इस पेज का अनुवाद Cloud Translation API से किया गया है.

GKE (जीकेई) की मदद से सेवाएं पब्लिश करने और उनका इस्तेमाल करने के लिए, Private Service Connect का इस्तेमाल करना

1. परिचय

Private Service Connect की मदद से, सेवा देने वाली कंपनी, सेवा देने वाले किसी उपभोक्ता को निजी तौर पर सेवाएं दे सकती है. Private Service Connect के ये फ़ायदे हैं:

सेवा प्रोड्यूसर VPC नेटवर्क, सेवा देने वाले एक से ज़्यादा उपभोक्ताओं के साथ काम कर सकता है.
हर उपभोक्ता उस अंदरूनी आईपी पते से कनेक्ट होता है जिसे वह तय करता है. Private Service Connect, नेटवर्क अड्रेस ट्रांसलेशन (NAT) करता है, ताकि अनुरोध को सर्विस प्रोड्यूसर तक भेजा जा सके.

दूसरी इमेज. Private Service Connect, एंडपॉइंट और सेवा अटैचमेंट का इस्तेमाल करता है, ताकि सेवा उपभोक्ता, उपभोक्ता के VPC नेटवर्क से सेवा प्रोड्यूसर के VPC नेटवर्क की सेवाओं पर ट्रैफ़िक भेज सकें. इसे बड़ा करने के लिए क्लिक करें.

आपको इनके बारे में जानकारी मिलेगी

निजी सेवा कनेक्ट के फ़ायदे
सेवा उपभोक्ताओं के लिए मुख्य सिद्धांत
सर्विस प्रोड्यूसर के लिए खास कॉन्सेप्ट
प्रोड्यूसर एनवायरमेंट बनाना
सेवा अटैचमेंट की मदद से सेवा (प्रोड्यूसर एनवायरमेंट) दिखाएं
उपभोक्ता के लिए एनवायरमेंट बनाना
उपभोक्ता नेटवर्क में फ़ॉरवर्ड करने का नियम बनाना
उपभोक्ता के ऐक्सेस की पुष्टि करना
नीति का ऐक्सेस कंट्रोल चालू करें
उपभोक्ता के लिए फ़ॉरवर्ड करने के नियम का ऐक्सेस ब्लॉक करने के लिए, इग्रेस डेटा ट्रैफ़िक के नियम का इस्तेमाल करें

आपको इन चीज़ों की ज़रूरत होगी

GKE (जीकेई) क्लस्टर और सेवाओं को डिप्लॉय करने की जानकारी
इंटरनल लोड बैलेंसर के बारे में जानकारी
दो प्रोजेक्ट में VPC बनाने की सुविधा
GKE (जीकेई) क्लस्टर बनाने की सुविधा

2. निजी सेवा कनेक्ट के फ़ायदे

PSC में, VPC पीयरिंग की तुलना में आपको कई फ़ायदे मिलते हैं:

प्राइवेट आईपी स्पेस का बेहतर कंट्रोल

सेवा उपभोक्ता के तौर पर, आपके पास उस निजी आईपी पते को कंट्रोल करने का विकल्प होता है जिसका इस्तेमाल, मैनेज की जा रही उस सेवा से कनेक्ट करने के लिए किया जाता है जिसे आपको ऐक्सेस करना है.
सेवा उपभोक्ता के तौर पर, आपको VPC में इस्तेमाल की जाने वाली बैकएंड सेवाओं के लिए, निजी आईपी पते की रेंज रिज़र्व करने के बारे में परेशान होने की ज़रूरत नहीं है. प्रोड्यूसर सेवाओं से कनेक्ट करने के लिए, आपको सिर्फ़ अपने सबनेट से कोई आईपी पता चुनना होगा.
सेवा प्रोड्यूसर के तौर पर, आपके पास मल्टी-टेनेंट मॉडल को डिप्लॉय करने का विकल्प होता है. इस मॉडल में, आपके VPC में ऐसी सेवाएं शामिल होती हैं जो कई उपभोक्ताओं के लिए उपलब्ध हैं. ओवरलैप होने वाली सबनेट रेंज इस्तेमाल करने वाले उपभोक्ताओं को अब कोई समस्या नहीं है.
सेवा देने वाली कंपनी के तौर पर, आपके पास ज़रूरत के मुताबिक, वीएम इंस्टेंस के हिसाब से अपनी सेवा को बढ़ाने का विकल्प होता है. इसके लिए, आपको ज़्यादा आईपी पतों के लिए अपने उपभोक्ता से संपर्क करने की ज़रूरत नहीं होती.

बेहतर सुरक्षा और आइसोलेशन

सेवा उपभोक्ता के तौर पर, सिर्फ़ आपके पास सेवा प्रोड्यूसर से संपर्क करने की सुविधा होती है. यह एक-तरफ़ा कनेक्टिविटी फ़ायरवॉल कॉन्फ़िगरेशन को बहुत अधिक सरल बना देती है लेकिन यह सेवा निर्माता से आने वाले नुकसानदेह ट्रैफ़िक के जोखिम को भी कम करती है.
सेवा प्रोड्यूसर के तौर पर, आपको उपभोक्ता के VPC में सबनेट रेंज के आधार पर अपने फ़ायरवॉल नियमों को बदलने की ज़रूरत नहीं है. आप अपनी सेवा के लिए कॉन्फ़िगर की गई NAT IP पता श्रेणी के लिए आसानी से फ़ायरवॉल नियम बना सकते हैं.

