Membuat layanan dapat diakses dari jaringan VPC lain

Tutorial ini menunjukkan cara membuat layanan yang di-load balance tersedia dari jaringan VPC lain menggunakan Private Service Connect.

Secara default, Load Balancer Jaringan passthrough internal yang Anda buat di tutorial sebelumnya hanya tersedia dalam jaringan VPC-nya sendiri. Dengan Private Service Connect, Anda dapat memublikasikan layanan agar tersedia untuk resource di jaringan VPC lain.

Tutorial ini ditujukan untuk arsitek cloud, arsitek jaringan, administrator jaringan, dan administrator IT.

Tujuan

  • Membuat layanan yang dipublikasikan
  • Membuat aturan firewall untuk traffic layanan yang dipublikasikan
  • Mendapatkan URI lampiran layanan

Biaya

Dalam dokumen ini, Anda akan menggunakan komponen yang dapat ditagih berikut Google Cloud:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga.

Pengguna baru mungkin memenuhi syarat untuk mendapatkan uji coba gratis. Google Cloud

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, baca bagian Pembersihan.

Sebelum memulai

  1. Selesaikan langkah-langkah di tutorial sebelumnya, Membuat layanan yang di-load balance.
  2. Pilih project produsen layanan (PRODUCER_PROJECT) yang Anda pilih atau buat di tutorial sebelumnya. Gunakan project ini untuk langkah-langkah dalam tutorial ini.

Membuat layanan yang dipublikasikan

Untuk membuat layanan tersedia dari jaringan VPC lain, Anda memublikasikan layanan tersebut. Untuk memublikasikan layanan, buat resource berikut di jaringan dan region yang sama dengan load balancer:

  • Subnet Private Service Connect yang menyediakan alamat IP untuk penafsiran alamat jaringan (NAT) antara jaringan produsen dan konsumen.
  • Lampiran layanan.

Petunjuk ini membuat layanan yang dipublikasikan dan dapat diakses dari project mana pun. Dalam lingkungan produksi, Anda mungkin memilih untuk membatasi jaringan atau project yang dapat mengakses layanan.

Konsol

  1. Di konsol Google Cloud , buka halaman Private Service Connect.

    Buka Private Service Connect

  2. Klik tab Published services.

  3. Klik Publish service.

  4. Di bagian Target details, pilih Load balancer.

  5. Pilih Internal passthrough Network Load Balancer

  6. Pilih load balancer internal yang Anda buat, service-lb.

  7. Untuk Service name, masukkan published-service.

  8. Buat subnet Private Service Connect untuk NAT:

    1. Klik Subnets, lalu klik Reserve new subnet.
    2. Untuk Name, masukkan nat-subnet.
    3. Untuk Region, pilih REGION.
    4. Untuk IPv4 range, masukkan 10.10.20.0/22.
    5. Klik Tambahkan.

  9. Untuk Connection preference, pilih Automatically accept all connections.

  10. Klik Add service.

gcloud

  1. Buat subnet Private Service Connect menggunakan gcloud compute networks subnets create perintah.

    gcloud compute networks subnets create nat-subnet \
  --network=service-network \
  --region=REGION \
  --range=10.10.20.0/22 \
  --purpose=PRIVATE_SERVICE_CONNECT

  2. Untuk memublikasikan layanan, gunakan gcloud compute service-attachments create perintah.

    gcloud compute service-attachments create published-service \
  --region=REGION \
  --target-service=projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/service-rule \
  --connection-preference=ACCEPT_AUTOMATIC \
  --nat-subnets=nat-subnet

    Ganti kode berikut:

    • PRODUCER_PROJECT: ID project produsen.
    • REGION: region untuk lampiran layanan. Region ini harus sama dengan region alamat IP aturan penerusan target.

Membuat aturan firewall untuk traffic layanan yang dipublikasikan

Buat aturan firewall untuk mengizinkan traffic dari subnet NAT Private Service Connect menjangkau VM backend load balancer.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Untuk mengizinkan traffic dari subnet NAT Private Service Connect menjangkau VM backend load balancer, klik Create firewall rule dan gunakan setelan berikut:

    • Untuk Name, masukkan fw-allow-nat.
    • Untuk Network, pilih service-network.
    • Untuk Priority, masukkan 1000.
    • Untuk Direction of traffic, pilih Ingress.
    • Untuk Action on match, pilih Allow.
    • Untuk Targets, pilih Specified target tags.
    • Untuk Target tags, masukkan allow-nat.
    • Untuk Source filter, pilih IPv4 ranges.
    • Untuk Source IPv4 ranges, masukkan 10.10.20.0/22.
    • Untuk Protocols and ports, pilih Allow all.

  3. Klik Create.

gcloud

  1. Buat aturan firewall fw-allow-nat untuk mengizinkan komunikasi dari subnet NAT Private Service Connect ke backend VM:

    gcloud compute firewall-rules create fw-allow-nat \
    --network=service-network \
    --action=allow \
    --direction=ingress \
    --source-ranges=10.10.20.0/22 \
    --rules=tcp,udp,icmp

Mendapatkan URI lampiran layanan

Anda menggunakan URI lampiran layanan untuk mengonfigurasi endpoint di tutorial berikutnya, Mengakses layanan dari jaringan VPC lain.

Konsol

  1. Di konsol Google Cloud , buka halaman Private Service Connect.

    Buka Private Service Connect

  2. Klik tab Published services.

  3. Klik layanan yang ingin Anda lihat.

    Kolom Service attachment berisi URI lampiran layanan.

gcloud

  1. Lihat detail untuk layanan yang dipublikasikan menggunakan gcloud compute service-attachments describe perintah.

    Kolom selfLink berisi URI lampiran layanan.

    gcloud compute service-attachments describe \
    published-service --region=REGION

    Ganti REGION dengan region yang berisi lampiran layanan.

Langkah berikutnya