Menggunakan Kontrol Layanan VPC

Kontrol Layanan VPC adalah fitur Google Cloud yang memungkinkan Anda untuk menyiapkan perimeter yang aman untuk mencegah pemindahan data yang tidak sah. Halaman ini menunjukkan cara menggunakan Kontrol Layanan VPC dengan kumpulan pribadi Cloud Build untuk meningkatkan keamanan build Anda.

Batasan

Perlindungan Kontrol Layanan VPC hanya tersedia untuk build yang dijalankan di kumpulan pribadi. Anda tidak dapat menggunakan Kontrol Layanan VPC dengan build yang dijalankan di kumpulan default.

Sebelum memulai

Untuk menggunakan contoh command line dalam panduan ini, instal dan konfigurasi Google Cloud CLI.

Catatan: Jika sudah pernah menginstal gcloud CLI, pastikan Anda memiliki versi terbaru yang tersedia dengan menjalankan gcloud components update.
Siapkan koneksi pribadi antara jaringan Virtual Private Cloud Anda dan jaringan VPC tempat kumpulan pribadi berada. Untuk mengetahui petunjuknya, lihat menyiapkan lingkungan Anda untuk membuat kumpulan pribadi.

Menyiapkan kumpulan pribadi di perimeter Kontrol Layanan VPC

Untuk menggunakan Kontrol Layanan VPC dengan Cloud Build, Anda harus membuat dan mengonfigurasi perimeter layanan terlebih dahulu, yang dilakukan di level organisasi. Penyiapan ini memastikan bahwa pemeriksaan Kontrol Layanan VPC diterapkan saat menggunakan Cloud Build dan bahwa developer hanya dapat menjalankan build yang sesuai dengan Kontrol Layanan VPC.

Membuat perimeter Kontrol Layanan VPC

Izin Identity and Access Management: Untuk menyiapkan perimeter layanan, Anda memerlukan peran Organization Viewer dan Access Context Manager Editor. Untuk mengetahui petunjuk tentang cara memberikan peran ini, lihat Mengonfigurasi akses ke resource Cloud Build.

Untuk membuat perimeter Kontrol Layanan VPC:

Ikuti Panduan Memulai Kontrol Layanan VPC untuk:

Membuat perimeter layanan.
Tambahkan project tempat Anda berencana membuat kumpulan pribadi ke perimeter.

Catatan: Jika Anda menggunakan VPC Bersama, pastikan untuk menambahkan project host dan project layanan ke perimeter yang sama.
Membatasi Cloud Build API.

Setelah menyiapkan perimeter layanan, semua panggilan ke Cloud Build API diperiksa untuk memastikan bahwa panggilan berasal dari dalam perimeter yang sama.

Memberi akun layanan Cloud Build akses ke perimeter Kontrol Layanan VPC

Cloud Build menggunakan akun layanan Cloud Build atau akun layanan yang ditentukan pengguna untuk menjalankan build atas nama Anda. Dalam kasus berikut, Anda harus memberi akun layanan akses ke perimeter Kontrol Layanan VPC, agar build Anda dapat mengakses resource dalam perimeter:

Jika Anda menggunakan akun layanan Cloud Build untuk memulai build menggunakan pemicu build, Cloud Build API, atau command line.
Jika Anda menggunakan akun layanan yang ditentukan pengguna untuk memulai build menggunakan pemicu build.

Anda tidak perlu memberi akun layanan akses ke perimeter Kontrol Layanan VPC jika menggunakan akun layanan yang ditentukan pengguna untuk memulai build menggunakan Cloud Build API atau command line.

