Halaman ini diterjemahkan oleh Cloud Translation API.

Membatasi traffic masuk jaringan untuk Cloud Run

Halaman ini menjelaskan cara menggunakan setelan masuk untuk membatasi akses jaringan ke layanan Cloud Run Anda.

Di tingkat jaringan, endpoint layanan Cloud Run dapat dijangkau dari jalur masuk jaringan berikut:

URL run.app default, yang dapat Anda nonaktifkan
Setiap pemetaan domain yang dikonfigurasi
Load Balancer Aplikasi Eksternal atau Load Balancer Aplikasi Internal yang dikonfigurasi

Semua jalur traffic masuk jaringan tunduk pada setelan traffic masuk layanan. Jalur masuk default dan setelan masuk memungkinkan resource apa pun di internet menjangkau layanan Cloud Run Anda. Anda dapat menggunakan batasan kustom untuk membatasi setelan traffic masuk bagi organisasi Anda atau untuk sekumpulan project. Autentikasi IAM masih berlaku untuk permintaan yang mencapai endpoint layanan dari salah satu jalur masuk jaringan sebelumnya. Untuk pendekatan berlapis dalam mengelola akses, gunakan pengaturan masuk jaringan dan IAM.

Setelan traffic masuk jaringan yang tersedia

Berikut adalah setelan yang tersedia:

Setelan Deskripsi

Internal

Setelan	Deskripsi
Internal	Batasan maksimum. Mengizinkan permintaan dari sumber berikut: Load Balancer Aplikasi Internal, termasuk permintaan dari jaringan VPC bersama saat dirutekan melalui Load Balancer Aplikasi internal. Resource yang diizinkan oleh perimeter Kontrol Layanan VPC apa pun yang berisi layanan Cloud Run Anda. Cloud Run harus dikonfigurasi sebagai layanan terbatas. Jaringan VPC yang berada dalam project yang sama dengan layanan Cloud Run Anda. Traffic masuk VPC Bersama: jaringan VPC Bersama tempat revisi Anda dikonfigurasi untuk mengirim traffic. Untuk mengetahui informasi tentang kapan traffic VPC Bersama dikenali sebagai "internal", lihat Pertimbangan khusus untuk VPC Bersama. Produk Google Cloud berikut, jika berada dalam project atau perimeter Kontrol Layanan VPC yang sama dengan layanan Cloud Run Anda dan jika menggunakan URL `run.app` default, bukan domain kustom: Cloud Scheduler Cloud Tasks Eventarc Pub/Sub Monitor sintetis (termasuk cek uptime) Workflows BigQuery Permintaan dari sumber ini tetap berada dalam jaringan Google, meskipun permintaan tersebut mengakses layanan Anda di`run.app` URL. Permintaan dari sumber lain, termasuk internet, tidak dapat menjangkau layanan Anda di `run.app` URL atau domain kustom.
Cloud Load Balancing dan Internal	Setelan ini mengizinkan permintaan dari resource berikut: Resource yang diizinkan oleh "internal" yang lebih ketat pengaturan Load Balancer Aplikasi Eksternal Gunakan setelan ini untuk melakukan hal berikut: Terima permintaan dari internet melalui Aplikasi eksternal Load Balancer. Permintaan langsung ke URL `run.app` dari internet tidak diizinkan. Pastikan permintaan dari internet tunduk pada fitur Aplikasi eksternal Load Balancer, seperti Identity-Aware Proxy, Google Cloud Armor, dan Cloud CDN. Catatan: Untuk mengaktifkan setelan ini di gcloud CLI, gunakan `internal-and-cloud-load-balancing`. Untuk mengaktifkan setelan ini di Konsol Google Cloud, pilih Internal > Mengizinkan traffic dari Load Balancer Aplikasi eksternal.
Semua	Batasan minimum. Mengizinkan semua permintaan, termasuk permintaan langsung dari internet ke URL `run.app`.

