Menyiapkan lingkungan untuk menggunakan kumpulan pribadi di jaringan VPC

Halaman ini menunjukkan cara menyiapkan lingkungan jaringan untuk menggunakan kumpulan pribadi di jaringan VPC. Jika Anda belum memahami kumpulan pribadi, baca Ringkasan kumpulan pribadi.

Memahami opsi konfigurasi jaringan

Kumpulan pribadi dihosting di jaringan Virtual Private Cloud milik Google yang disebut jaringan produsen layanan. Saat menyiapkan kumpulan pribadi, Anda dapat memilih untuk menggunakan jaringan produsen layanan atau menyiapkan koneksi pribadi antara jaringan produsen layanan dan jaringan VPC yang berisi resource Anda.

Pilih salah satu skema konfigurasi jaringan berikut, bergantung pada kebutuhan organisasi Anda:

  • Menggunakan jaringan produsen layanan saja: Gunakan opsi ini jika:

    Ini adalah opsi jaringan default untuk membuat kumpulan pribadi dan tidak memerlukan penyiapan jaringan apa pun. Jika Anda tertarik dengan opsi ini, lanjutkan untuk membuat kumpulan pribadi.

  • Menyiapkan koneksi pribadi antara jaringan produsen layanan dan jaringan VPC Anda: Koneksi pribadi memungkinkan instance VM di jaringan VPC Anda dan kumpulan pribadi untuk berkomunikasi secara eksklusif menggunakan alamat IP internal. Gunakan opsi ini jika:

    • Anda ingin build mengakses resource di jaringan VPC Anda
    • Anda menginginkan jenis dan ukuran mesin yang dapat dikonfigurasi

Menyiapkan koneksi pribadi antara jaringan VPC Anda dan jaringan produsen layanan

  1. Anda harus memiliki jaringan VPC yang sudah ada yang akan digunakan untuk terhubung ke jaringan produsen layanan.

  2. Untuk menggunakan contoh command line dalam panduan ini, instal dan konfigurasi Google Cloud CLI.

  3. Aktifkan API:

    Konsol


    Aktifkan Cloud Build dan Service Networking API.

    Peran yang diperlukan untuk mengaktifkan API

    Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran.

    Aktifkan API

    gcloud

    Aktifkan Cloud Build dan Service Networking API:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com

  4. Untuk memastikan bahwa memiliki izin yang diperlukan untuk menyiapkan koneksi pribadi, minta administrator untuk memberikan peran IAM Compute Engine Network Admin (roles/compute.networkAdmin) kepada di akun layanan untuk Google Cloud project tempat jaringan VPC berada. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Administrator Anda mungkin juga dapat memberikan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

  5. Di jaringan VPC, alokasikan rentang IP internal bernama:

    Rentang IP yang Anda tentukan di sini akan tunduk pada aturan firewall yang ditentukan di jaringan VPC.

    Cloud Build mencadangkan rentang IP 192.168.10.0/24 dan 172.17.0.0/16 untuk jaringan bridge Docker. Saat mengalokasikan rentang IP untuk resource di project Anda, sebaiknya pilih rentang di luar 192.168.10.0/24 dan 172.17.0.0/16 jika builder Cloud Build akan mengakses resource ini.

    Misalnya, rentang alamat bidang kontrol Google Kubernetes Engine 192.168.10.96/28 tidak akan dapat diakses dari builder gke-deploy Cloud Build karena tumpang-tindih.

    Konsol

    1. Buka halaman jaringan VPC di Google Cloud konsol.

      Buka halaman Jaringan VPC

    2. Pilih jaringan VPC yang akan terhubung ke jaringan VPC kumpulan pribadi.

    3. Pilih tab Akses layanan pribadi.

    4. Di tab Akses layanan pribadi, pilih tab Rentang IP yang dialokasikan untuk layanan.

    5. Klik Alokasikan rentang IP.

    6. Masukkan Nama dan Deskripsi untuk rentang yang dialokasikan.

    7. Tentukan Rentang IP untuk alokasi:

      • Untuk menentukan rentang alamat IP, pilih Kustom , lalu masukkan blok CIDR.
      • Untuk menentukan panjang awalan dan mengizinkan Google memilih rentang yang tersedia, pilih Otomatis , lalu masukkan panjang awalan. Panjang awalan harus /24 atau lebih rendah, seperti /22, /21, dll.

