Mengonfigurasi akses jaringan pribadi

Halaman ini menjelaskan cara menyiapkan akses jaringan pribadi dan merutekan traffic dalam jaringan Google Cloud .

Untuk menyiapkan akses jaringan pribadi, Anda harus mengonfigurasi tiga project:

  • Project yang menyertakan Virtual Private Cloud (VPC) dan instance virtual machine (VM) yang menjadi target.
  • Project yang berfungsi sebagai project layanan Service Directory.
  • Project untuk produk Google Cloud dengan konfigurasi yang memanggil akses jaringan pribadi. Contoh Google Cloud produk yang dapat memanggil endpoint menggunakan akses jaringan pribadi adalah Dialogflow CX.

Artefak project dapat berada dalam project yang sama atau dalam project yang berbeda.

Sebelum memulai

Sebelum mengonfigurasi akses jaringan pribadi, selesaikan langkah-langkah berikut:

  • Untuk setiap project, di konsol Google Cloud, pada halaman APIs & Services, klik Enable APIs and services untuk mengaktifkan API yang ingin Anda gunakan, termasuk Service Directory API.

  • Untuk menautkan jaringan VPC ke host lokal, buat tunnel Cloud VPN atau koneksi Cloud Interconnect.

  • Pastikan project Google Cloud berada dalam perimeter Kontrol Layanan VPC dari project jaringan dan project Direktori Layanan untuk servicedirectory.googleapis.com.

    Pelajari lebih lanjut Kontrol Layanan VPC.

Mengonfigurasi project untuk jaringan VPC

Untuk mengonfigurasi project untuk jaringan VPC, ikuti langkah-langkah berikut:

  1. Buat Jaringan VPC Jika Anda ingin menggunakan jaringan VPC yang ada, pastikan jaringan tersebut mendukung subnet dalam mode otomatis atau mode kustom. Jaringan lama tidak didukung.

  2. Jika target jaringan VPC Anda adalah VM Compute Engine atau backend load balancer internal, konfigurasi aturan firewall jaringan VPC. Buat aturan firewall untuk mengizinkan traffic masuk TCP dari 35.199.192.0/19 di port tempat target Anda memproses. Port 443 dan 80 adalah port standar, tetapi Anda dapat menggunakan port apa pun. Perhatikan bahwa secara default, aturan firewall jaringan VPC memblokir koneksi masuk ke VM Compute Engine.

    Untuk mengetahui informasi selengkapnya tentang 35.199.192.0/19, lihat Jalur untuk Cloud DNS dan Service Directory.

  3. Berikan peran Layanan Otorisasi Private Service Connect Identity and Access Management (IAM) (roles/servicedirectory.pscAuthorizedService) ke agen layanan produk Google Cloud yang akan memanggil endpoint.

    Untuk mengetahui informasi selengkapnya tentang peran dan izin, lihat Izin dan peran Service Directory.

Mengonfigurasi project Direktori Layanan

Untuk mengonfigurasi project Direktori Layanan, ikuti langkah-langkah berikut:

  1. Di jaringan VPC, buat VM atau load balancer internal.

  2. Berikan peran IAM Service Directory Viewer (roles/servicedirectory.viewer) kepada agen layanan Google Cloud produk yang akan memanggil endpoint.

  3. Buat namespace dan layanan Direktori Layanan. Kemudian, buat endpoint untuk layanan ini, dengan mengikuti langkah-langkah di bagian berikutnya.

Membuat endpoint dengan akses jaringan pribadi

Untuk membuat endpoint dengan akses jaringan pribadi yang dikonfigurasi, ikuti langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Namespace Service Directory. Buka namespace Direktori Layanan
  2. Klik namespace.
  3. Klik layanan.
  4. Klik Add endpoint.
  5. Untuk Endpoint name, masukkan nama endpoint.
  6. Untuk IP address, masukkan alamat IPv4, seperti 192.0.2.0.
  7. Untuk Port, masukkan nomor port, seperti 443 atau 80.
  8. Untuk mengaktifkan akses jaringan pribadi, di Jaringan VPC terkait, pilih opsi yang diperlukan:
    • Untuk memilih dari daftar jaringan yang tersedia, klik Pilih dari daftar, lalu pilih jaringan.
    • Untuk menentukan project dan jaringan, klik Tentukan berdasarkan project dan nama jaringan, lalu masukkan nomor project dan nama jaringan.
  9. Klik Buat.

gcloud

Gunakan perintah gcloud service-directory endpoints create dengan project ID dan jalur jaringan yang ditentukan.

gcloud service-directory endpoints create ENDPOINT_NAME \
--project=PROJECT_ID \
--location=REGION \
--namespace=NAMESPACE_NAME \
--service=SERVICE_ID \
--address=IP_ADDRESS \
--port=PORT_NUMBER \
--network=NETWORK_PATH

Ganti kode berikut:

