Kontrol Layanan VPC adalah fitur Google Cloud yang dapat Anda gunakan untuk menyiapkan perimeter yang aman guna mencegah pemindahan data yang tidak sah. Panduan ini menunjukkan cara menyertakan tugas Cloud Scheduler di perimeter Kontrol Layanan VPC.
Batasan
Batasan berikut berlaku untuk dukungan Kontrol Layanan VPC untuk Cloud Scheduler.
Tindakan yang diterapkan
Kontrol Layanan VPC hanya diterapkan pada tindakan berikut:
- Pembuatan tugas Cloud Scheduler
- Pembaruan tugas Cloud Scheduler
Mengapa hal ini penting?
Karena Kontrol Layanan VPC hanya diterapkan pada pembuatan tugas dan update tugas, Kontrol Layanan VPC tidak otomatis diterapkan untuk tugas yang dibuat sebelum Anda menambahkan Cloud Scheduler ke perimeter Kontrol Layanan VPC. Tugas terus berjalan meskipun target tugas bukan bagian dari perimeter Kontrol Layanan VPC Anda atau bukan merupakan target yang didukung. Untuk menerapkan Kontrol Layanan VPC bagi semua tugas Cloud Scheduler:
- Tugas dengan target yang tidak didukung atau berada di luar perimeter Anda: Hapus tugas. Lihat Menghapus lowongan yang tidak mematuhi kebijakan
- Tugas dengan target yang didukung dan ada di dalam perimeter Anda: Jalankan pembaruan pada setiap tugas setelah menambahkan Cloud Scheduler ke perimeter Anda. Lihat Menerapkan tugas yang sudah ada.
Target yang didukung
Integrasi Cloud Scheduler dengan Kontrol Layanan VPC hanya mendukung target berikut:
- Cloud Functions (di URL
functions.net) - Cloud Run (di URL
run.appuntuk layanan Cloud Run. Target tugas Cloud Run tidak didukung. Untuk mempelajari perbedaan antara layanan dan resource tugas untuk Cloud Run, lihat Layanan dan tugas: dua cara untuk menjalankan kode Anda.) - Dataflow API (harus berada dalam project Google Cloud yang sama dengan tugas Cloud Scheduler Anda)
- Pipeline Data (harus berada dalam project Google Cloud yang sama dengan tugas Cloud Scheduler Anda)
- Pub/Sub (harus berada dalam project Google Cloud yang sama dengan tugas Cloud Scheduler Anda)
Menghapus tugas yang tidak mematuhi kebijakan
Direkomendasikan. Hapus tugas Cloud Scheduler dengan target yang:
- Tidak didukung (lihat Target yang didukung)
- Di luar perimeter Kontrol Layanan VPC yang ingin Anda gunakan
Untuk petunjuk tentang menghapus tugas, lihat Menghapus tugas.
Jika Anda tidak menghapus tugas ini sebelum menambahkan Cloud Scheduler ke perimeter Kontrol Layanan VPC Anda, tugas akan tetap berjalan, tetapi Kontrol Layanan VPC tidak diberlakukan pada tugas tersebut (lihat Tindakan yang diterapkan).
Misalnya, jika Anda memiliki tugas Cloud Scheduler yang menarget target yang tidak didukung (seperti domain kustom Cloud Run), tugas tersebut akan terus berjalan setelah Anda menambahkan Cloud Scheduler ke perimeter Kontrol Layanan VPC, tetapi tugas ini tidak dilindungi oleh Kontrol Layanan VPC. Hal yang sama berlaku untuk tugas yang sudah ada dengan target di luar perimeter Kontrol Layanan VPC Anda.
Tambahkan peran IAM yang diperlukan
Wajib. Untuk menggunakan Kontrol Layanan VPC, akun layanan Cloud Scheduler harus memiliki peran IAM Agen Layanan Cloud Scheduler. Akun layanan Cloud Scheduler akan dibuat untuk project Anda secara otomatis. Untuk memverifikasi bahwa akun tersebut memiliki peran IAM Agen Layanan Cloud Scheduler, atau untuk memberikan peran ini, lakukan langkah-langkah berikut:
Di konsol Google Cloud, buka IAM.
Centang kotak Include Google-provided role grants.
Di bagian filter, ketik Cloud Scheduler Service Account, lalu pilih akun utama ini.
Lihat kolom Role untuk akun utama Cloud Scheduler Service Account. Anda dapat melanjutkan jika peran berikut tercantum:
- Agen Layanan Cloud Scheduler
Jika peran Akun Layanan Cloud Scheduler tidak tercantum, klik ikon Edit dan berikan peran Cloud Scheduler Service Agent ke akun utama Akun Layanan Cloud Scheduler.
Menentukan perimeter Kontrol Layanan VPC
Wajib. Anda dapat menggunakan perimeter yang ada atau membuat perimeter baru untuk melindungi tugas Cloud Scheduler yang memiliki target yang didukung. Kedua pendekatan tersebut memberi Anda kesempatan untuk menentukan layanan yang akan dibatasi. Tentukan Cloud Scheduler API.
Perimeter yang ada: Untuk memperbarui perimeter Kontrol Layanan VPC yang ada agar menyertakan Cloud Scheduler, ikuti langkah-langkah untuk memperbarui perimeter layanan.
Perimeter baru: Guna membuat perimeter baru untuk Cloud Scheduler, ikuti langkah-langkah untuk membuat perimeter layanan.
Menerapkan Kontrol Layanan VPC pada tugas yang sudah ada
Direkomendasikan. Untuk menerapkan Kontrol Layanan VPC pada tugas Cloud Scheduler yang Anda buat sebelum menambahkan Cloud Scheduler ke perimeter Kontrol Layanan VPC, jalankan update pada tugas tersebut. Anda tidak perlu mengubah tugas tersebut, tetapi Anda harus menjalankan update agar Kontrol Layanan VPC dapat diterapkan ke tugas dan eksekusinya di masa mendatang.
Anda dapat menjalankan pembaruan tugas dari Konsol Google Cloud (pilih tugas dan gunakan tombol Edit), menggunakan API, atau dengan gcloud CLI.
Untuk menerapkan Kontrol Layanan VPC pada tugas yang sudah ada dengan menggunakan gcloud CLI, jalankan perintah berikut:
Target HTTP
gcloud scheduler jobs update http JOB_ID
Ganti kode berikut:
JOB_ID: ID pekerjaan Anda
Target Pub/Sub
gcloud scheduler jobs update pubsub JOB_ID
Ganti kode berikut:
JOB_ID: ID pekerjaan Anda