Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi akses layanan pribadi

Akses layanan pribadi adalah koneksi pribadi antara jaringan VPC Anda dan jaringan yang dimiliki oleh Google atau pihak ketiga. Google atau pihak ketiga, entitas yang menawarkan layanan, juga dikenal sebagai produsen layanan. Koneksi pribadi memungkinkan instance VM di jaringan VPC Anda dan layanan yang diakses untuk berkomunikasi melalui alamat IP internal secara eksklusif. Instance VM tidak memerlukan akses internet atau alamat IP eksternal untuk menjangkau layanan yang tersedia melalui akses layanan pribadi.

Untuk menggunakan akses layanan pribadi, Anda harus melakukan hal berikut:

Buat rentang yang dialokasikan.

Rentang yang dialokasikan mencadangkan rentang alamat IP untuk digunakan oleh produsen, sehingga menghindari tumpang-tindih alamat IP antara jaringan konsumen layanan dan produsen layanan.
Buat koneksi pribadi.

Koneksi pribadi menggunakan Peering Jaringan VPC untuk membuat konektivitas antara jaringan konsumen layanan dan produsen layanan.

Untuk mengetahui informasi tentang opsi akses pribadi lainnya, lihat Opsi akses pribadi untuk layanan.

Sebelum memulai

Untuk membuat koneksi pribadi, lengkapi prasyarat berikut:

Baca ringkasan akses layanan pribadi, termasuk layanan yang didukung, keterjangkauan instance layanan, dan batasan.
Buat project Google Cloud atau pilih yang sudah ada. Untuk mempelajari cara membuat project Google Cloud , lihat Membuat dan mengelola project.
Aktifkan Service Networking API di project Anda. API diperlukan untuk membuat koneksi pribadi.
Buat atau pilih jaringan VPC yang akan digunakan untuk terhubung ke jaringan produsen layanan. Instance VM harus menggunakan jaringan VPC ini untuk terhubung ke layanan melalui koneksi pribadi.
Instal Google Cloud CLI jika Anda ingin menjalankan contoh command line gcloud CLI dalam panduan ini.

Izin

Project owner dan anggota IAM dengan peran Admin Jaringan Compute (roles/compute.networkAdmin) dapat membuat rentang alamat IP yang dialokasikan dan mengelola koneksi pribadi.

Untuk mengetahui informasi selengkapnya tentang peran Compute Engine, lihat Peran dan izin IAM Compute Engine.

Pilih rentang alamat IP untuk rentang yang dialokasikan

Membuat rentang yang dialokasikan akan mencadangkan rentang alamat IP untuk digunakan oleh produsen layanan. Pertimbangkan hal berikut saat Anda memilih rentang untuk alokasi:

Periksa dokumentasi produsen layanan untuk melihat apakah mereka memiliki persyaratan atau rekomendasi untuk ukuran rentang yang dialokasikan.

Untuk layanan Google, ukuran minimumnya adalah satu blok /24, tetapi ukuran yang direkomendasikan adalah blok /16.
Pilih rentang yang dialokasikan yang sepenuhnya terpisah dari rentang subnet saat ini dan mendatang, termasuk rentang subnet dari jaringan yang terhubung dengan menggunakan Peering Jaringan VPC, dan rentang subnet dari spoke VPC yang terhubung ke hub Network Connectivity Center yang sama.
Pilih rentang yang tidak sama persis atau berisi tujuan dari rute statis atau dinamis kustom.

Saat produsen layanan memilih bagian rentang yang dialokasikan yang tidak digunakan untuk digunakan sebagai kandidat resource baru, produsen layanan tersebut akan mengecualikan semua tujuan rute kustom yang cocok persis atau sesuai dengan rentang yang dialokasikan. Jika jaringan VPC berisi rentang yang dialokasikan dan rute kustom dengan tujuan yang cocok atau sesuai dengan rentang yang dialokasikan, bagian rentang yang dialokasikan yang dapat digunakan akan berkurang. Konfigurasi ini dapat menyebabkan error alokasi habis yang tidak terduga.