  • ENDPOINT_NAME: nama untuk endpoint yang Anda buat di layanan, seperti my-endpoint
  • PROJECT_ID: ID project
  • REGION: region Google Cloud yang berisi namespace
  • NAMESPACE_NAME: nama yang Anda berikan ke namespace, seperti my-namespace
  • SERVICE_ID: ID layanan
  • IP_ADDRESS: alamat IP endpoint, seperti 192.0.2.0
  • PORT_NUMBER: port tempat endpoint berjalan, biasanya 443 atau 80
  • NETWORK_PATH: URL ke jaringan, seperti projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME

Mengonfigurasi Google Cloud project produk

Untuk mengonfigurasi Google Cloud project produk, ikuti langkah-langkah berikut:

  1. Aktifkan Google Cloud API produk.

  2. Konfigurasikan Google Cloud produk Anda untuk memanggil layanan Direktori Layanan yang Anda buat. Langkah-langkah yang diperlukan bergantung pada produk Google Cloud tertentu.

Kasus penggunaan

Bagian ini memberikan contoh kasus penggunaan untuk mengonfigurasi akses jaringan pribadi.

Memanggil endpoint HTTP saat jaringan VPC, VM, dan Service Directory berada dalam project yang sama

Dalam kasus penggunaan ini, Anda menyiapkan Dialogflow CX, Google Cloud produk untuk pemrosesan bahasa alami, untuk memanggil endpoint HTTP di VM. Saat memanggil endpoint, pastikan traffic tidak bertransisi melalui internet publik.

Dalam kasus penggunaan ini, Anda akan membuat artefak berikut dalam project yang sama:

  • Jaringan VPC
  • VM
  • Layanan Direktori Layanan
  • Dialogflow CX

Gambar 1 menunjukkan cara mengizinkan konfigurasi layanan Google dari project untuk keluar ke VM. VM berada di jaringan VPC project.

Mengizinkan konfigurasi layanan Google dari project untuk keluar ke VM project jaringan.
Gambar 1. Mengizinkan konfigurasi layanan Google dari project untuk keluar ke VM (klik untuk memperbesar).

Menyiapkan jaringan dan jaringan target

  1. Buat project, seperti myproject.

  2. Buat jaringan VPC, seperti vpc-1.

    Saat membuat jaringan VPC, di Subnet creation mode, pilih Automatic.

  3. Buat aturan firewall, seperti firewall-1.

    Saat membuat aturan firewall, masukkan atau pilih nilai berikut:

    • Untuk Network, pilih vpc-1.
    • Untuk Source IPv4 ranges, masukkan 35.199.192.0/19.
    • Untuk Protocols and ports, pilih TCP, lalu masukkan 443 atau 80.

  4. Di region us-central1, buat VM, seperti vm-1.

    Saat membuat VM, masukkan atau pilih nilai berikut:

    • Untuk Networking > Network Interfaces, pilih vpc-1.
    • Untuk Firewall, pilih Allow HTTP traffic.

    Jika Anda ingin menggunakan HTTPS, pilih Allow HTTPS traffic. Pastikan juga Anda menginstal sertifikat Transport Layer Security (TLS) Infrastruktur Kunci Publik (PKI).

  5. Di region us-central1, buat namespace, seperti namespace-1.

  6. Di namespace, daftarkan layanan Direktori Layanan, seperti sd-1.

  7. Buat endpoint di sd-1. Untuk alamat endpoint, gunakan alamat IP internal vm-1 di port 443. Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint dengan akses jaringan pribadi.

  8. Berikan peran IAM berikut kepada agen layanan produkGoogle Cloud yang akan memanggil endpoint:

    • Peran Service Directory Viewer (roles/servicedirectory.viewer)
    • Peran Layanan Otorisasi Private Service Connect (roles/servicedirectory.pscAuthorizedService)

  9. Opsional: Jika ingin menambahkan lebih banyak VM, Anda dapat menyiapkan VM lain, seperti vm-2, dan menambahkan endpoint-nya, seperti endpoint-2.

Menyiapkan Google Cloud produk

  1. Konfigurasikan Google Cloud konfigurasi produk, seperti "Cloud Scheduler, panggil saya setiap menit".
  2. Siapkan permintaan HTTP.
  3. Tentukan bahwa permintaan harus melalui jaringan pribadi, seperti melalui sd-1.
  4. Opsional: Konfigurasikan setelan Layanan Certificate Authority.

Produk Google Cloud kini dapat memanggil permintaan HTTP menggunakan sd-1.

Memanggil endpoint HTTP saat jaringan VPC Bersama, VM, dan Direktori Layanan berada di project yang berbeda

Dalam kasus penggunaan ini, Anda menyiapkan Dialogflow CX, layanan Google Cloud untuk pemrosesan bahasa alami, untuk memanggil endpoint HTTP di VM. Saat memanggil endpoint, pastikan traffic tidak bertransisi melalui internet publik.

