Controlli di servizio VPC è una funzionalità di Google Cloud che consente di configurare un perimetro sicuro per prevenire l'esfiltrazione di dati. Questa pagina mostra come utilizzare Controlli di servizio VPC con i pool privati di Cloud Build per aggiungere ulteriore sicurezza alle build.
Limitazioni
La protezione dei Controlli di servizio VPC è disponibile solo per le build eseguite in pool privati; non puoi utilizzare Controlli di servizio VPC con le build eseguite in pool predefiniti.
I trigger Pub/Sub di Cloud Build non sono supportati quando si utilizza Controlli di servizio VPC.
Prima di iniziare
Per utilizzare gli esempi a riga di comando in questa guida, installa e configura Google Cloud CLI.
Configura una connessione privata tra la rete Virtual Private Cloud e la rete VPC in cui si trovano i pool privati. Per le istruzioni, consulta Configurare l'ambiente per creare pool privati.
Configurazione di un pool privato nel perimetro dei Controlli di servizio VPC
Per utilizzare Controlli di servizio VPC con Cloud Build, devi prima creare e configurare un perimetro di servizio, a livello di organizzazione. Questa configurazione garantisce che i controlli dei Controlli di servizio VPC vengano applicati quando utilizzano Cloud Build e che gli sviluppatori possano eseguire solo build conformi ai Controlli di servizio VPC.
Creazione di un perimetro dei Controlli di servizio VPC
Autorizzazioni di Identity and Access Management: per configurare un perimetro di servizio, sono necessari i ruoli Visualizzatore organizzazione ed Editor Gestore contesto accesso. Per istruzioni sulla concessione di questi ruoli, consulta Configurazione dell'accesso alle risorse Cloud Build.
Per creare un perimetro dei Controlli di servizio VPC:
Segui la guida rapida di Controlli di servizio VPC per:
- Creare un perimetro di servizio.
Aggiungi al perimetro il progetto in cui intendi creare il pool privato.
Limita l'API Cloud Build.
Dopo aver configurato il perimetro di servizio, tutte le chiamate all'API Cloud Build vengono controllate per garantire che le chiamate provengano dall'interno dello stesso perimetro.
Concessione dell'accesso all'account di servizio al perimetro dei Controlli di servizio VPC
Nei casi seguenti, devi concedere all'account di servizio l'accesso al perimetro Controlli di servizio VPC affinché le tue build possano accedere alle risorse all'interno del perimetro:
Se utilizzi l'account di servizio Cloud Build legacy per avviare le build utilizzando un trigger di build, un'API Cloud Build o la riga di comando.
Se usi account di servizio specificati dall'utente per avviare le build utilizzando un trigger di build.
Non è necessario concedere all'account di servizio l'accesso al perimetro dei Controlli di servizio VPC se utilizzi account di servizio specificati dall'utente per avviare le build tramite l'API Cloud Build o la riga di comando.
Per concedere all'account di servizio Cloud Build l'accesso al perimetro dei Controlli di servizio VPC, segui questi passaggi:
Prendi nota dell'indirizzo email dell'account di servizio che stai utilizzando per la build. Per ottenere l'indirizzo email del tuo account di servizio:
Apri la pagina IAM:
Seleziona il progetto che hai aggiunto al perimetro di servizio.
Nella tabella delle autorizzazioni, individua l'indirizzo email corrispondente al tuo account di servizio.
Aggiorna il criterio in entrata del perimetro di servizio per consentire all'account di servizio di chiamare le API Cloud Build. Questa regola in entrata consente all'account di servizio di effettuare la chiamata API
CreateBuild
. Per ulteriori informazioni sull'impostazione dei criteri di traffico in entrata dei Controlli di servizio VPC, consulta Configurazione dei criteri di traffico in entrata e in uscita e Regole di traffico in entrata e in uscita.- ingressFrom: identities: - serviceAccount:SERVICE_ACCOUNT_EMAIL sources: - accessLevel: '*' ingressTo: operations: - serviceName: 'cloudbuild.googleapis.com' methodSelectors: - method: '*' resources: - 'projects/PROJECT_NUMBER'
Aggiorna il criterio del perimetro eseguendo il comando seguente sostituendo le variabili con i valori appropriati:
gcloud beta access-context-manager perimeters update PERIMETER_NAME \ --set-ingress-policies=INGRESS-FILENAME \ --policy=POLICY_ID
Sostituisci le variabili riportate sopra con le seguenti:
SERVICE_ACCOUNT_EMAIL
: l'indirizzo email dell'account di servizio.PROJECT_NUMBER
: il numero del progetto Google Cloud che hai aggiunto al perimetro dei Controlli di servizio VPC.PERIMETER_NAME
: il nome del tuo perimetro Controlli di servizio VPC.INGRESS-FILENAME
: il nome del file dei criteri in entrata.POLICY_ID
: l'ID del criterio di accesso.