    8. Klik Alokasikan untuk membuat rentang yang dialokasikan.

    gcloud

    Untuk menentukan rentang alamat IP dan panjang awalan (subnet mask), gunakan flag addresses dan prefix-length. Panjang awalan harus /24 atau lebih rendah, seperti /22, /21, dll. Misalnya, untuk mengalokasikan blok CIDR blok 192.168.0.0/16, tentukan 192.168.0.0 untuk alamat dan 16 untuk panjang awalan.

      gcloud compute addresses create RESERVED_RANGE_NAME \
      --global \
      --purpose=VPC_PEERING \
      --addresses=192.168.0.0 \
      --prefix-length=16 \
      --description=DESCRIPTION \
      --network=VPC_NETWORK

    Untuk menentukan panjang awalan saja (subnet mask), cukup gunakan flag prefix-length. Saat Anda menghilangkan rentang alamat IP, Google Cloud akan otomatis memilih rentang alamat IP yang tidak digunakan di jaringan VPC Anda. Contoh berikut ini memilih rentang alamat IP yang tidak digunakan dengan panjang awalan bit 16.

      gcloud compute addresses create RESERVED_RANGE_NAME \
      --global \
      --purpose=VPC_PEERING \
      --prefix-length=16 \
      --description=DESCRIPTION \
      --network=VPC_NETWORK

    Ganti nilai placeholder dalam perintah dengan nilai berikut:

    • RESERVED_RANGE_NAME: nama untuk rentang yang dialokasikan, seperti my-allocated-range.
    • DESCRIPTION: deskripsi untuk rentang, seperti allocated for my-service.

    • VPC_NETWORK: nama jaringan VPC Anda, seperti my-vpc-network.

  6. Buat koneksi pribadi antara jaringan produsen layanan dan jaringan VPC Anda:

    Konsol

    1. Buka halaman jaringan VPC di Google Cloud konsol.

      Buka halaman Jaringan VPC

    2. Pilih jaringan VPC yang akan terhubung ke jaringan VPC kumpulan pribadi.

    3. Pilih tab Akses layanan pribadi.

    4. Di tab Akses layanan pribadi, pilih tab Koneksi pribadi ke layanan.

    5. Klik Buat koneksi untuk membuat koneksi pribadi antara jaringan Anda dan jaringan produsen layanan.

    6. Untuk Alokasi yang ditetapkan, pilih rentang yang dialokasikan yang Anda buat pada langkah sebelumnya.

    7. Klik Hubungkan untuk membuat koneksi.

    gcloud

    1. Buat koneksi pribadi:

      gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --ranges=ALLOCATED_RANGE_NAME \
    --network=VPC_NETWORK \
    --project=PROJECT_ID

      Ganti nilai placeholder dalam perintah dengan nilai berikut:

      • ALLOCATED_RANGE_NAME: nama rentang yang dialokasikan yang Anda buat pada langkah sebelumnya.
      • VPC_NETWORK: nama jaringan VPC Anda.
      • PROJECT_ID: ID project yang berisi jaringan VPC Anda.

      Perintah tersebut memulai operasi yang berjalan lama, dan menampilkan nama operasi.

    2. Periksa apakah operasi berhasil, dengan mengganti OPERATION_NAME dengan nama operasi yang ditampilkan dari langkah sebelumnya.

      gcloud services vpc-peerings operations describe \
    --name=OPERATION_NAME

  7. [OPSIONAL: Skenario VPC Bersama]. Jika Anda menggunakan VPC Bersama, buat rentang IP yang dialokasikan dan koneksi pribadi di project host. Biasanya, administrator jaringan di project host harus melakukan tugas ini. Setelah project host disiapkan dengan koneksi pribadi, instance VM dalam project layanan dapat menggunakan koneksi pribadi dengan jaringan produsen layanan. Project yang menghosting koneksi VPC dan project yang berisi kumpulan pribadi harus menjadi bagian dari organisasi yang sama.

  8. [OPSIONAL: Menggunakan aturan firewall]. Jika Anda membuat aturan firewall ingress di jaringan VPC, tentukan rentang IP yang sama dengan yang Anda alokasikan di sini di filter sumber untuk aturan ingress.

Langkah berikutnya