Halaman ini diterjemahkan oleh Cloud Translation API.

Tentang mengontrol akses ke layanan yang dipublikasikan

Halaman ini menjelaskan fitur yang dapat Anda gunakan untuk mengontrol akses ke layanan yang dipublikasikan menggunakan Private Service Connect.

Preferensi koneksi

Setiap lampiran layanan memiliki preferensi koneksi yang mengontrol apakah koneksi akan diterima secara otomatis.

Terima semua koneksi secara otomatis. Lampiran layanan otomatis menerima semua permintaan koneksi masuk dari pelanggan mana pun.
Terima koneksi dari konsumen tertentu secara eksplisit. Lampiran layanan hanya menerima permintaan koneksi masuk jika konsumen tercantum dalam daftar penerimaan konsumen lampiran layanan. Anda dapat menentukan konsumen menurut project, jaringan VPC, atau endpoint Private Service Connect individual (Pratinjau). Anda tidak dapat menyertakan berbagai jenis konsumen dalam daftar penerimaan atau penolakan konsumen yang sama.

Untuk preferensi koneksi apa pun, koneksi yang diterima dapat diganti dan ditolak oleh kebijakan organisasi yang memblokir koneksi masuk.

Sebaiknya Anda menerima koneksi secara eksplisit untuk konsumen yang dipilih. Menerima semua koneksi secara otomatis mungkin sesuai jika Anda mengontrol akses konsumen melalui cara lain dan ingin mengaktifkan akses permisif ke layanan Anda.

Daftar penerimaan dan penolakan konsumen

Daftar penerimaan konsumen dan daftar penolakan konsumen adalah fitur keamanan lampiran layanan. Dengan daftar ini, produsen layanan dapat menentukan konsumen mana yang dapat membuat koneksi Private Service Connect ke layanan mereka. Jika lampiran layanan dikonfigurasi untuk persetujuan eksplisit, koneksi baru hanya akan diterima jika konsumen tercantum dalam daftar penerimaan dan tidak tercantum dalam daftar penolakan. Pembaruan pada daftar konsumen hanya memengaruhi koneksi baru, kecuali jika Rekonsiliasi koneksi diaktifkan.

Daftar penerimaan dan penolakan konsumen memungkinkan Anda menentukan konsumen dengan salah satu cara berikut:

Project
Jaringan VPC
Endpoint Private Service Connect (Pratinjau)

Metode ini tidak berlaku untuk backend Private Service Connect.

Jika Anda menambahkan konsumen yang sama ke daftar penerimaan dan penolakan, konsumen tersebut akan diblokir agar tidak dapat terhubung ke lampiran layanan. Menentukan konsumen menurut folder tidak didukung.

Kedua daftar konsumen lampiran layanan harus berisi jenis konsumen yang sama. Misalnya, jika Anda menambahkan project ke daftar penerimaan, Anda tidak dapat menambahkan Jaringan VPC atau URI endpoint ke salah satu daftar, kecuali jika Anda mengganti project dalam daftar penerimaan dengan jenis konsumen baru.

Jika ingin memublikasikan layanan yang menerima berbagai jenis konsumen, Anda dapat membuat beberapa lampiran layanan yang terhubung ke layanan yang sama. Setiap lampiran layanan dapat dikonfigurasi dengan preferensi koneksi dan daftar konsumennya sendiri.

Anda dapat mengubah jenis konsumen dalam daftar konsumen tanpa mengganggu koneksi, tetapi Anda harus melakukan perubahan dalam satu update. Jika tidak, operasi akan gagal.

Ada batasan jumlah konsumen yang dapat Anda tambahkan ke daftar penerimaan dan penolakan:

Anda dapat menambahkan maksimal 5.000 nilai ke daftar yang diterima konsumen.
Anda dapat menambahkan maksimal 64 nilai ke daftar penolakan konsumen.

