Mengonfigurasi akses jaringan pribadi

Halaman ini menjelaskan cara menyiapkan akses jaringan pribadi dan merutekan traffic dalam jaringan Google Cloud .

Untuk menyiapkan akses jaringan pribadi, Anda mengonfigurasi tiga project:

  • Project yang berisi jaringan Virtual Private Cloud (VPC) yang akan digunakan oleh instance mesin virtual (VM) target atau load balancer internal target.
  • Project yang bertindak sebagai project layanan Service Directory.
  • Project untuk produk Google Cloud dengan konfigurasi yang memanggil akses jaringan pribadi. Contoh produk yang dapat memanggil endpoint menggunakan akses jaringan pribadi adalah Dialogflow CX. Google Cloud

Artefak project dapat berada dalam project yang sama atau dalam project yang berbeda.

Sebelum memulai

Sebelum mengonfigurasi akses jaringan pribadi, selesaikan langkah-langkah berikut:

  • Untuk setiap project, di konsol Google Cloud , pada halaman APIs & Services, klik Enable APIs and services untuk mengaktifkan API yang ingin Anda gunakan, termasuk Service Directory API.

  • Untuk menautkan jaringan VPC Anda ke host lokal, buat tunnel Cloud VPN atau koneksi Cloud Interconnect.

  • Pastikan project Google Cloud berada dalam perimeter Kontrol Layanan VPC dari project jaringan dan project Direktori Layanan untuk servicedirectory.googleapis.com.

    Pelajari lebih lanjut Kontrol Layanan VPC.

Mengonfigurasi project untuk jaringan VPC

Untuk mengonfigurasi project bagi jaringan VPC, ikuti langkah-langkah berikut:

  1. Buat jaringan VPC atau pilih jaringan VPC yang sudah ada yang memiliki subnet khusus IPv4 atau stack ganda di region yang ingin Anda gunakan. Jaringan lama tidak didukung.

  2. Buat aturan firewall izinkan traffic masuk yang diperlukan.

    • Jika targetnya adalah VM atau Network Load Balancer passthrough internal, aturan firewall harus mengizinkan traffic TCP dari rentang 35.199.192.0/19 ke port yang digunakan oleh software yang berjalan di instance VM target.

    • Jika targetnya adalah Load Balancer Aplikasi internal atau Load Balancer Jaringan proxy internal, aturan firewall harus mengizinkan traffic TCP dari rentang 35.199.192.0/19 ke alamat IP dan port yang digunakan oleh load balancer.

    Untuk mengetahui informasi selengkapnya tentang rentang 35.199.192.0/19, lihat Jalur untuk Cloud DNS dan Service Directory.

  3. Berikan peran Identity and Access Management (IAM) Private Service Connect Authorized Service (roles/servicedirectory.pscAuthorizedService) kepada agen layanan produk Google Cloud yang akan memanggil endpoint.

    Untuk mengetahui informasi selengkapnya tentang peran dan izin, lihat Izin dan peran Service Directory.

Mengonfigurasi project Service Directory

Untuk mengonfigurasi project Service Directory, ikuti langkah-langkah berikut:

  1. Di jaringan VPC, buat VM atau load balancer internal.

  2. Berikan peran IAM Service Directory Viewer (roles/servicedirectory.viewer) kepada agen layanan produkGoogle Cloud yang akan memanggil endpoint.

  3. Buat namespace dan layanan Service Directory. Kemudian, buat endpoint untuk layanan ini dengan mengikuti langkah-langkah di bagian berikutnya.

Membuat endpoint dengan akses jaringan pribadi

Untuk membuat endpoint dengan akses jaringan pribadi yang dikonfigurasi, ikuti langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Namespace Service Directory. Buka namespace Service Directory
  2. Klik namespace.
  3. Klik layanan.
  4. Klik Add endpoint.
  5. Untuk Endpoint name, masukkan nama endpoint.
  6. Untuk IP address, masukkan alamat IPv4, seperti 192.0.2.0.
  7. Untuk Port, masukkan nomor port, seperti 443 atau 80.
  8. Untuk mengaktifkan akses jaringan pribadi, di Jaringan VPC terkait, pilih opsi yang diperlukan:
    • Untuk memilih dari daftar jaringan yang tersedia, klik Pilih dari daftar, lalu pilih jaringan.
    • Untuk menentukan project dan jaringan, klik Tentukan berdasarkan nama project dan jaringan, lalu masukkan nomor project dan nama jaringan.
  9. Klik Buat.

gcloud

Gunakan perintah gcloud service-directory endpoints create dengan project ID dan jalur jaringan yang ditentukan.

gcloud service-directory endpoints create ENDPOINT_NAME \
--project=PROJECT_ID \
--location=REGION \
--namespace=NAMESPACE_NAME \
--service=SERVICE_ID \
--address=IP_ADDRESS \
--port=PORT_NUMBER \
--network=NETWORK_PATH

