Penyebaran koneksi Private Service Connect melalui NCC

Private Service Connect memungkinkan konsumen mengakses layanan terkelola secara pribadi dari dalam jaringan Virtual Private Cloud (VPC) mereka. Demikian pula, hal ini memungkinkan produsen layanan terkelola menghosting layanan ini di jaringan dan project VPC masing-masing yang terpisah dan menawarkan koneksi pribadi kepada konsumen mereka. Koneksi Private Service Connect tidak transitif di antara VPC spoke. Penyebaran layanan Private Service Connect melalui hub Network Connectivity Center (NCC) memungkinkan layanan ini dapat dijangkau oleh VPC spoke lain dalam hub yang sama melalui tabel rute.

NCC juga mendukung propagasi endpoint regional. Untuk mengetahui informasi selengkapnya tentang endpoint regional, lihat Tentang mengakses endpoint regional melalui endpoint Private Service Connect.

Fitur propagasi koneksi NCC Private Service Connect bermanfaat untuk kasus penggunaan berikut:

  • Anda dapat menggunakan jaringan VPC layanan umum untuk membuat beberapa endpoint konsumen Private Service Connect. Dengan menambahkan satu jaringan VPC layanan umum ke hub NCC, semua endpoint konsumen Private Service Connect di jaringan VPC tersebut dapat diakses secara transitif oleh spoke VPC lain melalui hub NCC. Konektivitas ini menghilangkan kebutuhan untuk mengelola setiap endpoint Private Service Connect secara terpisah di setiap jaringan VPC.

  • Anda dapat mengakses layanan terkelola di jaringan spoke VPC dari jaringan lokal yang dapat dijangkau oleh spoke hybrid.

Saat Anda menghubungkan spoke VPC ke hub yang mengaktifkan propagasi koneksi, NCC akan membuat koneksi yang dipropagasi di spoke tersebut untuk semua endpoint yang terpasang ke hub yang sama, kecuali jika subnet endpoint dikecualikan dari diekspor. Setelah jaringan VPC ditambahkan ke hub NCC sebagai spoke VPC, endpoint Private Service Connect baru juga akan dipropagasi, kecuali jika subnet endpoint dikecualikan dari ekspor.

Untuk menyiapkan hub dengan koneksi yang di-propagate Private Service Connect yang diaktifkan, administrator hub harus membuat hub dengan propagasi Private Service Connect atau memperbarui setelan propagasi menggunakan tanda --export-psc. Kemudian, administrator hub harus menambahkan jaringan VPC sebagai spoke ke hub. Pemilik spoke dapat menggunakan flag --exclude-export-ranges dan --include-export-ranges untuk mengecualikan subnet yang dialokasikan Private Service Connect tertentu dari perutean NCC sehingga subnet yang ditentukan tidak dapat dijangkau dari jaringan VPC lain, sehingga tetap bersifat pribadi untuk jaringan VPC lokal.

Untuk mengetahui informasi tentang koneksi yang diterapkan Private Service Connect, lihat Tentang koneksi yang diterapkan.

Untuk mengetahui informasi tentang tanda --exclude-export-ranges dan --include-export-ranges, lihat Konektivitas VPC dengan filter ekspor.

Untuk mengetahui informasi mendetail tentang cara menyiapkan hub untuk koneksi yang di-propagate Private Service Connect, lihat Mengonfigurasi hub.

Batas propagasi koneksi

Untuk mengetahui detail tentang batas koneksi yang diterapkan, lihat Batas koneksi yang diterapkan.

Pertimbangan

Pertimbangkan hal berikut sebelum Anda mengaktifkan koneksi yang di-propagasikan Private Service Connect:

  • Koneksi yang di-propagate Private Service Connect hanya berfungsi dengan spoke VPC.

  • Koneksi yang di-propagate IPv6 Private Service Connect di seluruh VPC spoke tidak didukung.

  • Jika Anda perlu menyediakan koneksi Private Service Connect yang diterapkan untuk jaringan lokal yang terhubung ke spoke hybrid:

    • Hub NCC Anda hanya boleh memiliki satu jaringan VPC perutean yang berisi semua spoke hybrid-nya.

    • Jaringan VPC perutean tunggal hub juga harus berupa spoke VPC.

    Jika hub memiliki dua atau beberapa jaringan VPC perutean, tidak ada jaringan VPC perutean yang dapat berupa spoke VPC. Akibatnya, hub dengan dua atau lebih jaringan VPC perutean tidak dapat menyediakan koneksi Private Service Connect yang di-propagate ke jaringan lokal.

  • Agar propagasi Private Service Connect berfungsi dengan spoke hybrid, jaringan VPC perutean juga harus ditambahkan sebagai spoke VPC.