Lakukan langkah-langkah berikut untuk memberi akun layanan Cloud Build akses ke perimeter Kontrol Layanan VPC:

Catat alamat email akun layanan Cloud Build atau akun layanan yang ditentukan pengguna. Untuk mendapatkan alamat email akun layanan Cloud Build Anda:
1. Buka halaman IAM:
  
  Buka halaman IAM
2. Pilih project yang Anda tambahkan ke perimeter layanan.
3. Pada tabel izin, cari alamat email yang diakhiri dengan @cloudbuild.gserviceaccount.com, lalu catat. Ini adalah akun layanan Cloud Build Anda.
Perbarui kebijakan traffic masuk perimeter layanan agar akun layanan dapat memanggil Cloud Build API. Aturan ingress ini memungkinkan akun layanan melakukan panggilan API CreateBuild. Untuk mengetahui informasi selengkapnya tentang cara menetapkan kebijakan ingress Kontrol Layanan VPC, lihat Mengonfigurasi kebijakan traffic masuk dan keluar serta aturan masuk dan keluar.
```
- ingressFrom:
    identities:
    - serviceAccount:SERVICE_ACCOUNT_EMAIL
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: 'cloudbuild.googleapis.com'
      methodSelectors:
      - method: '*'
    resources:
    - 'projects/PROJECT_NUMBER'
```

Perbarui kebijakan perimeter dengan menjalankan perintah berikut dan mengganti variabel dengan nilai yang sesuai:

gcloud beta access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=INGRESS-FILENAME \
    --policy=POLICY_ID

Ganti variabel di atas dengan variabel berikut:

SERVICE_ACCOUNT_EMAIL: alamat email akun layanan Cloud Build atau akun layanan yang ditentukan pengguna.
PROJECT_NUMBER: nomor project untuk project Google Cloud yang Anda tambahkan ke perimeter Kontrol Layanan VPC.
PERIMETER_NAME: nama perimeter Kontrol Layanan VPC Anda.
INGRESS-FILENAME: nama file kebijakan ingress Anda.
POLICY_ID: ID kebijakan akses.

Opsional: Mengaktifkan akses perimeter untuk mesin pengembangan

Karena pemeriksaan Kontrol Layanan VPC diterapkan untuk Cloud Build API, panggilan ke Cloud Build API akan gagal kecuali jika berasal dari dalam perimeter layanan. Oleh karena itu, untuk mengelola build dengan Cloud Build API, UI Cloud Build di Google Cloud Console, atau Google Cloud CLI, pilih salah satu opsi berikut:

Gunakan mesin di dalam perimeter Kontrol Layanan VPC. Misalnya, Anda dapat menggunakan VM Compute Engine atau mesin lokal yang terhubung ke jaringan VPC Anda melalui VPN.
Beri developer akses ke perimeter. Misalnya, Anda dapat membuat tingkat akses yang mengaktifkan akses perimeter berdasarkan alamat IP atau identitas pengguna. Untuk mengetahui informasi selengkapnya, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.

Menyiapkan batasan kebijakan organisasi

Untuk memastikan pemeriksaan Kontrol Layanan VPC diterapkan dengan benar dan Anda membatasi build di organisasi Google Cloud agar hanya menggunakan kumpulan pribadi yang ditentukan, tetapkan batasan kebijakan organisasi constraints/cloudbuild.allowedWorkerPools. Anda dapat menerapkan kebijakan organisasi ke seluruh organisasi, atau ke project atau folder dalam organisasi. Misalnya, kebijakan organisasi Anda dapat menentukan bahwa:

Semua build di organisasi menggunakan kumpulan pribadi yang ditentukan.
Semua build dalam folder menggunakan kumpulan pribadi yang ditentukan.
Semua build dalam project menggunakan kumpulan pribadi yang ditentukan.

Izin IAM: Untuk mengelola kebijakan organisasi, Anda memerlukan peran Organization Policy Administrator (roles/orgpolicy.policyAdmin). Untuk mengetahui petunjuk tentang cara memberikan peran, lihat Mengonfigurasi akses ke resource Cloud Build.