Daftar konsumen mengontrol apakah endpoint atau backend dapat terhubung ke layanan yang dipublikasikan, tetapi tidak mengontrol siapa yang dapat mengirim permintaan ke endpoint tersebut. Misalnya, konsumen memiliki jaringan VPC Bersama yang memiliki dua project layanan yang terlampir padanya. Jika layanan yang dipublikasikan memiliki service-project1 dalam daftar penerimaan konsumen, dan service-project2 dalam daftar penolakan konsumen, hal berikut berlaku:

Konsumen di service-project1 dapat membuat endpoint yang terhubung ke layanan yang dipublikasikan.
Konsumen di service-project2 tidak dapat membuat endpoint yang terhubung ke layanan yang dipublikasikan.
Klien di service-project2 dapat mengirim permintaan ke endpoint di service-project1, jika tidak ada aturan atau kebijakan firewall yang mencegah traffic tersebut.

Untuk informasi tentang bagaimana daftar yang disetujui konsumen berinteraksi dengan kebijakan organisasi, lihat Interaksi antara daftar yang disetujui konsumen dan kebijakan organisasi.

Batas daftar penerimaan konsumen

Daftar penerimaan konsumen memiliki batas koneksi. Batas ini menetapkan jumlah total koneksi endpoint dan backend Private Service Connect yang dapat diterima lampiran layanan dari project konsumen atau jaringan VPC yang ditentukan. Menentukan batas koneksi untuk daftar yang disetujui berbasis endpoint Private Service Connect tidak berpengaruh, karena hanya satu endpoint yang dapat cocok dengan URI tertentu.

Produsen dapat menggunakan batas koneksi agar konsumen perorangan tidak kehabisan alamat IP atau kuota resource di jaringan VPC produsen. Setiap koneksi Private Service Connect yang diterima mengurangi batas yang dikonfigurasi untuk project konsumen atau jaringan VPC. Batas ditetapkan saat Anda membuat atau mengupdate daftar penerimaan konsumen. Anda dapat melihat koneksi lampiran layanan saat menjelaskan lampiran layanan.

Koneksi yang dipropagasi tidak diperhitungkan dalam batas ini.

Misalnya, pertimbangkan kasus saat lampiran layanan memiliki daftar penerimaan konsumen yang menyertakan project-1 dan project-2, keduanya dengan batas satu koneksi. Project project-1 meminta dua koneksi, project-2 meminta satu koneksi, dan project-3 meminta satu koneksi. Karena project-1 memiliki batas satu koneksi, koneksi pertama diterima, dan koneksi kedua tetap tertunda. Koneksi dari project-2 diterima, dan koneksi dari project-3 tetap tertunda. Koneksi kedua dari project-1 dapat diterima dengan meningkatkan batas untuk project-1. Jika project-3 ditambahkan ke daftar penerimaan konsumen, koneksi tersebut akan bertransisi dari menunggu keputusan menjadi diterima.

Rekonsiliasi koneksi

Rekonsiliasi koneksi menentukan apakah update pada daftar yang disetujui atau yang ditolak lampiran layanan dapat memengaruhi koneksi Private Service Connect yang ada. Jika rekonsiliasi koneksi diaktifkan, memperbarui daftar yang disetujui atau ditolak dapat menghentikan koneksi yang ada. Koneksi yang sebelumnya ditolak dapat diterima. Jika rekonsiliasi koneksi dinonaktifkan, mengupdate daftar yang disetujui atau ditolak hanya akan memengaruhi koneksi baru dan yang tertunda.

Misalnya, pertimbangkan lampiran layanan yang memiliki beberapa koneksi yang diterima dari Project-A. Project-A ada dalam daftar yang disetujui lampiran layanan. Lampiran layanan diupdate dengan menghapus Project-A dari daftar penerimaan.

Jika rekonsiliasi koneksi diaktifkan, semua koneksi yang ada dari Project-A akan bertransisi ke PENDING, yang menghentikan konektivitas jaringan antara kedua jaringan VPC dan segera menghentikan traffic jaringan.

Jika rekonsiliasi koneksi dinonaktifkan, koneksi yang ada dari Project-A tidak akan terpengaruh. Traffic jaringan masih dapat mengalir di seluruh koneksi Private Service Connect yang ada. Namun, koneksi Private Service Connect baru tidak diizinkan.