Misalnya, jika Anda membuat rentang yang dialokasikan untuk 10.0.0.0/16, hal berikut berlaku:
- Jika rute kustom dengan tujuan untuk 10.0.0.0/16 ada atau dibuat nanti, semua rentang 10.0.0.0/16 dianggap tidak tersedia. Jika produsen layanan mencoba menggunakan rentang yang dialokasikan, Google Cloud akan menampilkan error kehabisan alokasi.
- Jika rute kustom dengan tujuan untuk 10.0.0.0/20 ada atau dibuat nanti, bagian 10.0.0.0/20 dari rentang yang dialokasikan 10.0.0.0/16 dianggap tidak tersedia. Jika produsen layanan mencoba menggunakan rentang yang dialokasikan, dan bagian rentang yang dialokasikan yang tersedia tidak cukup untuk produsen layanan, Google Cloud akan menampilkan error alokasi habis.
- Jika rute kustom dengan tujuan untuk 10.0.0.0/8 ada atau dibuat nanti, hal ini tidak memengaruhi ketersediaan rentang yang dialokasikan 10.0.0.0/16.
Pilih rentang yang tidak bentrok dengan kebutuhan alamat IP Anda yang lain:
- Beberapa produk Google dan pihak ketiga menggunakan 172.17.0.0/16 untuk perutean dalam sistem operasi tamu. Misalnya, jaringan bridge Docker default menggunakan rentang ini. Jika Anda bergantung pada produk yang menggunakan 172.17.0.0/16, jangan gunakan 172.17.0.0/16 dalam rentang yang dialokasikan untuk akses layanan pribadi.
- Jika menggunakan jaringan VPC mode otomatis, Anda tidak dapat membuat rentang alokasi yang cocok atau tumpang-tindih dengan 10.128.0.0/9. Google menggunakan rentang 10.128.0.0/9 untuk subnet yang dibuat secara otomatis, termasuk subnet di region mendatang.
Pilih blok CIDR yang cukup besar untuk memenuhi kebutuhan Anda saat ini dan di masa mendatang.

Jika nantinya Anda mendapati bahwa ukuran rentang tidak memadai, perluas rentang tersebut jika memungkinkan. Meskipun Anda dapat menetapkan beberapa alokasi ke satu produsen layanan, Google memberlakukan kuota pada jumlah rentang alamat IP yang dapat Anda alokasikan, tetapi tidak untuk ukuran (netmask) dari setiap rentang.

Membuat rentang yang dialokasikan

Langkah berikut menjelaskan cara membuat rentang alamat IP yang dialokasikan.

Saat layanan Google mengalokasikan rentang atas nama Anda, layanan tersebut menggunakan format berikut untuk memberi nama alokasi: google-managed-services-CONSUMER_NETWORK_NAME. Jika alokasi ini ada, layanan Google akan menggunakan yang sudah ada, bukan membuat yang lain. Anda dapat menggunakan konvensi penamaan yang sama dengan yang digunakan Google untuk memberi tahu pengguna lain atau layanan Google bahwa alokasi untuk Google sudah ada.

Konsol

Di Google Cloud konsol, buka halaman VPC networks.

Buka jaringan VPC
Pilih jaringan VPC yang akan terhubung ke produsen layanan.
Pilih tab Private services access.
Di tab Private services access, pilih tab Allocated IP ranges for services.
Klik Alokasikan rentang IP.
Masukkan Name dan Description untuk rentang yang dialokasikan.
Konfigurasi rentang alamat IP untuk alokasi:
- Untuk menentukan rentang alamat IP tertentu, pilih Custom, lalu masukkan blok CIDR, seperti 192.168.0.0/16.
- Agar Google dapat memilih rentang yang tersedia, pilih Otomatis, lalu masukkan panjang awalan, seperti 16.
Klik Alokasikan untuk membuat rentang yang dialokasikan.

gcloud

Untuk membuat rentang yang dialokasikan di jaringan VPC Anda, gunakan perintah gcloud compute addresses create.

