Mencabut Akses VPC Bersama

Halaman ini menjelaskan cara mencabut akses konfigurasi VPC Bersama yang ada, memutuskan hubungan semua project layanan dari project host VPC Bersama. Pencabutan akses adalah proses satu arah. Pastikan Anda telah memahami halaman VPC Bersama dan Menyediakan VPC Bersama terlebih dahulu.

Tugas Admin Project Layanan

Dalam setiap project layanan yang dikaitkan dengan project host VPC Bersama, Admin Project Layanan harus menghapus semua dependensi pada project host. Dependensi dapat mencakup instance, grup instance, template instance, layanan backend, dan aturan penerusan.

Menentukan resource yang terpengaruh

Untuk mengidentifikasi resource yang bergantung pada project host VPC Bersama, Admin Project Layanan dapat mencantumkan subnet bersamanya. Saat project layanan dilepaskan dari project host, subnet ini tidak akan tersedia lagi untuk project tersebut. Dengan demikian, setiap resource yang bergantung pada project tersebut akan terpengaruh.

Menghapus resource

Setelah Admin Project Layanan mengidentifikasi resource yang akan terpengaruh oleh proses pencabutan akses, resource tersebut harus dihapus:

Tugas Admin Load Balancer

Load Balancer Aplikasi Internal dan Load Balancer Aplikasi eksternal regional memungkinkan Anda mengonfigurasi load balancer sehingga peta URL di satu host atau project layanan dapat mereferensikan layanan backend (dan backend) yang terletak di beberapa project di Lingkungan VPC bersama.

Sebelum menghapus project layanan, pastikan bahwa referensi lintas project tersebut untuk layanan backend dalam project layanan Anda telah dihapus. Admin Load Balancer harus mengubah peta URL-nya untuk menghapus referensi ke layanan backend di project layanan Anda.

Tugas Admin VPC Bersama

Semua tugas di bagian ini harus dilakukan oleh Admin VPC Bersama.

Melepaskan project layanan

Ulangi langkah-langkah ini untuk setiap project layanan yang perlu Anda lepaskan dari project host VPC Bersama.

Konsol

Untuk melihat halaman VPC Bersama di Konsol Google Cloud, Anda harus memiliki peran Admin VPC Bersama.

  1. Buka halaman Shared VPC di Konsol Google Cloud.
    Buka Shared VPC
  2. Login sebagai Admin VPC Bersama.
  3. Pilih project host tempat Anda ingin menghapus project layanan.
  4. Klik tab Attached projects.
  5. Pilih project layanan yang ingin Anda lepaskan.
  6. Klik tombol Detach Projects.
  7. Tinjau informasi dalam dialog.
  8. Klik Detach.

gcloud

  1. Jika Anda belum melakukannya, lakukan autentikasi ke gcloud sebagai Admin VPC Bersama. Ganti SHARED_VPC_ADMIN dengan nama Admin VPC Bersama:

    gcloud auth login SHARED_VPC_ADMIN
    
  2. Lepaskan project layanan dari project host. Ganti SERVICE_PROJECT_ID dengan project ID untuk project layanan, dan HOST_PROJECT_ID dengan project ID untuk project host.

    gcloud compute shared-vpc associated-projects remove SERVICE_PROJECT_ID
        --host-project HOST_PROJECT_ID
    
  3. Konfirmasi bahwa project layanan telah dilepas menggunakan salah satu perintah berikut:

    gcloud compute shared-vpc get-host-project SERVICE_PROJECT_ID
    
    gcloud compute shared-vpc list-associated-resources HOST_PROJECT_ID
    
  4. Jika Anda hanya perlu melepaskan project layanan, logout dari gcloud untuk melindungi kredensial akun Admin VPC Bersama. Jika tidak, lewati langkah ini dan lanjutkan dengan menonaktifkan project host.

    gcloud auth revoke SHARED_VPC_ADMIN
    

API

  1. Lepaskan project layanan.

    POST https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/disableXpnResource
    {
      "xpnResource": {
        "id": "SERVICE_PROJECT_ID"
      }
    }
    

    Ganti placeholder dengan nilai yang valid:

    • HOST_PROJECT_ID adalah ID project host.
    • SERVICE_PROJECT_ID adalah ID project layanan yang akan dilepas.

