Mengonfigurasi jaringan VPC Bersama

Cloud Composer 1 | Cloud Composer 2

Halaman ini menjelaskan persyaratan jaringan VPC Bersama dan project host untuk Cloud Composer.

VPC Bersama memungkinkan organisasi menetapkan batas anggaran dan kontrol akses pada level project, sekaligus memungkinkan komunikasi yang aman dan efisien menggunakan IP pribadi yang melintasi batas tersebut. Dalam konfigurasi VPC Bersama, Cloud Composer dapat memanggil layanan yang dihosting di project Google Cloud lain di organisasi yang sama tanpa mengekspos layanan ke internet publik.

Panduan untuk VPC Bersama

Project Layanan dan Host untuk Cloud Composer
Gambar 1. Project Layanan dan Host untuk Cloud Composer
  • VPC Bersama mengharuskan Anda menetapkan project host yang mencakup jaringan dan subnetwork, serta project layanan yang terpasang ke project host. Saat Cloud Composer berpartisipasi dalam VPC Bersama, lingkungan Cloud Composer berada dalam project layanan.

  • Untuk menyiapkan VPC Bersama, pilih rentang IP berikut di project host:

    • Rentang IP Utama subnet yang digunakan oleh node GKE yang digunakan Cloud Composer sebagai lapisan Compute Engine-nya.
    • Rentang IP Sekunder untuk layanan GKE.
    • Rentang IP Sekunder untuk pod GKE.
  • Rentang IP Sekunder tidak boleh tumpang tindih dengan rentang sekunder lainnya di VPC ini.

  • Pastikan rentang sekunder cukup besar untuk mengakomodasi ukuran cluster dan penskalaan lingkungan Anda.

    Lihat Membuat cluster native VPC untuk mendapatkan pedoman tentang cara mengonfigurasi rentang sekunder untuk pod dan layanan.

  • Rentang alamat IP utama subnet harus mengakomodasi perkiraan pertumbuhan dan memperhitungkan alamat IP yang tidak dapat digunakan.

  • Jika Anda menggunakan IP Masquerate Agent dan konfigurasi IP Pribadi untuk lingkungan Anda, tambahkan rentang IP Node dan Pod ke bagian nonMasqueradeCIDRs dari ip-masq-agent ConfigMap. Untuk informasi selengkapnya, lihat Mengonfigurasi agen penyamaran IP.

Persiapan

  1. Temukan project ID dan nomor project berikut:

    • Project host: Project yang berisi jaringan VPC Bersama.
    • Project layanan: Project yang berisi lingkungan Cloud Composer.
  2. Siapkan organisasi Anda.

  3. Aktifkan GKE API di project layanan dan host Anda.

  4. Jika Anda membuat lingkungan di project layanan menggunakan Google Cloud Console, akun Anda harus memiliki izin compute.subnetworks.use di project host. Jika tidak, daftar subnetwork yang tersedia tidak akan berisi subnetwork dari project host. Jika Anda membuat lingkungan menggunakan gcloud, API, atau Terraform, akun Anda tidak memerlukan izin tambahan ini.

Mengonfigurasi project host

Konfigurasikan project host seperti yang dijelaskan lebih lanjut.

(IP Pribadi) Mengaktifkan Akses Google Pribadi

Jika Anda berencana menggunakan lingkungan IP Pribadi, aktifkan Akses Google Pribadi untuk subnet di project host. Anda dapat melakukannya pada langkah berikutnya, saat mengonfigurasi resource jaringan untuk subnet baru atau yang sudah ada.

Jika Anda berencana menggunakan lingkungan IP Publik, sebaiknya tetap aktifkan Akses Google Pribadi untuk subnet di project host. Jika Anda memilih untuk tidak menggunakan Akses Google Pribadi, pastikan Anda tidak memblokir traffic yang akan diizinkan oleh aturan IPv4 implisit mengizinkan traffic keluar - ini diperlukan untuk mencapai endpoint *.googleapis.com dengan sukses.

Mengonfigurasi resource jaringan

Pilih salah satu opsi berikut untuk mengalokasikan dan mengonfigurasi resource jaringan. Untuk setiap opsi, Anda harus memberi nama rentang IP sekunder untuk pod dan service.