Untuk menentukan rentang alamat IP dan panjang awalan (subnet mask), gunakan flag --addresses dan --prefix-length. Misalnya, untuk mengalokasikan blok CIDR 192.168.0.0/16, tentukan 192.168.0.0 untuk alamat dan 16 untuk panjang awalan.
```
    gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --addresses=192.168.0.0 \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK
    
```
- Untuk menentukan panjang awalan saja (subnet mask), cukup gunakan flag prefix-length. Jika Anda menghilangkan rentang alamat IP,Google Cloud akan otomatis memilih rentang alamat IP yang tidak digunakan di jaringan VPC Anda. Contoh berikut memilih rentang alamat IP yang tidak digunakan dengan panjang awalan 16 bit.
```
    gcloud compute addresses create RESERVED_RANGE_NAME \
        --global \
        --purpose=VPC_PEERING \
        --prefix-length=16 \
        --description="DESCRIPTION" \
        --network=VPC_NETWORK
    
```
Ganti kode berikut:
- RESERVED_RANGE_NAME: nama untuk rentang yang dialokasikan, seperti my-allocated-range.
- DESCRIPTION: deskripsi untuk rentang, seperti allocated for my-service.
- VPC_NETWORK: nama jaringan VPC Anda, seperti my-vpc-network.
Contoh berikut membuat koneksi pribadi ke Google sehingga instance VM dalam jaringan VPC my-network dapat menggunakan akses layanan pribadi untuk menjangkau layanan Google yang mendukungnya.
```
gcloud compute addresses create google-managed-services-my-network \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=16 \
    --description="peering range for Google" \
    --network=my-network
```

Terraform

Untuk membuat rentang yang dialokasikan di jaringan VPC Anda, gunakan resource google_compute_global_address.

resource "google_compute_global_address" "private_ip_address" {
  name          = "private-ip-address"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 16
  network       = google_compute_network.peering_network.id
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

Jika Anda melihat error tentang izin compute.globalAddresses.list untuk project, lihat Izin akun layanan.

Menampilkan rentang alamat IP yang dialokasikan

Untuk mencantumkan rentang alamat IP yang dialokasikan, gunakan perintah gcloud compute addresses list.

gcloud compute addresses list --global --filter="purpose=VPC_PEERING"

Membuat koneksi pribadi

Setelah membuat rentang yang dialokasikan, Anda dapat membuat koneksi pribadi ke produsen layanan. Koneksi pribadi membuat koneksi Peering Jaringan VPC antara jaringan VPC Anda dan jaringan produsen layanan.

Pertimbangkan hal berikut saat Anda membuat koneksi pribadi:

Jika satu produsen layanan menawarkan beberapa layanan, Anda hanya memerlukan satu koneksi pribadi untuk semua layanan produsen tersebut.
Jika satu produsen layanan menawarkan beberapa layanan dan Anda ingin mengontrol rentang yang dialokasikan yang digunakan untuk berbagai resource layanan, Anda dapat menggunakan beberapa jaringan VPC yang masing-masing memiliki koneksi pribadinya sendiri. Konfigurasi ini memungkinkan Anda memilih jaringan tertentu saat membuat resource layanan terkelola baru untuk memastikan bahwa rentang alokasi terkait digunakan untuk resource baru.
Jangan gunakan kembali rentang alokasi yang sama untuk beberapa produsen layanan. Jika Anda terhubung ke beberapa produsen layanan, gunakan rentang alokasi unik untuk setiap produsen layanan. Dengan menggunakan rentang yang dialokasikan berbeda, Anda dapat menghindari tumpang-tindih alamat IP, dan membantu Anda mengelola setelan jaringan, seperti rute dan aturan firewall, untuk setiap produsen layanan.

Konsol

Di Google Cloud konsol, buka halaman VPC networks.

Buka jaringan VPC
Pilih jaringan VPC yang akan terhubung ke produsen layanan.
Pilih tab Private services access.
Di tab Private services access, pilih tab Private connections to services.
Klik Create connection untuk membuat koneksi pribadi antara jaringan Anda dan produsen layanan.
Untuk Alokasi yang ditetapkan, pilih salah satu atau beberapa rentang yang sudah dialokasikan dan tidak digunakan oleh produsen layanan lainnya.
Klik Hubungkan untuk membuat koneksi.

gcloud

Gunakan perintah gcloud services vpc-peerings connect.
```
gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=RESERVED_RANGE_NAME \
    --network=VPC_NETWORK
```
Ganti kode berikut:
- RESERVED_RANGE_NAME: nama satu atau beberapa rentang yang dialokasikan.
- VPC_NETWORK: nama jaringan VPC Anda.
Perintah tersebut memulai operasi yang berjalan lama, dan menampilkan nama operasi.
Untuk memeriksa apakah operasi berhasil, gunakan perintah gcloud services vpc-peerings operations describe.
```
gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME
```
Ganti OPERATION_NAME dengan nama operasi yang ditampilkan dari langkah sebelumnya.

