Halaman ini diterjemahkan oleh Cloud Translation API.

Melindungi Compute Engine menggunakan perimeter Kontrol Layanan VPC

Tutorial ini menunjukkan cara melindungi Compute Engine menggunakan perimeter layanan dan memecahkan masalah pelanggaran ingress untuk mengizinkan akses yang diotorisasi ke Compute Engine.

Kontrol Layanan VPC memungkinkan Anda menentukan perimeter layanan di sekitar resource layanan yang dikelola Google untuk mengontrol komunikasi ke dan di antara layanan tersebut. Anda dapat membuat perimeter zero-trust di sekitar resource sensitif, yang membatasi akses ke alamat IP, pengguna, dan perangkat yang diotorisasi. Kemampuan ini memungkinkan Anda menentukan kebijakan keamanan yang mencegah akses ke layanan yang dikelola Google di luar perimeter tepercaya, memblokir akses ke data dari lokasi yang tidak tepercaya, dan memitigasi risiko pemindahan data yang tidak sah.

Tutorial ini ditujukan untuk Google Cloud administrator organisasi yang ingin mempelajari konsep dasar Kontrol Layanan VPC.

Tujuan

Memahami dasar-dasar Kontrol Layanan VPC.
Membuat perimeter layanan.
Melindungi project menggunakan Kontrol Layanan VPC.
Memecahkan masalah pelanggaran ingress Kontrol Layanan VPC.

Biaya

Dalam dokumen ini, Anda akan menggunakan komponen Google Cloudyang dapat ditagih berikut:

Compute Engine VM instance

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga. Pengguna Google Cloud baru mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

Anda harus memiliki Google Cloud resource organisasi. Jika belum memiliki akun Google Workspace atau Cloud Identity, Anda harus mendapatkannya, yang akan otomatis membuat resource organisasi untuk Anda.
Buat folder, Exercise, di tingkat organisasi.
Buat dua project, My-Project-1 dan My-Project-2, di folder Exercise dalam organisasi yang sama.
- Make sure that billing is enabled for your Google Cloud project.
Pastikan Anda memiliki izin dan peran berikut di tingkat organisasi:
- Izin dan peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC.
- Izin dan peran yang diperlukan untuk mengelola Compute Engine.

Membuat perimeter layanan

Buat perimeter layanan yang melindungi Compute Engine API di project My-Project-2:

Di konsol Google Cloud, buka halaman Kontrol Layanan VPC.

Buka Kontrol Layanan VPC

Pastikan Anda berada dalam cakupan organisasi.
Klik Kelola kebijakan.
Buat kebijakan akses baru yang dicakupkan ke folder Exercise.
Buat perimeter baru dengan detail berikut:
- Judul: MyFirstPerimeter
- Jenis perimeter: Reguler
- Mode penerapan: Diterapkan
- Resource yang akan dilindungi: project My-Project-2
- Layanan yang dibatasi: Compute Engine API

Memverifikasi perimeter

Di bagian ini, Anda dapat membuat permintaan akses ke resource dalam project untuk mengonfirmasi apakah perimeter melindungi resource yang dimaksud.

Akses project My-Project-1 dan pastikan Anda dapat mengakses Compute Engine dengan membuka halaman Instance VM.

Buka instance VM

Anda seharusnya dapat mengakses karena My-Project-1 tidak dilindungi oleh perimeter yang Anda buat sebelumnya.
Akses project My-Project-2 dan pastikan Anda dapat mengakses Compute Engine dengan membuka halaman Instance VM.

Anda akan melihat bahwa Kontrol Layanan VPC menolak permintaan Anda untuk mengakses Compute Engine karena perimeter MyFirstPerimeter melindungi My-Project-2 dan Compute Engine API.

Memecahkan masalah pelanggaran

Log audit Kontrol Layanan VPC menyertakan detail tentang permintaan ke resource yang dilindungi dan alasan Kontrol Layanan VPC menolak permintaan tersebut. Anda memerlukan informasi ini untuk mengidentifikasi dan memecahkan masalah pelanggaran dalam project My-Project-2.

Lihat log audit

Temukan ID unik pelanggaran Kontrol Layanan VPC di log audit project My-Project-2:
1. Di konsol Google Cloud, buka halaman Logs Explorer:
  Buka Logs Explorer
  
  Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.
2. Pilih project My-Project-2.
3. Untuk menampilkan semua log audit, masukkan kueri berikut ke kolom editor kueri:
```
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
```
4. Klik Run query.
Kueri ini menampilkan semua log audit Kontrol Layanan VPC. Untuk menemukan detail pelanggaran akses Compute Engine API di project My-Project-2, periksa log error terakhir.

Catatan: Untuk memfilter log secara lebih terperinci, Anda dapat menggunakan contoh kueri ini dan menambahkan ID unik Kontrol Layanan VPC yang Anda terima saat memverifikasi perimeter.