बेहतर बढ़ाए जा सकने की योग्यता

PSC के डिज़ाइन में काफ़ी बड़े पैमाने पर बदलाव किए जा सकते हैं. इसके लिए, हज़ारों उपभोक्ताओं की मदद की जाती है. साथ ही, सर्विस प्रोड्यूसर इसे बड़े पैमाने पर मल्टी-टेनेंट या सिंगल-टेनेंट सेवाएं ऑफ़र करने की सुविधा देते हैं.
निजी सेवा कनेक्ट का इस्तेमाल करने वाले सेवा उपभोक्ता के तौर पर, आपके पास VPC के मुताबिक, संसाधन बनाने का विकल्प होता है. इस स्केल पर, प्रोड्यूसर VPC में बनाए गए ऐसे संसाधनों की संख्या का कोई असर नहीं पड़ता है.

3. सेवा उपभोक्ताओं के लिए मुख्य सिद्धांत

VPC नेटवर्क से बाहर की सेवाओं का इस्तेमाल करने के लिए, Private Service Connect के एंडपॉइंट का इस्तेमाल किया जा सकता है. सेवा उपभोक्ता, Private Service Connect के ऐसे एंडपॉइंट बनाते हैं जो टारगेट की गई सेवा से कनेक्ट होते हैं.

एंडपॉइंट

टारगेट की गई सेवा से कनेक्ट करने के लिए, Private Service Connect के एंडपॉइंट का इस्तेमाल किया जाता है. एंडपॉइंट के पास आपके VPC नेटवर्क में इंटरनल आईपी पता होता है. यह आईपी पता, फ़ॉरवर्ड करने के नियम से जुड़े संसाधन पर आधारित होता है.

एंडपॉइंट पर ट्रैफ़िक भेजा जाता है, जो उसे आपके VPC नेटवर्क से बाहर के टारगेट पर फ़ॉरवर्ड करता है.

टारगेट

Private Service Connect के एंडपॉइंट में एक टारगेट सेट किया गया है. यह वह सेवा है जिससे आपको कनेक्ट करना है:

एपीआई बंडल:
सभी एपीआई: ज़्यादातर Google API
VPC-SC: ऐसे एपीआई जो VPC सर्विस कंट्रोल के साथ काम करते हैं
किसी अन्य VPC नेटवर्क में, पब्लिश की गई सेवा. इस सेवा को आपका संगठन या कोई तीसरा पक्ष मैनेज कर सकता है.

पब्लिश की गई सेवा

अपने एंडपॉइंट को सेवा प्रोड्यूसर की सेवा से कनेक्ट करने के लिए, आपको सेवा के लिए सेवा अटैचमेंट की ज़रूरत होगी. सेवा अटैचमेंट यूआरआई का फ़ॉर्मैट यह है: प्रोजेक्ट/SERVICE_PROJECT/ आखिरी जगह

4. सर्विस प्रोड्यूसर के लिए खास कॉन्सेप्ट

उपभोक्ताओं को कोई सेवा उपलब्ध कराने के लिए, आप उपभोक्ता आईपी पतों के नेटवर्क अड्रेस ट्रांसलेशन (NAT) का इस्तेमाल करने के लिए एक या उससे ज़्यादा ऐसे सबनेट बनाते हैं जो खास तौर पर बनाए जाते हैं. फिर आप एक सेवा अटैचमेंट बनाते हैं, जो उन सबनेट के बारे में बताता है.

Private Service Connect सबनेट

किसी सेवा को सार्वजनिक करने के लिए, सेवा प्रोड्यूसर पहले Private Service Connect के हिसाब से एक या उससे ज़्यादा सबनेट बनाता है.

जब किसी उपभोक्ता VPC नेटवर्क से कोई अनुरोध भेजा जाता है, तब उपभोक्ता के सोर्स आईपी पते को सोर्स NAT (SNAT) का इस्तेमाल करके, Private Service Connect के किसी सबनेट से चुने गए आईपी पते में बदला जाता है.

अगर आपको उपभोक्ता कनेक्शन के आईपी पते की जानकारी बनाए रखनी है, तो उपभोक्ता कनेक्शन की जानकारी देखना पर जाएं.

इन सबनेट का इस्तेमाल, वीएम इंस्टेंस या फ़ॉरवर्ड करने के नियमों जैसे संसाधनों के लिए नहीं किया जा सकता. सबनेट का इस्तेमाल सिर्फ़ ग्राहक के इनकमिंग कनेक्शन के SNAT को आईपी पते देने के लिए किया जाता है.

Private Service Connect सबनेट में, हर 63 उपभोक्ता वीएम के लिए कम से कम एक आईपी पता होना चाहिए. इससे नेटवर्क पते का अनुवाद करने के लिए, हर उपभोक्ता वीएम को 1,024 सोर्स टपल असाइन किए जाएंगे.

Private Service Connect सबनेट का कम से कम साइज़ /24 है.

सेवा अटैचमेंट

सर्विस प्रोड्यूसर, सेवा अटैचमेंट के ज़रिए अपनी सेवा दिखाते हैं.

किसी सेवा को सार्वजनिक करने के लिए, सेवा प्रोड्यूसर एक सेवा अटैचमेंट बनाता है. यह अटैचमेंट सेवा के लोड बैलेंसर को फ़ॉरवर्ड करने के नियम से जुड़ा होता है.
किसी सेवा को ऐक्सेस करने के लिए, सेवा उपभोक्ता एक ऐसा एंडपॉइंट बनाता है जो सेवा अटैचमेंट के बारे में बताता है.