Untuk informasi tentang cara mengonfigurasi rekonsiliasi koneksi untuk lampiran layanan baru, lihat Memublikasikan layanan dengan persetujuan eksplisit.

Untuk informasi tentang cara mengonfigurasi rekonsiliasi koneksi untuk lampiran layanan yang ada, lihat Mengonfigurasi rekonsiliasi koneksi.

Menerima atau menolak koneksi endpoint Private Service Connect

Anda dapat menerima atau menolak koneksi endpoint Private Service Connect individual dengan menambahkan URI berbasis ID endpoint ke salah satu daftar konsumen lampiran layanan. Pendekatan ini, yang direkomendasikan untuk layanan multi-tenant, memberikan kontrol paling terperinci untuk mengelola koneksi. Menerima konsumen menurut endpoint Private Service Connect hanya berlaku untuk endpoint Private Service Connect dan tidak mendukung backend Private Service Connect.

Tidak seperti project atau jaringan VPC, Anda hanya dapat menerima atau menolak endpoint Private Service Connect individual setelah konsumen membuat endpoint. Hal ini karena URI unik endpoint tidak diketahui hingga setelah konsumen membuat endpoint. Menambahkan endpoint ke daftar penerimaan konsumen mencakup langkah-langkah berikut:

Produsen memublikasikan layanan yang memerlukan persetujuan eksplisit, tanpa menambahkan nilai apa pun ke daftar penerimaan konsumen.
Konsumen membuat endpoint yang terhubung ke layanan yang dipublikasikan. Koneksi terlihat di lampiran layanan dengan status Pending.
Untuk menemukan URI berbasis ID endpoint yang tertunda, produsen dapat mendeskripsikan lampiran layanan, atau konsumen dapat mendeskripsikan endpoint.
Produsen menambahkan URI berbasis ID endpoint ke daftar penerimaan konsumen. Koneksi dibuat dan statusnya berubah menjadi Accepted.

Status koneksi

Endpoint, backend, dan lampiran layanan Private Service Connect memiliki status koneksi yang mendeskripsikan status koneksinya. Resource konsumen dan produsen yang membentuk dua sisi koneksi selalu memiliki status yang sama. Anda dapat melihat status koneksi saat Anda melihat detail endpoint, menjelaskan backend, atau melihat detail untuk layanan yang dipublikasikan.

Tabel berikut menjelaskan kemungkinan status.

Status koneksi	Deskripsi
Diterima	Koneksi Private Service Connect sudah terhubung. Kedua jaringan VPC memiliki konektivitas, dan koneksinya berfungsi secara normal.
Tertunda	Koneksi Private Service Connect tidak terhubung, dan traffic jaringan tidak dapat berpindah di antara dua jaringan. Koneksi mungkin memiliki status ini karena alasan berikut: Lampiran layanan memerlukan persetujuan eksplisit, dan konsumen tidak ada dalam daftar penerimaan konsumen. Jumlah koneksi melebihi batas koneksi lampiran layanan. Jumlah koneksi yang di-propagate yang terkait dengan endpoint melebihi batas koneksi yang di-propagate lampiran layanan. Koneksi yang diblokir karena alasan ini akan tetap dalam status tertunda tanpa batas waktu hingga masalah yang mendasarinya diselesaikan.
Ditolak	Koneksi Private Service Connect tidak terhubung. Traffic jaringan tidak dapat berpindah antara kedua jaringan. Koneksi mungkin memiliki status ini karena alasan berikut: Kebijakan organisasi produsen menolak koneksi. Daftar penolakan konsumen menolak koneksi.
Perlu diperhatikan	Ada masalah pada koneksi sisi produsen. Beberapa traffic mungkin dapat berjalan di antara dua jaringan, tetapi beberapa koneksi mungkin tidak berfungsi. Misalnya, subnet NAT produsen mungkin habis dan tidak dapat mengalokasikan alamat IP untuk koneksi baru.
Ditutup	Lampiran layanan dihapus, dan koneksi Private Service Connect ditutup. Traffic jaringan tidak dapat berpindah antara kedua jaringan. Koneksi tertutup adalah status terminal. Untuk memulihkan koneksi, Anda harus membuat ulang lampiran layanan dan endpoint atau backend.

