Mengonfigurasi Kontrol Layanan VPC dan cluster pribadi

Halaman ini menjelaskan cara kerja Kontrol Layanan VPC dan cluster pribadi, serta cara menyiapkannya di Cloud Workstation.

Kontrol Layanan VPC

Kontrol Layanan VPC memberikan keamanan tambahan untuk workstation Anda guna membantu mengurangi risiko pemindahan data yang tidak sah. Dengan menggunakan Kontrol Layanan VPC, Anda dapat menambahkan project ke perimeter layanan yang dapat membantu melindungi resource dan layanan dari permintaan yang berasal dari luar perimeter.

Berikut adalah persyaratan untuk menggunakan Cloud Workstation di perimeter layanan VPC:

  • Untuk membantu melindungi Cloud Workstation, Anda harus membatasi Compute Engine API di perimeter layanan setiap kali Anda membatasi Cloud Workstation API.
  • Pastikan Google Cloud Storage API, Google Container Registry API, dan Artifact Registry API dapat diakses VPC di perimeter layanan Anda. Ini diperlukan untuk menarik image ke workstation Anda. Sebaiknya Anda juga mengizinkan Cloud Logging API dan Cloud Error Reporting API agar dapat diakses di perimeter layanan Anda, meskipun tidak diwajibkan untuk menggunakan Cloud Workstation.

  • Pastikan cluster workstation Anda disetel ke pribadi. Dengan mengonfigurasi cluster pribadi, koneksi ke workstation Anda akan dicegah dari luar perimeter layanan VPC Anda. Layanan Cloud Workstations mencegah pembuatan cluster publik di perimeter layanan VPC.
  • Pastikan Anda menonaktifkan alamat IP publik di konfigurasi workstation Anda. Jika hal ini tidak dilakukan, VM dengan alamat IP publik di project Anda akan muncul. Sebaiknya gunakan batasan kebijakan organisasi constraints/compute.vmExternalIpAccess untuk menonaktifkan alamat IP publik untuk semua VM di perimeter layanan VPC Anda. Untuk mengetahui detailnya, lihat Membatasi alamat IP eksternal ke VM tertentu.

Untuk mempelajari perimeter layanan lebih lanjut, lihat Detail dan konfigurasi perimeter layanan.

Arsitektur

Saat Anda mengonfigurasi cluster workstation sebagai pribadi, bidang kontrol cluster workstation hanya memiliki alamat IP internal. Artinya, klien dari internet publik tidak dapat terhubung ke workstation yang termasuk dalam cluster workstation. Untuk menggunakan cluster pribadi, Anda harus menghubungkan cluster pribadi tersebut ke jaringan Virtual Private Cloud (VPC) Anda secara manual melalui endpoint Private Service Connect.

Konfigurasi dengan cluster pribadi memerlukan dua endpoint PSC:

  • Secara default, Cloud Workstations membuat endpoint PSC terpisah untuk menghubungkan bidang kontrol ke VM workstation.

  • Anda harus membuat endpoint PSC tambahan untuk cluster pribadi. Untuk terhubung dari mesin lokal ke workstation di cluster pribadi, mesin lokal Anda harus terhubung ke jaringan VPC Anda. Gunakan Cloud VPN atau Cloud Interconnect untuk menghubungkan jaringan eksternal tempat Anda menjalankan mesin ke jaringan VPC.

Diagram berikut mengilustrasikan contoh arsitektur cluster pribadi:

Gambar 1. Cluster pribadi

Sebelum memulai

Sebelum memulai, pastikan Anda menyelesaikan langkah-langkah penyiapan yang diperlukan berikut:

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Aktifkan Cloud Workstations API.

    Mengaktifkan API

  7. Pastikan Anda memiliki peran IAM Cloud Workstations Admin di project agar Anda dapat membuat konfigurasi workstation. Untuk memeriksa peran IAM Anda di Konsol Google Cloud, buka halaman IAM:

    Buka IAM

  8. Jika batasan kebijakan organisasi constraints/compute.trustedimageProjects diterapkan, Anda harus menambahkan project tempat gambar berasal ke daftar yang diizinkan.
    • Tanpa virtualisasi bertingkat, Anda harus memberikan izin ke project untuk menggunakan image VM Compute Engine dari project cos-cloud.
    • Dengan virtualisasi bertingkat, Anda harus memberikan izin ke project untuk menggunakan image VM Compute Engine dari project ubuntu-os-gke-cloud.

    Untuk mengetahui informasi selengkapnya, lihat Menetapkan batasan akses image.

  9. Opsional: Aktifkan Container File System API untuk memungkinkan startup workstation yang lebih cepat.

    Mengaktifkan Container File System API

    Untuk mengetahui informasi selengkapnya, lihat Mengurangi waktu startup workstation dengan Streaming gambar.

Membuat cluster pribadi

Ikuti langkah-langkah berikut untuk membuat cluster pribadi:

  1. Di konsol Google Cloud, buka halaman Cloud Workstations.

    Buka Cloud Workstations

  2. Buka halaman Pengelolaan cluster di workstation.

  3. Klik Create.

  4. Masukkan Name dan pilih Region untuk cluster workstation Anda.

  5. Di bagian Jaringan, pilih Jaringan di project ini.

  6. Pilih Network dan Subnetwork.

  7. Untuk Jenis gateway, pilih Gateway pribadi.

  8. Opsional: Tentukan satu atau beberapa project tambahan yang menghosting endpoint Private Service Connect yang mengaktifkan akses HTTP ke cluster pribadi Anda. Secara default, endpoint ini hanya dapat dibuat dalam project cluster workstation dan project host jaringan VPC (jika berbeda). Jika perlu, project ini juga dapat ditentukan setelah pembuatan cluster.