Untuk mengetahui informasi selengkapnya, lihat Melihat log.
Di panel Hasil kueri, klik Kontrol Layanan VPC di samping penolakan yang ingin Anda pecahkan masalahnya, lalu klik Pecahkan masalah penolakan.

Halaman Pemecah masalah Kontrol Layanan VPC akan terbuka. Halaman ini menampilkan alasan pelanggaran dan informasi lainnya seperti apakah pelanggaran tersebut merupakan pelanggaran masuk atau keluar.

Dalam tutorial ini, cari informasi berikut:
```
"principalEmail": "USER@DOMAIN"
"callerIp": "PUBLIC_IP_ADDRESS"
"serviceName": "compute.googleapis.com"
"servicePerimeterName":
"accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter
"ingressViolations": [
        {
"targetResource": "projects/PROJECT_NUMBER",
"servicePerimeter": "accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter"
        }
      ],
"violationReason": "NO_MATCHING_ACCESS_LEVEL",
"resourceNames": "PROJECT_ID"
```
Alasan pelanggarannya adalah "NO_MATCHING_ACCESS_LEVEL". Pelanggaran "NO_MATCHING_ACCESS_LEVEL" terjadi jika alamat IP, jenis perangkat, atau identitas pengguna tidak cocok dengan aturan masuk atau tingkat akses yang terkait dengan perimeter. Jika alamat IP pemanggil tidak ada atau muncul sebagai alamat IP internal dalam log, pelanggaran ini dapat disebabkan oleh layanan Google Cloud yang tidak didukung oleh Kontrol Layanan VPC.

Untuk memperbaiki penolakan ini di project My-Project-2, Anda memiliki dua opsi:

Buat tingkat akses yang mengizinkan akses ke alamat IP sistem Anda ke project di dalam perimeter.
Buat aturan masuk yang mengizinkan akses ke klien API dari luar perimeter ke resource dalam perimeter.

Bagian berikut mengilustrasikan cara memecahkan masalah penolakan ini dengan membuat tingkat akses.

Membuat tingkat akses

Di konsol Google Cloud, buka halaman Access Context Manager di cakupan folder Exercise.

Buka Access Context Manager
Buat tingkat akses dengan detail berikut:
- Untuk Create conditions in, pilih Basic mode.
- Untuk Jika kondisi terpenuhi, tampilkan, pilih Benar.
- Pilih atribut Subnetwork IP, tentukan alamat IP publik sistem Anda.
- Pilih atribut Lokasi geografis, tentukan lokasi geografis Anda.
Tingkat akses ini hanya mengizinkan akses jika alamat IP dan lokasi geografis cocok.
Buka halaman VPC Service Controls di cakupan organisasi.

Buka Kontrol Layanan VPC
Pilih kebijakan akses yang Anda buat sebelumnya dalam tutorial ini.
Tambahkan tingkat akses yang Anda buat di cakupan folder Exercise ke perimeter MyFirstPerimeter.

Menguji akses

Setelah menambahkan tingkat akses, pastikan Anda dapat mengakses Compute Engine di project My-Project-2 dan membuat instance VM.

Di konsol Google Cloud, buka halaman Instance VM.

Buka instance VM
Buat instance VM.

Catatan: Pertahankan nilai default di kolom dan buat instance VM dengan biaya rendah.

Setelah sekitar satu menit, Compute Engine akan membuat instance VM dan tindakan ini akan memverifikasi bahwa Anda memiliki akses penuh ke Compute Engine yang dilindungi di dalam perimeter.

Pembersihan

Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

Menghapus project

Perhatian: Menghapus project memiliki efek berikut:

Semua hal dalam project akan dihapus. Jika menggunakan project yang sudah ada untuk tugas dalam dokumen ini, saat Anda menghapusnya, pekerjaan lain yang telah Anda lakukan dalam project tersebut juga akan terhapus.
Project ID kustom hilang. Saat membuat project ini, Anda mungkin telah membuat project ID kustom yang ingin digunakan di masa mendatang. Untuk mempertahankan URL yang menggunakan project ID, seperti URL appspot.com, hapus resource yang dipilih di dalam project, bukan menghapus seluruh project.

Jika Anda berencana mempelajari beberapa arsitektur, tutorial atau panduan memulai, dengan menggunakan kembali project dapat membantu Anda agar tidak melampaui batas kuota project.

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Menghapus resource satu per satu

Menghapus instance VM

In the Google Cloud console, go to the VM instances page.
Go to VM instances
Select the checkbox for the instance that you want to delete.
To delete the instance, click More actions, click Delete, and then follow the instructions.

Menghapus resource Kontrol Layanan VPC

Hapus perimeter layanan.
Hapus tingkat akses yang Anda buat di cakupan folder Exercise.

Langkah berikutnya

Mendiagnosis masalah menggunakan pemecah masalah Kontrol Layanan VPC