Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan Kontrol Layanan VPC

Kontrol Layanan VPC adalah fitur yang memungkinkan Anda menyiapkan perimeter yang aman untuk mencegah pemindahan data yang tidak sah. Google Cloud Halaman ini menunjukkan cara menggunakan Kontrol Layanan VPC dengan kumpulan pribadi Cloud Build untuk meningkatkan keamanan build Anda.

Sebelum memulai

Untuk menggunakan contoh command line dalam panduan ini, instal dan konfigurasi Google Cloud CLI.

Catatan: Jika Anda telah menginstal gcloud CLI sebelumnya, pastikan Anda memiliki versi terbaru yang tersedia dengan menjalankan gcloud components update.
Siapkan koneksi pribadi antara jaringan Virtual Private Cloud Anda dan jaringan VPC tempat kumpulan pribadi berada. Untuk mengetahui petunjuknya, lihat menyiapkan lingkungan untuk membuat pool pribadi.
Build yang berjalan dalam perimeter layanan tidak akan memiliki izin untuk menyimpan log build di bucket log Cloud Storage default. Sebelum menjalankan build, siapkan file konfigurasi build dengan salah satu opsi berikut:
- Pilih untuk menyimpan log build Anda di Cloud Logging dengan menyetel loggingMode ke CLOUD_LOGGING_ONLY.
- Di project pribadi Anda, buat bucket log Cloud Storage untuk menyimpan log build Anda. Untuk mengetahui informasi selengkapnya, lihat Menyimpan log build di bucket yang dibuat pengguna.
- Nonaktifkan log build dengan menyetel loggingMode ke NONE.
Jika build Anda mengirimkan image dan artefak ke Artifact Registry atau Cloud Storage di project yang berbeda, tambahkan project tersebut ke perimeter layanan yang sama dengan project asal build Anda. Google Cloud

Untuk mendapatkan izin yang diperlukan untuk menyiapkan perimeter layanan, minta administrator untuk memberi Anda peran IAM berikut di akun layanan Anda:

Organization Viewer (roles/resourcemanager.organizationViewer)
Access Context Manager Editor (roles/accesscontextmanager.policyEditor)

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Menyiapkan pool pribadi di perimeter Kontrol Layanan VPC

Untuk menggunakan Kontrol Layanan VPC dengan Cloud Build, Anda harus membuat dan mengonfigurasi perimeter layanan terlebih dahulu, yang dilakukan di tingkat organisasi. Penyiapan ini memastikan bahwa pemeriksaan Kontrol Layanan VPC diterapkan saat menggunakan Cloud Build dan bahwa developer hanya dapat menjalankan build yang mematuhi Kontrol Layanan VPC.

Membuat perimeter Kontrol Layanan VPC

Ikuti Panduan Memulai Kontrol Layanan VPC untuk:

Membuat perimeter layanan.
Tambahkan project tempat Anda berencana membuat kumpulan pribadi ke perimeter.

Catatan: Jika Anda menggunakan VPC Bersama, pastikan untuk menambahkan project host dan project layanan ke perimeter yang sama.
Batasi Cloud Build API.

Setelah menyiapkan perimeter layanan, semua panggilan ke Cloud Build API akan diperiksa untuk memastikan bahwa panggilan berasal dari dalam perimeter yang sama.

Memberi akun layanan akses ke perimeter Kontrol Layanan VPC

Dalam kasus berikut, Anda harus memberi akun layanan Cloud Build atau Compute Engine lama akses ke perimeter Kontrol Layanan VPC agar build Anda dapat mengakses resource dalam perimeter:

Jika Anda menggunakan akun layanan Cloud Build atau Compute Engine lama untuk memulai build menggunakan pemicu build, Cloud Build API, atau command line.
Jika Anda menggunakan akun layanan yang ditentukan pengguna untuk memulai build menggunakan pemicu build.

Anda tidak perlu memberikan akses akun layanan Cloud Build atau Compute Engine lama ke perimeter Kontrol Layanan VPC jika Anda menggunakan akun layanan yang ditentukan pengguna untuk memulai build menggunakan Cloud Build API, atau command line.

Lakukan langkah-langkah berikut untuk memberi akun layanan Cloud Build atau Compute Engine lama akses ke perimeter Kontrol Layanan VPC:

Catat alamat email akun layanan lama:
1. Buka halaman IAM:
  
  Buka halaman IAM
2. Pilih project yang Anda tambahkan ke perimeter layanan.
3. Di tabel izin, temukan alamat email yang sesuai dengan akun layanan Cloud Build lama.
Perbarui kebijakan ingress perimeter layanan untuk mengizinkan akun layanan memanggil API Cloud Build. Aturan ingress ini memungkinkan akun layanan melakukan panggilan API CreateBuild. Untuk mengetahui informasi selengkapnya tentang cara menetapkan kebijakan traffic masuk Kontrol Layanan VPC, lihat Mengonfigurasi kebijakan traffic masuk dan keluar dan Aturan traffic masuk dan keluar.
```
- ingressFrom:
    identities:
    - serviceAccount:SERVICE_ACCOUNT_EMAIL
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: 'cloudbuild.googleapis.com'
      methodSelectors:
      - method: '*'
    resources:
    - 'projects/PROJECT_NUMBER'
```

Perbarui kebijakan perimeter dengan menjalankan perintah berikut, dengan mengganti variabel dengan nilai yang sesuai:

gcloud beta access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=INGRESS-FILENAME \
    --policy=POLICY_ID

Dengan:

SERVICE_ACCOUNT_EMAIL: alamat email akun layanan.
PROJECT_NUMBER: nomor project Google Cloud project yang Anda tambahkan ke perimeter VPC Service Controls.
PERIMETER_NAME: nama perimeter Kontrol Layanan VPC Anda.
INGRESS-FILENAME: nama file kebijakan ingress Anda.
POLICY_ID: ID kebijakan akses.

