Menyiapkan lingkungan untuk menggunakan kumpulan pribadi di jaringan VPC

Halaman ini menunjukkan cara menyiapkan lingkungan jaringan untuk menggunakan kumpulan pribadi di jaringan VPC. Jika Anda belum terbiasa dengan kolam renang pribadi, baca Ringkasan kolam renang pribadi.

Memahami opsi konfigurasi jaringan

Kumpulan pribadi dihosting di jaringan Virtual Private Cloud milik Google yang disebut jaringan produsen layanan. Saat menyiapkan kumpulan pribadi, Anda dapat memilih untuk menggunakan jaringan produsen layanan atau menyiapkan koneksi pribadi antara jaringan produsen layanan dan jaringan VPC yang berisi resource Anda.

Pilih salah satu skema konfigurasi jaringan berikut, bergantung pada kebutuhan organisasi Anda:

  • Gunakan jaringan produsen layanan saja: Gunakan opsi ini jika:

    Ini adalah opsi jaringan default untuk membuat kumpulan pribadi dan tidak memerlukan penyiapan jaringan apa pun. Jika Anda tertarik dengan opsi ini, lanjutkan ke membuat kumpulan pribadi.

  • Siapkan koneksi pribadi antara jaringan produsen layanan dan jaringan VPC Anda: Koneksi pribadi memungkinkan instance VM di jaringan VPC dan kumpulan pribadi Anda untuk berkomunikasi secara eksklusif menggunakan alamat IP internal. Gunakan opsi ini jika:

    • Anda ingin build mengakses resource di jaringan VPC
    • Anda menginginkan jenis dan ukuran mesin yang dapat dikonfigurasi

Menyiapkan koneksi pribadi antara jaringan VPC Anda dan jaringan produsen layanan

  1. Anda harus memiliki jaringan VPC yang sudah ada yang akan digunakan untuk terhubung ke jaringan produsen layanan.

  2. Untuk menggunakan contoh command line dalam panduan ini, instal dan konfigurasikan Google Cloud CLI.

  3. Aktifkan API:

    Konsol


    Enable the Cloud Build and the Service Networking APIs.

    Enable the APIs

    gcloud

    Aktifkan Cloud Build dan Service Networking API:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com

  4. Untuk mendapatkan izin yang diperlukan guna menyiapkan koneksi pribadi, minta administrator untuk memberi Anda peran IAM Compute Engine Network Admin (roles/compute.networkAdmin) di project Google Cloud tempat jaringan VPC berada. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

  5. Di jaringan VPC, alokasikan rentang IP internal yang diberi nama:

    Rentang IP yang Anda tentukan di sini akan tunduk pada aturan firewall yang ditentukan di jaringan VPC.

    Cloud Build mencadangkan rentang IP 192.168.10.0/24 dan 172.17.0.0/16 untuk jaringan bridge Docker. Saat mengalokasikan rentang IP untuk resource dalam project Anda, sebaiknya pilih rentang di luar 192.168.10.0/24 dan 172.17.0.0/16 jika builder Cloud Build akan mengakses resource ini.

    Misalnya, rentang alamat bidang kontrol Google Kubernetes Engine 192.168.10.96/28 tidak akan dapat diakses dari builder gke-deploy Cloud Build karena tumpang-tindih.

    Konsol

    1. Buka halaman jaringan VPC di Konsol Google Cloud.

      Buka halaman Jaringan VPC

    2. Pilih jaringan VPC yang akan terhubung ke jaringan VPC kumpulan pribadi.

    3. Pilih tab Private service access.

    4. Di tab Private service access, pilih tab Allocate IP ranges for services.

    5. Klik Alokasikan rentang IP.

    6. Masukkan Name dan Description untuk rentang yang dialokasikan.

    7. Tentukan IP range untuk alokasi:

      • Untuk menentukan rentang alamat IP, pilih Custom, lalu masukkan blok CIDR.
      • Untuk menentukan panjang awalan dan mengizinkan Google memilih rentang yang tersedia, pilih Automatic, lalu masukkan panjang awalan. Panjang awalan harus /24 atau lebih rendah, seperti /22, /21, dll.