Anda dapat menentukan lebih dari satu rentang IP yang dialokasikan saat membuat koneksi pribadi. Misalnya, jika rentang sudah habis, Anda dapat menetapkan rentang tambahan yang dialokasikan. Layanan ini menggunakan alamat IP dari semua rentang yang diberikan sesuai dengan urutan yang Anda tentukan.

Terraform

Untuk membuat koneksi pribadi, gunakan resource google_service_networking_connection.

resource "google_service_networking_connection" "default" {
  network                 = google_compute_network.peering_network.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.private_ip_address.name]
}

Melihat daftar koneksi pribadi

Setelah membuat koneksi pribadi, Anda dapat melihat daftarnya untuk memeriksa apakah koneksi tersebut ada. Daftar ini juga menunjukkan daftar rentang yang dialokasikan yang dikaitkan dengan setiap koneksi. Misalnya, jika Anda tidak ingat rentang alokasi mana yang ditetapkan ke suatu koneksi, lihat daftar untuk mengetahuinya.

Konsol

Di Google Cloud konsol, buka halaman VPC networks.

Buka jaringan VPC
Pilih jaringan VPC yang berisi koneksi.
Pilih tab Private services access.
Pada tab Private services access, pilih Private connections to services untuk melihat semua koneksi pribadi jaringan.

gcloud

Gunakan perintah gcloud services vpc-peerings list.

gcloud services vpc-peerings list \
    --network=VPC_NETWORK

Ganti VPC_NETWORK dengan nama jaringan VPC Anda.

Mengubah koneksi pribadi

Anda tidak dapat mengubah rentang yang dialokasikan, tetapi Anda dapat memperbarui koneksi pribadi untuk menambahkan atau menghapus rentang yang dialokasikan tanpa mengganggu traffic.

Menambahkan rentang: saat menskalakan, Anda dapat menambahkan atau mengganti rentang yang dialokasikan jika Anda hampir menghabiskan rentang yang ada. Jika Anda menambahkan rentang yang dialokasikan lain ke koneksi pribadi, lebih banyak alamat IP yang tersedia untuk produsen layanan saat membuat resource layanan baru untuk setiap layanan yang disediakan produsen tersebut. Anda tidak dapat mencadangkan rentang alokasi tertentu dalam koneksi pribadi untuk digunakan oleh layanan tertentu.

Untuk mengetahui informasi selengkapnya tentang cara menambahkan atau mengganti rentang, lihat Kehabisan rentang alamat IP.
Menghapus rentang: jika Anda menghapus rentang dari koneksi pribadi, hal berikut akan diterapkan:
- Rentang yang dialokasikan tidak lagi terkait dengan koneksi pribadi, tetapi tidak dihapus.
  - Jika rentang yang dihapus tidak lagi digunakan, Anda dapat menghapus alokasi.
- Resource produsen layanan yang ada mungkin terus menggunakan rentang yang dihapus.
- Akses layanan pribadi tidak menggunakan rentang yang dihapus untuk mengalokasikan subnet baru.

Konsol

Di Google Cloud konsol, buka halaman VPC networks.

Buka jaringan VPC
Pilih jaringan VPC yang berisi koneksi.
Pilih tab Private services access.
Pada tab Private services access, pilih Private connections to services untuk melihat semua koneksi pribadi jaringan.
Klik nama koneksi dalam daftar.
Di daftar Assigned allocation, pilih rentang yang dialokasikan yang ingin Anda kaitkan dengan koneksi pribadi. Hapus centang pada kotak untuk rentang yang dialokasikan yang ingin Anda hapus dari koneksi pribadi.
Klik Oke.

gcloud

Untuk menambahkan atau menghapus rentang alamat IP yang dialokasikan yang ditetapkan pada koneksi pribadi yang ada, gunakan perintah gcloud services vpc-peerings update.

gcloud services vpc-peerings update \
    --service=servicenetworking.googleapis.com \
    --ranges=RESERVED_RANGE_NAME \
    --network=VPC_NETWORK \
    [--force]

Ganti kode berikut:

RESERVED_RANGE_NAME: daftar satu atau beberapa nama rentang yang dialokasikan untuk ditetapkan ke koneksi pribadi.