Dalam kasus penggunaan ini, Anda akan membuat artefak berikut di berbagai project:

  • Jaringan VPC Bersama
  • VM
  • Layanan Direktori Layanan
  • Dialogflow CX

Sebelum membuat project, perhatikan hal-hal berikut:

  • Pastikan pemanggilan API mematuhi perimeter Kontrol Layanan VPC.
  • Pastikan konfigurasi Google Cloud project layanan memungkinkan keluar ke VM yang berada di project jaringan VPC.
  • Project produsen mungkin tidak sama dengan project layanan Google Cloud .
  • Pastikan perimeter Kontrol Layanan VPC dari kedua project digunakan.
  • Project Direktori Layanan dan project jaringan tidak perlu terhubung, tetapi keduanya harus menjadi bagian dari Kontrol Layanan VPC yang sama.
  • Di jaringan dan layanan, firewall dan IAM dinonaktifkan secara default.

Gambar 2 menunjukkan cara mengirim traffic menggunakan akses jaringan pribadi dengan perimeter Kontrol Layanan VPC yang diterapkan.

Mengirim traffic menggunakan akses jaringan pribadi dengan perimeter Kontrol Layanan VPC yang diterapkan.
Gambar 2. Mengirim traffic menggunakan akses jaringan pribadi dengan perimeter Kontrol Layanan VPC yang diterapkan (klik untuk memperbesar).

Mengonfigurasi project jaringan

  1. Buat project, seperti my-vpc-project.

  2. Buat jaringan VPC, seperti vpc-1.

    Saat membuat jaringan VPC, untuk Subnet creation mode, pilih Automatic.

  3. Buat aturan firewall, seperti firewall-1.

    Saat membuat aturan, masukkan atau pilih nilai berikut:

    • Untuk Network, pilih vpc-1.
    • Untuk Source IPv4 ranges, masukkan 35.199.192.0/19.
    • Untuk Protocols and ports, pilih TCP, lalu masukkan 443 atau 80.

  4. Di region us-central1, buat VM, seperti vm-1.

    Saat membuat VM, masukkan atau pilih nilai berikut:

    • Untuk Networking > Network Interfaces, pilih vpc-1.
    • Untuk Firewall, pilih Allow HTTP traffic.

    Jika Anda ingin menggunakan HTTPS, pilih Allow HTTPS traffic. Pastikan juga Anda menginstal sertifikat Transport Layer Security (TLS) Infrastruktur Kunci Publik (PKI).

Jika Anda menggunakan Kontrol Layanan VPC, perimeter Kontrol Layanan VPC memungkinkan Direktori Layanan terhubung ke Google Cloud project layanan dan project Direktori Layanan.

Mengonfigurasi project Direktori Layanan

  1. Buat project, seperti my-sd-project.

  2. Anda memerlukan izin IAM tambahan karena project jaringan VPC dan project Service Directory adalah project yang berbeda.

    Dari project jaringan, berikan peran Service Directory Network Attacher (roles/servicedirectory.networkAttacher) kepada akun utama IAM yang membuat endpoint Service Directory.

  3. Buat endpoint Direktori Layanan yang mengarah ke VM di jaringan VPC:

    1. Di region us-central1, buat namespace, seperti namespace-1.
    2. Di namespace, daftarkan layanan Direktori Layanan, seperti sd-1.
    3. Buat endpoint di sd-1. Untuk alamat endpoint, gunakan alamat IP internal vm-1 di port 443. Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint dengan akses jaringan pribadi.

  4. Berikan peran IAM berikut kepada agen layanan produkGoogle Cloud yang akan memanggil endpoint:

    • Peran Service Directory Viewer (roles/servicedirectory.viewer) di project Service Directory
    • Peran Authorized Service Private Service Connect (roles/servicedirectory.pscAuthorizedService) di project jaringan

Jika Anda menggunakan Kontrol Layanan VPC, perimeter Kontrol Layanan VPC memungkinkan Direktori Layanan terhubung ke Google Cloud project layanan dan project Direktori Layanan.

Mengonfigurasi Google Cloud project layanan

  1. Aktifkan API untuk Google Cloud layanan yang Anda gunakan.
  2. Untuk mengonfigurasi Google Cloud layanan PUSH, gunakan layanan Direktori Layanan dari project Direktori Layanan.

Jika Anda menggunakan Kontrol Layanan VPC, perimeter Kontrol Layanan VPC memungkinkan Direktori Layanan terhubung ke project jaringan dan project Direktori Layanan.

Menggunakan akses jaringan pribadi Direktori Layanan dengan Dialogflow

Untuk mengetahui petunjuk tentang cara menggunakan akses jaringan pribadi Service Directory dengan Dialogflow, lihat Menggunakan Service Directory untuk akses jaringan pribadi.

Langkah selanjutnya