Mengonfigurasi Kontrol Layanan VPC dan cluster pribadi

Halaman ini menjelaskan cara kerja Kontrol Layanan VPC dan cluster pribadi serta cara menyiapkannya di Cloud Workstations.

Kontrol Layanan VPC

Kontrol Layanan VPC memberikan keamanan tambahan untuk workstation Anda guna membantu mengurangi risiko pemindahan data yang tidak sah. Dengan Kontrol Layanan VPC, Anda dapat menambahkan project ke perimeter layanan yang dapat membantu melindungi resource dan layanan dari permintaan yang berasal dari luar perimeter.

Berikut adalah persyaratan untuk menggunakan Cloud Workstation di perimeter layanan VPC:

• Untuk membantu melindungi Cloud Workstations, Anda harus membatasi Compute Engine API di perimeter layanan setiap kali Anda membatasi Cloud Workstations API.

• Pastikan Google Cloud Storage API, Google Container Registry API, dan Artifact Registry API dapat diakses VPC di perimeter layanan Anda. Tindakan ini diperlukan untuk mengambil gambar ke workstation Anda. Sebaiknya izinkan Cloud Logging API dan Cloud Error Reporting API dapat diakses VPC di perimeter layanan Anda, meskipun hal ini tidak diperlukan untuk menggunakan Cloud Workstation.

• Pastikan cluster workstation Anda pribadi. Mengonfigurasi cluster pribadi akan mencegah koneksi ke workstation Anda dari luar perimeter layanan VPC. Layanan Cloud Workstations mencegah pembuatan cluster publik di perimeter layanan VPC.
• Pastikan Anda menonaktifkan alamat IP publik dalam konfigurasi workstation. Jika tidak melakukannya, VM akan memiliki alamat IP publik di project Anda. Sebaiknya gunakan batasan kebijakan organisasi constraints/compute.vmExternalIpAccess untuk menonaktifkan alamat IP publik bagi semua VM di perimeter layanan VPC Anda. Untuk mengetahui detailnya, lihat Membatasi alamat IP eksternal ke VM tertentu.

Untuk mempelajari perimeter layanan lebih lanjut, lihat Detail dan konfigurasi perimeter layanan.

Arsitektur

Saat Anda mengonfigurasi cluster workstation sebagai pribadi, bidang kontrol cluster workstation hanya memiliki alamat IP internal. Artinya, klien dari internet publik tidak dapat terhubung ke workstation yang termasuk dalam cluster workstation. Untuk menggunakan cluster pribadi, Anda harus menghubungkan cluster pribadi secara manual ke jaringan Virtual Private Cloud (VPC) melalui endpoint Private Service Connect.

Konfigurasi dengan cluster pribadi memerlukan dua endpoint PSC:

• Secara default, Cloud Workstations membuat endpoint PSC terpisah untuk menghubungkan bidang kontrol ke VM workstation.

• Anda harus membuat endpoint PSC tambahan untuk cluster pribadi. Untuk terhubung dari mesin lokal ke workstation di cluster pribadi, mesin lokal Anda harus terhubung ke jaringan VPC. Gunakan Cloud VPN atau Cloud Interconnect untuk menghubungkan jaringan eksternal tempat Anda menjalankan mesin ke jaringan VPC. Endpoint PSC tambahan ini harus dibuat di jaringan yang sama dengan jaringan eksternal Anda yang terhubung dengan Cloud VPN atau Cloud Interconnect.