  9. Klik Create.

Mengaktifkan konektivitas cluster pribadi

Klien tidak dapat terhubung ke workstation di cluster workstation pribadi dari internet publik. Klien harus berada di jaringan yang terhubung ke cluster workstation menggunakan Private Service Connect (PSC). Ikuti langkah-langkah di bagian ini untuk menghubungkan ke workstation:

  1. Buat endpoint PSC yang menargetkan lampiran layanan workstation Anda.

  2. Buat zona DNS pribadi.

  3. Gunakan Cloud DNS untuk membuat data DNS yang memetakan nama host cluster Anda ke endpoint PSC.

Membuat endpoint Private Service Connect

Ikuti langkah-langkah berikut untuk membuat endpoint PSC:

  1. Di konsol Google Cloud, buka Private Service Connect.

    Buka Private Service Connect

  2. Klik tab Terhubung endpoint, lalu klik addHubungkan endpoint.

  3. Untuk Target, pilih Published service.

  4. Di kolom Target service, masukkan URI lampiran layanan yang dibuat untuk cluster workstation. Temukan ID ini dengan membuka cluster workstation di konsol, lalu cari kolom Service attachment URI di bagian Network settings.

  5. Di kolom Endpoint, masukkan nama endpoint.

  6. Pilih Jaringan untuk endpoint, lalu pilih Subnetwork. Jaringan ini harus berupa jaringan yang ingin Anda gunakan untuk terhubung ke workstation.

  7. Pilih IP address untuk endpoint.

    Jika Anda memerlukan alamat IP baru, pilih Buat alamat IP:

    1. Masukkan Name dan Description opsional untuk alamat IP.
    2. Untuk Alamat IP Statis, pilih Tetapkan secara otomatis. Untuk Alamat IP kustom, pilih Pilihan saya adalah lalu masukkan alamat IP yang ingin Anda gunakan.
    3. Untuk Tujuan, pilih Tidak dibagikan.
    4. Klik Reserve.
  8. Pilih Namespace dari menu drop-down atau buat namespace baru. Region diisi berdasarkan subnetwork yang dipilih.

  9. Klik Add endpoint.

  10. Salin alamat IP endpoint agar Anda dapat menggunakannya di bagian berikutnya untuk Membuat zona DNS pribadi dan data DNS.

Membuat zona DNS pribadi

Ikuti langkah-langkah berikut untuk membuat zona DNS pribadi untuk cluster workstation ini dengan Nama DNS yang ditetapkan ke clusterHostname, yang dapat ditemukan dengan membuka cluster workstation di konsol.

  1. Di konsol Google Cloud, buka halaman Create a DNS zone.

    Buka Create a DNS zone

  2. Untuk Zone type, pilih Private.

  3. Masukkan Zone name, misalnya private-workstations-cluster-zone.

  4. Masukkan akhiran DNS name untuk zona pribadi. Semua {i>record <i}di zona tersebut menggunakan akhiran ini. Setel nama ini ke clusterHostname Anda.

    Untuk menemukan clusterHostname, buka halaman Cloud Workstations  > Cluster management di konsol Google Cloud, lalu klik cluster workstation Anda untuk melihat nama host.

  5. Opsional: Tambahkan deskripsi.

  6. Di bagian Options, pilih Default (private).

  7. Pilih jaringan tempat Anda membuat endpoint PC di bagian sebelumnya karena alamat IP hanya valid di jaringan tersebut.

  8. Klik Create.

Untuk mengetahui informasi selengkapnya tentang zona DNS pribadi, lihat dokumentasi Cloud DNS tentang cara Membuat zona pribadi dan Praktik terbaik untuk zona pribadi Cloud DNS.

Membuat data DNS

Untuk menambahkan data yang memetakan *.<clusterHostname> ke alamat IP yang dicadangkan saat Anda membuat endpoint Private Service Connect, ikuti langkah-langkah berikut:

  1. Di Konsol Google Cloud, buka halaman Cloud DNS zones.

    Buka zona Cloud DNS

  2. Klik nama zona terkelola yang ingin Anda tambahi data.

  3. Di halaman Zone details, klik Add Standard.

  4. Di halaman Create record set, di kolom DNS name, masukkan *.<clusterHostname>.

  5. Di kolom Alamat IP, masukkan alamat IP yang Anda cadangkan untuk endpoint Private Service Connect di bagian sebelumnya.

  6. Klik Create.

  7. Sekarang jaringan VPC Anda telah terhubung ke cluster workstation dan Anda dapat terhubung ke workstation menggunakan jaringan ini.

Mengaktifkan resolusi DNS di infrastruktur lokal

Untuk menggunakan editor berbasis browser default di workstation Anda, gunakan browser dari mesin yang terhubung ke jaringan VPC. Anda dapat menggunakan Cloud VPN atau Cloud Interconnect untuk terhubung dari jaringan eksternal tempat Anda menjalankan browser ke jaringan VPC.

Untuk terhubung dari jaringan eksternal, Anda perlu mengonfigurasi DNS di jaringan eksternal. Serupa dengan langkah sebelumnya, Anda dapat membuat zona DNS untuk clusterHostname dan menambahkan data yang memetakan *.<clusterHostname> ke alamat IP yang dicadangkan saat Anda membuat endpoint Private Service Connect. Atau, Anda dapat menyiapkan zona penerusan DNS atau kebijakan server DNS untuk mengizinkan pencarian nama DNS antara lingkungan lokal dan Google Cloud Anda.

Anda mungkin juga perlu menambahkan *cloudworkstations.dev ke daftar yang diizinkan infrastruktur lokal.

Langkah selanjutnya