Perintah gcloud resource-manager org-policies allow menetapkan kebijakan organisasi yang mengharuskan build di organisasi hanya menggunakan kumpulan pribadi yang ditentukan:

 gcloud resource-manager org-policies allow \
     cloudbuild.allowedWorkerPools \
     projects/PRIVATEPOOL_PROJECT_ID/locations/LOCATION/workerPools/PRIVATEPOOL_ID \
     --organization ORGANIZATION_ID

Ganti nilai placeholder dalam perintah di atas dengan perintah berikut:

PRIVATEPOOL_ID: ID kumpulan pribadi untuk menjalankan build.
PRIVATEPOOL_PROJECT_ID: ID project Google Cloud yang berisi kumpulan pribadi.
LOCATION: wilayah yang berisi kolam pribadi.
ORGANIZATION_ID: ID Organisasi tempat Anda menjalankan build.

Perintah ini mendukung awalan under: dan is.

Untuk menetapkan kebijakan organisasi yang mengharuskan semua build di organisasi menggunakan kumpulan pribadi apa pun di bawah organisasi tersebut:

 gcloud resource-manager org-policies allow \
     cloudbuild.allowedWorkerPools under:organizations/ORGANIZATION_ID \
     --organization ORGANIZATION_ID

Dengan, ORGANIZATION_ID adalah ID organisasi yang berisi kumpulan pribadi.

Untuk menetapkan kebijakan organisasi yang mewajibkan semua build dalam project dalam folder untuk menggunakan kumpulan pribadi apa pun di project yang ditentukan:

 gcloud resource-manager org-policies allow \
     cloudbuild.allowedWorkerPools under:projects/PROJECT_ID \
     --folder FOLDER_ID

Dengan PROJECT_ID adalah ID project yang berisi kumpulan pribadi, dan FOLDER_ID berisi project tempat Anda menjalankan build.

Untuk menetapkan kebijakan organisasi yang mengharuskan semua build dalam project menggunakan kumpulan pribadi apa pun dalam project yang ditentukan:

 gcloud resource-manager org-policies allow \
     cloudbuild.allowedWorkerPools under:projects/PRIVATEPOOL_PROJECT_ID \
     --project BUILD_PROJECT_ID

Dengan PRIVATEPOOL_PROJECT_ID sebagai ID project yang berisi kumpulan pribadi, dan BUILD_PROJECT_ID adalah ID project tempat Anda menjalankan build.

Perhatikan pertimbangan berikut saat menerapkan batasan kebijakan organisasi constraints/cloudbuild.allowedWorkerPools:

Jika Anda menerapkan batasan kebijakan organisasi ini ke project Google Cloud, pastikan semua build dalam project tersebut menggunakan kumpulan pribadi; build yang mencoba menggunakan kumpulan bersama default akan gagal.
Jika organisasi Google Cloud Anda berisi layanan seperti App Engine atau Cloud Functions yang secara implisit menggunakan Cloud Build, menerapkan batasan kebijakan organisasi ini dapat menyebabkan layanan ini tidak berfungsi seperti yang diharapkan.

Membuat kumpulan pribadi di perimeter layanan

Konsol

Buka halaman Kumpulan Pekerja di konsol Google Cloud:

Buka halaman kumpulan pekerja Cloud Build
Pilih project tempat Anda ingin membuat kolam pribadi.
Di halaman Worker pool, klik Create.
Di panel samping Buat kolam renang pribadi:
1. Masukkan nama untuk kolam renang pribadi Anda.
2. Pilih region tempat Anda ingin membuat kolam pribadi.
3. Pilih jenis mesin Compute Engine yang ingin digunakan untuk kumpulan pribadi Anda.
4. Masukkan nomor project dari project Google Cloud tempat Anda membuat jaringan VPC.
5. Masukkan nama jaringan VPC Anda.
6. Hapus centang Tetapkan IP eksternal.
7. Klik Create.