Ganti kode berikut:

  • ENDPOINT_NAME: nama untuk endpoint yang Anda buat di layanan, seperti my-endpoint
  • PROJECT_ID: ID project
  • REGION: region Google Cloud yang berisi namespace
  • NAMESPACE_NAME: nama yang Anda berikan untuk namespace, seperti my-namespace
  • SERVICE_ID: ID layanan
  • IP_ADDRESS: alamat IP endpoint, seperti 192.0.2.0
  • PORT_NUMBER: port tempat endpoint berjalan, biasanya 443 atau 80
  • NETWORK_PATH: URL ke jaringan, seperti projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME

Mengonfigurasi Google Cloud project produk

Untuk mengonfigurasi project produk Google Cloud , ikuti langkah-langkah berikut:

  1. Aktifkan Google Cloud API produk.

  2. Konfigurasi produk Google Cloud Anda untuk memanggil layanan Service Directory yang Anda buat. Langkah-langkah yang diperlukan bergantung pada produkGoogle Cloud tertentu.

Kasus penggunaan

Bagian ini memberikan contoh kasus penggunaan untuk mengonfigurasi akses jaringan pribadi.

Memanggil endpoint HTTP saat jaringan VPC, VM, dan Service Directory berada dalam project yang sama

Dalam kasus penggunaan ini, Anda menyiapkan Dialogflow CX, sebuah produk Google Cloud untuk pemrosesan bahasa alami, guna memanggil endpoint HTTP di VM Anda. Saat memanggil endpoint, pastikan traffic tidak bertransisi melalui internet publik.

Dalam kasus penggunaan ini, Anda akan membuat artefak berikut dalam project yang sama:

  • Jaringan VPC
  • VM
  • Layanan Service Directory
  • Dialogflow CX

Gambar 1 menunjukkan cara mengizinkan konfigurasi layanan Google dari suatu project untuk keluar ke VM. VM berada di jaringan VPC project.

Mengizinkan konfigurasi layanan Google dari project untuk keluar ke VM project jaringan.
Gambar 1. Izinkan konfigurasi layanan Google dari project untuk melakukan egress ke VM (klik untuk memperbesar).

Menyiapkan jaringan dan jaringan target

  1. Buat project, seperti myproject.

  2. Buat jaringan VPC, seperti vpc-1.

    Saat membuat jaringan VPC, di Subnet creation mode, pilih Automatic.

  3. Buat aturan firewall, seperti firewall-1.

    Saat membuat aturan firewall, masukkan atau pilih nilai berikut:

    • Untuk Network, pilih vpc-1.
    • Untuk Source IPv4 ranges, masukkan 35.199.192.0/19.
    • Untuk Protocols and ports, pilih TCP, lalu masukkan 443 atau 80.

  4. Di region us-central1, buat VM, seperti vm-1.

    Saat membuat VM, masukkan atau pilih nilai berikut:

    • Untuk Networking > Network Interfaces, pilih vpc-1.
    • Untuk Firewall, pilih Allow HTTP traffic.

    Jika Anda ingin menggunakan HTTPS, pilih Allow HTTPS traffic. Pastikan juga Anda menginstal sertifikat Transport Layer Security (TLS) Infrastruktur Kunci Publik (PKI).

  5. Di region us-central1, buat namespace, seperti namespace-1.

  6. Di namespace, daftarkan layanan Service Directory, seperti sd-1.

  7. Buat endpoint di sd-1. Untuk alamat endpoint, gunakan alamat IP internal vm-1 di port 443. Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint dengan akses jaringan pribadi.

  8. Berikan peran IAM berikut kepada agen layanan produk Google Cloud yang akan memanggil endpoint:

    • Peran Service Directory Viewer (roles/servicedirectory.viewer)
    • Peran Private Service Connect Authorized Service (roles/servicedirectory.pscAuthorizedService)

  9. Opsional: Jika ingin menambahkan lebih banyak VM, Anda dapat menyiapkan VM lain, seperti vm-2, dan menambahkan endpointnya, seperti endpoint-2.

Menyiapkan Google Cloud produk

  1. Konfigurasi Google Cloud produk, seperti " Cloud Scheduler, panggil saya setiap menit".
  2. Siapkan permintaan HTTP.
  3. Tentukan bahwa permintaan harus dilakukan melalui jaringan pribadi, seperti melalui sd-1.
  4. Opsional: Konfigurasi setelan Certificate Authority Service.

Produk Google Cloud kini dapat memanggil permintaan HTTP menggunakan sd-1.

Memanggil endpoint HTTP saat jaringan VPC Bersama, VM, dan Service Directory berada di project yang berbeda

Dalam kasus penggunaan ini, Anda menyiapkan Dialogflow CX, layanan Google Cloud untuk pemrosesan bahasa alami, guna memanggil endpoint HTTP di VM Anda. Saat memanggil endpoint, pastikan traffic tidak bertransisi melalui internet publik.