    8. Klik Alokasikan untuk membuat rentang yang dialokasikan.

    gcloud

    Untuk menentukan rentang alamat IP dan panjang awalan (subnet mask), gunakan flag addresses dan prefix-length. Panjang awalan harus /24 atau lebih rendah, seperti /22, /21, dll. Misalnya, untuk mengalokasikan blok CIDR 192.168.0.0/16, tentukan 192.168.0.0 untuk alamat dan 16 untuk panjang awalan.

      gcloud compute addresses create RESERVED_RANGE_NAME \
      --global \
      --purpose=VPC_PEERING \
      --addresses=192.168.0.0 \
      --prefix-length=16 \
      --description=DESCRIPTION \
      --network=VPC_NETWORK

    Untuk menentukan panjang awalan saja (subnet mask), cukup gunakan flag prefix-length. Saat Anda menghilangkan rentang alamat IP, Google Cloud akan otomatis memilih rentang alamat IP yang tidak digunakan di jaringan VPC Anda. Contoh berikut ini memilih rentang alamat IP yang tidak digunakan dengan panjang awalan bit 16.

      gcloud compute addresses create RESERVED_RANGE_NAME \
      --global \
      --purpose=VPC_PEERING \
      --prefix-length=16 \
      --description=DESCRIPTION \
      --network=VPC_NETWORK

    Ganti nilai placeholder dalam perintah dengan nilai berikut:

    • RESERVED_RANGE_NAME: nama untuk rentang yang dialokasikan, seperti my-allocated-range.
    • DESCRIPTION: deskripsi untuk rentang, seperti allocated for my-service.

    • VPC_NETWORK: nama jaringan VPC Anda, seperti my-vpc-network.

  6. Buat koneksi pribadi antara jaringan produsen layanan dan jaringan VPC Anda:

    Konsol

    1. Buka halaman jaringan VPC di Konsol Google Cloud.

      Buka halaman Jaringan VPC

    2. Pilih jaringan VPC yang akan terhubung ke jaringan VPC kumpulan pribadi.

    3. Pilih tab Private service access.

    4. Pada tab Private service access, pilih tab Private connections to services.

    5. Klik Create connection untuk membuat koneksi pribadi antara jaringan Anda dan jaringan produsen layanan.

    6. Untuk Alokasi yang ditetapkan, pilih rentang yang dialokasikan yang telah Anda buat di langkah sebelumnya.

    7. Klik Hubungkan untuk membuat koneksi.

    gcloud

    1. Membuat koneksi pribadi:

      gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=ALLOCATED_RANGE_NAME \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

      Ganti nilai placeholder dalam perintah dengan nilai berikut:

      • ALLOCATED_RANGE_NAME: nama rentang yang dialokasikan yang Anda buat di langkah sebelumnya.
      • VPC_NETWORK: nama jaringan VPC Anda.
      • PROJECT_ID: ID project yang berisi jaringan VPC Anda.

      Perintah tersebut memulai operasi yang berjalan lama, dan menampilkan nama operasi.

    2. Periksa apakah operasi berhasil, dengan mengganti OPERATION_NAME dengan nama operasi yang ditampilkan dari langkah sebelumnya.

      gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME

  7. [OPSIONAL: Skenario VPC Bersama]. Jika Anda menggunakan VPC Bersama, buat rentang IP yang dialokasikan dan koneksi pribadi di project host. Biasanya, administrator jaringan di project host harus melakukan tugas ini. Setelah project host disiapkan dengan koneksi pribadi, instance VM dalam project layanan dapat menggunakan koneksi pribadi dengan jaringan produsen layanan. Project yang menghosting koneksi VPC dan project yang berisi kumpulan pribadi harus menjadi bagian dari organisasi yang sama.

  8. [OPSIONAL: Menggunakan aturan firewall]. Jika Anda membuat aturan firewall masuk di jaringan VPC, tentukan rentang IP yang sama dengan yang Anda alokasikan di sini di filter sumber untuk aturan masuk.

Langkah selanjutnya