Halaman ini menjelaskan konsep yang terkait dengan Private Service Connect. Anda dapat menggunakan Private Service Connect untuk hal berikut:
- Terhubung ke instance Cloud SQL dari beberapa jaringan VPC yang tergabung dalam grup, tim, project, atau organisasi yang berbeda.
- Terhubung ke instance utama atau replika bacanya.
Endpoint Private Service Connect
Anda dapat menggunakan endpoint Private Service Connect untuk mengakses instance Cloud SQL secara pribadi dari jaringan VPC konsumen. Endpoint ini adalah alamat IP internal yang terkait dengan aturan penerusan yang mereferensikan lampiran layanan instance Cloud SQL.
Anda dapat meminta Cloud SQL membuat endpoint secara otomatis atau membuat endpoint secara manual.
Untuk meminta Cloud SQL membuat endpoint secara otomatis, lakukan hal berikut:
- Buat kebijakan koneksi layanan di jaringan VPC Anda.
Buat instance Cloud SQL dengan Private Service Connect yang diaktifkan untuk instance tersebut dan konfigurasi instance untuk membuat endpoint secara otomatis. Saat membuat instance, tentukan parameter koneksi otomatis seperti jaringan dan project VPC.
Cloud SQL akan menemukan kebijakan koneksi layanan di jaringan ini dan membuat endpoint Private Service Connect yang mengarah ke lampiran layanan instance.
Setelah Anda membuat instance dan Cloud SQL membuat endpoint, klien di jaringan VPC yang sesuai dapat terhubung ke instance dari endpoint, baik melalui alamat IP maupun data DNS.
Untuk membuat endpoint secara manual, lakukan hal berikut:
- Buat instance Cloud SQL dengan Private Service Connect yang diaktifkan untuk instance tersebut.
- Dapatkan lampiran layanan URI yang Anda perlukan untuk membuat endpoint secara manual.
Cadangkan alamat IP internal di jaringan VPC Anda untuk endpoint dan buat endpoint dengan alamat tersebut.
Setelah Anda membuat instance dan Cloud SQL membuat endpoint, klien di jaringan VPC yang sesuai dapat terhubung ke instance dari endpoint, baik melalui alamat IP maupun data DNS.
Kebijakan koneksi layanan
Dengan kebijakan koneksi layanan , Anda dapat mengizinkan class layanan tertentu untuk membuat koneksi Private Service Connect antara jaringan VPC. Dengan demikian, Anda dapat menyediakan endpoint Private Service Connect secara otomatis.
Anda dapat membuat maksimal satu kebijakan untuk setiap kombinasi class, region, dan jaringan VPC layanan. Kebijakan menentukan otomatisasi konektivitas layanan untuk kombinasi spesifik tersebut. Saat mengonfigurasi kebijakan, Anda memilih subnet. Subnet digunakan untuk mengalokasikan alamat IP untuk endpoint yang Anda buat melalui kebijakan. Jika beberapa kebijakan koneksi layanan menggunakan region yang sama, Anda dapat menggunakan kembali subnet yang sama untuk semua kebijakan.
Misalnya, jika Anda ingin menggunakan otomatisasi konektivitas layanan dengan dua layanan di tiga region berbeda, buatlah enam kebijakan. Anda dapat menggunakan minimal tiga subnet: satu untuk setiap region.
Setelah membuat kebijakan koneksi layanan, Anda hanya dapat mengupdate subnet dan batas koneksi kebijakan. Jika perlu mengupdate kolom lain, lakukan hal berikut:
- Hapus semua koneksi yang menggunakan kebijakan tersebut.
- Hapus kebijakan tersebut.
- Buat kebijakan baru.
Lampiran layanan
Saat Anda membuat a instance Cloud SQL dan mengonfigurasi instance untuk menggunakan Private Service Connect, Cloud SQL akan membuat lampiran layanan untuk instance tersebut secara otomatis. _Lampiran layanan_ adalah titik lampiran yang digunakan jaringan VPC untuk mengakses instance.
Anda membuat endpoint Private Service Connect yang digunakan jaringan VPC untuk terhubung ke lampiran layanan. Hal ini memungkinkan jaringan mengakses instance.
Setiap instance Cloud SQL memiliki satu lampiran layanan yang dapat dihubungkan dengan endpoint Private Service Connect melalui jaringan VPC. Jika ada beberapa jaringan, setiap jaringan akan memiliki endpointnya sendiri.