Koneksi yang dipropagasi

Konsumen yang terhubung ke lampiran layanan Anda menggunakan endpoint dapat mengaktifkan propagasi koneksi. Koneksi yang di-propagate memungkinkan beban kerja di spoke VPC konsumen mengakses layanan terkelola di jaringan VPC produsen seolah-olah kedua jaringan VPC terhubung langsung melalui endpoint. Setiap koneksi yang di-propagate menggunakan alamat IP dari subnet NAT lampiran layanan.

Anda dapat melihat jumlah koneksi yang dipropagasi yang terkait dengan endpoint yang terhubung saat melihat detail untuk layanan yang dipublikasikan. Jumlah ini tidak mencakup koneksi yang dipropagasi yang diblokir oleh batas koneksi yang dipropagasi produsen.

Batas koneksi yang di-propagate

Lampiran layanan memiliki batas koneksi yang di-propagate, yang memungkinkan produsen layanan membatasi jumlah koneksi yang di-propagate yang dapat dibuat ke lampiran layanan dari satu konsumen. Jika tidak ditentukan, batas koneksi yang diteruskan default-nya adalah 250.

Jika preferensi koneksi lampiran layanan adalah ACCEPT_MANUAL, batas akan diterapkan berdasarkan jenis konsumen dalam daftar penerimaan konsumen:
- Untuk daftar penerimaan konsumen berbasis project, batas berlaku untuk setiap project dalam daftar.
- Untuk daftar penerimaan konsumen berbasis jaringan VPC, batas berlaku untuk setiap jaringan dalam daftar.
- Untuk daftar penerimaan konsumen berbasis endpoint Private Service Connect (Pratinjau), batas berlaku untuk project setiap endpoint dalam daftar. Jika beberapa endpoint dari project yang sama ada dalam daftar, endpoint tersebut akan berbagi satu batas.
Jika preferensi koneksi adalah ACCEPT_AUTOMATIC, batas berlaku untuk setiap project yang berisi endpoint yang terhubung.

Jika konsumen melampaui batas koneksi yang diteruskan, tidak ada lagi koneksi yang diteruskan yang dibuat. Untuk mengizinkan pembuatan lebih banyak endpoint yang di-propagate, Anda dapat meningkatkan batas koneksi yang di-propagate. Saat Anda meningkatkan batas ini, Network Connectivity Center akan membuat koneksi yang diteruskan yang diblokir oleh batas, selama koneksi baru tidak melebihi batas yang diperbarui. Memperbarui batas ini tidak memengaruhi koneksi yang sudah disebarkan.

Pencegahan habisnya kuota

Jumlah total endpoint Private Service Connect dan koneksi yang di-propagate, dari konsumen mana pun, yang dapat mengakses jaringan VPC produsen Anda dikontrol oleh kuota PSC ILB consumer forwarding rules per producer VPC network. Khususnya untuk layanan multi-tenant, penting untuk melindungi dari penggunaan kuota ini secara berlebihan.

Anda dapat menggunakan batas berikut untuk melindungi dari kehabisan kuota:

Batas koneksi daftar persetujuan konsumen mengontrol jumlah total endpoint Private Service Connect yang dapat membuat koneksi ke lampiran layanan dari satu project atau jaringan VPC konsumen. Menurunkan batas ini tidak memengaruhi koneksi yang ada. Batas ini tidak berlaku untuk koneksi yang di-propagate.
Batas koneksi yang di-propagate mengontrol jumlah total koneksi yang di-propagate yang dapat dibuat ke lampiran layanan dari satu konsumen. Menurunkan batas ini tidak memengaruhi koneksi yang sudah disebarkan.

