Mengonfigurasi pemilihan rute untuk antarmuka Private Service Connect

Halaman ini menjelaskan cara mengonfigurasi pemilihan rute untuk antarmuka Private Service Connect virtual dan dinamis.

Merutekan traffic melalui antarmuka Private Service Connect

Setelah membuat antarmuka Private Service Connect, Anda perlu merutekan traffic melalui antarmuka dengan mengonfigurasi sistem operasi tamu (OS tamu) di VM antarmuka.

Mengizinkan konektivitas SSH

Pastikan aturan firewall dikonfigurasi untuk mengizinkan koneksi SSH ingress ke VM antarmuka Private Service Connect.

Menemukan nama Google Cloud antarmuka Private Service Connect Anda

Untuk mengonfigurasi pemilihan rute, Anda perlu mengetahui nama Google Cloud antarmuka Private Service Connect Anda.

Untuk menemukan nama Google Cloud antarmuka Private Service Connect dinamis, gunakan Google Cloud CLI.

Konsol

Di konsol Google Cloud , buka halaman VM instances.

Buka VM instances
Klik nama VM yang memiliki antarmuka Private Service Connect Anda.
Di bagian Network interfaces, temukan dan catat nama antarmuka Private Service Connect virtual Anda, misalnya nic1.

gcloud

Gunakan perintah gcloud compute instances describe.
```
gcloud compute instances describe VM_NAME \
    --zone=ZONE
```
Ganti kode berikut:
- VM_NAME: nama VM yang memiliki antarmuka Private Service Connect Anda
- ZONE: zona VM
Dalam output perintah, temukan dan catat nama Google Cloud antarmuka Private Service Connect Anda.
- Untuk antarmuka Private Service Connect virtual, nama memiliki bentuk nic[interface_number]—misalnya, nic0 atau nic1.
- Untuk antarmuka Private Service Connect dinamis, nama memiliki bentuk nic[parent_interface_number.VLAN_ID]—misalnya, nic0.10 atau nic1.42.

Mengonfigurasi pengelolaan otomatis antarmuka Private Service Connect dinamis

Jika Anda mengonfigurasi pemilihan rute untuk antarmuka Private Service Connect dinamis, Aktifkan pengelolaan otomatis Dynamic Network Interface. Anda hanya perlu melakukan ini sekali per VM.

Menemukan nama OS tamu antarmuka Private Service Connect Anda

Untuk mengonfigurasi pemilihan rute, Anda perlu mengetahui nama OS tamu antarmuka Private Service Connect Anda, yang berbeda dengan nama antarmuka di Google Cloud.

Untuk menemukan nama antarmuka di VM Debian, lakukan langkah-langkah berikut. Untuk VM dengan sistem operasi lain, lihat dokumentasi publik sistem operasi.

Hubungkan ke VM antarmuka Private Service Connect Anda.
Jalankan perintah berikut:
```
ip address
```
Dalam daftar antarmuka jaringan, temukan dan catat nama antarmuka yang terkait dengan alamat IP antarmuka Private Service Connect Anda. Misalnya, jika Linux guest agent mengelola antarmuka jaringan VM Anda, nama-nama tersebut memiliki bentuk berikut:
- Antarmuka Private Service Connect virtual: ens[number]—misalnya, ens5.
- Antarmuka Private Service Connect dinamis: gcp.ens[parent_interface_number].[VLAN_ID]—misalnya, gcp.ens5.10.

Menemukan alamat IP gateway dari antarmuka Private Service Connect Anda

Untuk mengonfigurasi pemulihan rute, Anda perlu mengetahui alamat IP gateway default antarmuka Private Service Connect Anda.

Hubungkan ke VM antarmuka Private Service Connect Anda.
Kirim permintaan GET dari VM antarmuka Anda ke server metadata yang terkait.
- Untuk antarmuka Private Service Connect virtual, kirim permintaan berikut:
```
curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/INTERFACE_NUMBER/gateway -H "Metadata-Flavor: Google" && echo
```
  Ganti INTERFACE_NUMBER dengan indeks antarmuka Anda. Misalnya, jika namaGoogle Cloud untuk antarmuka Private Service Connect Anda adalah nic1, gunakan nilai 1.
- Untuk antarmuka Private Service Connect dinamis, kirim permintaan berikut:
```
curl http://metadata.google.internal/computeMetadata/v1/instance/vlan-network-interfaces/PARENT_INTERFACE_NUMBER/VLAN_ID/gateway -H "Metadata-Flavor: Google" && echo
```
  Ganti kode berikut:
  - PARENT_INTERFACE_NUMBER: indeks vNIC induk antarmuka Private Service Connect dinamis
    
    Misalnya, jika namaGoogle Cloud untuk antarmuka Private Service Connect Anda adalah nic1.5, gunakan nilai 1.
  - VLAN_ID: ID VLAN antarmuka Private Service Connect dinamis Anda
    
    Misalnya, jika nama Google Cloud untuk antarmuka Private Service Connect Anda adalah nic1.5, gunakan nilai 5.
Output permintaan menampilkan alamat IP gateway.