Nama dan data DNS
Untuk instance yang mengaktifkan Private Service Connect, sebaiknya gunakan nama DNS karena jaringan yang berbeda dapat terhubung ke instance yang sama dan endpoint Private Service Connect di setiap jaringan mungkin memiliki alamat IP yang berbeda. Selain itu, Proxy Auth Cloud SQL memerlukan nama DNS untuk terhubung ke instance ini.
Instance Cloud SQL yang mengaktifkan Private Service Connect dapat memiliki dua jenis nama DNS:
Nama DNS per instance. Nama ini tersedia untuk instance di semua edisi Cloud SQL. Instance utama dan setiap instance replika memiliki nama DNS per instance yang terpisah.
Nama DNS endpoint tulis global. Nama ini tersedia untuk instance di edisi Cloud SQL Enterprise Plus, untuk membantu pemulihan dari bencana (DR) tingkat lanjut. Endpoint tulis adalah nama DNS global yang otomatis di-resolve ke alamat IP instance utama saat ini. Jika terjadi operasi failover atau pengalihan replika, endpoint tulis ini akan otomatis mengalihkan koneksi masuk ke instance utama baru. Dengan menggunakan endpoint tulis, Anda tidak perlu melakukan perubahan koneksi aplikasi saat melakukan operasi failover atau pengalihan replika untuk pemulihan dari gangguan region atau simulasi pemulihan dari bencana.
Untuk nama DNS per instance, Anda dapat meminta Cloud SQL membuat data DNS secara otomatis atau membuat nama DNS secara manual.
Jika menggunakan pendekatan manual, Anda dapat memperoleh nama DNS per instance yang direkomendasikan dari respons API pencarian instance, lalu membuat data DNS di zona DNS pribadi di jaringan VPC yang sesuai. Lihat detailnya di Mengonfigurasi DNS secara manual.
Fitur otomatisasi DNS
Atau, Anda dapat menggunakan fitur otomatisasi DNS untuk mengizinkan Cloud SQL menyediakan dan mengelola data DNS secara otomatis untuk nama DNS per instance di jaringan VPC konsumen yang diberi otorisasi.
Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan dan mengonfigurasi otomatisasi DNS, lihat Membuat instance dengan otomatisasi DNS yang diaktifkan.
Saat Anda menggunakan fitur otomatisasi DNS di instance edisi Cloud SQL Enterprise Plus, Cloud SQL juga akan otomatis menyediakan dan mengelola data DNS untuk nama DNS global endpoint tulis di jaringan VPC konsumen yang diberi otorisasi.
Otomatisasi DNS memiliki batasan berikut:
- Anda tidak dapat terhubung dari proxy auth atau konektor bahasa ke nama DNS per instance atau Endpoint Tulis yang dibuat melalui otomatisasi DNS.
- Mengonfigurasi otomatisasi DNS menggunakan Google Cloud konsol atau dengan Terraform tidak didukung.
Project Private Service Connect yang diizinkan
Project yang diizinkan terkait dengan jaringan VPC dan bersifat khusus untuk setiap instance Cloud SQL. Jika instance tidak terdapat dalam project yang diizinkan, Anda tidak dapat mengaktifkan Private Service Connect untuk instance tersebut.
Untuk project ini, Anda dapat membuat endpoint Private Service Connect untuk setiap instance. Jika project tidak diizinkan secara eksplisit, Anda tetap dapat membuat endpoint untuk instance dalam project, tetapi endpoint akan tetap dalam status PENDING.
Propagasi endpoint Private Service Connect
Secara default, koneksi Private Service Connect tidak bersifat transitif dari jaringan VPC yang di-peering. Anda harus membuat endpoint Private Service Connect di setiap jaringan VPC yang perlu terhubung ke instance Cloud SQL Anda. Misalnya, jika Anda memiliki tiga jaringan VPC yang harus terhubung ke instance, Anda harus membuat tiga endpoint Private Service Connect — satu endpoint untuk setiap jaringan VPC.
Namun, dengan menyebarkan endpoint Private Service Connect melalui hub Network Connectivity Center, endpoint ini dapat dijangkau oleh jaringan VPC spoke lainnya di hub yang sama. Hub menyediakan model pengelolaan konektivitas terpusat untuk melakukan interkoneksi jaringan VPC spoke ke endpoint Private Service Connect.
Fitur propagasi koneksi di NCC memberikan manfaat untuk kasus penggunaan berikut untuk deployment Private Service Connect:
Anda dapat menggunakan jaringan VPC layanan umum untuk membuat beberapa endpoint Private Service Connect. Dengan menambahkan satu jaringan VPC layanan umum ke hub NCC, semua endpoint Private Service Connect di jaringan VPC akan dapat diakses secara transitif ke jaringan VPC spoke lainnya melalui hub. Konektivitas ini menghilangkan kebutuhan untuk mengelola setiap endpoint Private Service Connect di setiap jaringan VPC secara terpisah.