(Facoltativo) Abilitazione dell'accesso perimetrale per le macchine di sviluppo
Poiché i controlli dei Controlli di servizio VPC vengono applicati per l'API Cloud Build, le chiamate all'API Cloud Build non vanno a buon fine a meno che non provengano dall'interno del perimetro di servizio. Pertanto, per gestire le build con l'API Cloud Build, la UI di Cloud Build nella console Google Cloud o Google Cloud CLI, scegli una delle seguenti opzioni:
Utilizza una macchina all'interno del perimetro dei Controlli di servizio VPC. Ad esempio, puoi utilizzare una VM di Compute Engine o una macchina on-premise connessa alla tua rete VPC tramite VPN.
Concedi agli sviluppatori l'accesso al perimetro. Ad esempio, puoi creare livelli di accesso che abilitano l'accesso al perimetro in base all'indirizzo IP o all'identità dell'utente. Per maggiori informazioni, consulta Consentire l'accesso alle risorse protette dall'esterno di un perimetro.
Configurazione dei vincoli dei criteri dell'organizzazione
Per assicurarti che i controlli dei Controlli di servizio VPC siano applicati correttamente e per limitare le build in un'organizzazione Google Cloud in modo che utilizzino solo i pool privati specificati, imposta il vincolo del criterio dell'organizzazione constraints/cloudbuild.allowedWorkerPools
.
Puoi applicare il criterio dell'organizzazione all'intera organizzazione oppure a un progetto o a una cartella nell'organizzazione. Ad esempio, il criterio dell'organizzazione può specificare che:
- Tutte le build nell'organizzazione utilizzano i pool privati specificati.
- Tutte le build in una cartella usano i pool privati specificati.
- Tutte le build in un progetto utilizzano i pool privati specificati.
Autorizzazioni IAM: per gestire i criteri dell'organizzazione, devi disporre del ruolo Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin
). Per istruzioni sulla concessione di un ruolo, consulta Configurazione dell'accesso alle risorse Cloud Build.
Il comando gcloud resource-manager org-policies allow
imposta un criterio dell'organizzazione che richiede che le build nell'organizzazione utilizzino
solo il pool privato specificato:
gcloud resource-manager org-policies allow \
cloudbuild.allowedWorkerPools \
projects/PRIVATEPOOL_PROJECT_ID/locations/LOCATION/workerPools/PRIVATEPOOL_ID \
--organization ORGANIZATION_ID
Sostituisci i valori segnaposto nei comandi precedenti con i seguenti:
PRIVATEPOOL_ID
: l'ID del pool privato per eseguire le build.PRIVATEPOOL_PROJECT_ID
: l'ID del progetto Google Cloud che contiene il pool privato.LOCATION
: la regione che contiene il pool privato.ORGANIZATION_ID
: l'ID dell'organizzazione in cui esegui le build.
Il comando supporta i prefissi under:
e is
.
Per impostare il criterio dell'organizzazione che richieda che tutte le build dell'organizzazione utilizzino qualsiasi pool privato all'interno dell'organizzazione:
gcloud resource-manager org-policies allow \
cloudbuild.allowedWorkerPools under:organizations/ORGANIZATION_ID \
--organization ORGANIZATION_ID
Dove, ORGANIZATION_ID
è l'ID dell'organizzazione che contiene i pool privati.
Per impostare un criterio dell'organizzazione che richieda che tutte le build nei progetti di una cartella utilizzino qualsiasi pool privato nel progetto specificato:
gcloud resource-manager org-policies allow \
cloudbuild.allowedWorkerPools under:projects/PROJECT_ID \
--folder FOLDER_ID
dove PROJECT_ID
è l'ID del progetto che contiene i pool privati e FOLDER_ID contiene i progetti in cui esegui le build.
Per impostare un criterio dell'organizzazione che richieda che tutte le build di un progetto utilizzino un pool privato nel progetto specificato:
gcloud resource-manager org-policies allow \
cloudbuild.allowedWorkerPools under:projects/PRIVATEPOOL_PROJECT_ID \
--project BUILD_PROJECT_ID
dove PRIVATEPOOL_PROJECT_ID
è l'ID del progetto che contiene i pool privati e BUILD_PROJECT_ID è l'ID del progetto in cui stai eseguendo le build.
Quando applichi il vincolo del criterio dell'organizzazione constraints/cloudbuild.allowedWorkerPools
, tieni presente quanto segue:
Se applichi questo vincolo del criterio dell'organizzazione a un progetto Google Cloud, assicurati che tutte le build nel progetto utilizzino il pool privato; le build che tentano di utilizzare il pool condiviso predefinito non riusciranno.
Se la tua organizzazione Google Cloud contiene servizi come App Engine o Cloud Functions che utilizzano implicitamente Cloud Build, l'applicazione del vincolo del criterio dell'organizzazione potrebbe causare il malfunzionamento di questi servizi.
