Ringkasan endpoint API regional dan multiregional

Google Cloud merekomendasikan penggunaan endpoint regional atau multiregional dalam skenario berikut:

• Data dalam pengiriman harus tetap berada dalam region atau yurisdiksi tertentu.
• Anda memerlukan bukti penanganan data regional untuk tujuan kepatuhan atau audit.
• Anda memerlukan domain kegagalan yang terisolasi secara regional untuk mengakses layanan Google Cloud.

Endpoint regional dan multiregional menawarkan manfaat paling besar bagi pelanggan yang memerlukan penggunaan layanan khusus lokasi. Endpoint ini juga memastikan bahwa data dalam transit tetap berada di lokasi tertentu. Lokalitas data ini dipertahankan, baik data diakses melalui konektivitas pribadi maupun melalui internet publik.

Endpoint regional dan multiregional berbeda dengan Private Google Access. Akses Google Pribadi memungkinkan VM di subnet pribadi menjangkau Google API tanpa melintasi internet. Endpoint regional memberikan isolasi regional dan residensi data yang lebih ketat, karena seluruh jalur permintaan dan frontend layanan diregionalkan.

Endpoint regional

Endpoint API regional menyediakan akses ke layanan Google Cloud melalui endpoint API yang dicakup ke satu region Google Cloud . Traffic yang dikirim ke endpoint regional diproses dan TLS dihentikan dalam region yang ditentukan.

Untuk sebagian besar Google Cloud layanan, Anda dapat menggunakan endpoint regional untuk bekerja dengan resource regional dalam region yang ditentukan. Operasi pada resource global, resource multiregional, dan resource regional di luar region biasanya tidak didukung dari endpoint regional.

Endpoint multiregional

Endpoint API multiregional menyediakan akses ke layanan Google Cloud melalui endpoint API yang dicakup ke serangkaian region Google Cloud dalam negara yang sama, seperti Amerika Serikat, India, atau Kanada, atau yurisdiksi, seperti Uni Eropa. Traffic yang dikirim ke endpoint multiregional diproses dan TLS dihentikan sepenuhnya dalam yurisdiksi yang ditentukan.

Untuk sebagian besar layanan Google Cloud , Anda dapat menggunakan endpoint multiregional untuk bekerja dengan resource multiregional dalam multiregion yang ditentukan. Operasi pada resource global, resource regional, dan resource multiregional dari yurisdiksi lain biasanya tidak didukung.

Manfaat endpoint regional dan multiregional

Penggunaan endpoint regional dan multiregional memiliki manfaat berikut:

• Residensi data: membantu memenuhi persyaratan residensi data yang ketat dengan menjaga data dalam transit di dalam region yang dipilih. Sesi TLS selalu dihentikan dalam wilayah yang ditentukan.
• Isolasi regional: mengurangi dependensi lintas regional, yang mengurangi masalah akibat kegagalan di region lain.
• Kepatuhan: membantu Anda mematuhi persyaratan peraturan atau kebijakan yang mewajibkan data diproses dan disimpan dalam batas geografis tertentu.

Batasan endpoint regional dan multiregional

• Endpoint regional dan multiregional tidak dapat diakses melalui Private Google Access. Untuk terhubung ke endpoint regional melalui akses pribadi, gunakan Private Service Connect untuk membuat endpoint pribadi. Untuk mengetahui informasi selengkapnya, lihat Mengakses Google API regional melalui endpoint pribadi.

• Banyak layanan tidak mendukung operasi lintas-region dari endpoint regional. Untuk menjalankan operasi lintas-regional, gunakan endpoint global. Jika operasi lintas-region tetap berada dalam satu yurisdiksi, gunakan endpoint multiregional.

• Beberapa layanan tidak mendukung endpoint regional atau multiregional. Google Cloud Untuk daftar lengkap layanan yang didukung, lihat Endpoint layanan regional.

• Endpoint regional dan multiregional mungkin memiliki latensi yang lebih tinggi daripada endpoint global. Performa bervariasi berdasarkan lokasi Anda dan wilayah yang Anda gunakan.

Menerapkan endpoint regional dan multiregional

Anda dapat mengakses endpoint regional atau multi-regional secara pribadi dari VPC melalui load balancer regional. Misalnya, Anda dapat menentukan perimeter Kontrol Layanan VPC untuk mengisolasi resource cloud dari project tertentu dari internet dan dari jaringan yang tidak sah. Untuk perimeter tertentu, Anda memutuskan layanan mana yang akan menerapkan Kontrol Layanan VPC, lalu Anda menempatkan project dalam perimeter. Untuk mengetahui informasi selengkapnya, lihat bagian Menggunakan Kontrol Layanan VPC dalam dokumen ini.

Akses publik

Anda dapat mengakses endpoint regional dan multiregional secara publik melalui internet. Saat Anda mengakses endpoint regional dari internet, traffic akan dirutekan melalui Google Cloud jaringan Paket Standar. Koneksi, termasuk penghentian TLS, ditangani dalam region tujuan.