    Untuk mengetahui informasi selengkapnya, lihat metode projects.disableXpnResource.

  2. Konfirmasi bahwa project layanan telah dilepas.

    • Pastikan project layanan tidak dikaitkan dengan project host mana pun.

      GET https://compute.googleapis.com/compute/v1/projects/SERVICE_PROJECT_ID/getXpnHost
      

      Ganti SERVICE_PROJECT_ID dengan ID project layanan.

      Untuk mengetahui informasi selengkapnya, lihat metode projects.getXpnHost.

    • Buat daftar project layanan yang dikaitkan dengan project host VPC Bersama untuk mengonfirmasi bahwa project tersebut tidak lagi tercantum.

      GET https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/getXpnResources
      

      Ganti HOST_PROJECT_ID dengan ID project host.

      Untuk mengetahui informasi selengkapnya, lihat metode projects.getXpnResources.

Menonaktifkan project host

Penonaktifan VPC Bersama untuk project host hanya dapat dilakukan setelah semua project layanan dilepaskan. Jika dinonaktifkan, lien yang mencegahnya agar tidak mudah dihapus akan dihapus secara otomatis.

Konsol

Untuk melihat halaman VPC Bersama di Konsol Google Cloud, Anda harus memiliki peran Admin VPC Bersama.

  1. Buka halaman Shared VPC di Konsol Google Cloud.
    Buka Shared VPC
  2. Login sebagai Admin VPC Bersama.
  3. Pilih Project Host yang ingin dinonaktifkan.
  4. Klik tombol Disable Shared VPC.
  5. Dalam dialog, baca deskripsi dengan cermat.
  6. Masukkan ID project dari project host untuk Host project ID.
  7. Klik Disable.

gcloud

  1. Jika Anda belum melakukannya, lakukan autentikasi ke gcloud sebagai Admin VPC Bersama. Ganti SHARED_VPC_ADMIN dengan nama Admin VPC Bersama:

    gcloud auth login SHARED_VPC_ADMIN
    
  2. Nonaktifkan VPC Bersama untuk project host. Ganti HOST_PROJECT_ID dengan ID project host.

    gcloud compute shared-vpc disable HOST_PROJECT_ID
    
  3. Konfirmasi bahwa project tersebut tidak lagi tercantum sebagai project host untuk organisasi Anda. Ganti ORG_ID dengan ID organisasi Anda (ditentukan oleh gcloud organizations list).

    gcloud compute shared-vpc organizations list-host-projects ORG_ID
    
  4. Jika hanya perlu menonaktifkan project host, Anda dapat logout dari gcloud untuk melindungi kredensial akun Admin VPC Bersama. Jika tidak, lewati langkah ini dan lanjutkan dengan menghapus project.

    gcloud auth revoke SHARED_VPC_ADMIN
    

API

  1. Nonaktifkan VPC Bersama untuk project.

    POST https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/disableXpnHost
    

    Ganti HOST_PROJECT_ID dengan ID project host.

    Untuk mengetahui informasi selengkapnya, lihat metode projects.disableXpnHost.

  2. Cantumkan project host Anda untuk mengonfirmasi bahwa project tersebut tidak tercantum.

    POST https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/listXpnHosts
    

    Ganti HOST_PROJECT_ID dengan ID project host.

    Untuk mengetahui informasi selengkapnya, lihat metode projects.listXpnHosts.

Menghapus project

Bagian ini membahas penghapusan project yang tidak digunakan lagi. Misalnya, Anda mungkin memiliki project layanan yang harus dihapus setelah dilepaskan dari project host, atau Anda mungkin tidak lagi memerlukan project host setelah dinonaktifkan.

Menghapus project host

Anda dapat memilih untuk membiarkannya seperti project biasa atau mematikannya. Mematikan project berarti menghapus project.

Akun utama IAM dapat menghapus project host jika akun utama memiliki peran resourcemanager.projectDeleter untuk organisasi Anda atau jika akun utama adalah pemilik project host. Admin VPC Bersama mungkin dapat menghapus project host jika mereka memiliki peran atau kepemilikan yang benar.

Menghapus project layanan

Anda dapat memilih untuk mematikan setiap project layanan jika tidak lagi membutuhkannya. Sebelum melakukannya, pastikan project layanan telah dilepaskan dari project host.