कनेक्शन की सेटिंग

जब आप कोई सेवा बनाते हैं, तो आप चुनते हैं कि उसे कैसे उपलब्ध कराया जाए. ऐसा करने के दो विकल्प हैं:

सभी प्रोजेक्ट के लिए कनेक्शन अपने-आप स्वीकार किए जाते हैं. सेवा का इस्तेमाल करने वाला कोई भी उपभोक्ता, एंडपॉइंट को कॉन्फ़िगर कर सकता है और सेवा से अपने-आप कनेक्ट कर सकता है.
चुने गए प्रोजेक्ट के लिए कनेक्शन स्वीकार करें - सेवा उपभोक्ता, सेवा से कनेक्ट करने के लिए एंडपॉइंट को कॉन्फ़िगर करते हैं और सर्विस प्रोड्यूसर कनेक्शन के अनुरोधों को स्वीकार या अस्वीकार करते हैं.

ज़रूरी शर्तें और सीमाएं

Private Service Connect की सीमाएं लागू होती हैं.
GKE के वर्शन 1.21.4-gke.300 और उसके बाद के वर्शन में सेवा अटैचमेंट बनाया जा सकता है.
आप एक से ज़्यादा सेवा अटैचमेंट कॉन्फ़िगरेशन में एक ही सबनेट का इस्तेमाल नहीं कर सकते.
आपको ऐसी GKE (जीकेई) सेवा बनानी होगी जो इंटरनल टीसीपी/यूडीपी लोड बैलेंसर का इस्तेमाल करती हो.

5. टेस्ट एनवायरमेंट

उपभोक्ता नेटवर्क में एक स्टैटिक आईपी पता होता है, जिसका इस्तेमाल सेवा बनाने वाले को अनुरोध भेजने के लिए किया जाता है. इसके अलावा, इसमें टारगेट-सेवा-अटैचमेंट के साथ-साथ निर्माता के सेवा अटैचमेंट (पब्लिश की गई सेवा) से जुड़े अनुरोध भी शामिल होते हैं.

चलिए, अब प्रोड्यूसर के नेटवर्क के बारे में बात करते हैं. ध्यान दें कि कैसे निर्माता नेटवर्क के पास, उपभोक्ता नेटवर्क के लिए मैपिंग नहीं है. इसके बजाय, निर्माता नेटवर्क में सेवा अटैचमेंट (पब्लिश की गई सेवा) शामिल है, जिसका इस्तेमाल उपभोक्ता सेवाओं के लिए करता है. GK संबंधित ऐप्लिकेशन.

NAT सबनेट का इस्तेमाल तब किया जाता है, जब किसी उपभोक्ता VPC नेटवर्क से कोई अनुरोध भेजा जाता है. उपभोक्ता के सोर्स आईपी पते का अनुवाद, सोर्स NAT (SNAT) का इस्तेमाल करके, किसी Private Service Connect सबनेट से चुने गए आईपी पते में किया जाता है.

GKE Private Service Connect के लिए L4ILB के बारे में ज़्यादा जानने और इस लैब में इस्तेमाल होने वाले कॉन्टेंट का सीधा ऐक्सेस पाने के लिए, यहां जाएं: यहां दिया गया

अपने हिसाब से एनवायरमेंट सेटअप करना

Google Cloud Console में साइन इन करें और नया प्रोजेक्ट बनाएं या किसी मौजूदा प्रोजेक्ट का फिर से इस्तेमाल करें. अगर आपके पास पहले से Gmail या Google Workspace खाता नहीं है, तो आपको नया खाता बनाना होगा.

प्रोजेक्ट का नाम, इस प्रोजेक्ट में हिस्सा लेने वाले लोगों का डिसप्ले नेम होता है. यह एक वर्ण स्ट्रिंग है, जिसका इस्तेमाल Google API नहीं करता. साथ ही, आप इसे किसी भी समय अपडेट कर सकते हैं.
प्रोजेक्ट आईडी, Google Cloud के सभी प्रोजेक्ट के लिए यूनीक होना चाहिए. साथ ही, आईडी को बदला नहीं जा सकता. सेट अप के बाद इसे बदला नहीं जा सकता. Cloud Console, एक यूनीक स्ट्रिंग अपने-आप जनरेट करता है; आम तौर पर, आपको उसके होने की कोई परवाह नहीं होती. ज़्यादातर कोडलैब में, आपको प्रोजेक्ट आईडी का रेफ़रंस देना पड़ता है और आम तौर पर इसकी पहचान PROJECT_ID के रूप में की जाती है. इसलिए, अगर आपको यह पसंद नहीं आता है, तो कोई भी कोड जनरेट करें. इसके अलावा, खुद का भी कोड बनाकर देखा जा सकता है कि वह उपलब्ध है या नहीं. फिर यह "फ़्रोज़न" होता है प्रोजेक्ट बनने के बाद.
तीसरी वैल्यू, प्रोजेक्ट नंबर है, जिसका इस्तेमाल कुछ एपीआई करते हैं. दस्तावेज़ में इन तीनों वैल्यू के बारे में ज़्यादा जानें.

इसके बाद, आपको क्लाउड संसाधनों/एपीआई का इस्तेमाल करने के लिए, Cloud Console में बिलिंग की सुविधा चालू करनी होगी. इस कोडलैब का इस्तेमाल करने पर, आपको ज़्यादा पैसे नहीं चुकाने होंगे. इस ट्यूटोरियल के अलावा किसी अन्य प्लैटफ़ॉर्म पर बिलिंग न करने के लिए, संसाधनों को बंद करने के लिए, "साफ़-सफ़ाई" का पालन करें कोडलैब के आखिर में दिए गए निर्देश देखें. Google Cloud के नए उपयोगकर्ता, 300 डॉलर के मुफ़्त ट्रायल वाले प्रोग्राम में हिस्सा ले सकते हैं.

