Menggunakan Cloud Build di jaringan pribadi

Halaman ini menjelaskan cara mengonfigurasi penyiapan jaringan pribadi yang umum digunakan untuk digunakan dengan kumpulan pribadi. Untuk ringkasan tentang pool pribadi, lihat Ringkasan pool pribadi.

Menentukan setelan jaringan default

Saat membuat kumpulan pribadi, Anda akan disiapkan untuk menggunakan jaringan Virtual Private Cloud tempat kumpulan pribadi berada secara default. Gunakan jaringan VPC default jika:

Untuk petunjuk tentang cara terhubung ke jaringan default, lihat Membuat kumpulan pribadi.

Menentukan rentang IP internal statis

Dalam beberapa kasus, Anda mungkin perlu memiliki rentang IP statis yang ditentukan untuk kumpulan pribadi, seperti saat memanggil layanan yang mengizinkan panggilan dari rentang IP yang ditentukan. Dengan kumpulan pribadi, saat menyiapkan koneksi pribadi antara jaringan VPC dan jaringan VPC kumpulan pribadi, Anda dapat membuat rentang alamat IP yang dialokasikan dengan rentang CIDR IP yang ditentukan tempat kumpulan pribadi akan berjalan. Anda juga dapat menentukan rentang CIDR yang lebih kecil dalam rentang alamat IP yang dialokasikan yang akan digunakan oleh kumpulan pribadi.

Berjalan di jaringan VPC

Untuk menggunakan Cloud Build dengan resource di jaringan pribadi di balik firewall, seperti di jaringan VPC, Anda dapat membuat koneksi pribadi antara kumpulan pribadi dan jaringan VPC terkelola. Hal ini memungkinkan kumpulan pribadi mengakses resource di jaringan pribadi Anda seperti repositori sumber, repositori artefak, database, instance secret, dan runtime.

Berjalan di jaringan VPC bersama

Jika Anda menggunakan jaringan VPC bersama, project tempat Anda membuat kumpulan pribadi harus dilampirkan ke project host yang berisi jaringan VPC bersama. Untuk petunjuk cara melampirkan project, lihat Menyediakan jaringan VPC bersama.

Menghubungkan ke resource di jaringan VPC peer atau jaringan VPC bersama lainnya

Organisasi sering kali menggunakan VPC bersama (project host) untuk memusatkan jaringan dan Identity and Access Management di semua project. Hal ini memungkinkan alamat IP internal digunakan untuk layanan yang dikelola Google seperti cluster GKE pribadi dan Cloud SQL pribadi. Layanan yang dikelola Google ini juga di-peering ke jaringan VPC bersama milik pelanggan. Masalah dengan penyiapan ini adalah bahwa kumpulan pribadi tidak dapat berkomunikasi dengan layanan yang dikelola Google karena tidak adanya peering transitif. Peering transitif hanya menjadi masalah jika beberapa jaringan terhubung satu sama lain melalui peering VPC. Jika salah satu koneksi diubah untuk menggunakan VPN (atau interconnect) dan bukan peering VPC, jaringan dapat membuat konektivitas. Untuk petunjuk tentang penyiapan jaringan ini, lihat Mengakses cluster Google Kubernetes Engine pribadi dengan kumpulan pribadi Cloud Build.

Berjalan di region tertentu

Anda dapat membuat kumpulan pribadi di salah satu region yang didukung. Anda dapat menyimpan image container dan artefak yang di-build di repositori Artifact Registry dan bucket Cloud Storage di region yang ditentukan.

Men-deploy ke cluster GKE pribadi

Cluster GKE pribadi dapat memiliki endpoint publik atau pribadi untuk bidang kontrol.

Untuk men-deploy ke cluster GKE pribadi dengan endpoint publik, Anda dapat membuat kumpulan pribadi di jaringan default dengan akses ke internet publik dan menentukan rentang IP internal statis untuk kumpulan Anda agar mengizinkan daftar akses ke cluster.

Untuk men-deploy ke cluster GKE pribadi dengan endpoint pribadi, Anda dapat mengikuti langkah-langkah yang dijelaskan dalam Mengakses cluster Google Kubernetes Engine pribadi dengan kumpulan pribadi Cloud Build. Atau, setelah melakukan peering ke VPC, Anda dapat menjalankan proxy jaringan di cluster seperti yang dijelaskan dalam Membuat cluster GKE pribadi dengan proxy jaringan.

Menggunakan dengan Kontrol Layanan VPC

Kontrol Layanan VPC adalah fitur Google Cloud yang memungkinkan Anda menyiapkan perimeter yang aman untuk mencegah pemindahan data yang tidak sah. Untuk petunjuk tentang cara menggunakan Kontrol Layanan VPC dengan kumpulan pribadi guna menambahkan keamanan tambahan ke build Anda, lihat Menggunakan Kontrol Layanan VPC.

Menghapus IP publik di kumpulan pribadi

Anda dapat menghapus IP publik di kumpulan pribadi dengan menetapkan kolom egressOption dalam file konfigurasi kumpulan pribadi ke NO_PUBLIC_EGRESS. Namun, perlu diingat bahwa menghapus IP publik akan membatasi kumpulan pribadi Anda agar tidak dapat mengakses resource di internet publik.

Membatasi traffic keluar ke internet publik

Ada beberapa cara untuk membatasi traffic keluar dari kumpulan pribadi ke internet publik:

Menerapkan penggunaan kumpulan pribadi

Cloud Build menyediakan constraints/cloudbuild.allowedWorkerPools batasan kebijakan organisasi yang dapat Anda terapkan untuk mewajibkan build di organisasi Anda agar tidak menggunakan kumpulan default dan hanya menggunakan kumpulan pribadi. Untuk petunjuk cara menggunakan fitur ini, lihat Menyiapkan batasan kebijakan organisasi.

Menggunakan dengan zona Cloud DNS pribadi

Anda dapat membagikan zona Cloud DNS pribadi untuk digunakan dengan kumpulan pribadi. Untuk mengetahui petunjuknya, lihat Membagikan zona pribadi.

Berjalan di belakang NAT

Meskipun Anda dapat mengontrol rentang IP kumpulan pribadi di VPC, alamat IP eksternal (jika diaktifkan) tidak dapat dikontrol. Jika Anda perlu mengakses resource dari IP yang dicadangkan, buat VM proxy dan rutekan traffic melaluinya dengan menyelesaikan langkah-langkah di Mengakses resource eksternal dari alamat IP sumber statis menggunakan Cloud Build.

Langkah selanjutnya