Membuat instance pribadi dengan Private Service Connect

Halaman ini menjelaskan cara mengonfigurasi Private Service Connect di Cloud Data Fusion.

Tentang Private Service Connect di Cloud Data Fusion

Instance Cloud Data Fusion mungkin perlu terhubung ke resource yang terletak di infrastruktur lokal, di Google Cloud, atau di penyedia cloud lainnya. Saat menggunakan Cloud Data Fusion dengan alamat IP internal, koneksi ke resource eksternal dibuat melalui jaringan Virtual Private Cloud (VPC) di project Google Cloud Anda. Lalu lintas melalui jaringan tidak melalui internet publik. Saat Cloud Data Fusion diberi akses ke jaringan VPC Anda menggunakan peering VPC, terdapat batasan yang akan terlihat saat Anda menggunakan jaringan berskala besar.

Dengan antarmuka Private Service Connect, Cloud Data Fusion terhubung ke VPC Anda tanpa menggunakan peering VPC. Antarmuka Private Service Connect adalah jenis Private Service Connect yang menyediakan cara bagi Cloud Data Fusion untuk memulai koneksi pribadi dan aman ke jaringan VPC konsumen. Hal ini tidak hanya memberikan fleksibilitas dan kemudahan akses (seperti peering VPC), tetapi juga memberikan otorisasi eksplisit dan kontrol sisi konsumen yang ditawarkan Private Service Connect.

Diagram berikut menunjukkan cara antarmuka Private Service Connect di-deploy di Cloud Data Fusion:

Deployment antarmuka Private Service Connect.

Gambar 1. Deployment antarmuka Private Service Connect

Deskripsi Gambar 1:

  • Virtual machine (VM) yang menjalankan Cloud Data Fusion dihosting di project tenant milik Google. Untuk mengakses resource di VPC pelanggan, VM Cloud Data Fusion menggunakan alamat IP yang ditetapkan oleh antarmuka jaringan Private Service Connect dari subnet pelanggan. Subnet ini ditambahkan ke lampiran jaringan yang digunakan oleh Cloud Data Fusion.

  • Paket IP yang berasal dari antarmuka Private Service Connect diperlakukan serupa dengan paket dari VM di subnet yang sama. Dengan konfigurasi ini, Cloud Data Fusion dapat langsung mengakses resource di VPC pelanggan atau VPC peer tanpa memerlukan proxy.

  • Resource internet dapat diakses jika Cloud NAT diaktifkan di VPC pelanggan, sedangkan resource lokal dapat dijangkau melalui interconnect.

  • Untuk mengelola traffic masuk atau keluar dari Private Service Connect, Anda dapat menerapkan aturan firewall.

Manfaat utama

Berikut adalah manfaat utama menggunakan Cloud Data Fusion dengan Private Service Connect:

  • Kontrol ruang IP yang lebih baik. Anda mengontrol alamat IP yang digunakan Cloud Data Fusion untuk terhubung ke jaringan Anda. Anda memilih subnet tempat alamat IP dialokasikan untuk Cloud Data Fusion. Semua traffic dari Cloud Data Fusion memiliki alamat IP sumber dari subnet yang dikonfigurasi.

    Private Service Connect menghilangkan kebutuhan akan alamat IP yang dicadangkan dari VPC pelanggan. Peering VPC memerlukan blok CIDR /22 (1.024 alamat IP) per instance Cloud Data Fusion.

  • Keamanan dan isolasi yang lebih baik. Dengan mengonfigurasi lampiran jaringan, Anda dapat mengontrol layanan mana yang dapat mengakses jaringan Anda.

  • Penyiapan instance Cloud Data Fusion yang disederhanakan. Buat lampiran jaringan per VPC pelanggan hanya sekali. Tidak perlu menggunakan VM proxy untuk terhubung ke resource di internet, VPC peer, atau infrastruktur lokal.

Konsep utama

Lampiran jaringan

Network lamp adalah resource regional yang digunakan untuk mengizinkan Cloud Data Fusion agar menggunakan dan membuat koneksi jaringan secara pribadi, untuk mengakses resource di VPC Anda. Untuk informasi selengkapnya, lihat Tentang lampiran jaringan.

VPC Bersama

Berikut adalah kasus penggunaan untuk antarmuka Private Service Connect dengan VPC Bersama:

  • Jaringan atau tim infra memiliki subnet dalam project host. Mereka mengizinkan tim aplikasi menggunakan subnet ini dari project layanan mereka.