Cloud Shell शुरू करना

Google Cloud को आपके लैपटॉप से, कहीं से भी ऑपरेट किया जा सकता है. हालांकि, इस कोडलैब में Google Cloud Shell का इस्तेमाल किया जा रहा है. यह क्लाउड में चलने वाला कमांड लाइन एनवायरमेंट है.

GCP कंसोल में, सबसे ऊपर दाईं ओर मौजूद टूलबार पर क्लाउड शेल आइकॉन पर क्लिक करें:

प्रावधान करने और एनवायरमेंट से कनेक्ट होने में कुछ ही समय लगेगा. उसके पूरा हो जाने पर, आपको कुछ ऐसा दिखाई देगा:

इस वर्चुअल मशीन में ऐसे सभी डेवलपमेंट टूल मौजूद हैं जिनकी आपको ज़रूरत पड़ेगी. यह पांच जीबी की स्थायी होम डायरेक्ट्री उपलब्ध कराता है और Google Cloud पर चलता है. यह नेटवर्क की परफ़ॉर्मेंस और पुष्टि करने की प्रक्रिया को बेहतर बनाता है. इस लैब में आपका सारा काम बस एक ब्राउज़र से किया जा सकता है.

6. शुरू करने से पहले

कोडलैब के लिए दो प्रोजेक्ट की ज़रूरत होती है. हालांकि, PSC के लिए ऐसा करना ज़रूरी नहीं है. एक या एक से ज़्यादा प्रोजेक्ट को सपोर्ट करने के लिए रेफ़रंस नोट करें.

सिंगल प्रोजेक्ट - प्रोड्यूसर और कंज़्यूमर नेटवर्क की मदद के लिए प्रोजेक्ट अपडेट करें

Cloud Shell में, पक्का करें कि आपका प्रोजेक्ट आईडी सेट अप किया गया हो

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
prodproject=YOUR-PROJECT-NAME
consumerproject=YOUR-PROJECT-NAME
echo $prodproject
echo $consumerproject

एक से ज़्यादा प्रोजेक्ट - प्रोड्यूसर के नेटवर्क के साथ काम करने के लिए प्रोजेक्ट अपडेट करना

Cloud Shell में, पक्का करें कि आपका प्रोजेक्ट आईडी सेट अप किया गया हो

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
prodproject=YOUR-PROJECT-NAME
echo $prodproject

इन कलरिंग कोड कन्वेंशन को ध्यान में रखें:

7. प्रोड्यूसर के लिए VPC नेटवर्क बनाएं

VPC नेटवर्क

Cloud Shell से

gcloud compute networks create gke-producer-l4-vpc --project=$prodproject --subnet-mode=custom

GKE क्लस्टर सबनेट बनाएं

Cloud Shell से

gcloud compute networks subnets create node-subnet1 --project=$prodproject --range=192.168.10.0/24 --network=gke-producer-l4-vpc --region=us-central1 --secondary-range=pod=10.10.10.0/24,service=10.10.20.0/24 --enable-private-ip-google-access

GKE (जीकेई) क्लस्टर बनाएं

Cloud Shell से

gcloud container clusters create gke-psc-l4 \
    --release-channel=rapid \
    --enable-ip-alias \
    --zone=us-central1-a \
    --network gke-producer-l4-vpc \
    --num-nodes 1 \
    --subnetwork node-subnet1 \
    --cluster-secondary-range-name pod \
    --services-secondary-range-name service

Private Service Connect (NAT सबनेट) के लिए सबनेट बनाएं

Private Service Connect के साथ इस्तेमाल करने के लिए, आपको एक या इससे ज़्यादा खास सबनेट बनाने होंगे. अगर किसी सेवा को पब्लिश करने के लिए Google Cloud Console का इस्तेमाल किया जा रहा है, तो उस प्रोसेस के दौरान सबनेट बनाए जा सकते हैं.

Private Service Connect सबनेट के बारे में जानकारी पाने के लिए, Private Service Connect सबनेट देखें.

Cloud Shell से

gcloud beta compute networks subnets create gke-nat-subnet \
    --project $prodproject \
    --network gke-producer-l4-vpc \
    --region us-central1 \
    --range 100.100.10.0/24 \
    --purpose PRIVATE_SERVICE_CONNECT

8. वर्कलोड और सेवाएं डिप्लॉय करें

नीचे दिया गया मेनिफ़ेस्ट ऐसे डिप्लॉयमेंट के बारे में बताता है जो सैंपल वेब ऐप्लिकेशन कंटेनर इमेज चलाता है. मेनिफ़ेस्ट को क्लाउड शेल से my-Deployment.yaml के तौर पर सेव करें

apiVersion: apps/v1
kind: Deployment
metadata:
  name: psc-ilb
spec:
  replicas: 3
  selector:
    matchLabels:
      app: psc-ilb
  template:
    metadata:
      labels:
        app: psc-ilb
    spec:
      containers:
      - name: whereami
        image: gcr.io/google-samples/whereami:v1.2.1
        ports:
          - name: http
            containerPort: 8080
        readinessProbe:
          httpGet:
            path: /healthz
            port: 8080
            scheme: HTTP
          initialDelaySeconds: 5
          timeoutSeconds: 1

Cloud शेल से अपने क्लस्टर में मेनिफ़ेस्ट लागू करें

kubectl apply -f my-deployment.yaml

सेवा बनाना

नीचे दिए गए मेनिफ़ेस्ट में ऐसी सेवा के बारे में बताया गया है जो टीसीपी पोर्ट 8080 पर इंटरनल टीसीपी/यूडीपी लोड बैलेंसर बनाती है. मेनिफ़ेस्ट को क्लाउड शेल से my-service.yaml के तौर पर सेव करें.