RESERVED_RANGE_NAME menggantikan daftar rentang yang dialokasikan sebelumnya. Jika Anda menghilangkan rentang yang sebelumnya dikaitkan dengan koneksi pribadi ini, rentang tersebut akan dihapus dari koneksi. Anda harus menggunakan flag --force untuk menghapus rentang.
VPC_NETWORK: nama jaringan VPC Anda.

Menghapus rentang alamat IP yang dialokasikan

Sebelum menghapus rentang alamat IP yang dialokasikan, periksa apakah rentang tersebut digunakan oleh koneksi pribadi.

Jika rentang alamat IP yang dialokasikan sedang digunakan, ubah koneksi pribadi terlebih dahulu untuk menghapus rentang tersebut. Kemudian, hapus rentang alamat IP yang dialokasikan.

Jika Anda menghapus alamat IP yang dialokasikan saat sedang digunakan, dan Anda tidak mengubah koneksi pribadi, hal berikut akan berlaku:

Koneksi yang ada akan tetap aktif, tetapi tidak ada yang mencegah jaringan VPC Anda menggunakan alamat IP yang tumpang tindih dengan jaringan produsen layanan.
Jika Anda menghapus satu-satunya rentang alamat IP yang dialokasikan yang terkait dengan koneksi pribadi, layanan tidak dapat membuat subnet baru karena tidak ada rentang alamat IP yang dialokasikan untuk dipilih.
Jika Anda membuat rentang alamat IP yang dialokasikan yang cocok atau tumpang tindih dengan rentang yang dihapus, penambahan rentang ke koneksi pribadi akan gagal.

Untuk menghindari masalah tersebut, selalu ubah koneksi pribadi Anda saat menghapus rentang alamat IP yang dialokasikan yang sedang digunakan.

Konsol

Di Google Cloud konsol, buka halaman VPC networks.

Buka jaringan VPC
Pilih jaringan VPC yang berisi alokasi yang akan dihapus.
Pilih tab Private services access.
Di tab Private services access, pilih tab Allocated IP ranges for services.
Pilih alokasi yang akan dihapus.
Klik Release untuk menampilkan rentang alamat IP yang dialokasikan ke kumpulan alamat IP internal yang tersedia di jaringan.

Jika rentang alamat IP yang dialokasikan masih ditetapkan ke koneksi yang ada, Anda harus memasukkan konfirmasi tambahan sebelum dapat melepaskan alokasi tersebut.
Klik Release lagi untuk mengonfirmasi penghapusan.

gcloud

Hapus alokasi dengan menetapkan nama alokasi Anda.

gcloud compute addresses delete NAME \
    --global

Ganti NAME dengan nama rentang yang dialokasikan yang ingin Anda hapus.

Hapus koneksi pribadi

Untuk menghapus koneksi pribadi, selesaikan prosedur di bagian ini. Jangan mencoba menghapus koneksi pribadi dengan menghapus koneksi Peering Jaringan VPC terkait secara langsung.

Sebelum menghapus koneksi pribadi, Anda harus menghapus semua instance layanan yang diakses melalui koneksi tersebut.

Perilaku penghapusan instance layanan dapat bervariasi berdasarkan layanan. Resource layanan dapat langsung dihapus, atau dapat dihapus setelah periode tunggu. Jika ada periode tunggu, Anda tidak dapat menghapus koneksi pribadi hingga periode tunggu berakhir dan resource produsen layanan dihapus.

Misalnya, jika Anda menghapus instance Cloud SQL, Anda akan menerima respons berhasil, tetapi layanan akan menunggu selama empat hari sebelum menghapus resource produsen layanan. Periode tunggu berarti jika Anda berubah pikiran untuk menghapus layanan, Anda dapat meminta untuk memulihkan resource. Jika Anda mencoba menghapus koneksi selama periode tunggu, penghapusan akan gagal dengan pesan bahwa resource masih digunakan oleh produsen layanan.
Anda tidak dapat menghapus koneksi pribadi yang sedang digunakan oleh spoke VPC produsen. Untuk menghapus koneksi, hapus spoke VPC produsen terlebih dahulu.

Konsol

Di Google Cloud konsol, buka halaman VPC networks.