Untuk mengetahui informasi selengkapnya, lihat Mengakses Google API regional melalui endpoint publik.

Akses pribadi

Untuk akses pribadi ke endpoint regional dan multiregional, gunakan Private Service Connect. Private Service Connect membuat alamat IP pribadi di Virtual Private Cloud (VPC) Anda. Alamat IP pribadi merutekan ke layanan regional. Meskipun API global sering kali menggunakan Akses Google Pribadi standar dengan menggunakan rentang khusus, seperti private.googleapis.com, endpoint regional dan multiregional memerlukan konfigurasi endpoint pribadi eksplisit.

Untuk mengetahui informasi selengkapnya, lihat Mengakses Google API regional melalui endpoint pribadi.

Mengonfigurasi pemilihan rute dan firewall

Ikuti panduan ini untuk mengonfigurasi pemilihan rute dan firewall dengan benar.

Pemilihan rute lokal

Jika Anda terhubung ke endpoint regional dari lingkungan lokal melalui Cloud Interconnect atau Cloud VPN, Anda harus mengiklankan rentang IP pribadi endpoint regional. Konfigurasi ini memastikan perutean yang tepat dari jaringan lokal ke layanan Google Cloud .

• Cloud Router: gunakan pemberitahuan rute kustom untuk mengumumkan semua rentang IP pribadi melalui koneksi hybrid.
• Firewall lokal: konfigurasi firewall lokal Anda untuk mengizinkan traffic keluar ke rentang alamat IP virtual publik atau pribadi dari endpoint regional. Untuk mengetahui informasi selengkapnya, lihat Menggunakan aturan firewall VPC.

Aturan firewall VPC

Konfigurasi kebijakan firewall egress Anda untuk mengizinkan traffic ke alamat IP pribadi endpoint regional. Jika Anda menghapus rute default, pastikan rute yang sesuai sudah tersedia untuk rentang alamat IP virtual (VIP) endpoint regional:

• Untuk akses VIP publik, pastikan rute ada untuk rentang VIP endpoint regional dengan next hop yang ditetapkan ke gateway internet default.

• Untuk Private Service Connect, gunakan alamat IP atau perutean internal standar.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kebijakan firewall hierarkis untuk mengizinkan traffic keluar dari jaringan VPC tertentu.

Menggunakan Kontrol Layanan VPC

Endpoint regional kompatibel dengan perimeter Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya tentang Kontrol Layanan VPC, lihat Detail dan konfigurasi perimeter layanan.

Kontrol Layanan VPC membantu mencegah pemindahan data yang tidak sah dari layanan Google Cloud dengan membuat perimeter keamanan. Karena Anda tidak dapat mengakses endpoint regional melalui Private Google Access, untuk mengakses endpoint dalam perimeter VPC, Anda harus menggunakan Private Service Connect untuk mengonfigurasi endpoint pribadi.

• Penerapan perimeter: Saat Anda menambahkan layanan, seperti storage.googleapis.com, ke daftar Layanan yang dibatasi di perimeter Kontrol Layanan VPC, aturan Kontrol Layanan VPC berlaku untuk semua metode akses untuk layanan tersebut, termasuk akses melalui endpoint regional.

• Pemeriksaan kontrol layanan: Permintaan API ke endpoint regional, baik publik maupun pribadi, tunduk pada pemeriksaan kebijakan oleh Service Control API. Service Control API mengevaluasi permintaan berdasarkan konfigurasi perimeter Kontrol Layanan VPC dan meninjau jaringan sumber, project sumber, dan project resource target.

• Di dalam perimeter: Resource dalam perimeter Kontrol Layanan VPC, seperti VM, dapat mengakses layanan melalui endpoint regional jika layanan tersebut merupakan bagian dari layanan yang dapat diakses perimeter. Endpoint jaringan harus berada dalam perimeter VPC Anda, yang mengharuskan Anda membuat endpoint regional pribadi menggunakan Private Service Connect. Untuk mengetahui informasi selengkapnya, lihat Mengakses Google API regional melalui endpoint pribadi.

• Di luar perimeter: Upaya untuk mengakses resource yang dilindungi dalam perimeter dari luar perimeter menggunakan jenis endpoint apa pun diblokir oleh Kontrol Layanan VPC, kecuali jika tingkat akses atau aturan ingress dan egress secara eksplisit mengizinkan akses.

Misalnya, Anda menentukan perimeter Kontrol Layanan VPC untuk menerapkan kebijakan pada resource Cloud Storage, lalu menempatkan secure_project di dalam perimeter. Hanya VM dari secure_project yang dapat mengakses resource Cloud Storage milik secure_project. Selain itu, VM dicegah mengakses resource Cloud Storage di luar perimeter.

Manfaat Kontrol Layanan VPC

Penggunaan Kontrol Layanan VPC memberikan manfaat berikut:

• Anda mendapatkan manfaat isolasi regional dan residensi data bersama dengan perlindungan pemindahan data yang tidak sah dari Kontrol Layanan VPC.

• Dengan Kontrol Layanan VPC, akses yang dicakup ke satu region juga diatur oleh batas keamanan perimeter Kontrol Layanan VPC Anda.