gcloud

Buat file konfigurasi kumpulan pribadi dalam format YAML atau JSON, dan setel tanda egressOption ke NO_PUBLIC_EGRESS:
```
privatePoolV1Config:
  networkConfig:
    egressOption: NO_PUBLIC_EGRESS
    peeredNetwork: PEERED_NETWORK
  workerConfig:
    diskSizeGb: 'PRIVATE_POOL_DISK_SIZE'
    machineType: PRIVATE_POOL_MACHINE_TYPE
```
Dengan keterangan:
- PEERED_NETWORK adalah URL resource jaringan dari jaringan yang di-peering ke jaringan penyedia layanan. PEERED_NETWORK harus dalam format projects/NETWORK_PROJECT_ID/global/networks/NETWORK_NAME, dengan NETWORK_PROJECT_ID adalah project ID project Google Cloud yang menyimpan jaringan VPC Anda, dan NETWORK_NAME adalah nama jaringan VPC Anda.
- PRIVATE_POOL_MACHINE_TYPE adalah jenis mesin Compute Engine untuk instance kumpulan pribadi. Untuk jenis mesin yang didukung, lihat Skema file konfigurasi kumpulan pribadi.
- PRIVATE_POOL_DISK_SIZE adalah ukuran disk untuk instance kumpulan pribadi dalam GB. Tentukan nilai yang lebih besar atau sama dengan 100 dan kurang dari atau sama dengan 1000. Jika Anda menentukan 0, Cloud Build akan menggunakan nilai default 100.
- egressOption adalah flag untuk mengaktifkan perimeter Kontrol Layanan VPC untuk kumpulan pribadi Anda. Tetapkan string ini ke NO_PUBLIC_EGRESS untuk membuat kumpulan pribadi Anda dalam perimeter Kontrol Layanan VPC.
Jalankan perintah gcloud berikut, dengan PRIVATEPOOL_ID adalah ID unik untuk kumpulan pribadi Anda, PRIVATEPOOL_CONFIG_FILE adalah nama file konfigurasi kumpulan pribadi Anda, dan REGION adalah region tempat Anda ingin membuat kumpulan pribadi:
```
gcloud builds worker-pools create PRIVATEPOOL_ID --config-from-file PRIVATEPOOL_CONFIG_FILE --region REGION
```

Opsional: Mengaktifkan panggilan internet publik di jaringan VPC

Pastikan jaringan VPC Anda dikonfigurasi untuk mengizinkan konektivitas jaringan ke tempat repositori Anda dihosting (misalnya github.com) dengan setelan berikut:

Dalam file konfigurasi kumpulan pribadi, pastikan kolom egressOption disetel ke NO_PUBLIC_EGRESS.
Jaringan VPC yang menjalankan kumpulan pribadi Anda disebut sebagai PeeredNetwork. Untuk mengizinkan panggilan ke host repositori Anda, pastikan jaringan VPC ini mengizinkan traffic keluar publik ke host repositori Anda. Untuk informasi cara melakukannya, lihat aturan rute dan firewall.

Menjalankan build di kolam pribadi dalam perimeter layanan

Build yang berjalan dalam perimeter layanan tidak memiliki akses ke internet publik, sehingga Anda harus melakukan beberapa tindakan sebelum menjalankan build.

Mengirim image dan artefak yang dibangun

Jika build Anda mengirim image dan artefak ke Container Registry (Tidak digunakan lagi), Artifact Registry, atau Cloud Storage yang ada di project Google Cloud yang berbeda, pastikan untuk menambahkan project tersebut ke perimeter layanan yang sama dengan project tempat build Anda berasal.

Membuat bucket log

Build yang dijalankan dalam perimeter layanan tidak akan memiliki izin untuk menyimpan log build di bucket log Cloud Storage default. Pilih salah satu opsi berikut:

Pilih untuk menyimpan log build di Cloud Logging dengan menetapkan loggingMode ke CLOUD_LOGGING_ONLY.
Dalam project pribadi Anda, buat bucket log Cloud Storage untuk menyimpan log build. Untuk mengetahui petunjuk cara melakukannya, lihat Menyimpan log build di bucket yang dibuat pengguna.
Nonaktifkan log build dengan menetapkan loggingMode ke NONE.

Build yang berjalan

Jalankan build menggunakan petunjuk di Menjalankan build di kolam pribadi.

Langkah selanjutnya

Pelajari cara menjalankan build di kumpulan pribadi.
Pelajari cara mengonfigurasi kasus penggunaan jaringan yang biasa digunakan.