Menyiapkan VPC Bersama dan memasang project layanan

  1. Jika belum dilakukan, Siapkan VPC Bersama. Jika Anda telah menyiapkan VPC Bersama, lanjutkan ke langkah berikutnya.

  2. Lampirkan project layanan, yang Anda gunakan untuk menghosting lingkungan Cloud Composer.

    Saat melampirkan project, jangan ubah izin Jaringan VPC default.

Mengedit izin untuk akun layanan Google API

Pada project host, edit izin untuk akun layanan Google API, SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com.

Untuk akun ini, tambahkan peran lainnya, compute.networkUser di level project. Ini merupakan persyaratan untuk grup instance terkelola yang digunakan dengan VPC Bersama karena jenis akun layanan ini menjalankan tugas seperti pembuatan instance.

Mengedit izin untuk akun layanan GKE

Pada project host, edit izin untuk akun layanan GKE, service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com.

Untuk setiap akun layanan, tambahkan peran lainnya, compute.networkUser.

Berikan peran ini di tingkat subnet agar akun layanan dapat menyiapkan peering VPC yang diperlukan oleh Cloud Composer. Perlu diperhatikan bahwa dalam hal ini, Anda harus secara eksplisit menentukan subnetwork yang akan digunakan oleh lingkungan, karena cluster GKE mungkin tidak memiliki izin untuk menemukannya dalam jaringan.

Sebagai alternatif, Anda dapat memberikan peran ini untuk seluruh project host. Dalam hal ini, akun layanan GKE project layanan memiliki izin untuk menggunakan subnet apa pun dalam project host.

Mengedit izin untuk Akun Layanan GKE project layanan

Pada project host, edit izin untuk Akun Layanan GKE dari project layanan.

Untuk akun ini, tambahkan peran lain pada level project, Kubernetes Engine Host Service Agent User (roles/container.hostServiceAgentUser).

Dengan demikian, Akun Layanan GKE dari project layanan dapat menggunakan Akun Layanan GKE dari project host untuk mengonfigurasi resource jaringan bersama.

(IP Pribadi, opsional) Mengonfigurasi aturan firewall dan konektivitas ke domain Google

Dalam konfigurasi VPC Bersama dengan lingkungan IP Pribadi, sebagai salah satu opsi, Anda mungkin ingin merutekan semua traffic ke Google API dan layanan Google melalui beberapa alamat IP yang termasuk dalam domain private.googleapis.com dan mengonfigurasi aturan firewall yang sesuai. Dalam konfigurasi ini, lingkungan Anda mengakses Google API dan layanan Google melalui alamat IP yang hanya dapat dirutekan dari dalam Google Cloud. Jika konfigurasi VPC Bersama Anda menggunakan Kontrol Layanan VPC, rutekan traffic melalui restricted.googleapis.com.

Jika konfigurasi VPC Bersama Anda menggunakan lingkungan IP Pribadi:

  1. (Opsional) Konfigurasi konektivitas ke Google API dan layanan Google.
  2. (Opsional) Konfigurasi aturan firewall.

Jika konfigurasi VPC Bersama Anda menggunakan Kontrol Layanan VPC, gunakan petunjuk untuk lingkungan dengan Kontrol Layanan VPC:

  1. Mengonfigurasi konektivitas ke Google API dan layanan Google.
  2. Mengonfigurasi aturan firewall

Mengedit izin untuk Akun Layanan Agen Composer

  1. Dalam project layanan, jika ini adalah lingkungan Cloud Composer pertama, sediakan Akun Layanan Agen Composer: gcloud beta services identity create --service=composer.googleapis.com.

  2. Di project host:

    1. Edit izin untuk Akun Layanan Agen Composer, service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com)

    2. Untuk akun ini, tambahkan peran lain di level project:

      • Untuk lingkungan Private IP, tambahkan peran Composer Shared VPC Agent.

      • Untuk lingkungan IP Publik, tambahkan peran Compute Network User.

Anda telah menyelesaikan konfigurasi jaringan VPC Bersama untuk project host.

Langkah selanjutnya