Nesta página, explicamos como definir as configurações de rede privada mais usadas para usar com pools particulares. Para ter uma visão geral dos pools privados, consulte esta página.
Como definir as configurações de rede padrão
Quando você cria um pool privado, por padrão, é possível usar a rede de nuvem privada virtual em que os pools privados residem. Use a rede VPC padrão se:
- você quer que as versões acessem a Internet pública.
- Você precisa de tipos e tamanhos de máquina configuráveis, intervalos de IPs internos estáticos ou um dos outros recursos de pools particulares.
- você não está procurando builds para acessar recursos dentro da sua rede VPC privada.
Para instruções sobre como se conectar à rede padrão, consulte Como criar um pool particular.
Como definir um intervalo de IP interno estático
Em alguns casos, pode ser necessário ter um intervalo de IP estático definido para o pool particular, como ao chamar um serviço que inclua chamadas de um intervalo de IP definido na lista de permissões. Com os pools particulares, ao configurar uma conexão particular entre sua rede VPC e a rede VPC do pool particular, é possível criar intervalos de endereços IP alocados com um intervalo CIDR de IPs definido em que seus pools particulares serão executados. Também é possível especificar um intervalo CIDR menor dentro de um intervalo de endereços IP alocado que será usado por um pool particular.
Como executar em uma rede VPC
Para usar o Cloud Build com recursos em uma rede privada protegida por firewall, como em uma rede VPC, é possível criar uma conexão particular entre o pool particular e sua rede VPC gerenciada. Isso permite que o pool particular acesse recursos na sua rede particular, como repositórios de origem, repositórios de artefatos, bancos de dados, instâncias de secrets e ambientes de execução.
Como executar em uma rede VPC compartilhada
Se você estiver usando uma rede VPC compartilhada, o projeto em que você está criando o pool particular precisa ser anexado ao projeto host que contém a rede VPC compartilhada. Para instruções sobre como anexar um projeto, consulte Como provisionar uma rede VPC compartilhada.
Como se conectar a recursos em outra rede VPC com peering ou em uma rede VPC compartilhada
As organizações geralmente adotam uma VPC compartilhada (projeto host) para centralizar a rede e o Gerenciamento de identidade e acesso em todos os projetos. Isso permite que os endereços IP internos sejam usados em serviços gerenciados pelo Google, como clusters particulares do GKE e Cloud SQL particular. Esses serviços gerenciados pelo Google também fazem peering com uma rede VPC compartilhada do cliente. O problema dessa configuração é que os pools particulares não se comunicam com os serviços gerenciados pelo Google devido à dissolução do peering transitivo. O peering transitivo é um problema apenas quando várias redes são conectadas umas às outras por meio do peering de VPC. Se uma das conexões for alterada para usar uma VPN (ou interconexão) em vez do peering de VPC, as redes poderão estabelecer conectividade. Para instruções sobre essa configuração de rede, consulte Como acessar clusters particulares do Google Kubernetes Engine com pools particulares do Cloud Build.
Como executar em uma região específica
É possível criar um pool particular em uma das regiões compatíveis. É possível armazenar imagens e artefatos de contêiner criados em repositórios do Artifact Registry e buckets do Cloud Storage em regiões especificadas.
Como implantar em clusters particulares do GKE
Os clusters particulares do GKE podem ter um endpoint público ou privado para o plano de controle.
Para implantar em um cluster particular do GKE com um endpoint público, você pode criar seu pool particular na rede padrão com acesso à Internet pública e definir um intervalo de IP interno estático para seu pool a fim de permitir a lista de acesso ao cluster.
Para implantar em clusters particulares do GKE com um endpoint particular, siga as etapas descritas em Como acessar clusters particulares do Google Kubernetes Engine com pools privados do Cloud Build. Como alternativa, depois de fazer peering na VPC, execute um proxy de rede no cluster, conforme descrito em Como criar clusters particulares do GKE com proxies de rede.
Como usar com VPC Service Controls
O VPC Service Controls é um recurso do Google Cloud em que é possível configurar um perímetro seguro para evitar a exfiltração de dados. Para instruções sobre como usar o VPC Service Controls com pools particulares para aumentar a segurança das suas criações, consulte Como usar o VPC Service Controls.
Como remover IPs públicos em pools privados
Para remover IPs públicos em pools particulares, defina o campo egressOption
no arquivo de configuração do pool particular como NO_PUBLIC_EGRESS
.
Lembre-se de que a remoção de IPs públicos impedirá que seu pool particular acesse recursos na Internet pública.
Como restringir a saída à Internet pública
Há algumas maneiras de restringir a saída de pools privados para a Internet pública:
Remova IPs públicos em pools particulares definindo o campo
egressOption
no arquivo de configuração do pool particular comoNO_PUBLIC_EGRESS
. Isso removerá todo o acesso do pool privado à Internet pública.Crie um pool particular em um perímetro do VPC Service Controls. Assim, você configura um perímetro seguro para proteger contra a exfiltração de dados.
Personalize regras de firewall na sua rede VPC para restringir a saída.
Como aplicar o uso de pools particulares
O Cloud Build oferece uma
restrição de política da organização constraints/cloudbuild.allowedWorkerPools
que pode ser aplicada para exigir que as versões da organização usem o
pool padrão e usem apenas o pool particular. de dados. Para instruções sobre como usar esse recurso,
consulte Como configurar restrições na política da organização.
Como usar com zonas particulares do Cloud DNS
É possível compartilhar uma zona particular do Cloud DNS para usar com pools particulares. Para instruções, consulte Como compartilhar uma zona particular.
Executar atrás de um NAT
Embora você possa controlar o intervalo de IP do pool particular na VPC, os endereços IP externo (se ativados) não podem ser controlados. Se você precisar acessar um recurso de um IP reservado, crie uma VM de proxy e roteie o tráfego por ela. Para isso, conclua as etapas em Acessar recursos externos de um endereço IP de origem estático usando o Cloud Build.
A seguir
- Saiba como configurar o ambiente para criar pools particulares.
- Saiba como criar e gerenciar pools particulares.