Halaman ini menjelaskan cara menggunakan setelan masuk untuk membatasi akses jaringan ke layanan Cloud Run Anda.
Di tingkat jaringan, endpoint layanan Cloud Run dapat dijangkau dari jalur masuk jaringan berikut:
- URL
run.app
default, yang dapat Anda nonaktifkan - Setiap pemetaan domain yang dikonfigurasi
- Load Balancer Aplikasi Eksternal atau Load Balancer Aplikasi Internal yang dikonfigurasi
Semua jalur traffic masuk jaringan tunduk pada setelan traffic masuk layanan. Jalur masuk default dan setelan masuk memungkinkan resource apa pun di internet menjangkau layanan Cloud Run Anda. Anda dapat menggunakan batasan kustom untuk membatasi setelan traffic masuk bagi organisasi Anda atau untuk sekumpulan project. Autentikasi IAM masih berlaku untuk permintaan yang mencapai endpoint layanan dari salah satu jalur masuk jaringan sebelumnya. Untuk pendekatan berlapis dalam mengelola akses, gunakan pengaturan masuk jaringan dan IAM.
Setelan traffic masuk jaringan yang tersedia
Berikut adalah setelan yang tersedia:
Setelan | Deskripsi |
---|---|
Internal |
Batasan maksimum. Mengizinkan permintaan dari sumber berikut:
run.app URL. Permintaan
dari sumber lain, termasuk internet, tidak dapat menjangkau layanan Anda
di run.app URL atau domain kustom. |
Cloud Load Balancing dan Internal | Setelan ini mengizinkan permintaan dari resource berikut:
Catatan: Untuk mengaktifkan setelan ini di gcloud CLI, gunakan internal-and-cloud-load-balancing .
Untuk mengaktifkan setelan ini di Konsol Google Cloud, pilih
Internal > Mengizinkan traffic dari Load Balancer Aplikasi eksternal.
|
Semua |
Batasan minimum. Mengizinkan semua permintaan, termasuk permintaan langsung dari
internet ke URL run.app .
|
Mengakses layanan internal
Pertimbangan tambahan berikut berlaku:
Saat mengakses layanan internal, panggil layanan seperti yang biasa Anda lakukan menggunakan URL-nya, baik URL
run.app
default maupun domain kustom yang disiapkan di Cloud Run.Untuk permintaan dari instance VM Compute Engine, tidak diperlukan penyiapan lebih lanjut untuk mesin yang memiliki alamat IP eksternal atau yang menggunakan Cloud NAT. Jika tidak, lihat Menerima permintaan dari jaringan VPC.
Saat melakukan panggilan dari fungsi Cloud Run, App Engine, atau Cloud Functions ke layanan Cloud Run yang disetel ke "Internal" atau "Internal dan Cloud Load Balancing", traffic harus dirutekan melalui jaringan VPC yang dianggap internal. Lihat Menerima permintaan dari layanan Cloud Run, App Engine, dan fungsi Cloud Run lainnya.
Permintaan dari resource dalam jaringan VPC pada project yang sama adalah "internal" meskipun resource asalnya memiliki alamat IP eksternal.
Permintaan dari resource lokal yang terhubung ke jaringan VPC menggunakan Cloud VPN dan Cloud Interconnect bersifat "internal".
Setel traffic masuk
Anda dapat menyetel traffic masuk menggunakan salah satu metode yang didukung di tab:
Konsol
Di konsol Google Cloud, buka halaman Cloud Run:
Jika Anda mengonfigurasi layanan baru, klik Deploy container, lalu pilih Service untuk menampilkan formulir Create service. Isi halaman setelan layanan awal.
Jika Anda mengonfigurasi layanan yang ada, klik layanan tersebut, lalu klik tab Networking.