Contoh batas kuota dan koneksi

Contoh berikut menunjukkan cara kerja batas koneksi yang di-propagate dan batas daftar yang diizinkan konsumen sehubungan dengan kuota PSC ILB consumer forwarding rules per producer VPC network.

Pertimbangkan kasus saat konsumen telah membuat dua endpoint di jaringan VPC spoke, spoke-vpc-1. Kedua endpoint terhubung ke service-attachment-1 di producer-vpc-1. Spoke terhubung ke hub Network Connectivity Center yang mengaktifkan propagasi koneksi, dan tidak ada spoke lain yang terhubung ke hub tersebut.

Produsen layanan telah mengonfigurasi service-attachment-1 agar memiliki batas daftar penerimaan konsumen sebanyak empat untuk setiap project dalam daftar penerimaan. Produsen telah mengonfigurasi batas koneksi yang di-propagate sebanyak dua, yang menentukan bahwa satu project dapat memiliki hingga dua koneksi yang di-propagate.

Contoh konfigurasi ini berisi dua endpoint dan tidak ada koneksi yang di-propagate (klik untuk memperbesar).

Penggunaan kuota dan batas untuk konfigurasi ini adalah sebagai berikut:

Kuota / Batas	Penggunaan	Penjelasan
Aturan penerusan konsumen PSC ILB per jaringan VPC produsen	2	satu per endpoint
Batas koneksi daftar penerimaan konsumen lampiran layanan untuk `consumer-project-1`	2	satu per endpoint
Batas koneksi yang dipropagasi lampiran layanan untuk `consumer-project-1`	0	tidak ada koneksi yang dipropagasi

Misalkan consumer-project-1 menghubungkan spoke lain bernama spoke-vpc-2 ke hub Network Connectivity Center yang sama dengan spoke-vpc-1. Tindakan ini akan membuat dua koneksi yang di-propagate di consumer-project-1, satu untuk setiap endpoint yang ada.

Contoh konfigurasi ini berisi dua endpoint dan dua koneksi yang diterapkan (klik untuk memperbesar).

Penggunaan kuota dan batas untuk konfigurasi ini adalah sebagai berikut:

Kuota / Batas	Penggunaan	Penjelasan
Aturan penerusan konsumen PSC ILB per jaringan VPC produsen	4	satu per endpoint dan satu per koneksi yang diteruskan
Batas koneksi daftar penerimaan konsumen lampiran layanan untuk `consumer-project-1`	2	satu per endpoint
Batas koneksi yang dipropagasi lampiran layanan untuk `consumer-project-1`	2	satu per koneksi yang diteruskan

Consumer-project-1 telah mencapai batas koneksi yang dipropagasi. Jika konsumen menambahkan spoke VPC lain, Private Service Connect tidak akan membuat koneksi baru yang di-propagate.

Misalkan konsumen lain memiliki dua spoke VPC di consumer-project-2. Spoke terhubung ke hub Network Connectivity Center dengan koneksi yang di-propagate diaktifkan. Salah satu spoke VPC berisi satu endpoint yang terhubung ke service-attachment-1.

Contoh konfigurasi ini berisi tiga endpoint dan tiga koneksi yang di-propagate (klik untuk memperbesar).

Penggunaan kuota dan batas untuk konfigurasi ini adalah sebagai berikut:

Kuota / Batas	Penggunaan	Penjelasan
Aturan penerusan konsumen PSC ILB per jaringan VPC produsen	6	empat dari `consumer-project-1` dan dua dari `consumer-project-2`
Batas koneksi daftar penerimaan konsumen lampiran layanan untuk `consumer-project-1`	2	satu per endpoint di `consumer-project-1`
Batas koneksi daftar penerimaan konsumen lampiran layanan untuk `consumer-project-2`	1	satu per endpoint di `consumer-project-2`
Batas koneksi yang dipropagasi lampiran layanan untuk `consumer-project-1`	2	satu per koneksi yang disebarkan di `consumer-project-1`
Batas koneksi yang dipropagasi lampiran layanan untuk `consumer-project-2`	1	satu per koneksi yang disebarkan di `consumer-project-2`