Kontrol Layanan VPC dapat meningkatkan kemampuan Anda untuk mengurangi risiko pemindahan data yang tidak sah dari Google Cloud layanan. Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter layanan yang membantu melindungi resource dan data layanan yang Anda tentukan secara eksplisit.
Untuk menambahkan layanan Looker (Google Cloud core) ke perimeter layanan Kontrol Layanan VPC, ikuti petunjuk tentang cara membuat perimeter layanan di halaman dokumentasi Membuat perimeter layanan, dan pilih Looker (Google Cloud core) API di dialog Specify services to restrict. Untuk mempelajari lebih lanjut cara menggunakan Kontrol Layanan VPC, buka halaman dokumentasi Ringkasan Kontrol Layanan VPC.
Kontrol Layanan VPC mendukung instance Looker (Google Cloud core) yang memenuhi dua kriteria:
- Edisi instance harus Enterprise atau Embed
- Konfigurasi jaringan instance harus menggunakan koneksi pribadi
Peran yang diperlukan
Untuk memahami peran IAM yang diperlukan untuk menyiapkan Kontrol Layanan VPC, buka halaman Kontrol akses dengan IAM dalam dokumentasi Kontrol Layanan VPC.
Menghapus rute default
Saat instance Looker (Google Cloud core) dibuat di dalam Google Cloud project yang berada dalam perimeter Kontrol Layanan VPC, atau berada di dalam project yang ditambahkan ke perimeter Kontrol Layanan VPC, Anda harus menghapus rute default ke internet.
Untuk menghapus rute default ke internet, pilih salah satu opsi berikut:
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
Ganti NETWORK dengan jaringan VPC instance Looker (Google Cloud core) Anda.
Untuk mengetahui informasi selengkapnya, buka halaman dokumentasi gcloud services vpc-peerings enable-vpc-service-controls.
REST
Metode HTTP dan URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
Meminta isi JSON:
{
"consumerNetwork": NETWORK
}
Ganti NETWORK dengan jaringan VPC instance Looker (Google Cloud core) Anda.
Untuk mengetahui informasi selengkapnya, buka halaman dokumentasi Metode: services.enableVpcServiceControls.
Menghubungkan ke resource atau layanan di luar perimeter Kontrol Layanan VPC
Untuk terhubung keresource atau layanan lain, Anda mungkin perlu menyiapkan aturan ingress dan egress jika project tempat resource berada terletak di luar perimeter Kontrol Layanan VPC. Google Cloud
Untuk mengetahui informasi tentang cara mengakses resource eksternal lainnya, ikuti petunjuk untuk jenis resource yang ingin Anda hubungkan di halaman dokumentasi Mengakses layanan eksternal menggunakan akses layanan pribadi atau Akses southbound Looker (Google Cloud core) ke layanan eksternal menggunakan Private Service Connect (bergantung pada apakah instance Anda menggunakan akses layanan pribadi atau Private Service Connect).
Menambahkan kunci CMEK ke perimeter
Terkadang, instance Looker (Google Cloud core) yang diaktifkan dengan kunci enkripsi yang dikelola pelanggan (CMEK) memiliki kunci Cloud KMS yang dihosting di Google Cloud project yang berbeda. Untuk skenario ini, saat mengaktifkan Kontrol Layanan VPC, Anda harus menambahkan project hosting kunci KMS ke perimeter keamanan.
Apa langkah selanjutnya?
- Menghubungkan Looker (Google Cloud core) ke database Anda
- Menyiapkan instance Looker (Google Cloud core)