  • Tim aplikasi memiliki lampiran jaringan dalam project layanan. Lampiran jaringan menentukan project tenant Cloud Data Fusion mana yang dapat terhubung ke subnet yang ditautkan ke lampiran jaringan.

Anda dapat membuat lampiran jaringan di project layanan. Subnet yang digunakan pada lampiran jaringan hanya bisa berada dalam project host.

Diagram berikut mengilustrasikan kasus penggunaan ini:

Kasus penggunaan untuk antarmuka Private Service Connect dengan VPC Bersama

Gambar 2. Kasus penggunaan untuk antarmuka Private Service Connect dengan VPC Bersama

Deskripsi Gambar 2:

  • Lampiran jaringan ada dalam project layanan. Lampiran jaringan menggunakan subnet yang dimiliki VPC Bersama dalam project host.

  • Instance Cloud Data Fusion ada dalam project layanan, dan menggunakan lampiran jaringan dari project layanan untuk menetapkan konektivitas pribadi.

  • Instance Cloud Data Fusion diberi alamat IP dari subnet di VPC Bersama.

Sebelum memulai

  • Private Service Connect hanya tersedia di Cloud Data Fusion versi 6.10.0 dan yang lebih baru.
  • Anda hanya dapat mengaktifkan Private Service Connect saat membuat instance Cloud Data Fusion baru. Anda tidak dapat memigrasikan instance yang ada untuk menggunakan Private Service Connect.

Harga

Data masuk dan keluar melalui Private Service Connect dikenakan biaya. Untuk mengetahui informasi selengkapnya, lihat harga Private Service Connect.

Peran dan izin yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk membuat instance Cloud Data Fusion dan lampiran jaringan, minta administrator Anda untuk memberi peran IAM berikut pada project Anda:

Untuk mendapatkan izin yang diperlukan Cloud Data Fusion untuk memvalidasi konfigurasi jaringan, minta administrator Anda untuk memberikan peran IAM berikut ke akun layanan yang dikelola Google Cloud Data Fusion (dengan format service-CUSTOMER_PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com):

  • Untuk VPC yang terkait dengan lampiran jaringan: Compute Network Viewer (roles/compute.networkViewer)

  • Agar Cloud Data Fusion dapat menambahkan project tenantnya ke daftar terima produsen lampiran jaringan:

    • compute.networkAttachments.get
    • compute.networkAttachments.update
    • compute.networkAttachments.list

    Peran yang paling ketat dengan izin ini adalah peran Compute Network Admin (roles/compute.networkAdmin). Izin ini adalah bagian dari peran Agen Layanan Cloud Data Fusion API (roles/datafusion.serviceAgent), yang otomatis diberikan ke akun layanan yang dikelola Google Cloud Data Fusion. Oleh karena itu, Anda tidak perlu melakukan tindakan apa pun kecuali jika pemberian peran agen layanan telah dihapus secara eksplisit.

Untuk mengetahui informasi lebih lanjut tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran standar lainnya.

Untuk mengetahui informasi selengkapnya tentang opsi kontrol akses di Cloud Data Fusion, baca Kontrol akses dengan IAM.

Membuat VPC atau jaringan VPC Bersama

Pastikan Anda telah membuat jaringan VPC atau jaringan VPC Bersama.

Mengonfigurasi Private Service Connect

Untuk mengonfigurasi Private Service Connect di Cloud Data Fusion, Anda harus terlebih dahulu membuat lampiran jaringan, lalu membuat instance Cloud Data Fusion dengan Private Service Connect.

Membuat lampiran jaringan

Lampiran jaringan menyediakan kumpulan subnetwork. Untuk membuat lampiran jaringan, ikuti langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Lampiran jaringan:

    Buka Lampiran jaringan

  2. Klik Create network attachment.

  3. Di kolom Name, masukkan nama untuk lampiran jaringan Anda.

  4. Dari drop-down Network, pilih jaringan VPC atau VPC bersama.

  5. Dari drop-down Region, pilih region Google Cloud. Region ini harus sama dengan instance Cloud Data Fusion.

  6. Dari drop-down Subnetwork, pilih rentang subnetwork.

  7. Di bagian Connection Preferences, pilih Accept connections for selected projects.

    Cloud Data Fusion secara otomatis menambahkan project tenant Cloud Data Fusion ke daftar Project yang diterima saat Anda membuat instance Cloud Data Fusion.

