Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan Kontrol Layanan VPC

Kontrol Layanan VPC adalah fitur Google Cloud yang memungkinkan Anda menyiapkan perimeter yang aman untuk mencegah pemindahan data yang tidak sah. Halaman ini menunjukkan cara menggunakan Kontrol Layanan VPC dengan kumpulan pribadi Cloud Build untuk menambahkan keamanan tambahan ke build Anda.

Batasan

Perlindungan Kontrol Layanan VPC hanya tersedia untuk build yang dijalankan di kumpulan pribadi; Anda tidak dapat menggunakan Kontrol Layanan VPC dengan build yang dijalankan di kumpulan default.
Pemicu Pub/Sub Cloud Build tidak didukung saat Kontrol Layanan VPC digunakan.

Sebelum memulai

Untuk menggunakan contoh command line dalam panduan ini, instal dan konfigurasikan Google Cloud CLI.

Catatan: Jika sebelumnya Anda telah menginstal gcloud CLI, pastikan Anda memiliki versi terbaru yang tersedia dengan menjalankan gcloud components update.
Siapkan koneksi pribadi antara jaringan Virtual Private Cloud dan jaringan VPC tempat kumpulan pribadi berada. Untuk mengetahui petunjuknya, lihat menyiapkan lingkungan untuk membuat pool pribadi.

Menyiapkan kumpulan pribadi di perimeter Kontrol Layanan VPC

Untuk menggunakan Kontrol Layanan VPC dengan Cloud Build, Anda harus membuat dan mengonfigurasi perimeter layanan terlebih dahulu, yang dilakukan di tingkat organisasi. Penyiapan ini memastikan bahwa pemeriksaan Kontrol Layanan VPC diterapkan saat menggunakan Cloud Build dan bahwa developer hanya dapat menjalankan build yang mematuhi Kontrol Layanan VPC.

Membuat perimeter Kontrol Layanan VPC

Izin Identity and Access Management: Untuk menyiapkan perimeter layanan, Anda memerlukan peran Organization Viewer dan Access Context Manager Editor. Untuk mengetahui petunjuk tentang cara memberikan peran ini, lihat Mengonfigurasi akses ke resource Cloud Build.

Untuk membuat perimeter Kontrol Layanan VPC:

Ikuti Panduan Memulai Kontrol Layanan VPC untuk:

Membuat perimeter layanan.
Tambahkan project tempat Anda berencana membuat kumpulan pribadi ke perimeter.

Catatan: Jika Anda menggunakan VPC Bersama, pastikan untuk menambahkan project host dan project layanan ke perimeter yang sama.
Batasi Cloud Build API.

Setelah menyiapkan perimeter layanan Anda, semua panggilan ke Cloud Build API akan diperiksa untuk memastikan bahwa panggilan berasal dari dalam perimeter yang sama.

Memberikan akses akun layanan ke perimeter Kontrol Layanan VPC

Dalam kasus berikut, Anda harus memberikan akses akun layanan Cloud Build atau Compute Engine lama ke perimeter Kontrol Layanan VPC agar build Anda dapat mengakses resource dalam perimeter:

Jika Anda menggunakan akun layanan Cloud Build atau Compute Engine lama untuk memulai build menggunakan pemicu build, Cloud Build API, atau command line.
Jika Anda menggunakan akun layanan yang ditentukan pengguna untuk memulai build menggunakan pemicu build.

Anda tidak perlu memberikan akses akun layanan Cloud Build atau Compute Engine lama ke perimeter Kontrol Layanan VPC jika menggunakan akun layanan yang ditentukan pengguna untuk memulai build menggunakan Cloud Build API, atau command line.