Buka jaringan VPC
Pilih jaringan VPC yang berisi koneksi yang akan dihapus.
Pilih tab Private services access.
Di tab Private services access, pilih tab Private connection to services.
Pilih koneksi pribadi yang akan dihapus.
Klik Delete untuk menghapus.
Klik Delete lagi untuk mengonfirmasi penghapusan.

gcloud

Untuk menghapus koneksi Peering Jaringan VPC koneksi pribadi, gunakan perintah gcloud services vpc-peerings delete.

gcloud services vpc-peerings delete \
    --service=servicenetworking.googleapis.com \
    --network=VPC_NETWORK

Ganti VPC_NETWORK dengan nama jaringan VPC Anda.

Berbagi zona DNS pribadi dengan produser layanan

Zona pribadi Cloud DNS bersifat pribadi untuk jaringan VPC Anda. Jika ingin mengizinkan jaringan produsen layanan me-resolve nama dari zona pribadi, Anda dapat mengonfigurasi peering DNS di antara kedua jaringan tersebut.

Saat mengonfigurasi peering DNS, Anda menyediakan jaringan VPC dan suffix DNS. Jika produsen layanan perlu me-resolve alamat dengan suffix DNS tersebut, produsen layanan akan meneruskan kueri tersebut ke jaringan PC Anda untuk diselesaikan.

Layanan yang didukung ini mendukung peering DNS, kecuali Cloud SQL.

Jika ingin mengaktifkan peering DNS, Anda harus mengaktifkan Cloud DNS API di project Anda.

Melakukan peering DNS dengan produser layanan

gcloud

Untuk menyiapkan peering DNS antara jaringan VPC dan jaringan penyedia layanan, gunakan perintah gcloud services peered-dns-domains create.

gcloud services peered-dns-domains create PEERING_NAME \
    --network=VPC_NETWORK \
    --dns-suffix=DNS_SUFFIX

Ganti kode berikut:

PEERING_NAME: nama untuk konfigurasi peering DNS ini.
VPC_NETWORK: nama jaringan VPC Anda yang terhubung ke produsen layanan menggunakan akses layanan pribadi.
DNS_SUFFIX: suffix DNS yang ingin Anda peering dengan produsen layanan. Anda harus memberikan nama domain DNS lengkap, termasuk titik. Misalnya, example.com. adalah suffix DNS yang valid.

Terraform

Untuk menyiapkan peering DNS antara jaringan VPC dan jaringan penyedia layanan, gunakan resource google_service_networking_peered_dns_domain.


## Uncomment this block after adding a valid DNS suffix

# resource "google_service_networking_peered_dns_domain" "default" {
#   name       = "example-com"
#   network    = google_compute_network.peering_network.name
#   dns_suffix = "example.com."
#   service    = "servicenetworking.googleapis.com"
# }

Menampilkan daftar konfigurasi peering DNS

gcloud

Gunakan perintah gcloud services peered-dns-domains list.

gcloud services peered-dns-domains list \
    --network=VPC_NETWORK

Ganti VPC_NETWORK dengan nama jaringan VPC Anda.

Menghapus konfigurasi peering DNS

gcloud

Gunakan perintah gcloud services peered-dns-domains delete.

gcloud services peered-dns-domains delete PEERING_NAME \
    --network=VPC_NETWORK

Ganti kode berikut:

PEERING_NAME: nama konfigurasi peering DNS.
VPC_NETWORK: nama jaringan VPC Anda.

Mengonfigurasi konektivitas hybrid

Secara default, jaringan produsen layanan hanya mempelajari rute subnet dari jaringan VPC Anda. Oleh karena itu, permintaan apa pun yang bukan dari rentang IP subnet akan dihapus oleh produsen layanan.

Untuk mengonfigurasi konektivitas antara host lokal Anda dan jaringan produsen layanan, lakukan hal berikut:

Di jaringan VPC Anda, update koneksi peering untuk mengekspor rute kustom ke jaringan produsen layanan. Mengekspor rute akan mengirimkan semua rute statis dan dinamis yang memenuhi syarat yang berada di jaringan VPC Anda, seperti rute ke jaringan lokal dan ke jaringan produsen layanan. Jaringan produsen layanan akan otomatis mengimpor rute tersebut, lalu dapat mengirim traffic kembali ke jaringan lokal Anda melalui jaringan VPC.
Pastikan bahwa awalan yang mencakup rentang IP yang dialokasikan untuk akses layanan pribadi diiklankan dengan benar ke jaringan lokal Anda. Untuk memahami cara memberitahukan awalan IPv4 kustom menggunakan Cloud Router, lihat Rute yang diberitahukan.
Pastikan lampiran VLAN atau tunnel Cloud VPN dihentikan di jaringan VPC (atau jaringan VPC Bersama) yang sama dengan koneksi pribadi karena Peering Jaringan VPC tidak menyediakan perutean transitif.

