Saat menjalankan evaluasi Workload Manager di project yang dilindungi oleh Kontrol Layanan VPC, Anda harus mengonfigurasi aturan ingress dan egress ke akun layanan yang terlampir ke instance Compute Engine yang menjalankan Agent for Compute Workloads. Aturan ini memungkinkan akun layanan mengakses API yang diperlukan dalam perimeter Kontrol Layanan VPC. Jika Anda tidak mengonfigurasi aturan ini, agen tidak dapat mengirim data ke Workload Manager, dan evaluasi Anda akan gagal.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan Kontrol Layanan VPC.
Sebelum memulai
Sebelum menyiapkan Kontrol Layanan VPC untuk project Anda, lakukan hal berikut:
- Siapkan perimeter Kontrol Layanan VPC.
- Identifikasi akun layanan yang terlampir ke instance Compute Engine yang menjalankan Agent for Compute Workloads. Misalnya,
sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com. Anda dapat menemukannya di halaman VM instance details di Google Cloud konsol. - Pastikan akun layanan memiliki peran yang diperlukan. Misalnya, lihat Peran yang diperlukan untuk agen dan workload SAP.
Peran yang diperlukan
Untuk mendapatkan izin yang diperlukan untuk mengonfigurasi Workload Manager agar dapat digunakan dalam perimeter Kontrol Layanan VPC,
minta administrator untuk memberi Anda
peran IAM Access Context Manager Editor (roles/accesscontextmanager.policyEditor) di project Anda.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Membuat aturan ingress dan egress untuk perimeter layanan
Agar Agent for Compute Workloads dapat berkomunikasi dengan layanan yang diperlukan, Anda harus mengonfigurasi aturan ingress dan egress di perimeter Kontrol Layanan VPC.
Untuk mengetahui informasi selengkapnya tentang cara membuat aturan ingress, lihat Mengonfigurasi kebijakan ingress dan egress.
Konsol
Di Google Cloud konsol, buka halaman VPC Service Controls.
Pilih project Anda.
Klik nama perimeter layanan, lalu klik Edit.
Klik Ingress policy atau Egress policy.
Klik Add an ingress rule.
Di bagian From, tentukan identitas untuk agen layanan:
- Untuk Identities, pilih Select identities & groups.
- Klik Add identities.
- Masukkan alamat email akun layanan agen. Misalnya,
sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com.
Di bagian To, tentukan operasi yang diizinkan:
- Untuk Resources, pilih All projects.
- Untuk Operations, pilih Select operations.
- Klik Add operations, lalu tambahkan layanan berikut dengan All methods dipilih:
compute.googleapis.comworkloadmanager.googleapis.comsecretmanager.googleapis.com
Klik Done, lalu klik Save.
gcloud
Untuk menambahkan aturan ingress, buat file YAML yang berisi aturan ingress dan gunakan perintah gcloud access-context-manager perimeters update dengan flag --set-ingress-policies.
Buat file YAML kebijakan ingress bernama
ingress_policy.yamldengan konten berikut:- ingressFrom: identities: - serviceAccount:SERVICE_ACCOUNT_EMAIL sources: - accessLevel: '*' ingressTo: operations: - serviceName: compute.googleapis.com methodSelectors: - method: "*" - serviceName: workloadmanager.googleapis.com methodSelectors: - method: "*" - serviceName: secretmanager.googleapis.com methodSelectors: - method: "*" resources: - "*"Ganti
SERVICE_ACCOUNT_EMAILdengan alamat email akun layanan yang terlampir ke instance Compute Engine yang menjalankan Agent for Compute Workloads.Tambahkan kebijakan ingress ke perimeter:
gcloud access-context-manager perimeters update PERIMETER_NAME \ --set-ingress-policies=ingress_policy.yamlGanti
PERIMETER_NAMEdengan nama perimeter layanan Anda. Misalnya,accessPolicies/1234567890/servicePerimeters/example_perimeter.
Memecahkan masalah pelanggaran Kontrol Layanan VPC
Untuk melihat pelanggaran Kontrol Layanan VPC di project Anda dan memecahkan masalah, gunakan Logs Explorer.
Untuk mengetahui informasi selengkapnya, lihat Memecahkan masalah Kontrol Layanan VPC.