Batasan maksimum. Mengizinkan permintaan dari sumber berikut:

Load Balancer Aplikasi Internal, termasuk permintaan dari jaringan VPC bersama saat dirutekan melalui Load Balancer Aplikasi internal.
Resource yang diizinkan oleh perimeter Kontrol Layanan VPC apa pun yang berisi layanan Cloud Run Anda. Cloud Run harus dikonfigurasi sebagai layanan terbatas.
Jaringan VPC yang berada dalam project yang sama dengan layanan Cloud Run Anda.
Traffic masuk VPC Bersama: jaringan VPC Bersama tempat revisi Anda dikonfigurasi untuk mengirim traffic. Untuk mengetahui informasi tentang kapan traffic VPC Bersama dikenali sebagai "internal", lihat Pertimbangan khusus untuk VPC Bersama.
Produk Google Cloud berikut, jika berada dalam project atau perimeter Kontrol Layanan VPC yang sama dengan layanan Cloud Run Anda dan jika menggunakan URL run.app default, bukan domain kustom:

Cloud Scheduler
Cloud Tasks
Eventarc
Pub/Sub
Monitor sintetis (termasuk cek uptime)
Workflows
BigQuery

Permintaan dari sumber ini tetap berada dalam jaringan Google, meskipun permintaan tersebut mengakses layanan Anda dirun.app URL. Permintaan dari sumber lain, termasuk internet, tidak dapat menjangkau layanan Anda di run.app URL atau domain kustom.

Cloud Load Balancing dan Internal

Setelan ini mengizinkan permintaan dari resource berikut:

Resource yang diizinkan oleh "internal" yang lebih ketat pengaturan
Load Balancer Aplikasi Eksternal

Gunakan setelan ini untuk melakukan hal berikut:

Terima permintaan dari internet melalui Aplikasi eksternal Load Balancer. Permintaan langsung ke URL run.app dari internet tidak diizinkan.
Pastikan permintaan dari internet tunduk pada fitur Aplikasi eksternal Load Balancer, seperti Identity-Aware Proxy, Google Cloud Armor, dan Cloud CDN.

Catatan: Untuk mengaktifkan setelan ini di gcloud CLI, gunakan internal-and-cloud-load-balancing. Untuk mengaktifkan setelan ini di Konsol Google Cloud, pilih Internal > Mengizinkan traffic dari Load Balancer Aplikasi eksternal.

Semua Batasan minimum. Mengizinkan semua permintaan, termasuk permintaan langsung dari internet ke URL run.app.

Mengakses layanan internal

Pertimbangan tambahan berikut berlaku:

Saat mengakses layanan internal, panggil layanan seperti yang biasa Anda lakukan menggunakan URL-nya, baik URL run.app default maupun domain kustom yang disiapkan di Cloud Run.
Untuk permintaan dari instance VM Compute Engine, tidak diperlukan penyiapan lebih lanjut untuk mesin yang memiliki alamat IP eksternal atau yang menggunakan Cloud NAT. Jika tidak, lihat Menerima permintaan dari jaringan VPC.
Saat melakukan panggilan dari fungsi Cloud Run, App Engine, atau Cloud Functions ke layanan Cloud Run yang disetel ke "Internal" atau "Internal dan Cloud Load Balancing", traffic harus dirutekan melalui jaringan VPC yang dianggap internal. Lihat Menerima permintaan dari layanan Cloud Run, App Engine, dan fungsi Cloud Run lainnya.
Permintaan dari resource dalam jaringan VPC pada project yang sama adalah "internal" meskipun resource asalnya memiliki alamat IP eksternal.
Permintaan dari resource lokal yang terhubung ke jaringan VPC menggunakan Cloud VPN dan Cloud Interconnect bersifat "internal".

Setel traffic masuk

Anda dapat menyetel traffic masuk menggunakan salah satu metode yang didukung di tab:

Konsol

Di konsol Google Cloud, buka halaman Cloud Run:

Buka Cloud Run
Jika Anda mengonfigurasi layanan baru, klik Deploy container, lalu pilih Service untuk menampilkan formulir Create service. Isi halaman setelan layanan awal.
Jika Anda mengonfigurasi layanan yang ada, klik layanan tersebut, lalu klik tab Networking.
Pilih traffic masuk yang ingin Anda izinkan:
Klik Buat atau Simpan.

gcloud

Jika Anda men-deploy layanan baru, deploy layanan dengan flag --ingress:
```
gcloud run deploy SERVICE --image IMAGE_URL --ingress INGRESS
```
Ganti
- INGRESS dengan salah satu setelan masuk yang tersedia:
  - all
  - internal
  - internal-and-cloud-load-balancing
- SERVICE dengan nama layanan Anda
- IMAGE_URL dengan referensi ke image container, misalnya, us-docker.pkg.dev/cloudrun/container/hello:latest. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL memiliki bentuk LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
Jika Anda mengubah layanan masuk yang sudah ada:
```
gcloud run services update SERVICE --ingress INGRESS
```
Ganti
- INGRESS dengan salah satu setelan masuk yang tersedia:
  - all
  - internal
  - internal-and-cloud-load-balancing
- SERVICE dengan nama layanan Anda

