Composer. Layanan ini berjalan di project tenant dan jaringan VPC yang dikelola oleh Google.
  • Layanan pihak ketiga, tempat pihak ketiga menawarkan akses pribadi ke layanan yang dipublikasikan di Google Cloud.
  • Layanan intra-organisasi, tempat satu perusahaan memiliki klien yang mengakses aplikasi internal di berbagai jaringan VPC. Beberapa organisasi menggunakan jaringan VPC terpisah untuk segmentasi internal. Dengan konfigurasi tersebut, satu tim dapat menawarkan layanan terkelola ke tim lain yang beroperasi di jaringan VPC terpisah.

Lampiran layanan

Lampiran layanan adalah resource yang digunakan untuk membuat layanan yang dipublikasikan Private Service Connect.

Lampiran layanan dapat diakses menggunakan endpoint atau backend. Beberapa backend atau endpoint dapat terhubung ke lampiran layanan yang sama, yang memungkinkan beberapa jaringan VPC atau beberapa konsumen mengakses instance layanan yang sama.

Lampiran layanan menargetkan load balancer produsen dan memungkinkan klien di jaringan VPC konsumen mengakses load balancer. Konfigurasi lampiran layanan menentukan hal berikut:

  • Daftar penerimaan konsumen yang menentukan konsumen mana yang diizinkan untuk terhubung ke layanan.
  • Subnet NAT tempat traffic yang diterjemahkan berasal dari jaringan VPC produsen.
  • Domain DNS opsional, jika disediakan, yang digunakan dalam entri DNS untuk endpoint yang otomatis dibuat di alamat Zona Cloud DNS.

Google API

Menggunakan Private Service Connect untuk mengakses Google API adalah alternatif penggunaan Akses Google Pribadi atau nama domain publik untuk Google API. Dalam hal ini, produsernya adalah Google.

Google API dapat diakses menggunakan endpoint atau backend. Dengan endpoint, Anda dapat menargetkan paket Google API, dan backend memungkinkan Anda menargetkan Google API berdasarkan lokasi tertentu.

Menggunakan Private Service Connect memungkinkan Anda melakukan hal berikut:

  • Buat satu atau beberapa alamat IP internal guna mengakses Google API untuk berbagai kasus penggunaan.
  • Mengarahkan traffic lokal ke alamat IP dan region tertentu saat mengakses Google API.
  • Memusatkan traffic Google API melalui load balancer HTTP(S) untuk menerapkan sertifikat, kebijakan keamanan, atau kemampuan observasi Anda sendiri.

Langkah selanjutnya