  • Karena filter --exclude-export-ranges tidak dapat diubah untuk spoke setelah spoke dibuat, sebaiknya buat dua subnet untuk menghosting endpoint Private Service Connect—satu subnet untuk endpoint Private Service Connect khusus dalam jaringan VPC dan yang lainnya untuk endpoint Private Service Connect yang dibagikan ke hub. Saat Anda menambahkan jaringan VPC ke hub sebagai spoke, tambahkan rentang alamat IP subnet yang menghosting jaringan VPC khusus dalam jaringan VPC ke filter --exclude-export-ranges agar tidak dibagikan ke hub.

  • Endpoint Private Service Connect yang menggunakan rentang alamat IP publik yang digunakan secara pribadi tidak dipropagasi ke hub NCC.

  • Jika subnet di spoke VPC dikonfigurasi dengan NAT Pribadi untuk mengakses hub NCC, traffic dari subnet ke layanan Private Service Connect yang di-propagasikan akan dihentikan. Jika gateway Private NAT dikonfigurasi dengan --nat-all-subnet-ip-ranges, maka propagasi Private Service Connect melalui NCC tidak berfungsi untuk semua subnet di VPC spoke ini. Agar dapat berfungsi dari subnet yang tidak tumpang-tindih dari spoke VPC ini, gunakan --nat-custom-subnet-ip-ranges untuk gateway NAT Pribadi. Jangan gunakan NAT untuk merutekan traffic dari subnet yang tidak tumpang-tindih ke hub NCC.

  • Status propagasi mungkin tidak akurat jika Anda membuat, menghapus, dan membuat ulang endpoint Private Service Connect dalam jangka waktu yang singkat. Namun, setelah beberapa waktu, status propagasi menjadi akurat dan mencerminkan status sebenarnya dari koneksi yang dipropagasi. Proses ini dapat memerlukan waktu hingga 15 menit.

  • Penyebaran koneksi Private Service Connect bersifat asinkron setelah pembuatan atau penghapusan spoke. Saat spoke VPC dihapus dari hub, mungkin perlu waktu beberapa saat untuk memperbarui koneksi Private Service Connect yang diterapkan. Saat pembaruan koneksi propagasi Private Service Connect sedang berlangsung, traffic dari VM dalam jaringan VPC dapat mengalir ke backend, bahkan setelah spoke VPC ditambahkan ke hub baru. Untuk menghindari aliran traffic ke backend, sebelum menambahkan spoke ke hub lain, pastikan semua entri status propagasi untuk jaringan VPC di hub sebelumnya, baik sebagai spoke sumber maupun spoke target, telah dihapus.

Status propagasi koneksi Private Service Connect

NCC memungkinkan Anda melihat status propagasi koneksi Private Service Connect dalam hub NCC. Anda dapat melihat ringkasan status atau melihat perincian error tertentu untuk melihat detail error.

Tabel berikut mencantumkan kode status propagasi dan artinya.

Kode Pesan
Ready Koneksi Private Service Connect yang di-propagate sudah siap.
Menyebarkan Penyebaran koneksi Private Service Connect sedang menunggu keputusan. Ini adalah status sementara.
Error, batas koneksi yang diterapkan produsen terlampaui Propagasi koneksi Private Service Connect yang dipropagasi gagal karena jaringan VPC atau project spoke target telah melampaui batas koneksi propagasi yang ditetapkan oleh produsen. Untuk mengatasi masalah ini, lihat dokumentasi produser Anda atau hubungi tim dukungan mereka.
Error, ruang IP NAT produsen habis Propagasi koneksi Private Service Connect gagal karena ruang subnet IP NAT habis. Status ini setara dengan status Needs attention koneksi PSC. Untuk mengetahui detailnya, lihat Status koneksi dalam dokumentasi Private Service Connect.
Error, kuota produser terlampaui Penyebaran koneksi Private Service Connect gagal karena kuota PSC_ILB_CONSUMER_FORWARDING_RULES_PER_PRODUCER_NETWORK di jaringan VPC produsen terlampaui.
Error, kuota konsumen terlampaui Penyebaran koneksi Private Service Connect gagal karena kuota PSC_PROPAGATED_CONNECTIONS_PER_VPC_NETWORK di jaringan VPC konsumen terlampaui.

Untuk mengetahui informasi tentang cara melihat status penerapan koneksi Private Service Connect, lihat Melihat status penerapan koneksi Private Service Connect. Untuk mengetahui informasi tentang pemecahan masalah penerapan koneksi Private Service Connect, lihat Memecahkan masalah error penerapan koneksi Private Service Connect.

Langkah berikutnya