Dalam kasus penggunaan ini, Anda akan membuat artefak berikut di project yang berbeda:

  • Jaringan VPC Bersama
  • VM
  • Layanan Service Directory
  • Dialogflow CX

Sebelum Anda membuat project, perhatikan hal-hal berikut:

  • Pastikan pemanggilan API mematuhi perimeter Kontrol Layanan VPC.
  • Pastikan konfigurasi Google Cloud project layanan memungkinkan keluar ke VM yang berada di project jaringan VPC.
  • Project produsen mungkin tidak sama dengan project layanan Google Cloud .
  • Pastikan perimeter Kontrol Layanan VPC dari kedua project digunakan.
  • Project Service Directory dan project jaringan tidak perlu terhubung, tetapi keduanya harus menjadi bagian dari Kontrol Layanan VPC yang sama.
  • Di jaringan dan layanan, firewall dan IAM dinonaktifkan secara default.

Gambar 2 menunjukkan cara mengirim traffic menggunakan akses jaringan pribadi dengan perimeter Kontrol Layanan VPC yang diterapkan.

Mengirim traffic menggunakan akses jaringan pribadi dengan perimeter Kontrol Layanan VPC diterapkan.
Gambar 2. Mengirim traffic menggunakan akses jaringan pribadi dengan perimeter Kontrol Layanan VPC yang diterapkan (klik untuk memperbesar).

Mengonfigurasi project jaringan

  1. Buat project, seperti my-vpc-project.

  2. Buat jaringan VPC, seperti vpc-1.

    Saat membuat jaringan VPC, untuk Subnet creation mode, pilih Automatic.

  3. Buat aturan firewall, seperti firewall-1.

    Saat membuat aturan, masukkan atau pilih nilai berikut:

    • Untuk Network, pilih vpc-1.
    • Untuk Source IPv4 ranges, masukkan 35.199.192.0/19.
    • Untuk Protocols and ports, pilih TCP, lalu masukkan 443 atau 80.

  4. Di region us-central1, buat VM, seperti vm-1.

    Saat membuat VM, masukkan atau pilih nilai berikut:

    • Untuk Networking > Network Interfaces, pilih vpc-1.
    • Untuk Firewall, pilih Allow HTTP traffic.

    Jika Anda ingin menggunakan HTTPS, pilih Allow HTTPS traffic. Pastikan juga Anda menginstal sertifikat Transport Layer Security (TLS) Infrastruktur Kunci Publik (PKI).

Jika Anda menggunakan Kontrol Layanan VPC, perimeter Kontrol Layanan VPC memungkinkan Direktori Layanan terhubung ke Google Cloud project layanan dan project Direktori Layanan.

Mengonfigurasi project Service Directory

  1. Buat project, seperti my-sd-project.

  2. Anda memerlukan izin IAM tambahan karena project jaringan VPC dan project Service Directory adalah project yang berbeda.

    Dari project jaringan, berikan peran Service Directory Network Attacher (roles/servicedirectory.networkAttacher) kepada akun utama IAM yang membuat endpoint Service Directory.

  3. Buat endpoint Service Directory yang mengarah ke VM di jaringan VPC:

    1. Di region us-central1, buat namespace, seperti namespace-1.
    2. Di namespace, daftarkan layanan Service Directory, seperti sd-1.
    3. Buat endpoint di sd-1. Untuk alamat endpoint, gunakan alamat IP internal vm-1 di port 443. Untuk mengetahui informasi selengkapnya, lihat Membuat endpoint dengan akses jaringan pribadi.

  4. Berikan peran IAM berikut kepada agen layanan produk Google Cloud yang akan memanggil endpoint:

    • Peran Service Directory Viewer (roles/servicedirectory.viewer) di project Service Directory
    • Peran Layanan yang Diizinkan Private Service Connect (roles/servicedirectory.pscAuthorizedService) dalam project jaringan

Jika Anda menggunakan Kontrol Layanan VPC, perimeter Kontrol Layanan VPC memungkinkan Direktori Layanan terhubung ke Google Cloud project layanan dan project Direktori Layanan.

Mengonfigurasi Google Cloud project layanan

  1. Aktifkan API untuk layanan Google Cloud yang Anda gunakan.
  2. Untuk mengonfigurasi Google Cloud layanan PUSH, gunakan layanan Service Directory dari project Service Directory.

Jika Anda menggunakan Kontrol Layanan VPC, perimeter Kontrol Layanan VPC memungkinkan Service Directory terhubung ke project jaringan dan project Service Directory.

Menggunakan akses jaringan pribadi Service Directory dengan Dialogflow

Untuk mengetahui petunjuk tentang cara menggunakan akses jaringan pribadi Service Directory dengan Dialogflow, lihat Menggunakan Service Directory untuk akses jaringan pribadi.

Langkah berikutnya