apiVersion: v1
kind: Service
metadata:
  name: gke-l4-psc
  annotations:
    networking.gke.io/load-balancer-type: "Internal"
spec:
  type: LoadBalancer
  selector:
    app: psc-ilb
  ports:
  - port: 80
    targetPort: 8080
    protocol: TCP

Cloud शेल से अपने क्लस्टर में मेनिफ़ेस्ट लागू करें

kubectl apply -f my-service.yaml

सेवा अटैचमेंट बनाएं

नीचे दिए गए मेनिफ़ेस्ट में ऐसे Serviceअटैचमेंट के बारे में बताया गया है जो ग्राहकों को सेवा देने के लिए बनाई गई सेवा की जानकारी देता है. मेनिफ़ेस्ट को क्लाउड शेल से my-psc.yaml के तौर पर सेव करें.

apiVersion: networking.gke.io/v1beta1
kind: ServiceAttachment
metadata:
 name: emoji-sa
 namespace: default
spec:
 connectionPreference: ACCEPT_AUTOMATIC
 natSubnets:
 - gke-nat-subnet
 proxyProtocol: false
 resourceRef:
   kind: Service
   name: gke-l4-psc

Cloud शेल से अपने क्लस्टर में मेनिफ़ेस्ट लागू करें

kubectl apply -f my-psc.yaml

ServiceAttachment में ये फ़ील्ड होते हैं:

connectionPreference: कनेक्शन की वह प्राथमिकता, जिससे तय होता है कि ग्राहक सेवा से कैसे कनेक्ट करते हैं. आप प्रोजेक्ट को अपने-आप मंज़ूरी देने के लिए ACCEPT_AUTOMATIC का इस्तेमाल कर सकते हैं. इसके अलावा, आप प्रोजेक्ट को मंज़ूरी देने के लिए ACCEPT_AUTOMATIC का इस्तेमाल भी कर सकते हैं. ज़्यादा जानकारी के लिए, Private Service Connect का इस्तेमाल करके सेवाओं को पब्लिश करना लेख पढ़ें.
natSubnets: सेवा अटैचमेंट के लिए इस्तेमाल करने के लिए सबनेटवर्क संसाधन के नामों की सूची.
proxyProtocol: जब सही पर सेट होता है, तब अनुरोधों में उपभोक्ता स्रोत आईपी और Private Service Connect कनेक्शन आईडी उपलब्ध होते हैं. यह फ़ील्ड ज़रूरी नहीं है. अगर यह फ़ील्ड उपलब्ध नहीं कराया जाता है, तो यह डिफ़ॉल्ट रूप से 'गलत' पर सेट हो जाती है.
consumerAllowList: इसमें उन उपभोक्ता प्रोजेक्ट की सूची होती है जिन्हें Serviceमेंटment से कनेक्ट करने की अनुमति दी जाती है. इस फ़ील्ड का इस्तेमाल सिर्फ़ तब किया जा सकता है, जब connectionPreference connectionPreference हो. इस फ़ील्ड और अन्य विकल्पों के बारे में ज़्यादा जानकारी के लिए, Private Service Connect का इस्तेमाल करके सेवाएं पब्लिश करना देखें.

प्रोड्यूसर की पुष्टि

सेवा अटैचमेंट की जानकारी देखना

Cloud शेल पर मौजूद इस कमांड का इस्तेमाल करके, Serviceअटैचमेंट की जानकारी देखी जा सकती है

kubectl describe serviceattachment emoji-sa

GKE L4 ILB देखें

Cloud Console से, नेटवर्क सेवाओं पर जाएं → लोड बैलेंसिंग → फ़्रंटएंड

पहले से तय नोड सबनेट 192.168.10.0/24 से मेल खाने वाले फ़्रंटएंड आईपी पते की पहचान करें. यहां दिया गया स्क्रीनशॉट देखें. आपका आईपी पता अलग हो सकता है.

पब्लिश की गई सेवा देखें

Cloud Console से, Network Services → Private Service Connect → पब्लिश की गई सेवाएं पर जाएं

लैब में इस्तेमाल किए गए नेटवर्क gke-producer-l4-vpc, से जुड़ी सेवा की पहचान करें. इसके लिए, नीचे दिया गया स्क्रीनशॉट देखें. हालांकि, आपकी सेवा और टारगेट की वैल्यू अलग-अलग हो सकती हैं

उस सेवा के नाम पर क्लिक करें जो आपको नीचे वाली स्क्रीन पर ले जाता है. बुनियादी जानकारी में अपने-आप सेवा अटैचमेंट की जानकारी भरें. साथ ही, ‘कनेक्ट किए गए प्रोजेक्ट' पर ध्यान दें खाली है, क्योंकि उपभोक्ता को अभी इसके लिए रजिस्टर करना बाकी है. स्वीकार करें और अस्वीकार करें धूसर रहेंगे, क्योंकि कनेक्शन की प्राथमिकता "स्वीकार_autoMATICALLY"' पर सेट है, इसलिए इस विकल्प को सेवा अटैचमेंट yaml (my-psc.yaml) में बदलाव करके किसी भी समय "स्वीकार_MANUAL" में बदला जा सकता है.

9. उपभोक्ताओं के लिए VPC नेटवर्क बनाएं

नीचे दिए गए सेक्शन में, उपभोक्ता VPC को एक अलग प्रोजेक्ट में कॉन्फ़िगर किया गया है. उपभोक्ता और उत्पादक नेटवर्क के बीच कम्यूनिकेशन, उपभोक्ता नेटवर्क में बताए गए सेवा अटैचमेंट के ज़रिए किया जाता है.