Lakukan langkah-langkah berikut untuk memberi akun layanan Cloud Build atau Compute Engine lama akses ke perimeter Kontrol Layanan VPC:

Catat alamat email akun layanan lama:
1. Buka halaman IAM:
  
  Buka halaman IAM
2. Pilih project yang Anda tambahkan ke perimeter layanan.
3. Di tabel izin, cari alamat email yang sesuai dengan akun layanan Cloud Build lama.
Perbarui kebijakan masuk perimeter layanan untuk mengizinkan akun layanan memanggil API Cloud Build. Aturan masuk ini memungkinkan akun layanan melakukan panggilan API CreateBuild. Untuk informasi selengkapnya tentang cara menetapkan kebijakan traffic masuk Kontrol Layanan VPC, lihat Mengonfigurasi kebijakan traffic masuk dan keluar dan Aturan traffic masuk dan keluar.
```
- ingressFrom:
    identities:
    - serviceAccount:SERVICE_ACCOUNT_EMAIL
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: 'cloudbuild.googleapis.com'
      methodSelectors:
      - method: '*'
    resources:
    - 'projects/PROJECT_NUMBER'
```

Perbarui kebijakan perimeter dengan menjalankan perintah berikut yang mengganti variabel dengan nilai yang sesuai:

gcloud beta access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=INGRESS-FILENAME \
    --policy=POLICY_ID

Ganti variabel di atas dengan yang berikut ini:

SERVICE_ACCOUNT_EMAIL: alamat email akun layanan.
PROJECT_NUMBER: nomor project project Google Cloud yang Anda tambahkan ke perimeter Kontrol Layanan VPC.
PERIMETER_NAME: nama perimeter Kontrol Layanan VPC Anda.
INGRESS-FILENAME: nama file kebijakan masuk Anda.
POLICY_ID: ID kebijakan akses.

Opsional: Mengaktifkan akses perimeter untuk mesin pengembangan

Karena pemeriksaan Kontrol Layanan VPC diterapkan untuk Cloud Build API, panggilan ke Cloud Build API akan gagal kecuali panggilan tersebut berasal dari dalam perimeter layanan. Oleh karena itu, untuk mengelola build dengan Cloud Build API, UI Cloud Build di konsol Google Cloud, atau Google Cloud CLI, pilih salah satu opsi berikut:

Gunakan mesin di dalam perimeter Kontrol Layanan VPC. Misalnya, Anda dapat menggunakan VM Compute Engine atau mesin lokal yang terhubung ke jaringan VPC Anda melalui VPN.
Beri developer akses ke perimeter. Misalnya, Anda dapat membuat tingkat akses yang mengaktifkan akses perimeter berdasarkan alamat IP atau identitas pengguna. Untuk mengetahui informasi selengkapnya, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.

Menyiapkan batasan kebijakan organisasi

Untuk memastikan bahwa pemeriksaan Kontrol Layanan VPC diterapkan dengan benar dan Anda membatasi build di organisasi Google Cloud agar hanya menggunakan kumpulan pribadi yang ditentukan, tetapkan batasan kebijakan organisasi constraints/cloudbuild.allowedWorkerPools. Anda dapat menerapkan kebijakan organisasi ke seluruh organisasi, atau ke project atau folder di organisasi. Misalnya, kebijakan organisasi Anda dapat menentukan bahwa:

Semua build di organisasi menggunakan kumpulan pribadi yang ditentukan.
Semua build dalam folder menggunakan kumpulan pribadi yang ditentukan.
Semua build dalam project menggunakan kumpulan pribadi yang ditentukan.

Izin IAM: Untuk mengelola kebijakan organisasi, Anda memerlukan peran Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin). Untuk mengetahui petunjuk tentang cara memberikan peran, lihat Mengonfigurasi akses ke resource Cloud Build.

Perintah gcloud resource-manager org-policies allow menetapkan kebijakan organisasi yang mewajibkan build di organisasi untuk hanya menggunakan kumpulan pribadi yang ditentukan:

 gcloud resource-manager org-policies allow \
     cloudbuild.allowedWorkerPools \
     projects/PRIVATEPOOL_PROJECT_ID/locations/LOCATION/workerPools/PRIVATEPOOL_ID \
     --organization ORGANIZATION_ID

Ganti nilai placeholder dalam perintah di atas dengan yang berikut ini:

PRIVATEPOOL_ID: ID kumpulan pribadi untuk menjalankan build.
PRIVATEPOOL_PROJECT_ID: ID project Google Cloud yang berisi kumpulan pribadi.
LOCATION: region yang berisi kumpulan pribadi.
ORGANIZATION_ID: ID Organisasi tempat Anda menjalankan build.