Pemecahan masalah

Bagian berikut berisi informasi pemecahan masalah untuk akses layanan pribadi.

Berapa banyak alokasi saya yang digunakan?

Saat membuat koneksi pribadi dengan produser layanan, Anda mengalokasikan rentang alamat IP untuk digunakan oleh produsen tersebut. Jika Anda menggunakan beberapa layanan dari produsen layanan, setiap layanan akan mencadangkan sekumpulan alamat IP dari rentang yang dialokasikan tersebut. Anda dapat memeriksa layanan mana yang menggunakan alamat IP tertentu sehingga, sebagai contoh, Anda dapat melihat layanan mana yang menggunakan blok alamat IP besar dan menghindari kehabisan alamat IP.

Untuk melihat rasio alokasi rentang yang dialokasikan, gunakan Penganalisis Jaringan. Untuk mengetahui informasi selengkapnya, lihat Ringkasan penggunaan alamat IP akses layanan pribadi.

Atau, untuk melihat layanan mana yang menggunakan rentang alamat IP tertentu:

Tampilkan koneksi pribadi Anda.
Temukan nama koneksi peering yang menghubungkan Anda ke produsen layanan yang relevan.
Tampilkan rute untuk jaringan VPC Anda.
Temukan rute dengan next hop yang cocok dengan nama koneksi peering. Rentang tujuan rute menunjukkan alamat IP yang digunakan setiap layanan.

Kehabisan rentang alamat IP

Untuk koneksi pribadi tertentu, jika ruang alamat IP yang dialokasikan habis, Google Cloud akan menampilkan error ini: Failed to create subnetwork. Couldn't find free blocks in allocated IP ranges.

Anda mungkin melihat error ini karena rentang yang dialokasikan tidak cukup untuk penggunaan Anda, atau karena rute statis atau dinamis kustom mencegah rentang yang dialokasikan digunakan sepenuhnya. Untuk mengetahui informasi selengkapnya tentang pertimbangan perutean, lihat Memilih rentang alamat IP untuk rentang yang dialokasikan.

Anda dapat memperluas alokasi yang ada atau menambahkan yang baru. Alokasi yang diperluas harus berupa rentang alamat IP berdekatan yang mencakup rentang yang sudah ada. Sebaiknya perluas alokasi karena tidak ada batasan pada ukuran alokasi, tetapi ada batasan untuk jumlah alokasi yang dapat Anda buat.

Untuk memperluas alokasi yang ada:

Tampilkan koneksi pribadi Anda dan catat nama rentang yang dialokasikan yang perlu diperluas.
Hapus rentang alokasi yang ada yang ingin Anda perluas.
Buat rentang baru yang dialokasikan menggunakan nama yang sama dengan rentang yang dihapus. Tentukan rentang alamat IP yang mencakup rentang alamat IP yang dihapus. Dengan begitu, resource yang di-peering dan menggunakan rentang lama yang dialokasikan dapat terus menggunakan alamat IP yang sama tanpa bertabrakan dengan resource di jaringan VPC Anda. Misalnya, jika rentang yang dialokasikan sebelumnya adalah 192.168.0.0/20, buat rentang baru yang dialokasikan

Untuk menambahkan rentang yang dialokasikan ke koneksi pribadi yang ada:

Buat rentang alokasi baru. Rentang ini tidak harus berdekatan dengan rentang yang dialokasikan yang sudah ada.
Tambahkan rentang yang dialokasikan ke koneksi pribadi yang ada.

Izin akun layanan

Jika Anda melihat error tentang izin compute.globalAddresses.list untuk project saat membuat rentang yang dialokasikan, atau jika Anda mengalami error seperti Error 400: Precondition check failed saat membuat, mencantumkan, atau mengubah koneksi pribadi, hal ini mungkin merupakan masalah pada peran Identity and Access Management (IAM) untuk akun layanan Service Networking API Anda. Akun layanan ini dibuat secara otomatis setelah Anda mengaktifkan Service Networking API. Diperlukan waktu hingga akun tersedia dan ditampilkan di halaman IAM.