Diagram berikut mengilustrasikan contoh arsitektur cluster pribadi:

Sebelum memulai

Sebelum memulai, pastikan Anda menyelesaikan langkah-langkah penyiapan yang diperlukan berikut:

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

5. Make sure that billing is enabled for your Google Cloud project.

6. Enable the Cloud Workstations API.

   Enable the API

7. Pastikan Anda memiliki peran IAM Admin Cloud Workstations di project agar dapat membuat konfigurasi workstation. Untuk memeriksa peran IAM Anda di konsol Google Cloud, buka halaman IAM:

   Buka IAM

8. Cloud Workstation dihosting di VM yang di-booting dari image Container-Optimized OS (COS) publik yang telah dikonfigurasi sebelumnya di Compute Engine. Jika batasan kebijakan organisasi constraints/compute.trustedimageProjects diterapkan, Anda harus menetapkan batasan akses image untuk mengizinkan pengguna membuat disk booting dari projects/cos-cloud atau semua image publik.
9. Opsional: Aktifkan Container File System API untuk memungkinkan pengaktifan workstation yang lebih cepat.

   Mengaktifkan Container File System API

   Untuk mengetahui informasi selengkapnya, lihat Mengurangi waktu startup workstation dengan Streaming image.

Membuat cluster pribadi

Ikuti langkah-langkah berikut untuk membuat cluster pribadi:

1. Di konsol Google Cloud, buka halaman Cloud Workstations.

   Buka Cloud Workstations

2. Buka halaman Cluster management workstation.

3. Klik Create.

4. Masukkan Name dan pilih Region untuk cluster workstation Anda.

5. Di bagian Networking, pilih Networks in this project.

6. Pilih Network dan Subnetwork.

7. Untuk Jenis gateway, pilih Private gateway.

8. Opsional: Tentukan satu atau beberapa project tambahan yang menghosting endpoint Private Service Connect yang mengaktifkan akses HTTP ke cluster pribadi Anda. Secara default, endpoint ini hanya dapat dibuat di project cluster workstation dan project host jaringan VPC (jika berbeda). Jika diperlukan, project ini juga dapat ditentukan setelah pembuatan cluster.

9. Klik Create. Saat cluster sedang dibuat, statusnya akan muncul sebagai Memperbarui.

   Pembuatan cluster memerlukan waktu beberapa menit. Setelah pembuatan cluster selesai, status cluster mungkin muncul sebagai Degraded. Setelah Anda menyelesaikan langkah-langkah di bagian Membuat endpoint PSC, status cluster akan berubah menjadi Siap dalam beberapa menit.

Mengaktifkan konektivitas cluster pribadi

Klien tidak dapat terhubung ke workstation di cluster workstation pribadi dari internet publik. Klien harus berada di jaringan yang terhubung ke cluster workstation menggunakan Private Service Connect (PSC). Ikuti langkah-langkah di bagian ini untuk terhubung ke workstation:

1. Buat endpoint PSC yang menargetkan lampiran layanan workstation Anda.

2. Buat zona DNS pribadi.

3. Gunakan Cloud DNS untuk membuat data DNS yang memetakan nama host cluster Anda ke endpoint PSC.

Membuat endpoint Private Service Connect

Ikuti langkah-langkah berikut untuk membuat endpoint PSC:

1. Di konsol Google Cloud, buka Private Service Connect.

   Buka Private Service Connect

2. Klik tab Connected endpoints, lalu klik addConnect endpoint.

3. Untuk Target, pilih Published service.

4. Di kolom Target service, masukkan URI lampiran layanan yang dibuat untuk cluster workstation. Temukan ini dengan membuka cluster workstation di konsol dan mencari kolom Service attachment URI di bagian Network settings.

5. Di kolom Endpoint, masukkan nama endpoint.

6. Pilih Network untuk endpoint, lalu pilih Subnetwork. Jaringan ini harus berupa jaringan yang ingin Anda gunakan untuk terhubung ke workstation, dan harus berupa jaringan yang sama dengan jaringan eksternal Anda yang terhubung dengan Cloud VPN atau Cloud Interconnect.

7. Pilih IP address untuk endpoint.

   Jika Anda memerlukan alamat IP baru, pilih Create IP address:

   1. Masukkan Name dan Description opsional untuk alamat IP.
   2. Untuk Static IP address, pilih Assign automatically. Untuk Custom IP address, pilih Let me choose dan masukkan alamat IP yang ingin Anda gunakan.
   3. Untuk Tujuan, pilih Non-shared.
   4. Klik Reserve.

