Membuat layanan dapat diakses dari jaringan VPC lain

Tutorial ini menunjukkan cara membuat layanan yang di-load balance tersedia dari jaringan VPC lain menggunakan Private Service Connect.

Secara default, Load Balancer Jaringan passthrough internal yang Anda buat di tutorial sebelumnya hanya tersedia dalam jaringan VPC-nya sendiri. Dengan Private Service Connect, Anda dapat memublikasikan layanan agar tersedia untuk resource di jaringan VPC lain.

Tutorial ini ditujukan untuk arsitek cloud, arsitek jaringan, administrator jaringan, dan administrator IT.

Tujuan

  • Buat layanan yang dipublikasikan
  • Membuat aturan firewall untuk traffic layanan yang dipublikasikan
  • Mendapatkan URI lampiran layanan

Biaya

Dalam dokumen ini, Anda akan menggunakan komponen Google Cloudyang dapat ditagih sebagai berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga.

Pengguna Google Cloud baru mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, baca bagian Pembersihan.

Sebelum memulai

  1. Selesaikan langkah-langkah dalam tutorial sebelumnya, Membuat layanan yang di-load balance.
  2. Pilih project produsen layanan (PRODUCER_PROJECT) yang Anda pilih atau buat di tutorial sebelumnya. Gunakan project ini untuk langkah-langkah dalam tutorial ini.

Buat layanan yang dipublikasikan

Agar layanan tersedia dari jaringan VPC lain, Anda memublikasikan layanan. Untuk memublikasikan layanan, buat resource berikut di jaringan dan region yang sama dengan load balancer:

  • Subnet Private Service Connect yang menyediakan alamat IP untuk penerjemahan alamat jaringan (NAT) antara jaringan produsen dan konsumen.
  • Lampiran layanan.

Petunjuk ini membuat layanan yang dipublikasikan yang dapat diakses dari project mana pun. Dalam lingkungan produksi, Anda mungkin memilih untuk membatasi jaringan atau project yang dapat mengakses layanan.

Konsol

  1. Di konsol Google Cloud , buka halaman Private Service Connect.

    Buka Private Service Connect

  2. Klik tab Published services.

  3. Klik Publish service.

  4. Di bagian Detail target, pilih Load balancer.

  5. Pilih Load Balancer Jaringan passthrough internal

  6. Pilih load balancer internal yang Anda buat, service-lb.

  7. Untuk Service name, masukkan published-service.

  8. Buat subnet Private Service Connect untuk NAT:

    1. Klik Subnets, lalu klik Reserve new subnet.
    2. Untuk Name, masukkan nat-subnet.
    3. Untuk Region, pilih REGION.
    4. Untuk IPv4 range, masukkan 10.10.20.0/22.
    5. Klik Tambahkan.

  9. Untuk Connection preference, pilih Automatically accept all connections.

  10. Klik Add service.

gcloud

  1. Buat subnet Private Service Connect menggunakan perintah gcloud compute networks subnets create.

    gcloud compute networks subnets create nat-subnet \
  --network=service-network \
  --region=REGION \
  --range=10.10.20.0/22 \
  --purpose=PRIVATE_SERVICE_CONNECT

  2. Untuk memublikasikan layanan, gunakan perintah gcloud compute service-attachments create.

    gcloud compute service-attachments create published-service \
  --region=REGION \
  --target-service=projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/service-rule \
  --connection-preference=ACCEPT_AUTOMATIC \
  --nat-subnets=nat-subnet

    Ganti kode berikut:

    • PRODUCER_PROJECT: ID project produsen.
    • REGION: region untuk lampiran layanan. Region ini harus sama dengan region alamat IP aturan penerusan target.

Membuat aturan firewall untuk traffic layanan yang dipublikasikan

Buat aturan firewall untuk mengizinkan traffic dari subnet NAT Private Service Connect mencapai VM backend load balancer.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Untuk mengizinkan traffic dari subnet NAT Private Service Connect mencapai VM backend load balancer, klik Create firewall rule dan gunakan setelan berikut:

    • Untuk Name, masukkan fw-allow-nat.
    • Untuk Network, pilih service-network.
    • Untuk Priority, masukkan 1000.
    • Untuk Direction of traffic, pilih Ingress.
    • Untuk Action on match, pilih Allow.
    • Untuk Target, pilih Tag target yang ditentukan.
    • Untuk Target tags, masukkan allow-nat.
    • Untuk Source filter, pilih IPv4 ranges.
    • Untuk Source IPv4 ranges, masukkan 10.10.20.0/22.
    • Untuk Protocols and ports, pilih Allow all.

  3. Klik Create.

gcloud

  1. Buat aturan firewall fw-allow-nat untuk mengizinkan komunikasi dari subnet NAT Private Service Connect ke backend VM:

    gcloud compute firewall-rules create fw-allow-nat \
    --network=service-network \
    --action=allow \
    --direction=ingress \
    --source-ranges=10.10.20.0/22 \
    --rules=tcp,udp,icmp

Mendapatkan URI lampiran layanan

Anda menggunakan URI lampiran layanan untuk mengonfigurasi endpoint dalam tutorial berikutnya, Mengakses layanan dari jaringan VPC lain.

Konsol

  1. Di konsol Google Cloud , buka halaman Private Service Connect.

    Buka Private Service Connect

  2. Klik tab Published services.

  3. Klik layanan yang ingin Anda lihat.

    Kolom Service attachment berisi URI lampiran layanan.

gcloud

  1. Lihat detail layanan yang dipublikasikan menggunakan perintah gcloud compute service-attachments describe.

    Kolom selfLink berisi URI lampiran layanan.

    gcloud compute service-attachments describe \
    published-service --region=REGION

    Ganti REGION dengan region yang berisi lampiran layanan.

Langkah berikutnya