Cloud Shell में, पक्का करें कि आपका प्रोजेक्ट आईडी सेट अप किया गया हो

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
consumerproject=YOUR-PROJECT-NAME
prodproject=YOUR-PROJECT-NAME
echo $prodproject
echo $consumerproject

एक से ज़्यादा प्रोजेक्ट - उपभोक्ता के नेटवर्क की मदद करने के लिए प्रोजेक्ट अपडेट करना

Cloud Shell में, पक्का करें कि आपका प्रोजेक्ट आईडी सेट अप किया गया हो

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
consumerproject=YOUR-PROJECT-NAME
echo $consumerproject

VPC नेटवर्क

Cloud Shell से

gcloud compute networks create vpc-demo-consumer --project=$consumerproject --subnet-mode=custom

PSC के लिए सबनेट बनाना

Cloud Shell से

gcloud compute networks subnets create consumer-subnet --project=$consumerproject  --range=10.0.60.0/24 --network=vpc-demo-consumer --region=us-central1

वीएम इंस्टेंस के लिए सबनेट बनाना

Cloud Shell से

gcloud compute networks subnets create consumer-subnet-vm --project=$consumerproject  --range=10.0.70.0/24 --network=vpc-demo-consumer --region=us-central1

पब्लिश की गई सेवा को ऐक्सेस करने के लिए, स्टैटिक आईपी पता बनाना

Cloud Shell से

gcloud compute addresses create vpc-consumer-psc --region=us-central1 --subnet=consumer-subnet --addresses 10.0.60.100

फ़ायरवॉल के नियम बनाएं

आईएपी को अपने वीएम इंस्टेंस से कनेक्ट करने की अनुमति देने के लिए, फ़ायरवॉल का नियम बनाएं:

यह उन सभी वीएम इंस्टेंस पर लागू होता है जिन्हें आपको आईएपी का इस्तेमाल करके ऐक्सेस करना है.
आईपी रेंज 35.235.240.0/20 से, इन्ग्रेस डेटा ट्रैफ़िक की अनुमति देता है. इस रेंज में वे सभी आईपी पते शामिल हैं जिनका इस्तेमाल आईएपी, टीसीपी फ़ॉरवर्ड करने के लिए करता है

Cloud Shell से

gcloud compute firewall-rules create psclab-iap-consumer --network vpc-demo-consumer --allow tcp:22 --source-ranges=35.235.240.0/20 --enable-logging

हालांकि, पीएससी के लिए ईग्रेस फ़ायरवॉल के नियम बनाना ज़रूरी नहीं है, ताकि प्रोड्यूसर के लिए सेवा अटैचमेंट में उपभोक्ता के पीएससी ट्रैफ़िक पर नज़र रखी जा सके

gcloud compute --project=$consumerproject firewall-rules create vpc-consumer-psc --direction=EGRESS --priority=1000 --network=vpc-demo-consumer --action=ALLOW --rules=all --destination-ranges=10.0.60.0/24 --enable-logging

10. उपभोक्ता के लिए टेस्ट इंस्टेंस 1 बनाएं

Cloud Shell से

gcloud compute instances create consumer-instance-1 --zone=us-central1-a --machine-type=e2-micro --private-network-ip=10.0.70.10 --no-address --subnet=consumer-subnet-vm --tags=google1 --image-family=debian-10 --image-project=debian-cloud

11. उपभोक्ता के लिए टेस्ट इंस्टेंस 2 बनाएं

Cloud Shell से

gcloud compute instances create consumer-instance-2 --zone=us-central1-a --machine-type=e2-micro --private-network-ip=10.0.70.20 --no-address --subnet=consumer-subnet-vm --tags=google2 --image-family=debian-10 --image-project=debian-cloud

12. सेवा अटैचमेंट बनाएं

पिछले चरण में, आपने प्रोड्यूसर सेवा की अटैचमेंट स्ट्रिंग को एक सुरक्षित जगह पर कॉपी किया था. अब हम स्टोर की गई वैल्यू को "target-service-अटैचमेंट" में डाल देते हैं फ़ील्ड.

7वेबबैक4e24f1ef7.png

Cloud Shell से

gcloud compute forwarding-rules create vpc-consumer-psc-fr --region=us-central1 --network=vpc-demo-consumer --address=vpc-consumer-psc --target-service-attachment=yoursavedproducerserviceattachment

13. सत्यापन - उपभोक्ता

हम CURL और उपभोक्ता और प्रोड्यूसर कम्यूनिकेशन की पुष्टि करने के लिए, फ़ायरवॉल लॉग.

उपभोक्ता के प्रोजेक्ट में, स्टैटिक आईपी पतों का इस्तेमाल, प्रोड्यूसर से संपर्क करने के लिए किया जाता है. स्टैटिक आईपी पते की मदद से, उपभोक्ता फ़ॉरवर्ड करने के नियम के साथ मैपिंग की पुष्टि करने के लिए, यहां दिया गया सिंटैक्स इस्तेमाल करें.