Menambahkan rute untuk subnet konsumen

Anda harus menambahkan rute ke gateway default antarmuka Private Service Connect untuk setiap subnet konsumen yang terhubung ke antarmuka Private Service Connect Anda. Hal ini memungkinkan traffic yang terikat untuk jaringan konsumen mengalir melalui antarmuka Private Service Connect.

Langkah-langkah berikut menjelaskan cara memperbarui tabel pemilihan rute untuk sementara bagi VM yang menggunakan sistem operasi Debian. Untuk memperbarui tabel secara permanen, atau untuk memperbarui rute di sistem operasi yang berbeda, lihat dokumentasi publik sistem operasi.

Hubungkan ke VM antarmuka Private Service Connect Anda.
Jalankan perintah berikut untuk setiap subnet konsumen yang terhubung ke antarmuka Private Service Connect Anda:
```
sudo ip route add CONSUMER_SUBNET_RANGE via GATEWAY_IP dev OS_INTERFACE_NAME
```
Ganti kode berikut:
- CONSUMER_SUBNET_RANGE: rentang alamat IP subnet konsumen Anda
- GATEWAY_IP: alamat IP gateway default untuk subnet antarmuka Anda
- OS_INTERFACE_NAME: nama OS tamu untuk antarmuka Private Service Connect Anda—misalnya, ens5 atau gcp.ens5.10
Jalankan perintah berikut untuk menghapus semua entri dari tabel rute cache. Tindakan ini mungkin diperlukan jika Anda menggunakan instance yang ada dengan tabel rute yang sudah dikonfigurasi sebelumnya.
```
sudo ip route flush cache
```

Menggunakan antarmuka Private Service Connect dengan Kontrol Layanan VPC

Anda dapat menggunakan antarmuka Private Service Connect dengan Kontrol Layanan VPC. Hal ini memungkinkan jaringan VPC produsen mengakses Google API dan layanan melalui jaringan VPC konsumen, sementara organisasi konsumen dapat menerapkan manfaat keamanan Kontrol Layanan VPC.

Anda dapat menerapkan konfigurasi ini menggunakan salah satu pendekatan berikut, yang dijelaskan di bagian berikut:

Mengonfigurasi pemilihan rute OS tamu
Mengisolasi antarmuka Private Service Connect dengan namespace jaringan atau VRF, lalu mengonfigurasi pemilihan rute

Mengonfigurasi pemilihan rute OS tamu

Untuk menggunakan antarmuka Private Service Connect dengan Kontrol Layanan VPC, konfigurasikan pemilihan rute di OS tamu VM antarmuka. Arahkan traffic yang ditujukan untuk API dan layanan Google melalui antarmuka Private Service Connect Anda.

Untuk mengonfigurasi pemilihan rute, lakukan hal berikut:

Izinkan konektivitas SSH ke VM antarmuka Private Service Connect Anda.
Terhubung ke VM.
Agar dapat membuat tabel rute kustom untuk antarmuka Private Service Connect Anda, jalankan perintah berikut:
```
echo "1 ROUTE_TABLE_NAME" | sudo tee -a /etc/iproute2/rt_tables
```
Ganti ROUTE_TABLE_NAME dengan nama untuk tabel rute.
Tambahkan rute ke tabel rute Anda untuk traffic ke API dan layanan Google. Misalnya, untuk menambahkan rute traffic ke IP virtual (VIP) restricted.googleapis.com, gunakan perintah berikut, yang menentukan rentang alamat IPv4 untuk restricted.googleapis.com:
```
sudo ip route add 199.36.153.4/30 dev OS_INTERFACE_NAME table ROUTE_TABLE_NAME
```
Ganti OS_INTERFACE_NAME dengan nama OS tamu untuk antarmuka Private Service Connect, sebagai contoh, ens5 atau gcp.ens5.10.
Agar dapat menambahkan aturan pemilihan rute yang menggunakan tabel rute kustom untuk paket yang berasal dari antarmuka Private Service Connect Anda, gunakan perintah berikut:
```
sudo ip rule add from INTERFACE_IP table ROUTE_TABLE_NAME
```
Ganti INTERFACE_IP dengan alamat IP antarmuka Private Service Connect Anda. Anda dapat menemukan alamat IP antarmuka dengan mendeskripsikan VM antarmuka.
Jalankan perintah berikut untuk menghapus semua entri dari tabel rute cache. Tindakan ini mungkin diperlukan jika Anda menggunakan instance yang ada dengan tabel rute yang sudah dikonfigurasi sebelumnya.
```
sudo ip route flush cache
```

Mengisolasi antarmuka Private Service Connect dengan namespace atau VRF

Atau, Anda dapat mengonfigurasi VM untuk menggunakan namespace jaringan atau virtual routing and forwarding (VRF) untuk mengisolasi antarmuka Private Service Connect. Pendekatan ini berguna untuk workload dalam container, seperti yang berjalan di pod Google Kubernetes Engine.

Konfigurasi pemilihan rute menggunakan konteks yang sama dengan yang Anda gunakan untuk mengisolasi antarmuka, dan pastikan bahwa workload yang menggunakan antarmuka Private Service Connect Anda ada dalam konteks yang sama ini.