Perintah ini mendukung awalan under: dan is.

Untuk menetapkan kebijakan organisasi yang mewajibkan semua build dalam organisasi menggunakan kumpulan pribadi apa pun di bawah organisasi tersebut:

 gcloud resource-manager org-policies allow \
     cloudbuild.allowedWorkerPools under:organizations/ORGANIZATION_ID \
     --organization ORGANIZATION_ID

Dengan ORGANIZATION_ID adalah ID organisasi yang berisi kumpulan pribadi.

Untuk menetapkan kebijakan organisasi yang mewajibkan semua build dalam project dalam folder untuk menggunakan kumpulan pribadi di project yang ditentukan:

 gcloud resource-manager org-policies allow \
     cloudbuild.allowedWorkerPools under:projects/PROJECT_ID \
     --folder FOLDER_ID

Dengan PROJECT_ID adalah ID project yang berisi kumpulan pribadi dan FOLDER_ID berisi project tempat Anda menjalankan build.

Untuk menetapkan kebijakan organisasi yang mewajibkan semua build dalam project menggunakan kumpulan pribadi apa pun di project yang ditentukan:

 gcloud resource-manager org-policies allow \
     cloudbuild.allowedWorkerPools under:projects/PRIVATEPOOL_PROJECT_ID \
     --project BUILD_PROJECT_ID

Dengan PRIVATEPOOL_PROJECT_ID adalah ID project yang berisi kumpulan pribadi dan BUILD_PROJECT_ID adalah ID project tempat Anda menjalankan build.

Perhatikan pertimbangan berikut saat menerapkan batasan kebijakan organisasi constraints/cloudbuild.allowedWorkerPools:

Jika Anda menerapkan batasan kebijakan organisasi ini ke project Google Cloud, pastikan semua build dalam project menggunakan kumpulan pribadi; build yang mencoba menggunakan kumpulan bersama default akan gagal.
Jika organisasi Google Cloud Anda berisi layanan seperti fungsi App Engine atau Cloud Run yang secara implisit menggunakan Cloud Build, penerapan batasan kebijakan organisasi ini dapat menyebabkan layanan ini tidak berfungsi seperti yang diharapkan.

Membuat kumpulan pribadi di perimeter layanan

Konsol

Buka halaman Worker Pool di konsol Google Cloud:

Buka halaman kumpulan pekerja Cloud Build
Pilih project tempat Anda ingin membuat kumpulan pribadi.
Di halaman Worker pool, klik Create.
Di panel samping Create private pool:
1. Masukkan nama untuk kumpulan pribadi Anda.
2. Pilih region tempat Anda ingin membuat kumpulan pribadi.
3. Pilih jenis mesin Compute Engine yang ingin Anda gunakan untuk node pool pribadi.
4. Masukkan nomor project project Google Cloud tempat Anda membuat jaringan VPC.
5. Masukkan nama jaringan VPC Anda.
6. Hapus centang Tetapkan IP eksternal.
7. Klik Create.