उपभोक्ता VPC से Cloud इस्तेमाल शेल, फ़ॉरवर्ड करने के नियम और स्टैटिक आईपी की पहचान करता है

gcloud compute forwarding-rules describe vpc-consumer-psc-fr --region us-central1

नीचे दिया गया आउटपुट, हम बाद के चरण में प्रोड्यूसर तक पहुंचने के लिए 10.0.60.100 का इस्तेमाल करेंगे

IPAddress: 10.0.60.100
creationTimestamp: '2021-09-30T21:13:54.124-07:00'
id: '3564572805904938477'
kind: compute#forwardingRule
labelFingerprint: 42WmSpB8rSM=
name: vpc-consumer-psc-fr
network: https://www.googleapis.com/compute/v1/projects/deepakmichaelstage/global/networks/vpc-demo-consumer
networkTier: PREMIUM
pscConnectionId: '36583161500548196'
pscConnectionStatus: ACCEPTED

कनेक्ट की गई सेवा देखें

Cloud Console पर जाकर, Network Services → Private Service Connect → कनेक्टेड एंडपॉइंट और नया बनाया गया एंडपॉइंट देखें

यह उपभोक्ता-इंस्टेंस-1 में लॉग इन करके, प्रोड्यूसर की पब्लिश की गई सेवा के ऐक्सेस की जांच करता है

Cloud Shell से + पर क्लिक करके नया टैब खोलें

Cloud शेल से ये काम करें:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=YOUR-PROJECT-NAME
echo $projectname

gcloud compute ssh --zone "us-central1-a" "consumer-instance-1" --project "$projectname"

उपभोक्ता-इंस्टेंस-1 के इंस्टेंस में लॉग इन करने के बाद, फ़ॉरवर्ड करने के नियम के आईपी पते 10.0.60.100 के ख़िलाफ़ कोई कर्ल करें

Cloud शेल से ये काम करें:

user@consumer-instance-1:~$ curl 10.0.60.100

आउटपुट का उदाहरण

user@consumer-instance-1:~$ curl 10.0.60.100
{
  "cluster_name": "gke-psc-l4",
  "host_header": "10.0.60.100",
  "node_name": "gke-gke-psc-l4-default-pool-f2c6e301-vnlz.c.prodprojectid.internal",
  "pod_name": "psc-ilb-588887dfdb-w7tbr",
  "pod_name_emoji": "🤷",
  "project_id": "prodorijectid",
  "timestamp": "2021-10-01T17:43:37",
  "zone": "us-central1-a"

यह उपभोक्ता-इंस्टेंस-2 में लॉग इन करके, प्रोड्यूसर की पब्लिश की गई सेवा के ऐक्सेस की जांच करता है

Cloud Shell से + पर क्लिक करके नया टैब खोलें

Cloud शेल से ये काम करें:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=YOUR-PROJECT-NAME
echo $projectname

gcloud compute ssh --zone "us-central1-a" "consumer-instance-2" --project "$projectname"

Cloud शेल से ये काम करें:

user@consumer-instance-2:~$ curl 10.0.60.100

आउटपुट का उदाहरण

deepakmichael@consumer-instance-2:~$ curl 10.0.60.100
{
  "cluster_name": "gke-psc-l4",
  "host_header": "10.0.60.100",
  "node_name": "gke-gke-psc-l4-default-pool-f2c6e301-vnlz.c.prodproject.internal",
  "pod_name": "psc-ilb-588887dfdb-4jdql",
  "pod_name_emoji": "🧑🏿",
  "project_id": "prodproject",
  "timestamp": "2021-10-01T17:49:51",
  "zone": "us-central1-a"

14. फ़ायरवॉल को लॉग करने का तरीका - तय की गई पुष्टि की प्रक्रिया

Logs Explorer का इस्तेमाल करके फ़ायरवॉल नियम "vpc-consumner-psc" की पुष्टि करें वीएम के इंस्टेंस और स्टैटिक आईपी के बीच के फ़्लो को कैप्चर कर रहा हो

Cloud Console में, कार्रवाइयों का लॉगिंग पता लगाएं → लॉग एक्सप्लोरर
क्वेरी फ़ील्ड में, नीचे दी गई एंट्री को yourconsumerproject से अपडेट करें और "क्वेरी चलाएं" चुनें

LogName:(projects/yourconsumerprojectID/logs/compute.googleapis.com%2Ffirewall) AND jsonPayload.Rule_details.reference:("network:vpc-demo-consumer/firewall:vpc-consumer-psc")

क्वेरी के नतीजों में दिए गए हर स्क्रीनशॉट के लिए यह जानकारी मिलती है

लॉग (jsonPayload → कनेक्शन) को बड़ा करें और नीचे दिए गए आउटपुट की पहचान करें. dest_ip पर ध्यान दें: 10.0.60.100, प्रोड्यूसर सेवा को ऐक्सेस करने के लिए इस्तेमाल किया जाने वाला स्टैटआईसी टीसीपी आईपी है और src_ip: 10.0.70.10 या 10.0.70.20, वीएम इंस्टेंस आईपी पते हैं. स्थान की अनुमति है.

15. सत्यापन - निर्माता

प्रोड्यूसर प्रोजेक्ट से पुष्टि करें कि सेवा अटैचमेंट सही तरीके से कनेक्ट हो गया है. Network Services → Private Service Connect → पब्लिश की गई सेवाएं पर जाएं

सेवा पर क्लिक करने से, आपके जुड़े हुए उपभोक्ता प्रोजेक्ट और स्टेटस का पता चलता है. इसका उदाहरण नीचे दिया गया है

16. पब्लिश की गई सेवा के ऐक्सेस पर पाबंदी लगाना

अब तक हमने पुष्टि की है कि दोनों इंस्टेंस के पास पब्लिश की गई सेवाओं का ऐक्सेस है. अब, पब्लिश की गई सेवाओं का उपभोक्ता-इंस्टेंस-2 ऐक्सेस अस्वीकार करने के लिए, इग्रेस डेटा ट्रैफ़िक का नियम बनाएं.

डिफ़ॉल्ट रूप से, GCP पर सभी इग्रेस डेटा ट्रैफ़िक को अनुमति दी जाती है. हालांकि, इसमें सभी इन्ग्रेस डेटा ट्रैफ़िक को शामिल करने की अनुमति नहीं दी जाती है. नीचे दिए गए चरणों में, हम पहले से तय किए गए नेटवर्किंग टैग 'google2' के आधार पर फ़ायरवॉल नियम बनाएंगे का इस्तेमाल, उपभोक्ता-इंस्टेंस-2 बनाते समय किया जाता है, ताकि पब्लिश की गई सेवा का ऐक्सेस न दिया जा सके.

