Menggunakan Kontrol Layanan VPC

Halaman ini menjelaskan cara menggunakan Kontrol Layanan VPC untuk menyiapkan notebook Colab Enterprise dalam perimeter layanan.

Ringkasan

Kontrol Layanan VPC adalah Google Cloud fitur yang memungkinkan Anda menyiapkan perimeter yang membantu mencegah pemindahan data yang tidak sah.

Kontrol Layanan VPC memberikan lapisan pertahanan tambahan untuk layananGoogle Cloud yang tidak bergantung pada perlindungan yang diberikan oleh Identity and Access Management (IAM).

Saat Anda menggunakan Colab Enterprise dalam perimeter layanan, runtime akan tunduk pada perimeter layanan. Oleh karena itu, untuk menjalankan kode notebook yang berinteraksi dengan API dan layanan Google lainnya, Anda harus menambahkan layanan tersebut ke perimeter layanan.

Untuk mengetahui informasi selengkapnya tentang Kontrol Layanan VPC, lihat Ringkasan Kontrol Layanan VPC.

Batasan umum

• Colab Enterprise menggunakan Dataform untuk menyimpan notebook.

  Untuk mempelajari lebih lanjut cara menggunakan Kontrol Layanan VPC dengan Dataform, lihat Mengonfigurasi Kontrol Layanan VPC untuk Dataform.

• UI Colab Enterprise hanya dapat diakses dari konsol Google Cloud. Untuk mempelajari batasan Kontrol Layanan VPC untuk konsol Google Cloud, lihat batasan konsol Google Cloud.

• Jika perimeter layanan Anda memerlukan akses ke layanan Vertex AI, lihat Kontrol Layanan VPC dengan batasan Colab Enterprise.

Peran yang diperlukan

Untuk memastikan bahwa akun pengguna Anda memiliki izin yang diperlukan untuk menggunakan Kontrol Layanan VPC dengan Colab Enterprise, minta administrator untuk memberi akun pengguna Anda peran IAM berikut di project:

• Access Context Manager Editor (roles/accesscontextmanager.policyEditor)
• Pengguna Colab Enterprise (roles/aiplatform.colabEnterpriseUser)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Administrator Anda mungkin juga dapat memberikan izin yang diperlukan kepada akun pengguna Anda melalui peran khusus atau peran bawaan lainnya.

Untuk mengetahui informasi selengkapnya tentang izin Kontrol Layanan VPC, lihat Kontrol akses dengan IAM.

Membuat perimeter layanan

1. Buat perimeter layanan menggunakan Kontrol Layanan VPC. Perimeter layanan ini melindungi resource layanan yang dikelola Google yang Anda tentukan. Saat membuat perimeter layanan, lakukan hal berikut:

   1. Saat tiba waktunya menambahkan project ke perimeter layanan Anda, tambahkan project yang berisi notebook Colab Enterprise, atau buat notebook dalam project ini.

   2. Saat tiba waktunya menambahkan layanan ke perimeter layanan Anda, tambahkan hal berikut:

      • Vertex AI API (aiplatform.googleapis.com)
      • Dataform API (dataform.googleapis.com)

   Jika Anda telah membuat perimeter layanan tanpa menambahkan project dan layanan yang Anda butuhkan, lihat Mengelola perimeter layanan untuk mempelajari cara mengupdate perimeter layanan.

Memberikan akses ke UI Colab Enterprise

Karena UI Colab Enterprise (colab-embedded.cloud.google.com) hanya dapat diakses melalui internet, UI Colab Enterprise diperlakukan sebagai di luar perimeter layanan. Saat Anda menerapkan perimeter layanan, antarmuka konsol Google Cloud untuk layanan yang Anda lindungi mungkin menjadi tidak dapat diakses sebagian atau sepenuhnya. Misalnya, jika Anda melindungi Colab Enterprise dengan perimeter, antarmuka Colab Enterprise di konsol Google Cloud tidak dapat diakses.

Untuk mengizinkan akses dari konsol Google Cloud ke resource yang dilindungi oleh perimeter, Anda perlu membuat tingkat akses untuk rentang IP publik yang menyertakan komputer pengguna yang ingin menggunakan konsol Google Cloud dengan API yang dilindungi. Misalnya, Anda dapat menambahkan rentang IP publik gateway NAT jaringan pribadi ke tingkat akses, lalu menetapkan tingkat akses tersebut ke perimeter layanan.

Jika ingin membatasi akses konsol Google Cloud ke perimeter hanya untuk sekelompok pengguna tertentu, Anda juga dapat menambahkan pengguna tersebut ke tingkat akses. Dalam hal ini, hanya pengguna yang ditentukan yang dapat mengakses konsol Google Cloud.

Menyiapkan layanan yang dapat diakses VPC (opsional)

Saat Anda mengaktifkan layanan yang dapat diakses VPC untuk perimeter, akses dari endpoint jaringan di dalam perimeter dibatasi untuk serangkaian layanan yang Anda tentukan.

Untuk mempelajari lebih lanjut cara membatasi akses di dalam perimeter hanya ke kumpulan layanan tertentu, baca artikel tentang layanan yang dapat diakses VPC.

