Private services access

Halaman ini menyediakan ringkasan tentang akses layanan pribadi.

Google dan pihak ketiga (bersama-sama dikenal sebagai produsen layanan) dapat menawarkan layanan yang dihosting VPC—layanan yang berjalan di VM yang dihosting di jaringan VPC. Akses layanan pribadi memungkinkan Anda menjangkau layanan tersebut dengan membuat koneksi pribadi antara jaringan VPC Anda dan jaringan VPC produsen layanan. Koneksi pribadi membuat koneksi Peering Jaringan VPC antara jaringan Anda dan jaringan produsen layanan.

Traffic akses layanan pribadi berjalan secara internal dalam jaringan Google, bukan melalui internet publik. Instance di jaringan VPC Anda dapat menjangkau layanan menggunakan alamat IPv4 internalnya. Instance Anda dapat memiliki alamat IP eksternal, tetapi alamat IP eksternal tidak diperlukan untuk, dan tidak digunakan oleh, akses layanan pribadi.

Layanan yang didukung

Layanan yang dihosting VPC Google berikut mendukung akses layanan pribadi:

Akses layanan pribadi dan Peering Jaringan VPC

Dalam koneksi pribadi, jaringan produsen layanan dan jaringan Anda terhubung melalui Peering Jaringan VPC. Agar perutean antara kedua jaringan berfungsi dengan benar, kedua jaringan harus menggunakan rentang alamat IP yang berbeda. Untuk menghindari tumpang-tindih, Anda membuat satu atau beberapa rentang yang dialokasikan di jaringan untuk digunakan dengan koneksi pribadi.

Saat Anda mengalokasikan rentang di jaringan VPC, rentang tersebut tidak dapat digunakan untuk resource lain, seperti subnet atau tujuan rute statis kustom.

Untuk mengetahui informasi tentang cara memilih rentang yang dialokasikan, lihat Memilih rentang alamat IP untuk rentang yang dialokasikan.

Alur kerja akses layanan pribadi

Saat Anda menggunakan akses layanan pribadi, resource di-deploy di jaringan VPC Anda dan jaringan produsen layanan. Langkah-langkah berikut menguraikan prosesnya:

  1. Sebagai konsumen layanan, Anda men-deploy instance layanan dengan akses layanan pribadi. Detailnya dapat bervariasi bergantung pada layanan yang Anda deploy. Langkah-langkah berikut dapat dilakukan oleh Anda, atau dapat diotomatiskan oleh produsen layanan sebagai bagian dari deployment instance layanan:

    1. Anda mengalokasikan rentang alamat IP di jaringan VPC Anda. Rentang yang dialokasikan ini dicadangkan secara eksklusif untuk produsen layanan.

    2. Anda membuat koneksi pribadi ke produsen layanan, dengan menentukan rentang yang dialokasikan yang Anda buat.

    3. Anda menyediakan instance layanan—misalnya, instance Cloud SQL—dengan merujuk ke koneksi pribadi yang telah Anda buat.

  2. Produsen layanan menyediakan resource untuk instance layanan Anda.

    1. Produsen layanan membuat project untuk instance layanan Anda. Project ini terisolasi, sehingga tidak ada pelanggan lain yang membagikannya dan konsumen layanan hanya ditagih untuk resource yang disediakan oleh konsumen layanan.

    2. Dalam project tersebut, produsen layanan membuat jaringan VPC yang dikhususkan untuk Anda.

    3. Dalam jaringan tersebut, produsen layanan membuat subnet. Rentang alamat IP untuk subnet ini dipilih dari rentang yang dialokasikan yang Anda berikan. Produsen layanan biasanya memilih blok CIDR /29 hingga /24. Anda tidak dapat memilih atau mengubah rentang alamat IP subnet produsen layanan.

    4. Instance layanan diberi alamat IP dari subnet baru.

  3. Koneksi pribadi menjadi aktif.

    1. Koneksi Peering Jaringan VPC telah dibuat.

    2. Jaringan VPC Anda mengimpor rute dari jaringan produsen layanan.

    3. VM di jaringan Anda dapat berkomunikasi dengan instance layanan menggunakan alamat IP internalnya. Traffic berjalan sepenuhnya di dalam jaringan Google dan tidak melalui internet publik.

Anda dapat melakukan tindakan berikut setelah deployment awal dibuat:

  • Menyediakan lebih banyak resource: saat Anda menyediakan resource tambahan untuk layanan yang sama, produsen layanan akan menempatkannya di subnet yang ada jika ada ruang. Jika subnet penuh, subnet baru akan dibuat di region tersebut dari rentang yang dialokasikan.

  • Menghapus resource: subnet di jaringan produsen layanan hanya akan dihapus jika Anda menghapus semua resource layanan di dalamnya. Untuk informasi tentang cara menghapus resource, lihat dokumentasi produsen layanan yang relevan.

Contoh

Diagram berikut menunjukkan penggunaan koneksi pribadi untuk mengakses instance layanan.

Resource di jaringan konsumen layanan dapat mengakses instance Cloud SQL melalui akses layanan pribadi.
Akses layanan pribadi (klik untuk memperbesar).

Dalam contoh ini, jaringan VPC konsumen layanan mengalokasikan rentang alamat IP 10.240.0.0/16 untuk layanan Google dan menetapkan koneksi pribadi yang menggunakan rentang yang dialokasikan.

  • Koneksi pribadi diberi rentang 10.240.0.0/16 yang dialokasikan.

  • Google membuat project dan jaringan VPC untuk resource konsumen layanan. Jaringan VPC terhubung menggunakan Peering Jaringan VPC.