नया क्लाउड शेल टैब खोलने के लिए, + पर क्लिक करें और क्लाउड शेल में नीचे दिया गया फ़ायरवॉल नियम लागू करें

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=YOUR-PROJECT-NAME
echo $projectname

gcloud compute --project=$projectname firewall-rules create psc-endpoint-deny-egress --direction=EGRESS --priority=999 --network=vpc-demo-consumer --action=DENY --rules=all --destination-ranges=10.0.60.100/32 --target-tags=google2 --enable-logging

अब यह देखते हैं कि उपभोक्ता-इंस्टेंस-2, पब्लिश की गई सेवा को ऐक्सेस कर पा रहा है या नहीं. अगर आपके सेशन का समय खत्म हो गया है, तो आपको एक नया क्लाउड शेल + खोलना होगा और यहां बताए गए तरीके से वीएम में लॉग इन करना होगा.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=YOUR-PROJECT-NAME
echo $projectname

gcloud compute ssh --zone "us-central1-a" "consumer-instance-2" --project "$projectname"

Cloud शेल से ये काम करें:

user@consumer-instance-2:~$ curl 10.0.60.100

आउटपुट का उदाहरण

user@consumer-instance-2:~$ curl 10.0.60.100
curl: (7) Failed to connect to 10.0.60.100 port 80: Connection timed out

फ़ायरवॉल को लॉग करने का तरीका - पुष्टि करने का अनुरोध अस्वीकार किया गया

Logs Explorer का इस्तेमाल करके, फ़ायरवॉल के नियम "psc-endpoint-deny-e कंट्रोल" की पुष्टि करें वीएम इंस्टेंस और स्टैटिक आईपी के बीच के फ़्लो को कैप्चर कर रहा हो

Cloud Console में, कार्रवाइयों का लॉगिंग पता लगाएं → लॉग एक्सप्लोरर
क्वेरी फ़ील्ड में, नीचे दी गई एंट्री को yourconsumerproject पर अपडेट करें और "क्वेरी चलाएं" को चुनें

LogName:(projects/yourconsumerprojectID/logs/compute.googleapis.com%2Ffirewall) AND jsonPayload.Rule_details.reference:("network:vpc-demo-consumer/firewall:psc-endpoint-deny-eways")

क्वेरी के नतीजों में दिए गए हर स्क्रीनशॉट के लिए यह जानकारी मिलती है

लॉग को बड़ा करें और नीचे दिए गए आउटपुट की पहचान करें. dest_ip पर ध्यान दें: 10.0.60.100, स्टैटआईसी टीसीपी आईपी है और src_ip: 10.0.70.10 या 10.0.70.20, वीएम इंस्टेंस आईपी पते हैं. स्थिति को अस्वीकार किया गया है.

17. क्लीनअप का तरीका

प्रोड्यूसर नेटवर्क को क्लीनअप करने का तरीका

प्रोड्यूसर प्रोजेक्ट टर्मिनल के एक क्लाउड शेल से लैब के कॉम्पोनेंट मिटाएं

gcloud container clusters delete gke-psc-l4 --region us-central1-a --quiet

gcloud compute networks subnets delete gke-nat-subnet --region=us-central1 --quiet

gcloud compute networks subnets delete node-subnet1 --region=us-central1 --quiet

gcloud compute networks delete gke-producer-l4-vpc --quiet

उपभोक्ता नेटवर्क को हटाने का तरीका

Consumer Project टर्मिनल के एक क्लाउड शेल से लैब के कॉम्पोनेंट मिटाएं

gcloud compute instances delete consumer-instance-1 --zone=us-central1-a --quiet

gcloud compute instances delete consumer-instance-2 --zone=us-central1-a --quiet

gcloud compute forwarding-rules delete vpc-consumer-psc-fr --region=us-central1 --quiet

gcloud compute addresses delete vpc-consumer-psc --region=us-central1 --quiet

gcloud compute firewall-rules delete psclab-iap-consumer --quiet

gcloud compute networks subnets delete consumer-subnet --region=us-central1 --quiet

gcloud compute networks subnets delete consumer-subnet-vm --region=us-central1 --quiet

gcloud compute firewall-rules delete vpc-consumer-psc --quiet

gcloud compute firewall-rules delete psc-endpoint-deny-egress --quiet

gcloud compute networks delete vpc-demo-consumer --quiet

18. बधाई हो!

कोडलैब पूरा करने के लिए बधाई.

इसमें हमने इन विषयों के बारे में बताया

निजी सेवा कनेक्ट के फ़ायदे
सेवा उपभोक्ताओं के लिए मुख्य सिद्धांत
सर्विस प्रोड्यूसर के लिए खास कॉन्सेप्ट
प्रोड्यूसर एनवायरमेंट बनाना
सेवा अटैचमेंट की मदद से सेवा (प्रोड्यूसर एनवायरमेंट) दिखाएं
उपभोक्ता के लिए एनवायरमेंट बनाना
उपभोक्ता नेटवर्क में फ़ॉरवर्ड करने का नियम बनाना
उपभोक्ता के ऐक्सेस की पुष्टि करना
नीति का ऐक्सेस कंट्रोल चालू करें
उपभोक्ता के लिए फ़ॉरवर्ड करने के नियम का ऐक्सेस ब्लॉक करने के लिए, इग्रेस डेटा ट्रैफ़िक के नियम का इस्तेमाल किया गया