Menggunakan Akses Google Pribadi dengan jaringan VPC Anda (opsional)

Akses Google Pribadi menawarkan konektivitas pribadi ke host di jaringan VPC atau jaringan lokal yang menggunakan alamat IP pribadi untuk mengakses API dan layanan Google Cloud . Anda dapat memperluas perimeter layanan Kontrol Layanan VPC ke host di jaringan tersebut untuk mengontrol akses ke resource yang dilindungi. Host di jaringan VPC hanya boleh memiliki alamat IP pribadi (tidak boleh memiliki alamat IP publik) dan berada di subnet dengan Akses Google Pribadi yang diaktifkan. Untuk informasi selengkapnya, lihat konektivitas pribadi dari jaringan lokal.

Untuk memastikan bahwa Anda dapat menggunakan Akses Google Pribadi dengan jaringan VPC, Anda harus mengonfigurasi beberapa data DNS.

Mengonfigurasi entri DNS Anda menggunakan Cloud DNS

Runtime Colab Enterprise menggunakan beberapa domain yang tidak ditangani oleh jaringan VPC secara default. Untuk memastikan bahwa jaringan VPC Anda menangani permintaan yang dikirim ke domain tersebut dengan benar, gunakan Cloud DNS untuk menambahkan data DNS. Untuk mengetahui informasi selengkapnya tentang rute VPC, lihat Rute.

Bagian ini menunjukkan cara membuat zona terkelola untuk domain, menambahkan entri DNS yang akan merutekan permintaan, dan menjalankan transaksi. Ulangi langkah-langkah ini untuk setiap beberapa domain yang permintaannya perlu Anda tangani, dimulai dengan *.aiplatform.googleapis.com.

Di Cloud Shell atau lingkungan mana pun tempat Google Cloud CLI diinstal, masukkan perintah gcloud CLI berikut.

1. Untuk membuat zona terkelola pribadi bagi salah satu domain yang perlu ditangani oleh jaringan VPC Anda:

       gcloud dns managed-zones create ZONE_NAME \
           --visibility=private \
           --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
           --dns-name=DNS_NAME. \
           --description="Description of your managed zone"
       

   Ganti kode berikut:

   • ZONE_NAME: Nama untuk zona yang akan dibuat. Anda harus menggunakan zona terpisah untuk setiap domain. Nama zona ini digunakan di setiap langkah berikut.
   • PROJECT_ID: ID project yang menghosting jaringan VPC Anda.
   • NETWORK_NAME: Nama jaringan VPC yang Anda buat sebelumnya.
   • DNS_NAME: Bagian dari nama domain yang muncul setelah *.. Misalnya, *.aiplatform.googleapis.com memiliki nama DNS aiplatform.googleapis.com.

2. Mulai transaksi.

       gcloud dns record-sets transaction start --zone=ZONE_NAME
       

3. Tambahkan data A DNS berikut. Tindakan ini akan mengalihkan traffic ke alamat IP yang dibatasi Google.

       gcloud dns record-sets transaction add \
           --name=DNS_NAME. \
           --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
           --zone=ZONE_NAME \
           --ttl=300
       

4. Tambahkan data DNS CNAME berikut untuk mengarah ke data A yang baru saja Anda tambahkan. Tindakan ini akan mengalihkan semua traffic yang cocok dengan domain tersebut ke alamat IP yang tercantum dalam langkah sebelumnya.

       gcloud dns record-sets transaction add \
           --name=\*.DNS_NAME. \
           --type=CNAME DNS_NAME. \
           --zone=ZONE_NAME \
           --ttl=300
       

5. Jalankan transaksi.

       gcloud dns record-sets transaction execute --zone=ZONE_NAME
       

6. Ulangi langkah ini untuk setiap domain berikut. Untuk setiap pengulangan, ubah ZONE_NAME dan DNS_NAME ke nilai yang sesuai untuk domain tersebut. Buat PROJECT_ID dan NETWORK_NAME tetap sama setiap saat. Anda telah menyelesaikan langkah-langkah tersebut untuk *.aiplatform.googleapis.com.

   • *.aiplatform.googleapis.com
   • *.aiplatform-notebook.googleusercontent.com
   • *.aiplatform-notebook.cloud.google.com

Untuk mempelajari lebih lanjut cara mengonfigurasi konektivitas pribadi, baca Menyiapkan konektivitas pribadi ke Google API dan layanan Google.

Mengizinkan akses kontekstual dari luar perimeter layanan menggunakan aturan masuk

Anda dapat mengizinkan akses kontekstual ke resource yang dibatasi oleh perimeter berdasarkan atribut klien. Anda dapat menentukan atribut klien, seperti jenis identitas (akun layanan atau pengguna), identitas, data perangkat, dan asal jaringan (alamat IP atau jaringan VPC).

Misalnya, Anda dapat menyiapkan aturan masuk untuk mengizinkan akses internet ke resource dalam perimeter berdasarkan rentang alamat IPv4 dan IPv6. Untuk informasi selengkapnya tentang penggunaan aturan masuk untuk menyiapkan akses kontekstual, lihat Akses kontekstual.

Mengonfigurasi pertukaran data aman menggunakan aturan masuk dan keluar

Anda hanya dapat menyertakan project dalam satu perimeter layanan. Jika Anda ingin mengizinkan komunikasi di seluruh batas perimeter, siapkan aturan traffic masuk dan keluar. Misalnya, Anda dapat menentukan aturan traffic masuk dan keluar untuk mengizinkan project dari beberapa perimeter berbagi log di perimeter terpisah. Untuk mempelajari lebih lanjut kasus penggunaan pertukaran data aman, baca pertukaran data aman.

Langkah selanjutnya

• Pelajari lebih lanjut Kontrol Layanan VPC.

• Pelajari runtime Colab Enterprise lebih lanjut.