YAML

Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:
```
gcloud run services describe SERVICE --format export > service.yaml
```
Update anotasi run.googleapis.com/ingress::
```
apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  annotations:
    run.googleapis.com/ingress: INGRESS
  name: SERVICE
spec:
  template:
    metadata:
      name: REVISION
```
Ganti
- SERVICE dengan nama Cloud Run Anda.
- INGRESS dengan salah satu setelan masuk yang tersedia:
  - all
  - internal
  - internal-and-cloud-load-balancing
- REVISION dengan nama revisi baru atau hapus (jika ada). Jika Anda memberikan nama revisi baru, nama tersebut harus memenuhi kriteria berikut:
  - Dimulai denganSERVICE-
  - Hanya berisi huruf kecil, angka, dan -
  - Tidak diakhiri dengan -
  - Tidak melebihi 63 karakter
Ganti layanan dengan konfigurasi barunya menggunakan perintah berikut:
```
gcloud run services replace service.yaml
```

Terraform

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

Tambahkan kode berikut ke file main.tf Anda:

resource "google_cloud_run_v2_service" "default" {
  provider = google-beta
  name     = "ingress-service"
  location = "us-central1"

  # For valid annotation values and descriptions, see
  # https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/cloud_run_v2_service#ingress
  ingress = "INGRESS_TRAFFIC_INTERNAL_ONLY"

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello" #public image for your service
    }
  }
}

Nonaktifkan URL default

Nonaktifkan URL run.app default layanan Cloud Run agar hanya mengizinkan traffic dari jalur masuk layanan lainnya: Cloud Load Balancing dan pemetaan domain yang dikonfigurasi.

Untuk menonaktifkan URL default, lakukan langkah-langkah berikut:

Command line

Untuk menonaktifkan URL run.app untuk layanan, jalankan perintah gcloud beta run deploy atau gcloud beta run services update dengan flag --no-default-url:
```
gcloud beta run deploy SERVICE_NAME --no-default-url
```
dengan SERVICE_NAME adalah nama layanan Cloud Run Anda.

Dalam output, URL akan ditampilkan sebagai None.

Untuk memulihkan URL default, gunakan flag --default-url.

YAML

Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:
```
gcloud run services describe SERVICE --format export > service.yaml
```
Untuk menonaktifkan URL run.app, gunakan anotasi run.googleapis.com/default-url-disabled:
```
apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  annotations:
    run.googleapis.com/default-url-disabled: true
    run.googleapis.com/launch-stage: BETA
  name: SERVICE
spec:
  template:
    metadata:
      name: REVISION
```
Ganti
- SERVICE dengan nama layanan Cloud Run Anda.
- REVISION dengan nama revisi baru atau hapus (jika ada). Jika Anda memberikan nama revisi baru, nama tersebut harus memenuhi kriteria berikut:
  - Dimulai denganSERVICE-
  - Hanya berisi huruf kecil, angka, dan -
  - Tidak diakhiri dengan -
  - Tidak melebihi 63 karakter
Buat atau update layanan menggunakan perintah berikut:
```
gcloud run services replace service.yaml
```

Untuk memulihkan URL default, hapus run.googleapis.com/default-url-disabled anotasi.

Layanan Google Cloud berikut menggunakan URL run.app default untuk memanggil Cloud Run. Menonaktifkan URL run.app default akan mencegah layanan ini berfungsi seperti yang diharapkan:

URL cloudfunctions.net dari fungsi Cloud Run (generasi ke-2) berdasarkan layanan Cloud Run.
Cloud Scheduler
Cloud Service Mesh
Cloud Tasks
Eventarc
Hosting Aplikasi Firebase
Firebase Hosting
Pub/Sub
Monitor sintetis dan pemeriksaan uptime
Workflows

Langkah selanjutnya

Pelajari setelan traffic keluar.
Siapkan Load Balancer Aplikasi internal untuk Cloud Run.
Siapkan Load Balancer Aplikasi eksternal dengan Cloud Run.
Konfigurasikan metode autentikasi IAM untuk mengakses layanan.