Akun utama IAM dapat menghapus project layanan jika akun utama memiliki peran resourcemanager.projectDeleter untuk organisasi Anda atau jika akun utama adalah pemilik project layanan. Admin Project Layanan mungkin dapat menghapus project layanan jika mereka memiliki peran atau kepemilikan yang benar.

Menghapus project host secara paksa

Saat VPC Bersama aktif untuk project host, lien ditempatkan pada project untuk mencegahnya dihapus secara tidak sengaja. Karena lien ini dapat dihapus oleh pemilik project, pedoman untuk penyediaan VPC Bersama mencakup langkah-langkah untuk menentukan kebijakan organisasi yang membatasi akun utama IAM yang memiliki kemampuan untuk menghapus lien proyek.

Biasanya, project host harus dihapus setelah tugas-tugas berikut selesai dalam urutan ini:

Saat VPC Bersama dinonaktifkan, lien yang melindungi project host akan dihapus secara otomatis.

Bagian ini menjelaskan cara mematikan project host secara paksa. Opsi ini sebaiknya hanya dipertimbangkan dalam situasi berikut:

  • Anda tidak dapat mengikuti langkah-langkah umum untuk melepaskan project layanan dan menonaktifkan VPC Bersama.
  • Ada lien tambahan yang melindungi project host di luar yang ditambahkan secara otomatis.

Jika Anda mematikan project host secara paksa dan memiliki resource dalam project layanan yang menggunakan jaringan VPC Bersama, peristiwa berikut akan terjadi:

  • Semua jaringan VPC Bersama, subnet, rute, aturan firewall, dan semua resource jaringan di project host akan dihapus.
  • Resource, seperti menjalankan instance dalam project layanan yang dikaitkan dengan project host, akan dihentikan.
  • Load balancer TCP/UDP internal dinonaktifkan jika aturan penerusannya bergantung pada jaringan VPC Bersama.

gcloud

  1. Lakukan autentikasi ke gcloud sebagai akun utama IAM yang dapat menghapus lien project. Jika memiliki kebijakan organisasi yang membatasi akun utama yang dapat menghapus lien, Anda harus melakukan autentikasi sebagai akun utama IAM dengan peran resourcemanager.lienModifier untuk organisasi Anda. Jika kebijakan tersebut tidak diterapkan, pemilik project untuk project host dapat menghapus lien.

    Ganti ACCOUNT dengan nama akun utama IAM yang sesuai:

    gcloud auth login ACCOUNT
    
  2. Cantumkan lien yang terkait dengan project host. Ganti HOST_PROJECT_ID dengan ID project host.

    gcloud alpha resource-manager liens list \
    --project HOST_PROJECT_ID
    
  3. Hapus setiap lien menurut nama, satu per satu, hingga tidak ada lagi lien. Ganti LIEN_NAME dengan nama lien yang akan dihapus.

    gcloud alpha resource-manager liens delete LIEN_NAME \
    --project HOST_PROJECT_ID
    
  4. Pastikan bahwa semua lien telah dihapus.

    gcloud alpha resource-manager liens list \
    --project HOST_PROJECT_ID
    
  5. Setelah menghapus lien, Anda dapat logout dari gcloud untuk melindungi akun utama IAM yang memiliki izin untuk menghapus lien.

    gcloud auth revoke ACCOUNT
    
  6. Project host kini dapat dimatikan.

API

  1. Cantumkan lien yang terkait dengan project host.

    GET https://cloudresourcemanager.googleapis.com/v1/liens?parent=projects:HOST_PROJECT_ID
    

    Ganti HOST_PROJECT_ID dengan ID project host.

    Untuk mengetahui informasi selengkapnya, lihat metode liens.list.

  2. Hapus setiap lien menurut namanya hingga tidak ada lagi lien.

    DELETE https://cloudresourcemanager.googleapis.com/v1/liens/LIEN_NAME
    

    Ganti LIEN_NAME dengan nama lien yang akan dihapus.

    Untuk mengetahui informasi selengkapnya, lihat metode liens.delete.

  3. Cantumkan lien lagi untuk mengonfirmasi bahwa lien telah dihapus.

Langkah berikutnya