  8. Jangan menambahkan Project yang diterima atau Project yang ditolak.

  9. Klik Create network attachment.

    Membuat lampiran jaringan

gcloud

  1. Buat satu atau beberapa subnetwork. Contoh:

    gcloud compute networks subnets create subnet-1 --network=network-0 --range=10.10.1.0/24 --region=REGION
    

    Lampiran jaringan akan menggunakan subnetwork ini pada langkah berikutnya.

  2. Buat resource lampiran jaringan di region yang sama dengan instance Cloud Data Fusion, dengan properti connection-preference ditetapkan ke ACCEPT_MANUAL:

    gcloud compute network-attachments create NAME
    --region=REGION
    --connection-preference=ACCEPT_MANUAL
    --subnets=SUBNET
    

    Ganti kode berikut:

    • NAME: nama untuk lampiran jaringan Anda
    • REGION: nama region Google Cloud. Region ini harus sama dengan instance Cloud Data Fusion
    • SUBNET: nama subnet.

    Output perintah ini adalah URL lampiran jaringan dengan format berikut:

    projects/PROJECT/locations/REGION/network-attachments/NETWORK_ATTACHMENT_ID.

    Catat URL ini karena Cloud Data Fusion memerlukannya untuk konektivitas.

REST API

  1. Membuat subnet.

  2. Membuat lampiran jaringan:

    alias authtoken="gcloud auth print-access-token"
    NETWORK_ATTACHMENT_NAME=NETWORK_ATTACHMENT_NAME
    REGION=REGION
    SUBNET=SUBNET
    PROJECT_ID=PROJECT_ID
    
    read -r -d '' BODY << EOM
    {
      "name": "$NETWORK_ATTACHMENT_NAME",
      "description": "Network attachment for private Cloud Data Fusion",
      "connectionPreference": "ACCEPT_MANUAL",
      "subnetworks": [
        "projects/$PROJECT_ID/regions/$REGION/subnetworks/$SUBNET"
      ]
    }
    EOM
    
    curl -H "Authorization: Bearer $(authtoken)" \
    -H "Content-Type: application/json" \
    -X POST   -d "$BODY" "https://compute.googleapis.com/compute/v1/projects/$PROJECT_ID/regions/$REGION/networkAttachments"
    

    Ganti kode berikut:

    • NETWORK_ATTACHMENT_NAME: nama untuk lampiran jaringan Anda
    • REGION: nama region Google Cloud. Region ini harus sama dengan instance Cloud Data Fusion
    • SUBNET: nama subnet.
    • PROJECT_ID: ID project Anda

Membuat instance Cloud Data Fusion

Cloud Data Fusion menggunakan blok CIDR /25 (128 IP) untuk resource di project tenant. Ini disebut rentang yang tidak dapat dijangkau atau yang dicadangkan. Anda dapat menggunakan alamat IP yang sama di VPC, tetapi VM Cloud Data Fusion tidak akan dapat terhubung dengan resource Anda menggunakan rentang ini.

Dalam sebagian besar kasus, ini bukan masalah, karena blok CIDR yang tidak dapat dijangkau terletak pada rentang non-RFC 1918 (240.0.0.0/8), secara default. Jika Anda ingin mengontrol rentang yang tidak dapat dijangkau, lihat Konfigurasi lanjutan.

Untuk membuat instance Cloud Data Fusion dengan Private Service Connect yang diaktifkan, ikuti langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Instance Cloud Data Fusion, lalu klik Create instance.

    Membuat instance

  2. Di kolom Nama instance, masukkan nama untuk instance baru Anda.

  3. Di kolom Deskripsi, masukkan deskripsi instance Anda.

  4. Dari drop-down Region, pilih region Google Cloud tempat Anda ingin membuat instance.

  5. Dari drop-down Versi, pilih 6.10 atau yang lebih baru.

  6. Pilih Edisi. Untuk mengetahui informasi selengkapnya tentang harga berbagai edisi, lihat Ringkasan harga Cloud Data Fusion.