Untuk mempelajari cara menggunakan hub NCC untuk menyebarkan endpoint Private Service Connect ke jaringan VPC spoke, lihat codelab propagasi NCC—Private Service Connect.
Backend Private Service Connect
Anda dapat menggunakan backend Private Service Connect sebagai alternatif untuk endpoint Private Service Connect, untuk mengakses instance Cloud SQL. Untuk kemudahan penggunaan, sebaiknya hubungkan ke instance Cloud SQL Anda menggunakan endpoint Private Service Connect. Untuk kontrol dan visibilitas tambahan, Anda dapat terhubung menggunakan backend Private Service Connect.
Untuk menggunakan backend Private Service Connect, Anda harus menyiapkan resource berikut untuk setiap port layanan yang ingin Anda gunakan untuk mengakses instance Cloud SQL tertentu:
- Grup Endpoint Jaringan (NEG) Private Service Connect, yang harus mereferensikan lampiran layanan dan port layanan instance Cloud SQL.
- Load Balancer Jaringan Proxy Internal (terdiri dari Layanan Backend, Proxy TCP Target, dan Aturan Penerusan) dengan backend-nya adalah NEG Private Service Connect.
- Port TCP 1433 untuk koneksi langsung ke server database SQL Server.
- Port TCP 3307 untuk koneksi melalui Proxy Auth Cloud SQL.
Koneksi keluar Private Service Connect
Anda dapat melampirkan antarmuka Private Service Connect ke instance yang mengaktifkan Private Service Connect Cloud SQL yang ada menggunakan lampiran jaringan untuk mengizinkan instance Cloud SQL Anda membuat koneksi keluar ke jaringan Anda. Untuk terhubung ke antarmuka Private Service Connect jaringan Anda, Anda memerlukan lampiran jaringan baru atau yang sudah ada dalam Google Cloud project Anda.
Anda dapat menggunakan konektivitas keluar untuk memigrasikan data dari server eksternal dalam jaringan Anda, menggunakan server tertaut yang memerlukan koneksi keluar, atau melakukan migrasi homogen menggunakan Database Migration Service.
Batasan
Saat menggunakan antarmuka Private Service Connect dengan lampiran jaringan untuk membuat koneksi keluar ke jaringan Anda dari instance Cloud SQL Anda, perhatikan batasan berikut:
- Mengaktifkan atau menonaktifkan konektivitas keluar Private Service Connect memerlukan waktu nonaktif. Anda dapat memperkirakan operasi ini memerlukan waktu sekitar 8 menit untuk diselesaikan dengan perkiraan waktu nonaktif 3 menit.
- Jika Anda menggunakan nama host atau DNS untuk koneksi keluar, nama DNS harus dapat di-resolve secara publik dan di-resolve ke rentang IP RFC-1918.
- Alamat IPv6 tidak didukung.
- Alamat IP publik tidak didukung.
- Konektivitas keluar Private Service Connect tidak dapat diaktifkan pada instance replika baca.
- Pengalihan tidak didukung untuk instance yang mengaktifkan konektivitas keluar Private Service Connect.
- Anda tidak dapat mengaktifkan konektivitas keluar Private Service Connect untuk instance yang memiliki replika DR.
- Anda tidak dapat mengonversi replika instance yang mengaktifkan konektivitas keluar Private Service Connect menjadi replika DR.
- Jika alamat IP konektivitas keluar bertentangan dengan IP
eth0atau aturan penerusan Private Service Connect, alamat IP mungkin tidak terhubung dengan benar. Untuk mengetahui informasi selengkapnya, lihat Ringkasan Private Service Connect. - Jika instance Anda dikonfigurasi untuk akses layanan pribadi dan Private Service Connect, Anda tidak dapat mengaktifkan konektivitas keluar Private Service Connect untuk instance Anda.
- Jika Anda mengaktifkan konektivitas keluar Private Service Connect untuk instance, Anda tidak dapat membuat replika untuk instance tersebut.
Untuk mengetahui informasi selengkapnya tentang cara menyiapkan konektivitas keluar untuk instance Cloud SQL Anda, lihat Mengonfigurasi konektivitas keluar.
Langkah berikutnya
- Pelajari lebih lanjut tentang IP pribadi.
- Pelajari lebih lanjut tentang cara terhubung ke instance menggunakan Private Service Connect.