Mengonfigurasi Kontrol Layanan VPC

Dalam perimeter Kontrol Layanan VPC, Anda harus mengakses endpoint regional pribadi dengan menggunakan Private Service Connect dari dalam perimeter VPC. Untuk mengetahui informasi selengkapnya, lihat Mengakses Google API regional melalui endpoint pribadi.

• Akses endpoint regional publik standar mungkin diblokir, karena tampaknya berasal dari luar perimeter.

• Pastikan layanan yang Anda akses, seperti compute.googleapis.com atau bigquery.googleapis.com, disertakan dalam daftar layanan yang dibatasi oleh perimeter.

Menggunakan kebijakan organisasi untuk penegakan tambahan

Kebijakan organisasi memberikan kontrol tambahan untuk resource cloud organisasi Anda. Dua kebijakan berikut berfungsi dengan endpoint regional untuk menerapkan lokalitas data dan meningkatkan isolasi regional:

• Membatasi Penggunaan Endpoint (constraints/gcp.restrictEndpointUsage)
• Batasan lokasi resource (constraints/gcp.resourceLocations)

Menerapkan penggunaan endpoint regional

Untuk menerapkan penggunaan endpoint regional, gunakan batasan kebijakan organisasi Membatasi Penggunaan Endpoint untuk menolak akses ke endpoint global. Untuk mengetahui informasi selengkapnya, lihat artikel Membatasi penggunaan endpoint di dokumentasi Assured Workloads.

Endpoint regional memastikan bahwa data dalam pengiriman tetap berada dalam suatu region, dan batasan Penggunaan Endpoint Membatasi memastikan bahwa resource yang digunakan untuk menyimpan data dalam penyimpanan hanya dibuat di region yang Anda izinkan. Penggunaan kedua kebijakan ini memberikan perlindungan residensi data yang lebih komprehensif untuk data dalam penyimpanan dan untuk data dalam pengiriman.

Batasan Penggunaan Endpoint Dibatasi ditetapkan menggunakan daftar yang tidak diizinkan, sehingga memungkinkan permintaan ke endpoint API layanan yang didukung yang tidak ditolak secara eksplisit. Setelah Anda mengonfigurasi endpoint regional, endpoint global masih dapat diakses kecuali jika Anda menggunakan batasan kebijakan organisasi Batasi Penggunaan Endpoint.

Batasan Batasi Penggunaan Endpoint mengontrol lokasi fisik tempat pengguna dapat membuat dan menyimpan resource Google Cloud baru, serta menerapkan residensi data dalam penyimpanan. Kebijakan ini hanya berlaku untuk pembuatan resource baru untuk layanan yang didukung. Resource yang ada tidak terpengaruh.

Menerapkan batasan lokasi

Kebijakan batasan lokasi resource (constraints/gcp.resourceLocations) mengontrol lokasi fisik tempat resource Google Cloud baru dapat dibuat dan disimpan, yang menangani residensi data dalam penyimpanan. Untuk mengetahui informasi selengkapnya, lihat Menetapkan kebijakan organisasi dalam dokumentasi Resource Manager.

Saat menggunakan kebijakan batasan lokasi resource, Anda menentukan daftar lokasi yang diizinkan atau ditolak. Google Cloud Untuk lokasi, Anda dapat menggunakan region, zona, atau multiregion. Kebijakan ini hanya berlaku untuk pembuatan resource baru untuk layanan yang didukung. Resource yang ada tidak terpengaruh.

Menggunakan kebijakan ini dengan endpoint regional bermanfaat, karena endpoint regional memastikan bahwa data dalam pengiriman tetap berada dalam suatu region, dan kebijakan batasan lokasi memastikan bahwa resource yang menyimpan data tetap berada di region yang Anda izinkan.

Penerapan gabungan

Dengan menggunakan kebijakan Batasi Penggunaan Endpoint untuk menolak endpoint global dan kebijakan batasan lokasi resource untuk membatasi lokasi tempat resource dapat dibuat, Anda menerapkan data dalam penyimpanan dan data dalam pengiriman.

• Data dalam penyimpanan: resource hanya dibuat dan disimpan di region yang diizinkan.
• Data dalam transit: Interaksi API dengan resource tersebut ditangani sepenuhnya dalam region yang ditentukan saat menggunakan endpoint regional yang sesuai.

Harga

Untuk endpoint regional pribadi, harga didasarkan pada penggunaan Private Service Connect. Biaya penagihan mencakup endpoint dan pemrosesan data.

Untuk endpoint regional publik, traffic ingress tidak ditagih. Traffic keluar ditagih berdasarkan harga jaringan Paket Standar.

Dokumentasi referensi

• Gunakan Google Cloud CLI untuk mengelola endpoint regional.
• Lihat dokumentasi REST regionalEndpoints.

Langkah berikutnya

• Akses endpoint regional pribadi.
• Mengakses endpoint regional publik.
• Mengakses Google API regional melalui backend.
• Lihat Google Cloud endpoint layanan regional yang didukung.