Pilih traffic masuk yang ingin Anda izinkan:
Klik Buat atau Simpan.
gcloud
Jika Anda men-deploy layanan baru, deploy layanan dengan flag
--ingress
:gcloud run deploy SERVICE --image IMAGE_URL --ingress INGRESS
Ganti
INGRESS
dengan salah satu setelan masuk yang tersedia:all
internal
internal-and-cloud-load-balancing
SERVICE
dengan nama layanan Anda- IMAGE_URL dengan referensi ke image container, misalnya,
us-docker.pkg.dev/cloudrun/container/hello:latest
. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL memiliki bentukLOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
Jika Anda mengubah layanan masuk yang sudah ada:
gcloud run services update SERVICE --ingress INGRESS
Ganti
INGRESS
dengan salah satu setelan masuk yang tersedia:all
internal
internal-and-cloud-load-balancing
SERVICE
dengan nama layanan Anda
YAML
Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:
gcloud run services describe SERVICE --format export > service.yaml
Update anotasi
run.googleapis.com/ingress:
:apiVersion: serving.knative.dev/v1 kind: Service metadata: annotations: run.googleapis.com/ingress: INGRESS name: SERVICE spec: template: metadata: name: REVISION
Ganti
- SERVICE dengan nama Cloud Run Anda.
- INGRESS dengan salah satu
setelan masuk yang tersedia:
all
internal
internal-and-cloud-load-balancing
- REVISION dengan nama revisi baru atau hapus (jika ada). Jika Anda memberikan nama revisi baru, nama tersebut harus memenuhi kriteria berikut:
- Dimulai dengan
SERVICE-
- Hanya berisi huruf kecil, angka, dan
-
- Tidak diakhiri dengan
-
- Tidak melebihi 63 karakter
- Dimulai dengan
Ganti layanan dengan konfigurasi barunya menggunakan perintah berikut:
gcloud run services replace service.yaml
Terraform
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Tambahkan kode berikut ke file main.tf
Anda:
Nonaktifkan URL default
Nonaktifkan URL run.app
default layanan Cloud Run
agar hanya mengizinkan traffic dari jalur masuk layanan lainnya:
Cloud Load Balancing dan pemetaan domain yang dikonfigurasi.
Untuk menonaktifkan URL default, lakukan langkah-langkah berikut:
Command line
Untuk menonaktifkan URL
run.app
untuk layanan, jalankan perintahgcloud beta run deploy
ataugcloud beta run services update
dengan flag--no-default-url
:gcloud beta run deploy SERVICE_NAME --no-default-url
dengan SERVICE_NAME adalah nama layanan Cloud Run Anda.
Dalam output, URL akan ditampilkan sebagai None
.
Untuk memulihkan URL default, gunakan flag --default-url
.
YAML
Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:
gcloud run services describe SERVICE --format export > service.yaml
Untuk menonaktifkan URL
run.app
, gunakan anotasirun.googleapis.com/default-url-disabled
:apiVersion: serving.knative.dev/v1 kind: Service metadata: annotations: run.googleapis.com/default-url-disabled: true run.googleapis.com/launch-stage: BETA name: SERVICE spec: template: metadata: name: REVISION
Ganti
- SERVICE dengan nama layanan Cloud Run Anda.
- REVISION dengan nama revisi baru atau hapus (jika ada). Jika Anda memberikan nama revisi baru, nama tersebut harus memenuhi kriteria berikut:
- Dimulai dengan
SERVICE-
- Hanya berisi huruf kecil, angka, dan
-
- Tidak diakhiri dengan
-
- Tidak melebihi 63 karakter
- Dimulai dengan
Buat atau update layanan menggunakan perintah berikut:
gcloud run services replace service.yaml
Untuk memulihkan URL default, hapus run.googleapis.com/default-url-disabled
anotasi.
Layanan Google Cloud berikut menggunakan URL run.app
default untuk memanggil Cloud Run. Menonaktifkan URL run.app
default akan mencegah
layanan ini berfungsi seperti yang diharapkan:
- URL
cloudfunctions.net
dari fungsi Cloud Run (generasi ke-2) berdasarkan layanan Cloud Run. - Cloud Scheduler
- Cloud Service Mesh
- Cloud Tasks
- Eventarc
- Hosting Aplikasi Firebase
- Firebase Hosting
- Pub/Sub
- Monitor sintetis dan pemeriksaan uptime
- Workflows
Langkah selanjutnya
- Pelajari setelan traffic keluar.
- Siapkan Load Balancer Aplikasi internal untuk Cloud Run.
- Siapkan Load Balancer Aplikasi eksternal dengan Cloud Run.
- Konfigurasikan metode autentikasi IAM untuk mengakses layanan.