Creazione di un pool privato nel perimetro di servizio
Console
Apri la pagina Pool di worker nella console Google Cloud:
Seleziona il progetto in cui vuoi creare il pool privato.
Nella pagina Pool di worker, fai clic su Crea.
Nel riquadro laterale Crea pool privato:
Inserisci un nome per il pool privato.
Seleziona la regione in cui vuoi creare il pool privato.
Seleziona il tipo di macchina Compute Engine che vuoi utilizzare per il tuo pool privato.
Inserisci il numero del progetto Google Cloud in cui hai creato la rete VPC.
Inserisci il nome della tua rete VPC.
Deseleziona Assegna IP esterni.
Fai clic su Crea.
gcloud
Crea un file di configurazione del pool privato in formato YAML o JSON e imposta il flag
egressOption
suNO_PUBLIC_EGRESS
:privatePoolV1Config: networkConfig: egressOption: NO_PUBLIC_EGRESS peeredNetwork: PEERED_NETWORK workerConfig: diskSizeGb: 'PRIVATE_POOL_DISK_SIZE' machineType: PRIVATE_POOL_MACHINE_TYPE
Dove:
PEERED_NETWORK
è l'URL della risorsa di rete della rete connessa in peering con la rete del fornitore di servizi.PEERED_NETWORK
deve essere nel formatoprojects/NETWORK_PROJECT_ID/global/networks/NETWORK_NAME
, doveNETWORK_PROJECT_ID
è l'ID del progetto Google Cloud che contiene la tua rete VPC eNETWORK_NAME
è il nome della rete VPC.PRIVATE_POOL_MACHINE_TYPE
è il tipo di macchina di Compute Engine per l'istanza del pool privato. Per i tipi di macchine supportati, consulta Schema dei file di configurazione del pool privato.PRIVATE_POOL_DISK_SIZE
è le dimensioni del disco per l'istanza del pool privato in GB. Specifica un valore maggiore o uguale a 100 e minore o uguale a 1000. Se specifichi0
, Cloud Build utilizza il valore predefinito di 100.egressOption
è il flag per abilitare il perimetro dei Controlli di servizio VPC per il tuo pool privato. Imposta questo valore suNO_PUBLIC_EGRESS
per creare il tuo pool privato all'interno del perimetro dei Controlli di servizio VPC.
Esegui questo comando
gcloud
, dovePRIVATEPOOL_ID
è un identificatore univoco per il pool privato,PRIVATEPOOL_CONFIG_FILE
è il nome del file di configurazione del pool privato eREGION
è la regione in cui vuoi creare il pool privato:gcloud builds worker-pools create PRIVATEPOOL_ID --config-from-file PRIVATEPOOL_CONFIG_FILE --region REGION
(Facoltativo) Abilitare le chiamate internet pubbliche sulla rete VPC
Assicurati che la tua rete VPC sia configurata in modo da consentire la connettività di rete nella posizione in cui è ospitato il repository (ad es. github.com) con le seguenti impostazioni:
Nel file di configurazione del pool privato, assicurati che il campo
egressOption
sia impostato suNO_PUBLIC_EGRESS
.La rete VPC su cui viene eseguito il pool privato è definita come PeeredNetwork. Per consentire le chiamate all'host del repository, assicurati che questa rete VPC consenta il traffico pubblico in uscita verso l'host del repository. Per informazioni su come eseguire questa operazione, consulta route e regole firewall.
Esecuzione di build in un pool privato all'interno del perimetro di servizio
Le build eseguite all'interno del perimetro di servizio non hanno accesso alla rete internet pubblica, perciò dovrai eseguire alcune azioni prima di eseguire una build.
Push di immagini ed artefatti creati
Se le tue build eseguono il push di immagini e artefatti in Container Registry (deprecato), Artifact Registry o Cloud Storage che si trovano in un progetto Google Cloud diverso, assicurati di aggiungere quel progetto allo stesso perimetro di servizio del progetto da cui hanno origine le build.
Creazione di un bucket di log
L'esecuzione della build all'interno del perimetro di servizio non avrà le autorizzazioni per archiviare i log di build nel bucket di log di Cloud Storage predefinito. Scegli una delle seguenti opzioni:
- Scegli di archiviare i log di build in Cloud Logging impostando
loggingMode
suCLOUD_LOGGING_ONLY
. - Nel tuo progetto privato, crea un bucket di log di Cloud Storage per archiviare i log di build. Per istruzioni su come eseguire questa operazione, consulta Archiviare i log di build in un bucket creato dall'utente.
- Disabilita i log di build impostando
loggingMode
suNONE
.
Esecuzione delle build
Esegui la build seguendo le istruzioni riportate in Eseguire le build in un pool privato.
Passaggi successivi
- Scopri come eseguire build in pool privati.
- Scopri come configurare i casi d'uso di networking di uso comune.