pkg.dev dan gcr.io menggunakan IP virtual (VIP) yang dibatasi saat Anda
menggunakan cluster pribadi Google Kubernetes Engine dalam perimeter layanan Kontrol Layanan VPC.
Domain registry biasanya di-resolve ke alamat IP publik di internet. Di cluster pribadi GKE, node diisolasi dari internet secara default. Artinya, permintaan ke domain registry akan gagal jika Anda belum mengonfigurasi perutean DNS ke VIP yang dibatasi.
Cluster pribadi Anda harus selalu mengakses Artifact Registry atau Container Registry dengan VIP yang dibatasi untuk mencegah pemindahan data yang tidak sah dari layanan yang didukung ke layanan yang tidak didukung.Konfigurasi akses terbatas untuk cluster pribadi GKE jika semua hal berikut benar:
- Anda menggunakan cluster pribadi GKE.
- Anda belum mengonfigurasi perutean domain registry
pkg.devataugcr.iokerestricted.googleapis.com.
Sebelum memulai
Sebelum membuat perimeter layanan, siapkan cluster pribadi baru atau identifikasi cluster pribadi yang ada yang ingin Anda lindungi.
Selain itu, Anda harus mengizinkan egress ke 199.36.153.4/30 di port 443. Biasanya, jaringan VPC memiliki aturan tersirat yang mengizinkan semua traffic egress ke tujuan mana pun. Namun, jika Anda memiliki aturan yang menolak traffic tersebut, Anda harus membuat aturan firewall egress untuk mengizinkan traffic TCP di port 443 ke 199.36.153.4/30.
Mengonfigurasi DNS
Konfigurasi server DNS Anda sehingga permintaan ke alamat registry di-resolve ke restricted.googleapis.com, VIP yang dibatasi. Anda dapat melakukannya menggunakan zona DNS pribadi Cloud DNS.
Buat zona pribadi terkelola.
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK \ --description=DESCRIPTION \ --dns-name=REGISTRY_DOMAIN \ --project=PROJECT_IDDengan:
ZONE_NAMEadalah nama untuk zona yang Anda buat. Misalnya,registry. Nama ini akan digunakan di setiap langkah berikut.PROJECT_IDadalah ID project yang menghosting cluster pribadi GKE Anda.NETWORKadalah daftar opsional nama jaringan cluster yang ingin Anda alihkan permintaannya.DESCRIPTIONadalah deskripsi zona terkelola yang dapat dibaca manusia.REGISTRY_DOMAINadalah domain untuk registry Anda:pkg.devuntuk Artifact Registrygcr.iountuk Container Registry atau repositorigcr.ioyang dihosting di Artifact Registry
Mulai transaksi.
gcloud dns record-sets transaction start \ --zone=ZONE_NAME \ --project=PROJECT_IDDengan:
ZONE_NAME adalah nama zona yang Anda buat pada langkah pertama.
PROJECT_ID adalah ID project yang menghosting cluster pribadi GKE Anda.
Tambahkan data CNAME untuk registry Anda.
gcloud dns record-sets transaction add \ --name=*.REGISTRY_DOMAIN. \ --type=CNAME REGISTRY_DOMAIN. \ --zone=ZONE_NAME \ --ttl=300 \ --project=PROJECT_IDDengan:
ZONE_NAMEadalah nama zona yang Anda buat pada langkah pertama.PROJECT_IDadalah ID project yang menghosting cluster pribadi GKE Anda.REGISTRY_DOMAINadalah domain untuk registry Anda:pkg.devuntuk Artifact Registrygcr.iountuk Container Registry atau repositorigcr.ioyang dihosting di Artifact Registry
Tambahkan data A untuk VIP yang dibatasi.
gcloud dns record-sets transaction add \ --name=REGISTRY_DOMAIN. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300 \ --project=PROJECT_IDDengan:
ZONE_NAMEadalah nama zona yang Anda buat pada langkah pertama.PROJECT_IDadalah ID project yang menghosting cluster pribadi GKE Anda.REGISTRY_DOMAINadalah domain untuk registry Anda:pkg.devuntuk Artifact Registrygcr.iountuk Container Registry atau repositorigcr.ioyang dihosting di Artifact Registry
Jalankan transaksi.
gcloud dns record-sets transaction execute \ --zone=ZONE_NAME \ --project=PROJECT_IDDengan:
ZONE_NAME adalah nama zona yang Anda buat pada langkah pertama.
PROJECT_ID adalah ID project yang menghosting cluster pribadi GKE Anda.
Setelah mengonfigurasi perutean DNS, pastikan GKE, registry, dan layanan lain yang diperlukan berada di dalam perimeter layanan Kontrol Layanan VPC Anda. Untuk mengonfigurasi perimeter layanan, lihat bagian berikut.
Mengonfigurasi perimeter layanan
Setelah mengonfigurasi data DNS, lakukan hal berikut:
- Buat perimeter layanan baru atau perbarui perimeter yang ada.
- Tambahkan layanan Container Registry atau Artifact Registry ke daftar layanan yang ingin Anda lindungi menggunakan perimeter layanan.
- Tambahkan layanan lain yang didukung dan Anda gunakan dengan registry ke perimeter layanan, seperti Cloud Build, Artifact Analysis, dan Otorisasi Biner.
- Jika Anda perlu mengakses Container Registry, Anda juga harus menambahkan Cloud Storage ke perimeter layanan.
Memverifikasi bahwa perimeter berfungsi
Setelah mengonfigurasi perimeter layanan, node di cluster pribadi GKE dapat mengakses image container di Artifact Registry dan Container Registry jika image disimpan dalam project yang berada di perimeter layanan Anda.Image container dalam project di luar perimeter tetap tidak dapat diakses, kecuali untuk beberapa repositori publik khusus yang bersifat hanya baca.
Misalnya, jika project google-samples tidak berada di perimeter layanan Anda, menjalankan perintah untuk membuat deployment dari container hello-app akan gagal:
domain pkg.dev
kubectl create deployment hello-server --image=us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
domain gcr.io
kubectl create deployment hello-server --image=gcr.io/google-samples/hello-app:1.0
Periksa status pod dengan perintah:
kubectl get pods
Perintah ini akan menampilkan tabel yang mirip dengan contoh berikut. Status pod ErrImagePull menunjukkan bahwa pull gagal.
NAME READY STATUS RESTARTS AGE
hello-server-dbd86c8c4-h5wsf 1/1 ErrImagePull 0 45s
Anda dapat menggunakan perintah kubectl describe pod untuk melihat detail deployment selengkapnya. Untuk pod dalam contoh sebelumnya, perintahnya adalah:
kubectl describe pod hello-server-dbd86c8c4-h5wsf