Menggunakan Cloud Build di jaringan pribadi

Halaman ini menjelaskan cara mengonfigurasi penyiapan jaringan pribadi yang biasa digunakan untuk digunakan dengan kumpulan pribadi. Untuk mengetahui ringkasan tentang kumpulan pribadi, lihat Ringkasan kumpulan pribadi.

Menentukan setelan jaringan default

Saat membuat kumpulan pribadi, secara default Anda siap menggunakan jaringan Virtual Private Cloud tempat kumpulan data pribadi berada. Gunakan jaringan VPC default jika:

Untuk mengetahui petunjuk tentang cara menghubungkan ke jaringan default, lihat Membuat kumpulan pribadi.

Menentukan rentang IP internal statis

Dalam beberapa kasus, Anda mungkin perlu memiliki rentang IP statis yang ditentukan untuk kumpulan pribadi, seperti saat memanggil layanan yang mengizinkan panggilan dari rentang IP yang ditentukan. Dengan kumpulan pribadi, saat menyiapkan koneksi pribadi antara jaringan VPC Anda dan jaringan VPC kumpulan pribadi, Anda dapat membuat rentang alamat IP yang dialokasikan dengan rentang IP CIDR yang telah ditentukan, tempat kumpulan pribadi Anda akan dijalankan. Anda juga dapat menentukan rentang CIDR yang lebih kecil dalam rentang alamat IP yang dialokasikan yang akan digunakan oleh kumpulan pribadi.

Berjalan di jaringan VPC

Untuk menggunakan Cloud Build dengan resource di jaringan pribadi di belakang firewall, seperti di jaringan VPC, Anda dapat membuat koneksi pribadi antara kumpulan pribadi dan jaringan VPC terkelola. Hal ini memungkinkan kumpulan pribadi mengakses resource di jaringan pribadi Anda seperti repositori sumber, repositori artefak, database, instance secret, dan runtime.

Berjalan di jaringan VPC bersama

Jika Anda menggunakan jaringan VPC bersama, project tempat Anda membuat kumpulan pribadi harus terhubung ke project host yang berisi jaringan VPC bersama. Untuk mengetahui petunjuk cara melampirkan project, lihat Menyediakan jaringan VPC bersama.

Terhubung ke resource di jaringan VPC yang di-peering atau jaringan VPC bersama

Organisasi sering kali mengadopsi VPC bersama (project host) untuk memusatkan jaringan serta Identity and Access Management di semua project. Hal ini memungkinkan alamat IP internal digunakan untuk layanan yang dikelola Google seperti cluster GKE pribadi dan Cloud SQL pribadi. Layanan yang dikelola Google ini juga di-peering ke dalam jaringan VPC bersama milik pelanggan. Masalah pada penyiapan ini adalah kumpulan pribadi tidak dapat berkomunikasi dengan layanan yang dikelola Google karena kurangnya peering transitif. Peering transitif hanya menjadi masalah jika beberapa jaringan terhubung satu sama lain melalui peering VPC. Jika salah satu koneksi diubah untuk menggunakan VPN (atau interconnect), bukan peering VPC, maka jaringan dapat membangun konektivitas. Untuk mengetahui petunjuk tentang penyiapan jaringan ini, lihat Mengakses cluster Google Kubernetes Engine pribadi dengan kumpulan pribadi Cloud Build.

Berjalan di region tertentu

Anda dapat membuat kumpulan pribadi di salah satu wilayah yang didukung. Anda dapat menyimpan image dan artefak container yang telah dibuat di repositori Artifact Registry dan bucket Cloud Storage di region yang ditentukan.

Men-deploy ke cluster GKE pribadi

Cluster GKE pribadi dapat memiliki endpoint publik atau pribadi untuk bidang kontrol.

Untuk men-deploy ke cluster GKE pribadi dengan endpoint publik, Anda dapat membuat kumpulan pribadi di jaringan default dengan akses ke internet publik dan menentukan rentang IP internal statis untuk kumpulan Anda guna mengizinkan daftar akses ke cluster.

Untuk melakukan deployment ke cluster GKE pribadi dengan endpoint pribadi, Anda dapat mengikuti langkah-langkah yang dijelaskan dalam Mengakses cluster Google Kubernetes Engine pribadi dengan kumpulan pribadi Cloud Build. Atau, setelah melakukan peering ke VPC, Anda dapat menjalankan proxy jaringan pada cluster seperti yang dijelaskan dalam Membuat cluster GKE pribadi dengan proxy jaringan.

Menggunakan dengan Kontrol Layanan VPC

Kontrol Layanan VPC adalah fitur Google Cloud yang dapat Anda gunakan untuk menyiapkan perimeter yang aman untuk mencegah pemindahan data yang tidak sah. Untuk mendapatkan petunjuk cara menggunakan Kontrol Layanan VPC dengan kumpulan pribadi guna meningkatkan keamanan tambahan pada build Anda, lihat Menggunakan Kontrol Layanan VPC.

Menghapus IP publik pada kumpulan pribadi

Anda dapat menghapus IP publik pada kumpulan pribadi dengan menetapkan kolom egressOption di file konfigurasi kumpulan pribadi ke NO_PUBLIC_EGRESS. Namun, perlu diingat bahwa menghapus IP publik akan membatasi kolam renang pribadi Anda agar tidak dapat mengakses resource di internet publik.

Membatasi traffic keluar ke internet publik

Ada beberapa cara untuk membatasi traffic keluar dari kolam pribadi ke internet publik:

Menegakkan penggunaan kolam renang pribadi

Cloud Build memberikan constraints/cloudbuild.allowedWorkerPools batasan kebijakan organisasi yang dapat Anda terapkan untuk memerintahkan build di organisasi agar tidak menggunakan kumpulan default dan hanya menggunakan kumpulan pribadi. Untuk mengetahui petunjuk penggunaan fitur ini, lihat Menyiapkan batasan kebijakan organisasi.

Menggunakan dengan zona Cloud DNS pribadi

Anda dapat membagikan zona Cloud DNS pribadi untuk digunakan dengan kumpulan pribadi. Untuk mengetahui petunjuknya, lihat Berbagi zona pribadi.

Menjalankan di belakang NAT

Meskipun Anda dapat mengontrol rentang IP kumpulan pribadi di VPC, alamat IP eksternal (jika diaktifkan) tidak dapat dikontrol. Jika Anda perlu mengakses resource dari IP yang dicadangkan, buat VM proxy dan arahkan traffic melaluinya dengan menyelesaikan langkah-langkah dalam artikel Mengakses resource eksternal dari alamat IP sumber statis menggunakan Cloud Build.

Langkah selanjutnya