gcloud

Buat file konfigurasi pool pribadi dalam format YAML atau JSON, dan tetapkan tanda egressOption ke NO_PUBLIC_EGRESS:
```
privatePoolV1Config:
  networkConfig:
    egressOption: NO_PUBLIC_EGRESS
    peeredNetwork: PEERED_NETWORK
  workerConfig:
    diskSizeGb: 'PRIVATE_POOL_DISK_SIZE'
    machineType: PRIVATE_POOL_MACHINE_TYPE
```
Dengan keterangan:
- PEERED_NETWORK adalah URL resource jaringan jaringan yang di-peering ke jaringan penyedia layanan. PEERED_NETWORK harus dalam format projects/NETWORK_PROJECT_ID/global/networks/NETWORK_NAME, dengan NETWORK_PROJECT_ID adalah project ID project Google Cloud yang menyimpan jaringan VPC Anda dan NETWORK_NAME adalah nama jaringan VPC Anda.
- PRIVATE_POOL_MACHINE_TYPE adalah jenis mesin Compute Engine untuk instance kumpulan pribadi. Untuk jenis mesin yang didukung, lihat Skema file konfigurasi kumpulan pribadi.
- PRIVATE_POOL_DISK_SIZE adalah ukuran disk untuk instance kumpulan pribadi dalam GB. Tentukan nilai yang lebih besar dari atau sama dengan 100 dan kurang dari atau sama dengan 1.000. Jika Anda menentukan 0, Cloud Build akan menggunakan nilai default 100.
- egressOption adalah tanda untuk mengaktifkan perimeter Kontrol Layanan VPC untuk kumpulan pribadi Anda. Tetapkan ke NO_PUBLIC_EGRESS untuk membuat kumpulan pribadi dalam perimeter Kontrol Layanan VPC.
Jalankan perintah gcloud berikut, dengan PRIVATEPOOL_ID adalah ID unik untuk private pool Anda, PRIVATEPOOL_CONFIG_FILE adalah nama file konfigurasi private pool Anda, dan REGION adalah region tempat Anda ingin membuat private pool:
```
gcloud builds worker-pools create PRIVATEPOOL_ID --config-from-file PRIVATEPOOL_CONFIG_FILE --region REGION
```

Opsional: Mengaktifkan panggilan internet publik di jaringan VPC

Pastikan jaringan VPC Anda dikonfigurasi untuk mengizinkan konektivitas jaringan ke tempat repositori Anda dihosting (misalnya, github.com) dengan setelan berikut:

Dalam file konfigurasi kumpulan pribadi, pastikan kolom egressOption ditetapkan ke NO_PUBLIC_EGRESS.
Jaringan VPC tempat kumpulan pribadi Anda berjalan ditentukan sebagai PeeredNetwork. Untuk mengizinkan panggilan ke host repositori, pastikan jaringan VPC ini mengizinkan traffic keluar publik ke host repositori Anda. Untuk mengetahui informasi tentang cara melakukannya, lihat rute dan aturan firewall.

Menjalankan build di kumpulan pribadi dalam perimeter layanan

Build yang berjalan dalam perimeter layanan tidak memiliki akses ke internet publik, sehingga Anda harus melakukan beberapa tindakan sebelum menjalankan build.

Mengirim image dan artefak yang di-build

Jika build Anda mendorong image dan artefak ke Container Registry (Tidak digunakan lagi), Artifact Registry, atau Cloud Storage yang berada dalam project Google Cloud yang berbeda, pastikan untuk menambahkan project tersebut ke perimeter layanan yang sama dengan project tempat build Anda berasal.

Membuat bucket log

Build yang dijalankan dalam perimeter layanan tidak akan memiliki izin untuk menyimpan log build di bucket log Cloud Storage default. Pilih salah satu opsi berikut:

Pilih untuk menyimpan log build di Cloud Logging dengan menetapkan loggingMode ke CLOUD_LOGGING_ONLY.
Di project pribadi, buat bucket log Cloud Storage untuk menyimpan log build Anda. Untuk mengetahui petunjuk cara melakukannya, lihat Menyimpan log build di bucket yang dibuat pengguna.
Nonaktifkan log build dengan menetapkan loggingMode ke NONE.

Menjalankan build

Jalankan build Anda menggunakan petunjuk di Menjalankan build di kumpulan pribadi.

Langkah selanjutnya

Pelajari cara menjalankan build di kumpulan pribadi.
Pelajari cara mengonfigurasi kasus penggunaan jaringan yang umum digunakan.