Mengonfigurasi akses jaringan pribadi

Untuk menyiapkan akses jaringan pribadi sehingga traffic berjalan dalam jaringan Google Cloud, Anda harus mengonfigurasi project yang memiliki jaringan VPC, project Service Directory, dan project layanan Google Cloud yang Anda gunakan. Ketiga proyek ini bisa sama atau terpisah.

  • Project jaringan adalah project jaringan VPC.
  • Project Service project adalah project layanan Service Directory. Project ini mungkin merupakan project layanan di jaringan VPC Bersama dari project jaringan.
  • Project layanan Google Cloud adalah project dengan konfigurasi yang mengaktifkan akses jaringan pribadi. Misalnya, konfigurasi layanan Google Cloud.

Sebelum memulai

Prosedur ini mengasumsikan bahwa Anda telah menyelesaikan langkah-langkah berikut.

  • Aktifkan API yang ingin Anda akses melalui laman API & layanan di Google Cloud Console, termasuk Service Directory API.
  • Instance VM di jaringan VPC harus memiliki alamat IP pribadi.
  • Untuk host lokal, Anda harus sudah memiliki tunnel Cloud VPN atau koneksi Cloud Interconnect ke jaringan VPC Anda.

Mengonfigurasi project jaringan

Ikuti langkah-langkah berikut untuk mengonfigurasi project jaringan.

  1. Buat atau gunakan jaringan VPC yang ada. Jaringan VPC mode kustom dan otomatis didukung. Jaringan lawas tidak didukung.
  2. Jika target tujuan adalah VM Compute Engine, atau backend load balancer internal, Anda harus mengizinkan masuk melalui firewall VPC untuk akses jaringan pribadi. Target harus mengizinkan masuknya TCP dari 35.199.192.0/19 pada port yang sesuai (port 443 atau 80).

  3. Berikan akses jaringan Direktori Layanan Identity and Access Management (IAM) ke project layanan Google Cloud. Perhatikan bahwa project Google Cloud harus berada dalam perimeter Kontrol Layanan VPC layanan Google Cloud dan project Service Directory untuk servicedirectory.googleapis.com.

    Untuk mempelajari Kontrol Layanan VPC lebih lanjut, lihat Ringkasan Kontrol Layanan VPC.

Mengonfigurasi project Direktori Layanan

Ikuti langkah-langkah berikut untuk mengonfigurasi project Service Directory.

  1. Buat mesin virtual (VM) atau load balancer internal di jaringan VPC.
  2. Buat layanan Service Directory yang mengarah ke VM atau load balancer internal yang Anda buat di jaringan VPC.
  3. Berikan akses jaringan IAM Service Directory ke akun layanan Google Cloud. Untuk informasi selengkapnya tentang peran dan izin, lihat izin dan peran Direktori Layanan.

Membuat endpoint dengan akses jaringan pribadi

Untuk membuat endpoint dengan akses jaringan pribadi yang dikonfigurasi, lakukan hal berikut.

Konsol

  1. Buka halaman Ruang nama Direktori Layanan di Google Cloud Console.
    Buka laman ruang nama Direktori Layanan
  2. Klik namespace.
  3. Klik layanan.
  4. Klik dan klik Tambahkan endpoint.
  5. Berikan Nama Endpoint.
  6. Masukkan alamat IP IPv4, seperti 192.0.2.0/24.
  7. Masukkan nomor Port, seperti 443 atau 80.
  8. Untuk mengaktifkan akses jaringan pribadi, klik Pilih dari daftar untuk memilih dari daftar jaringan yang tersedia pada Jaringan VPC terkait.
  9. Anda juga dapat memberikan ID project dan nama jaringan tertentu dengan memilih Tentukan menurut nama project dan jaringan.
  10. Klik Buat.

gcloud

Jalankan perintah gcloud beta service-directory endpoints create dengan project ID dan lokasi jaringan yang ditentukan.

gcloud beta service-directory endpoints create ENDPOINT_NAME
    --project=PROJECT_ID \
    --location=REGION \
    --namespace=NAMESPACE_NAME \
    --service=SERVICE_ID \
    --address=IP_ADDRESS \
    --port=PORT_NUMBER \
    --network=NETWORK_PATH

Ganti yang berikut:

  • ENDPOINT_NAME: nama untuk endpoint yang Anda buat di layanan, seperti my-endpoint
  • PROJECT_ID: ID project
  • REGION: region Google Cloud yang berisi namespace
  • NAMESPACE_NAME: nama yang Anda berikan untuk namespace, seperti my-namespace
  • SERVICE_ID: ID layanan
  • IP_ADDRESS: alamat IP endpoint, seperti 192.0.2.0/24
  • PORT_NUMBER: port tempat endpoint berjalan, biasanya 443 atau 80
  • NETWORK_PATH: URL ke jaringan, seperti projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME

Mengonfigurasi project layanan Google Cloud

  1. Aktifkan API layanan Google Cloud.
  2. Konfigurasikan layanan Google Cloud Anda menggunakan layanan Direktori Layanan yang Anda buat di project jaringan.
  3. Jika Anda menggunakan Kontrol Layanan VPC, pastikan bahwa perimeter Kontrol Layanan VPC memungkinkan Direktori Layanan mengakses project jaringan dan project Service Directory.

Kasus penggunaan

Bagian ini memberikan contoh kasus penggunaan untuk mengonfigurasi akses jaringan pribadi.

Memanggil endpoint HTTP saat jaringan VPC, VM, dan Service Directory berada dalam project yang sama

Anda dapat menyiapkan produk Google Cloud untuk memanggil endpoint HTTP di VM Anda. Traffic ini tidak boleh transit melalui internet publik.

