Kontrol Layanan VPC adalah Google Cloud fitur yang memungkinkan Anda menyiapkan perimeter yang aman untuk mencegah pemindahan data yang tidak sah. Panduan ini menunjukkan cara menyertakan tugas Cloud Scheduler dalam perimeter Kontrol Layanan VPC.
Batasan
Batasan berikut berlaku untuk dukungan Kontrol Layanan VPC untuk Cloud Scheduler.
Tindakan yang diterapkan
Kontrol Layanan VPC hanya diterapkan pada tindakan berikut:
- Pembuatan tugas Cloud Scheduler
- Pembaruan tugas Cloud Scheduler
Mengapa hal ini penting?
Karena Kontrol Layanan VPC hanya diterapkan pada pembuatan dan update tugas, Kontrol Layanan VPC tidak otomatis diterapkan untuk tugas yang dibuat sebelum Anda menambahkan Cloud Scheduler ke perimeter Kontrol Layanan VPC. Tugas akan terus dijalankan meskipun target tugas bukan bagian dari perimeter Kontrol Layanan VPC Anda atau bukan target yang didukung. Untuk menerapkan Kontrol Layanan VPC untuk semua tugas Cloud Scheduler:
- Tugas dengan target yang tidak didukung atau berada di luar perimeter Anda: Hapus tugas. Dalam dokumen ini, lihat Menghapus tugas yang tidak mematuhi kebijakan.
- Tugas dengan target yang didukung dan berada di dalam perimeter Anda: Jalankan update pada setiap tugas setelah menambahkan Cloud Scheduler ke perimeter Anda. Dalam dokumen ini, lihat Menerapkan Kontrol Layanan VPC pada tugas yang sudah ada.
Target yang didukung
Integrasi Cloud Scheduler dengan Kontrol Layanan VPC mendukung target berikut. Endpoint HTTP didukung jika tercantum; namun, endpoint HTTP arbitrer tidak didukung.
- Cloud Run functions—di URL
functions.net - Cloud Run—di URL
run.appuntuk layanan Cloud Run. Target tugas Cloud Run tidak didukung. Untuk mempelajari perbedaan antara resource layanan dan tugas Cloud Run, lihat Layanan dan tugas: dua cara untuk menjalankan kode Anda. - Dataflow API—harus berada di project yang sama dengan tugas Cloud Scheduler Anda Google Cloud
- Data Pipelines—harus berada di project yang sama dengan tugas Cloud Scheduler Anda Google Cloud
- Pub/Sub—harus berada di project yang sama dengan tugas Cloud Scheduler Anda Google Cloud
Menghapus tugas yang tidak mematuhi kebijakan
Direkomendasikan. Menghapus tugas Cloud Scheduler dengan target yang:
- Tidak didukung (lihat Target yang didukung)
- Di luar perimeter Kontrol Layanan VPC yang akan Anda gunakan
Untuk mengetahui petunjuk tentang cara menghapus tugas, lihat Menghapus tugas.
Jika Anda tidak menghapus tugas ini sebelum menambahkan Cloud Scheduler ke perimeter Kontrol Layanan VPC, tugas akan terus berjalan, tetapi Kontrol Layanan VPC tidak diterapkan pada tugas tersebut. Dalam dokumen ini, lihat Tindakan yang diterapkan.
Misalnya, jika Anda memiliki tugas Cloud Scheduler yang menargetkan target yang tidak didukung (seperti domain kustom Cloud Run), tugas akan terus berjalan setelah Anda menambahkan Cloud Scheduler ke perimeter Kontrol Layanan VPC, tetapi tidak dilindungi oleh Kontrol Layanan VPC. Hal yang sama berlaku untuk tugas yang sudah ada sebelumnya dengan target di luar perimeter Kontrol Layanan VPC Anda.
Menambahkan peran IAM yang diperlukan
Wajib. Untuk menggunakan Kontrol Layanan VPC, akun layanan Cloud Scheduler harus memiliki peran IAM Cloud Scheduler Service Agent. Akun layanan Cloud Scheduler dibuat untuk project Anda secara otomatis. Untuk memverifikasi bahwa akun tersebut memiliki peran IAM Agen Layanan Cloud Scheduler, atau untuk memberikan peran ini, lakukan langkah-langkah berikut:
Di konsol Google Cloud , buka IAM.
Centang kotak Include Google-provided role grants.
Di filter, ketik Cloud Scheduler Service Account, lalu pilih pokok ini.
Lihat kolom Role untuk akun utama Cloud Scheduler Service Account. Anda dapat melanjutkan jika peran berikut tercantum:
- Agen Layanan Cloud Scheduler
Jika peran Akun Layanan Cloud Scheduler tidak tercantum, klik ikon Edit dan berikan peran Agen Layanan Cloud Scheduler kepada akun utama Akun Layanan Cloud Scheduler.
Menentukan perimeter Kontrol Layanan VPC
Wajib. Anda dapat menggunakan perimeter yang ada atau membuat perimeter baru untuk melindungi tugas Cloud Scheduler yang memiliki target yang didukung. Kedua pendekatan memberi Anda kesempatan untuk menentukan layanan yang akan dibatasi. Tentukan Cloud Scheduler API.
Perimeter yang ada: Untuk memperbarui perimeter Kontrol Layanan VPC yang ada agar menyertakan Cloud Scheduler, ikuti langkah-langkah untuk memperbarui perimeter layanan.
Perimeter baru: Untuk membuat perimeter baru untuk Cloud Scheduler, ikuti langkah-langkah untuk membuat perimeter layanan.
Menerapkan Kontrol Layanan VPC pada tugas yang sudah ada
Direkomendasikan. Untuk menerapkan Kontrol Layanan VPC pada tugas Cloud Scheduler
yang Anda buat sebelum menambahkan Cloud Scheduler ke perimeter
Kontrol Layanan VPC, jalankan update pada tugas. Anda tidak perlu mengubah tugas, tetapi Anda harus menjalankan update agar Kontrol Layanan VPC diterapkan ke tugas dan eksekusi tugas di masa mendatang.
Anda dapat menjalankan update untuk tugas dari Google Cloud konsol (pilih tugas dan gunakan tombol Edit), menggunakan API, atau dengan gcloud CLI.
Untuk menerapkan Kontrol Layanan VPC pada tugas yang sudah ada sebelumnya menggunakan gcloud CLI, jalankan perintah berikut:
Target HTTP
gcloud scheduler jobs update http JOB_ID
Ganti kode berikut:
JOB_ID: ID tugas Anda
Target Pub/Sub
gcloud scheduler jobs update pubsub JOB_ID
Ganti kode berikut:
JOB_ID: ID tugas Anda