8. Pilih Namespace dari menu drop-down atau buat namespace baru. Region diisi berdasarkan subnetwork yang dipilih.

9. Klik Add endpoint.

10. Salin alamat IP endpoint agar Anda dapat menggunakannya di bagian berikutnya untuk Membuat zona DNS pribadi dan data DNS.

Membuat zona DNS pribadi

Ikuti langkah-langkah berikut untuk membuat zona DNS pribadi untuk cluster workstation ini dengan Nama DNS yang ditetapkan ke clusterHostname, yang dapat Anda temukan dengan membuka cluster workstation di konsol.

1. Di konsol Google Cloud, buka halaman Create a DNS zone.

   Buka Membuat zona DNS

2. Untuk Jenis zona, pilih Pribadi.

3. Masukkan Nama zona seperti private-workstations-cluster-zone.

4. Masukkan akhiran nama DNS untuk zona pribadi. Semua data dalam zona membagikan akhiran ini. Tetapkan nama ini ke clusterHostname Anda.

   Untuk menemukan clusterHostname, buka halaman Cloud Workstations  > Cluster management di konsol Google Cloud, lalu klik cluster workstation untuk melihat nama host.

5. Opsional: Tambahkan deskripsi.

6. Di bagian Options, pilih Default (private).

7. Pilih jaringan tempat Anda membuat endpoint PSC di bagian sebelumnya karena alamat IP hanya valid di jaringan tersebut.

8. Klik Create.

Untuk informasi selengkapnya tentang zona DNS pribadi, lihat dokumentasi Cloud DNS tentang cara Membuat zona pribadi dan Praktik terbaik untuk zona pribadi Cloud DNS.

Membuat data DNS

Untuk menambahkan data yang memetakan *.<clusterHostname> ke alamat IP yang dicadangkan saat Anda membuat endpoint Private Service Connect, ikuti langkah-langkah berikut:

1. Di Konsol Google Cloud, buka halaman Cloud DNS zones.

   Buka Cloud DNS zones

2. Klik nama zona terkelola tempat Anda ingin menambahkan data.

3. Di halaman Zone details, klik Add Standard.

4. Di halaman Create record set, di kolom DNS name, masukkan *.<clusterHostname>.

5. Di kolom IP Address, masukkan alamat IP yang Anda cadangkan untuk endpoint Private Service Connect di bagian sebelumnya.

6. Klik Create.

7. Jaringan VPC Anda kini akan terhubung ke cluster workstation dan Anda dapat terhubung ke workstation menggunakan jaringan ini.

Mengaktifkan resolusi DNS di lokal

Untuk menggunakan editor berbasis browser default di workstation, gunakan browser dari komputer yang terhubung ke jaringan VPC. Anda dapat menggunakan Cloud VPN atau Cloud Interconnect untuk terhubung dari jaringan eksternal tempat Anda menjalankan browser ke jaringan VPC.

Untuk terhubung dari jaringan eksternal, Anda perlu mengonfigurasi DNS di jaringan eksternal. Serupa dengan langkah-langkah sebelumnya, Anda dapat membuat zona DNS untuk clusterHostname dan menambahkan data yang memetakan *.<clusterHostname> ke alamat IP yang dicadangkan saat Anda membuat endpoint Private Service Connect. Atau, Anda dapat menyiapkan zona penerusan DNS atau kebijakan server DNS untuk mengizinkan pencarian nama DNS antara lingkungan lokal dan Google Cloud.

Anda mungkin juga perlu menambahkan *cloudworkstations.dev ke daftar yang diizinkan infrastruktur lokal.

Langkah selanjutnya

• Menyiapkan akses VPC Bersama
• Memecahkan masalah VPC umum