Dalam penyiapan ini, Anda memiliki project dengan jaringan VPC, VM, layanan Direktori Layanan, dan layanan Google Cloud dalam project yang sama.

Mengizinkan konfigurasi layanan Google project untuk keluar ke VM project jaringan yang berada di jaringan VPC project layanan Google Cloud
Mengizinkan konfigurasi layanan Google project untuk keluar ke VM project jaringan yang berada di jaringan VPC project layanan Google Cloud (klik untuk memperbesar)

Untuk menyiapkan produk Google Cloud menggunakan akses jaringan pribadi, ikuti langkah-langkah berikut.

Siapkan jaringan dan targetkan jaringan Anda

  1. Buat project, seperti my-project.
  2. Buat jaringan VPC, seperti VPC-1 (proyek/nomor project/lokasi/global/jaringan/jaringan saya).
  3. Berikan akses proxy untuk masuk ke VPC-1 atau ke subnet atau VM.
  4. Izinkan masuknya dari 35.199.192.0/19.
  5. Buat VM-1 di region us-central1 di VPC-1.
  6. Siapkan untuk menjalankan layanan di port P.
  7. Jika Anda lebih suka menggunakan HTTPS, pastikan Anda telah memasang sertifikat keamanan lapisan transportasi publik (PKI) infrastruktur kunci publik (TLS).
  8. Buat layanan Service Directory SD-1 di REGION-1.
  9. Buat endpoint di SD-1 dengan alamat IP internal VM-1=10.10.10.10, P=443, dan network=projects/project-number/global/networks/my-network. Untuk petunjuk selengkapnya, lihat Membuat endpoint dengan akses jaringan pribadi yang dikonfigurasi.
  10. Berikan peran IAM berikut pada akun layanan Google Cloud:

    • servicedirectory.viewer
    • servicedirectory.pscAuthorizedService
  11. Secara opsional, Anda dapat menyiapkan VM-2 dan menambahkan Endpoint-2.

Siapkan produk Google Cloud

  1. Konfigurasikan konfigurasi produk Google Cloud CONFIG-1, seperti, "Cloud Penjadwal, telepon saya setiap menit".
  2. Siapkan permintaan HTTP.
  3. Tentukan bahwa permintaan harus melalui jaringan pribadi, seperti melalui SD-1.
  4. (Opsional) Mengonfigurasi setelan Layanan Otoritas Sertifikat.

Sekarang, produk Google Cloud dapat menjalankan permintaan HTTP menggunakan SD-1.

Memanggil endpoint HTTP saat jaringan VPC, VM, dan Service Directory berada dalam project yang berbeda

Dalam contoh konfigurasi ini, Anda ingin menyiapkan layanan Google Cloud, seperti Peristiwa, Tasks, atau Pub/Sub, untuk memanggil endpoint HTTP di VM Anda. Dalam contoh ini, project Service Directory, project jaringan, dan project layanan Google Cloud berbeda. Traffic ini tidak boleh transit melalui internet publik. Secara opsional, pemanggilan API ini harus mematuhi perimeter Kontrol Layanan VPC.

Dalam hal ini, konfigurasi project layanan Google Cloud memungkinkan keluar untuk VM project layanan Google Cloud, yang berada di jaringan VPC project jaringan.

Project layanan Google Cloud mungkin berbeda dengan project produsen. Kedua perimeter Kontrol Layanan VPC kedua project digunakan.

Mengirim traffic menggunakan akses jaringan pribadi dengan perimeter Kontrol Layanan VPC diterapkan
Mengirim lalu lintas menggunakan akses jaringan pribadi dengan perimeter Kontrol Layanan VPC yang diterapkan (klik untuk memperbesar)

Buat project jaringan

Pastikan Anda memiliki izin IAM berikut:

  • servicedirectory.services.resolve untuk layanan pesan
  • servicedirectory.networks.access untuk jaringan

Perhatikan hal berikut:

  • Project Service Network dan project project tidak perlu dihubungkan, tetapi harus merupakan bagian dari Kontrol Layanan VPC yang sama.
  • Firewall dan IAM dinonaktifkan secara default pada jaringan dan layanan.

Untuk membuat project jaringan, ikuti langkah berikut.

  1. Buat jaringan VPC, seperti VPC-1 (proyek/nomor project/lokasi/global/jaringan/jaringan saya).
  2. Aktifkan firewall jaringan VPC.

  3. Jika menggunakan Kontrol Layanan VPC, perimeter Kontrol Layanan VPC memungkinkan Direktori Layanan terhubung ke project layanan Google Cloud dan project Directory Service.

Konfigurasikan project Service Directory

  1. Buat VM atau load balancer internal di jaringan VPC.
  2. Buat layanan Service Directory yang mengarah ke VM atau load balancer internal di jaringan VPC.
  3. Berikan service read akses ke layanan messaging project layanan Google Cloud kepada Member IAM Service Directory.
  4. Jika menggunakan Kontrol Layanan VPC, perimeter Kontrol Layanan VPC memungkinkan Direktori Layanan terhubung ke project layanan Google Cloud dan project Directory Service.

Konfigurasikan project layanan Google Cloud

  1. Aktifkan API untuk layanan messaging yang Anda gunakan.
  2. Konfigurasikan layanan pesan PUSH menggunakan layanan Direktori Layanan dari project Service Directory.
  3. Jika menggunakan Kontrol Layanan VPC, perimeter Kontrol Layanan VPC memungkinkan Direktori Layanan terhubung ke project jaringan dan project Service Directory.

Langkah berikutnya