Mencabut Akses VPC Bersama
Halaman ini menjelaskan cara mencabut akses konfigurasi VPC Bersama yang ada, memutuskan hubungan semua project layanan dari project host VPC Bersama. Pencabutan akses adalah proses satu arah. Pastikan Anda telah memahami halaman VPC Bersama dan Menyediakan VPC Bersama terlebih dahulu.
Tugas Admin Project Layanan
Dalam setiap project layanan yang dikaitkan dengan project host VPC Bersama, Admin Project Layanan harus menghapus semua dependensi pada project host. Dependensi dapat mencakup instance, grup instance, template instance, layanan backend, dan aturan penerusan.
Menentukan resource yang terpengaruh
Untuk mengidentifikasi resource yang bergantung pada project host VPC Bersama, Admin Project Layanan dapat mencantumkan subnet bersamanya. Saat project layanan dilepaskan dari project host, subnet ini tidak akan tersedia lagi untuk project tersebut. Dengan demikian, setiap resource yang bergantung pada project tersebut akan terpengaruh.
Menghapus resource
Setelah Admin Project Layanan mengidentifikasi resource yang akan terpengaruh oleh proses pencabutan akses, resource tersebut harus dihapus:
Hapus instance yang menggunakan subnet di project host.
Hapus grup instance terkelola dan grup instance tidak terkelola yang menggunakan subnet di project host.
Hapus template instance yang definisinya bergantung pada project host.
Hapus aturan penerusan internal untuk load balancer TCP/UDP internal yang mereferensikan subnet di jaringan VPC Bersama dari project host.
Hapus alamat IP internal statis yang digunakan oleh antarmuka jaringan dari VM di jaringan lain.
Untuk melakukannya, Anda harus mendapatkan daftar alamat yang dicadangkan terlebih dahulu, lalu hapus daftar tersebut.
Tugas Admin Load Balancer
Load Balancer Aplikasi Internal dan Load Balancer Aplikasi eksternal regional memungkinkan Anda mengonfigurasi load balancer sehingga peta URL di satu host atau project layanan dapat mereferensikan layanan backend (dan backend) yang terletak di beberapa project di Lingkungan VPC bersama.
Sebelum menghapus project layanan, pastikan bahwa referensi lintas project tersebut untuk layanan backend dalam project layanan Anda telah dihapus. Admin Load Balancer harus mengubah peta URL-nya untuk menghapus referensi ke layanan backend di project layanan Anda.
Tugas Admin VPC Bersama
Semua tugas di bagian ini harus dilakukan oleh Admin VPC Bersama.
Melepaskan project layanan
Ulangi langkah-langkah ini untuk setiap project layanan yang perlu Anda lepaskan dari project host VPC Bersama.
Konsol
Untuk melihat halaman VPC Bersama di Konsol Google Cloud, Anda harus memiliki peran Admin VPC Bersama.
- Buka halaman Shared VPC di Konsol Google Cloud.
Buka Shared VPC - Login sebagai Admin VPC Bersama.
- Pilih project host tempat Anda ingin menghapus project layanan.
- Klik tab Attached projects.
- Pilih project layanan yang ingin Anda lepaskan.
- Klik tombol Detach Projects.
- Tinjau informasi dalam dialog.
- Klik Detach.
gcloud
Jika Anda belum melakukannya, lakukan autentikasi ke
gcloud
sebagai Admin VPC Bersama. Ganti SHARED_VPC_ADMIN dengan nama Admin VPC Bersama:gcloud auth login SHARED_VPC_ADMIN
Lepaskan project layanan dari project host. Ganti SERVICE_PROJECT_ID dengan project ID untuk project layanan, dan HOST_PROJECT_ID dengan project ID untuk project host.
gcloud compute shared-vpc associated-projects remove SERVICE_PROJECT_ID --host-project HOST_PROJECT_ID
Konfirmasi bahwa project layanan telah dilepas menggunakan salah satu perintah berikut:
gcloud compute shared-vpc get-host-project SERVICE_PROJECT_ID
gcloud compute shared-vpc list-associated-resources HOST_PROJECT_ID
Jika Anda hanya perlu melepaskan project layanan, logout dari
gcloud
untuk melindungi kredensial akun Admin VPC Bersama. Jika tidak, lewati langkah ini dan lanjutkan dengan menonaktifkan project host.gcloud auth revoke SHARED_VPC_ADMIN
API
Lepaskan project layanan.