Konsol

Untuk memastikan akun layanan memiliki peran IAM yang benar, lakukan hal berikut:

Di konsol Google Cloud , buka halaman IAM.

Buka IAM
Centang kotak Include Google-provided role grants.
Di kolom Name, temukan akun utama Service Networking Service Agent, lalu klik Edit principal di baris yang sesuai.
Di kolom Role, pastikan peran Service Networking Service Agent (roles/servicenetworking.serviceAgent) ada.
Jika peran Service Networking Service Agent tidak ada, klik Add role atau Add another role.
Klik Select a role.
Di kotak teks Filter, masukkan Service Networking Service Agent.
Pilih Service Networking Service Agent dari daftar, lalu klik Save.

gcloud

Untuk membuat akun layanan Service Networking API, gunakan perintah gcloud projects add-iam-policy-binding.

gcloud projects add-iam-policy-binding HOST_PROJECT_NAME \
    --member=serviceAccount:service-HOST_PROJECT_NUMBER@service-networking.iam.gserviceaccount.com \
    --role=roles/servicenetworking.serviceAgent

Ganti kode berikut:

HOST_PROJECT_NAME: nama project host.
HOST_PROJECT_NUMBER: jumlah project host.

Rute subnet peering tetap ada setelah memperbarui rentang yang dialokasikan

Setelah Anda memperbarui rentang alamat IP yang dialokasikan untuk koneksi layanan pribadi, rute subnet peering lama mungkin masih muncul di tabel perutean jaringan VPC Anda. Rute tetap ada karena rentang alamat IP masih digunakan.

Untuk menyelesaikan masalah ini, lakukan tindakan berikut:

Pastikan jika Anda menghapus rentang yang dialokasikan, Anda juga memperbarui koneksi pribadi.
Hapus atau perbarui semua resource yang menggunakan rentang alamat IP lama.

Rute subnet peering akan dihapus secara otomatis setelah rentang alamat IP tidak lagi digunakan. Mungkin ada penundaan antara penghapusan resource, dan produsen layanan menghapus resource sepenuhnya. Misalnya, jika rentang alamat IP lama sedang digunakan oleh instance Cloud SQL, produsen layanan mungkin memerlukan waktu hingga empat hari untuk menghapus instance Anda sepenuhnya. Rute subnet peering dihapus setelah penghapusan selesai.

Tidak dapat membuat koneksi pribadi baru

Jika Anda mencoba membuat koneksi pribadi baru setelah menghapus koneksi Peering Jaringan VPC yang terkait dengan koneksi pribadi sebelumnya, Google Cloud dapat menampilkan error. Untuk informasi pemecahan masalah, lihat pesan error berikut.

Untuk mencegah masalah ini terjadi, ikuti prosedur untuk menghapus koneksi pribadi, bukan menghapus koneksi Peering Jaringan VPC yang terkait secara langsung.

Error tidak dapat mengubah rentang yang dialokasikan:
```
ERROR: Cannot modify allocated ranges in CreateConnection. Please use UpdateConnection. Existing allocated IP ranges: ALLOCATED_RANGE_NAMES.
```
Jika Anda mendapatkan error ini, lakukan hal berikut:
1. Buat ulang koneksi pribadi yang Anda hapus dan gunakan nama rentang yang dialokasikan yang ditampilkan oleh error. Anda harus menggunakan nama rentang yang dialokasikan yang sama saat membuat ulang koneksi, tetapi rentang alamat IP (blok CIDR) yang sesuai dapat sama atau berbeda.
  
  Untuk membuat koneksi pribadi, lihat Membuat koneksi pribadi.
2. Jika perlu, ubah koneksi pribadi untuk menambahkan atau menghapus rentang yang dialokasikan. Anda mungkin ingin menggunakan rentang yang dialokasikan berbeda dengan rentang yang dialokasikan yang Anda tentukan saat membuat ulang koneksi pribadi pada langkah sebelumnya.
  
  Untuk mengubah koneksi pribadi, lihat Mengubah koneksi pribadi.

Error internal sementara:

ERROR: (gcloud.services.vpc-peerings.connect) The operation "operations/OPERATION_ID"
resulted in a failure "encountered some transient internal error, please try again later"

Jika Anda mendapatkan error ini, hubungi Dukungan Cloud.