  • Produsen layanan membuat subnet yang menggunakan rentang alamat IP 10.240.0.0/24.

  • Instance Cloud SQL diberi alamat IP 10.240.0.2.

  • Setelah subnet dibuat, jaringan konsumen layanan akan mengimpor rute dari jaringan layanan.

  • Di jaringan VPC konsumen layanan, permintaan dengan tujuan 10.240.0.2 dirutekan ke koneksi pribadi melalui jaringan produsen layanan.

  • Konsumen layanan men-deploy instance layanan untuk layanan Google lain di europe-west1. Karena Google adalah produsen layanan, project dan jaringan yang sama dapat digunakan. Namun, karena instance berada di region yang berbeda, subnet baru diperlukan. Google membuat subnet baru yang menggunakan rentang alamat IP 10.240.10.0/24 dan menetapkan alamat IP 10.240.10.2 ke instance layanan.

Keterjangkauan instance layanan

Hanya satu jaringan VPC konsumen layanan yang dapat membuat koneksi pribadi ke instance layanan terkelola tertentu. Namun, ada cara untuk menyediakan koneksi pribadi bagi resource yang berada di luar jaringan VPC tersebut:

Jika tidak ada opsi yang sesuai untuk kasus penggunaan Anda, produsen layanan dapat menawarkan cara lain untuk terhubung ke layanan yang lebih sesuai, misalnya, melalui Private Service Connect. Untuk mengetahui informasi selengkapnya, lihat dokumentasi untuk layanan tersebut.

Mengakses melalui Network Connectivity Center

Untuk beberapa layanan yang tersedia melalui akses layanan pribadi, Anda dapat menggunakan Network Connectivity Center untuk membuat layanan dapat dijangkau oleh spoke lain di hub dengan membuat spoke VPC produsen. Untuk mengetahui informasi selengkapnya, termasuk layanan yang didukung, lihat Spoke VPC produsen.

Mengakses melalui VPC Bersama

Jika Anda menggunakan VPC Bersama, buat rentang IP yang dialokasikan dan koneksi pribadi di project host. Biasanya, administrator jaringan di project host harus melakukan tugas ini. Setelah project host disiapkan, instance VM dalam project layanan dapat menggunakan koneksi pribadi.

Mengakses melalui konektivitas hybrid

Dalam skenario jaringan hybrid, jaringan lokal terhubung ke jaringan VPC melalui koneksi Cloud VPN atau Cloud Interconnect. Secara default, host lokal tidak dapat menjangkau jaringan produsen layanan menggunakan akses layanan pribadi.

Di jaringan VPC, Anda mungkin memiliki rute kustom statis atau dinamis untuk mengarahkan traffic ke jaringan lokal dengan benar. Namun, jaringan produsen layanan tidak berisi rute yang sama tersebut. Saat Anda membuat koneksi pribadi, jaringan VPC dan jaringan produsen layanan hanya bertukar rute subnet.

Jaringan produsen layanan berisi rute default (0.0.0.0/0) yang menuju ke internet. Jika Anda mengekspor rute default ke jaringan produsen layanan, rute tersebut akan diabaikan, karena rute default jaringan produsen layanan yang lebih diutamakan. Sebagai gantinya, tentukan dan ekspor rute kustom dengan tujuan yang lebih spesifik.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi konektivitas hybrid.

Jaringan produsen layanan

Di sisi produsen layanan, koneksi pribadi adalah jaringan VPC tempat resource layanan Anda disediakan. Jaringan produsen layanan dibuat khusus untuk Anda dan hanya berisi resource Anda.

Resource di jaringan produsen layanan mirip dengan resource lain di jaringan VPC Anda. Misalnya, jaringan Anda dapat dijangkau melalui alamat IP internal oleh resource lain di jaringan VPC Anda. Anda juga dapat membuat aturan firewall di jaringan VPC untuk mengontrol akses ke jaringan produsen layanan.

Untuk mengetahui informasi selengkapnya tentang sisi produsen layanan, lihat Mengaktifkan akses layanan pribadi dalam dokumentasi Service Infrastructure. Dokumentasi ini hanya ditujukan sebagai informasi dan tidak diperlukan untuk mengaktifkan atau menggunakan akses layanan pribadi.

Harga

Untuk mengetahui harga akses layanan pribadi, lihat Akses layanan pribadi di halaman harga VPC.

Batasan

Batasan berikut berlaku untuk akses layanan pribadi:

  • Karena koneksi pribadi diterapkan sebagai koneksi Peering Jaringan VPC, perilaku dan batasan koneksi peering juga berlaku untuk koneksi pribadi. Misalnya, karena Peering Jaringan VPC tidak bersifat transitif, koneksi pribadi tidak tersedia untuk jaringan VPC yang di-peering.

    Untuk mengetahui informasi selengkapnya, lihat Peering Jaringan VPC, Batasan Peering Jaringan VPC, dan Kuota dan batas.

  • Hanya satu jaringan VPC konsumen layanan yang dapat membuat koneksi pribadi yang terhubung ke instance layanan terkelola tertentu. Namun, ada cara untuk menyediakan koneksi pribadi bagi resource yang berada di luar jaringan VPC tersebut. Untuk mengetahui informasi selengkapnya, lihat Keterjangkauan instance layanan.

  • Anda tidak dapat mengubah rentang alamat IP yang terkait dengan rentang yang dialokasikan. Namun, Anda dapat mengubah rentang yang dialokasikan yang terkait dengan koneksi pribadi.

  • Penggunaan rentang alamat IPv6 dengan akses layanan pribadi tidak didukung.

Langkah berikutnya