POST https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/disableXpnResource { "xpnResource": { "id": "SERVICE_PROJECT_ID" } }
Ganti placeholder dengan nilai yang valid:
- HOST_PROJECT_ID adalah ID project host.
- SERVICE_PROJECT_ID adalah ID project layanan yang akan dilepas.
Untuk mengetahui informasi selengkapnya, lihat metode
projects.disableXpnResource
.Konfirmasi bahwa project layanan telah dilepas.
Pastikan project layanan tidak dikaitkan dengan project host mana pun.
GET https://compute.googleapis.com/compute/v1/projects/SERVICE_PROJECT_ID/getXpnHost
Ganti SERVICE_PROJECT_ID dengan ID project layanan.
Untuk mengetahui informasi selengkapnya, lihat metode
projects.getXpnHost
.Buat daftar project layanan yang dikaitkan dengan project host VPC Bersama untuk mengonfirmasi bahwa project tersebut tidak lagi tercantum.
GET https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/getXpnResources
Ganti HOST_PROJECT_ID dengan ID project host.
Untuk mengetahui informasi selengkapnya, lihat metode
projects.getXpnResources
.
Menonaktifkan project host
Penonaktifan VPC Bersama untuk project host hanya dapat dilakukan setelah semua project layanan dilepaskan. Jika dinonaktifkan, lien yang mencegahnya agar tidak mudah dihapus akan dihapus secara otomatis.
Konsol
Untuk melihat halaman VPC Bersama di Konsol Google Cloud, Anda harus memiliki peran Admin VPC Bersama.
- Buka halaman Shared VPC di Konsol Google Cloud.
Buka Shared VPC - Login sebagai Admin VPC Bersama.
- Pilih Project Host yang ingin dinonaktifkan.
- Klik tombol Disable Shared VPC.
- Dalam dialog, baca deskripsi dengan cermat.
- Masukkan ID project dari project host untuk Host project ID.
- Klik Disable.
gcloud
Jika Anda belum melakukannya, lakukan autentikasi ke
gcloud
sebagai Admin VPC Bersama. Ganti SHARED_VPC_ADMIN dengan nama Admin VPC Bersama:gcloud auth login SHARED_VPC_ADMIN
Nonaktifkan VPC Bersama untuk project host. Ganti HOST_PROJECT_ID dengan ID project host.
gcloud compute shared-vpc disable HOST_PROJECT_ID
Konfirmasi bahwa project tersebut tidak lagi tercantum sebagai project host untuk organisasi Anda. Ganti ORG_ID dengan ID organisasi Anda (ditentukan oleh
gcloud organizations list
).gcloud compute shared-vpc organizations list-host-projects ORG_ID
Jika hanya perlu menonaktifkan project host, Anda dapat logout dari
gcloud
untuk melindungi kredensial akun Admin VPC Bersama. Jika tidak, lewati langkah ini dan lanjutkan dengan menghapus project.gcloud auth revoke SHARED_VPC_ADMIN
API
Nonaktifkan VPC Bersama untuk project.
POST https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/disableXpnHost
Ganti HOST_PROJECT_ID dengan ID project host.
Untuk mengetahui informasi selengkapnya, lihat metode
projects.disableXpnHost
.Cantumkan project host Anda untuk mengonfirmasi bahwa project tersebut tidak tercantum.
POST https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/listXpnHosts
Ganti HOST_PROJECT_ID dengan ID project host.
Untuk mengetahui informasi selengkapnya, lihat metode
projects.listXpnHosts
.
Menghapus project
Bagian ini membahas penghapusan project yang tidak digunakan lagi. Misalnya, Anda mungkin memiliki project layanan yang harus dihapus setelah dilepaskan dari project host, atau Anda mungkin tidak lagi memerlukan project host setelah dinonaktifkan.
Menghapus project host
Anda dapat memilih untuk membiarkannya seperti project biasa atau mematikannya. Mematikan project berarti menghapus project.
Akun utama IAM dapat menghapus project host jika akun utama memiliki peran resourcemanager.projectDeleter
untuk organisasi Anda atau jika akun utama adalah pemilik project host.
Admin VPC Bersama mungkin dapat menghapus project host jika mereka memiliki peran atau kepemilikan yang benar.
Menghapus project layanan
Anda dapat memilih untuk mematikan setiap project layanan jika tidak lagi membutuhkannya. Sebelum melakukannya, pastikan project layanan telah dilepaskan dari project host.