  7. Luaskan Opsi lanjutan dan lakukan hal berikut:

    1. Pilih Aktifkan IP pribadi.

    2. Pilih Private Service Connect sebagai Jenis konektivitas.

    3. Di bagian Network attachment, pilih lampiran jaringan yang Anda buat di bagian Create a network attachment.

  8. Klik Create. Diperlukan waktu hingga 30 menit untuk menyelesaikan proses pembuatan instance.

    Membuat instance Cloud Data Fusion dengan Private Service Connect

REST API

Jalankan perintah berikut:

alias authtoken="gcloud auth print-access-token"

EDITION=EDITION
PROJECT_ID=PROJECT_ID
REGION=REGION
CDF_ID=INSTANCE_ID
NETWORK_ATTACHMENT_ID=NETWORK_ATTACHMENT_ID

read -r -d '' BODY << EOM
{
  "description": "PSC enabled instance",
  "version": "6.10",
  "type": "$EDITION",
  "privateInstance": "true",
  "networkConfig": {
    "connectionType": "PRIVATE_SERVICE_CONNECT_INTERFACES",
    "privateServiceConnectConfig": {
      "networkAttachment": "$NETWORK_ATTACHMENT_ID"
    }
  }
}
EOM

curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST   -d "$BODY" "https://datafusion.googleapis.com/v1/projects/$PROJECT_ID/locations/$REGION/instances/?instanceId=$CDF_ID"

Ganti kode berikut:

  • EDITION: edisi Cloud Data Fusion— BASIC, DEVELOPER, atau ENTERPRISE.
  • PROJECT_ID: ID project Anda.
  • REGION: nama region Google Cloud. Region ini harus sama dengan instance Cloud Data Fusion.
  • INSTANCE_ID: ID instance Anda.
  • NETWORK_ATTACHMENT_ID: ID lampiran jaringan Anda.

Konfigurasi lanjutan

Untuk mengaktifkan berbagi subnet, Anda dapat memberikan lampiran jaringan yang sama ke beberapa instance Cloud Data Fusion. Sebaliknya, jika ingin mendedikasikan subnet untuk instance Cloud Data Fusion tertentu, Anda harus menyediakan lampiran jaringan tertentu, yang akan digunakan oleh instance Cloud Data Fusion.

Direkomendasikan: Untuk menerapkan kebijakan firewall yang seragam ke semua instance Cloud Data Fusion, gunakan lampiran jaringan yang sama.

Jika ingin mengontrol blok CIDR /25 yang tidak dapat dijangkau oleh Cloud Data Fusion, tentukan properti unreachableCidrBlock saat Anda membuat instance. Contoh:

alias authtoken="gcloud auth print-access-token"

EDITION=EDITION
PROJECT_ID=PROJECT_ID
REGION=REGION
CDF_ID=INSTANCE_ID
NETWORK_ATTACHMENT_ID=NETWORK_ATTACHMENT_ID
UNREACHABLE_RANGE=UNREACHABLE_RANGE

read -r -d '' BODY << EOM
{
  "description": "PSC enabled instance",
  "version": "6.10",
  "type": "$EDITION",
  "privateInstance": "true",
  "networkConfig": {
    "connectionType": "PRIVATE_SERVICE_CONNECT_INTERFACES",
    "unreachableCidrBlock": "$UNREACHABLE_RANGE"
    "privateServiceConnectConfig": {
      "networkAttachment": "projects/$PROJECT_ID/regions/$REGION/networkAttachments/$NETWORK_ATTACHMENT_ID"
    }
  }
}
EOM

curl -H "Authorization: Bearer $(authtoken)" \
-H "Content-Type: application/json" \
-X POST -d "$BODY" "https://datafusion.googleapis.com/v1/projects/$PROJECT_ID/locations/$REGION/instances/?instanceId=$CDF_ID"

Ganti kode berikut:

  • EDITION: edisi Cloud Data Fusion— BASIC, DEVELOPER, atau ENTERPRISE.
  • PROJECT_ID: ID project Anda.
  • REGION: nama region Google Cloud. Region ini harus sama dengan instance Cloud Data Fusion.
  • INSTANCE_ID: ID instance Anda.
  • NETWORK_ATTACHMENT_ID: ID lampiran jaringan Anda.
  • UNREACHABLE_RANGE: rentang yang tidak dapat dijangkau—misalnya, 10.0.0.0/25.

Keamanan

Cloud Data Fusion bagi keamanan konsumen

Antarmuka Private Service Connect mendukung aturan firewall keluar untuk mengontrol apa yang dapat diakses Cloud Data Fusion dalam VPC Anda. Untuk informasi selengkapnya, lihat Membatasi traffic masuk produsen ke konsumen.

Keamanan Konsumen Cloud Data Fusion

VM Cloud Data Fusion dengan antarmuka Private Service Connect memblokir semua traffic yang berasal dari VPC Anda dan bukan paket respons.