Akun utama IAM dapat menghapus project layanan jika akun utama memiliki peran resourcemanager.projectDeleter
untuk organisasi Anda atau jika akun utama adalah pemilik project layanan. Admin Project Layanan mungkin dapat menghapus project layanan jika mereka memiliki peran atau kepemilikan yang benar.
Menghapus project host secara paksa
Saat VPC Bersama aktif untuk project host, lien ditempatkan pada project untuk mencegahnya dihapus secara tidak sengaja. Karena lien ini dapat dihapus oleh pemilik project, pedoman untuk penyediaan VPC Bersama mencakup langkah-langkah untuk menentukan kebijakan organisasi yang membatasi akun utama IAM yang memiliki kemampuan untuk menghapus lien proyek.
Biasanya, project host harus dihapus setelah tugas-tugas berikut selesai dalam urutan ini:
- Semua project layanan telah dilepaskan dari project host, dan
- VPC Bersama telah dinonaktifkan.
Saat VPC Bersama dinonaktifkan, lien yang melindungi project host akan dihapus secara otomatis.
Bagian ini menjelaskan cara mematikan project host secara paksa. Opsi ini sebaiknya hanya dipertimbangkan dalam situasi berikut:
- Anda tidak dapat mengikuti langkah-langkah umum untuk melepaskan project layanan dan menonaktifkan VPC Bersama.
- Ada lien tambahan yang melindungi project host di luar yang ditambahkan secara otomatis.
Jika Anda mematikan project host secara paksa dan memiliki resource dalam project layanan yang menggunakan jaringan VPC Bersama, peristiwa berikut akan terjadi:
- Semua jaringan VPC Bersama, subnet, rute, aturan firewall, dan semua resource jaringan di project host akan dihapus.
- Resource, seperti menjalankan instance dalam project layanan yang dikaitkan dengan project host, akan dihentikan.
- Load balancer TCP/UDP internal dinonaktifkan jika aturan penerusannya bergantung pada jaringan VPC Bersama.
gcloud
Lakukan autentikasi ke
gcloud
sebagai akun utama IAM yang dapat menghapus lien project. Jika memiliki kebijakan organisasi yang membatasi akun utama yang dapat menghapus lien, Anda harus melakukan autentikasi sebagai akun utama IAM dengan peranresourcemanager.lienModifier
untuk organisasi Anda. Jika kebijakan tersebut tidak diterapkan, pemilik project untuk project host dapat menghapus lien.Ganti ACCOUNT dengan nama akun utama IAM yang sesuai:
gcloud auth login ACCOUNT
Cantumkan lien yang terkait dengan project host. Ganti HOST_PROJECT_ID dengan ID project host.
gcloud alpha resource-manager liens list \ --project HOST_PROJECT_ID
Hapus setiap lien menurut nama, satu per satu, hingga tidak ada lagi lien. Ganti LIEN_NAME dengan nama lien yang akan dihapus.
gcloud alpha resource-manager liens delete LIEN_NAME \ --project HOST_PROJECT_ID
Pastikan bahwa semua lien telah dihapus.
gcloud alpha resource-manager liens list \ --project HOST_PROJECT_ID
Setelah menghapus lien, Anda dapat logout dari
gcloud
untuk melindungi akun utama IAM yang memiliki izin untuk menghapus lien.gcloud auth revoke ACCOUNT
Project host kini dapat dimatikan.
API
Cantumkan lien yang terkait dengan project host.
GET https://cloudresourcemanager.googleapis.com/v1/liens?parent=projects:HOST_PROJECT_ID
Ganti HOST_PROJECT_ID dengan ID project host.
Untuk mengetahui informasi selengkapnya, lihat metode
liens.list
.Hapus setiap lien menurut namanya hingga tidak ada lagi lien.
DELETE https://cloudresourcemanager.googleapis.com/v1/liens/LIEN_NAME
Ganti LIEN_NAME dengan nama lien yang akan dihapus.
Untuk mengetahui informasi selengkapnya, lihat metode
liens.delete
.Cantumkan lien lagi untuk mengonfirmasi bahwa lien telah dihapus.
Langkah berikutnya
- Untuk mengetahui informasi selengkapnya tentang VPC Bersama, lihat VPC Bersama.
- Untuk mendapatkan petunjuk tentang cara menyiapkan VPC Bersama, lihat Menyediakan VPC Bersama.
- Untuk mendapatkan petunjuk tentang cara menyiapkan cluster Google Kubernetes Engine dengan VPC Bersama, lihat Menyiapkan cluster dengan VPC Bersama.