Opsional: Mengaktifkan akses perimeter untuk mesin pengembangan

Karena pemeriksaan Kontrol Layanan VPC diterapkan untuk Cloud Build API, panggilan ke Cloud Build API akan gagal kecuali panggilan tersebut berasal dari dalam perimeter layanan. Oleh karena itu, untuk mengelola build dengan Cloud Build API, UI Cloud Build di konsol Google Cloud , atau Google Cloud CLI, pilih salah satu opsi berikut:

Gunakan mesin di dalam perimeter Kontrol Layanan VPC. Misalnya, Anda dapat menggunakan VM Compute Engine atau mesin lokal yang terhubung ke jaringan VPC Anda menggunakan VPN.
Beri developer akses ke perimeter. Misalnya, Anda dapat membuat tingkat akses yang mengaktifkan akses perimeter berdasarkan alamat IP atau identitas pengguna. Untuk mengetahui informasi selengkapnya, lihat Mengizinkan akses ke resource yang dilindungi dari luar perimeter.

Menyiapkan batasan kebijakan organisasi

Untuk memastikan bahwa pemeriksaan Kontrol Layanan VPC diterapkan dengan benar dan Anda membatasi build di organisasi Google Cloud agar hanya menggunakan kumpulan pribadi yang ditentukan, tetapkan batasan kebijakan organisasi constraints/cloudbuild.allowedWorkerPools. Anda dapat menerapkan kebijakan organisasi ke seluruh organisasi, atau ke project atau folder dalam organisasi. Misalnya, kebijakan organisasi Anda dapat menentukan bahwa:

Semua build di organisasi menggunakan kumpulan pribadi yang ditentukan.
Semua build dalam folder menggunakan kumpulan pribadi yang ditentukan.
Semua build dalam project menggunakan kumpulan pribadi yang ditentukan.

Izin IAM: Untuk mengelola kebijakan organisasi, Anda memerlukan peran Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin). Untuk mengetahui petunjuk tentang cara memberikan peran, lihat Mengonfigurasi akses ke resource Cloud Build.

Perintah gcloud resource-manager org-policies allow menetapkan kebijakan organisasi yang mewajibkan build di organisasi hanya menggunakan pool pribadi yang ditentukan:

 gcloud resource-manager org-policies allow \
     cloudbuild.allowedWorkerPools \
     projects/PRIVATEPOOL_PROJECT_ID/locations/LOCATION/workerPools/PRIVATEPOOL_ID \
     --organization ORGANIZATION_ID

Dengan:

PRIVATEPOOL_ID: ID pool pribadi untuk menjalankan build.
PRIVATEPOOL_PROJECT_ID: ID Google Cloud project yang berisi private pool.
LOCATION: region yang berisi pool pribadi.
ORGANIZATION_ID: ID Organisasi tempat Anda menjalankan build.

Perintah ini mendukung awalan under: dan is.

Untuk menetapkan kebijakan organisasi yang mewajibkan semua build di organisasi menggunakan kumpulan pribadi mana pun di organisasi tersebut:

 gcloud resource-manager org-policies allow \
     cloudbuild.allowedWorkerPools under:organizations/ORGANIZATION_ID \
     --organization ORGANIZATION_ID

Dengan ORGANIZATION_ID adalah ID organisasi yang berisi kumpulan pribadi.

Untuk menetapkan kebijakan organisasi yang mewajibkan semua build di project dalam folder menggunakan kumpulan pribadi di project yang ditentukan:

 gcloud resource-manager org-policies allow \
     cloudbuild.allowedWorkerPools under:projects/PROJECT_ID \
     --folder FOLDER_ID

Dengan PROJECT_ID adalah ID project yang berisi kumpulan pribadi dan FOLDER_ID berisi project tempat Anda menjalankan build.

Untuk menetapkan kebijakan organisasi yang mewajibkan semua build dalam project menggunakan kumpulan pribadi di project yang ditentukan:

 gcloud resource-manager org-policies allow \
     cloudbuild.allowedWorkerPools under:projects/PRIVATEPOOL_PROJECT_ID \
     --project BUILD_PROJECT_ID

Dengan PRIVATEPOOL_PROJECT_ID adalah ID project yang berisi kumpulan pribadi dan BUILD_PROJECT_ID adalah ID project tempat Anda menjalankan build.

Perhatikan hal-hal berikut saat menerapkan batasan kebijakan organisasi constraints/cloudbuild.allowedWorkerPools:

Jika Anda menerapkan batasan kebijakan organisasi ini ke project Google Cloud , pastikan semua build dalam project menggunakan kumpulan pribadi; build yang mencoba menggunakan kumpulan bersama default akan gagal.
Jika organisasi Anda berisi layanan seperti fungsi App Engine atau Cloud Run yang secara implisit menggunakan Cloud Build, penerapan batasan kebijakan organisasi ini dapat menyebabkan layanan tersebut tidak berfungsi seperti yang diharapkan. Google Cloud

Membuat kumpulan pribadi di perimeter layanan

Konsol

Buka halaman Worker Pool di konsol Google Cloud :

Buka halaman kumpulan pekerja Cloud Build
Pilih project tempat Anda ingin membuat kumpulan pribadi.
Di halaman Worker pool, klik Create.
Di panel samping Buat kumpulan pribadi:
1. Masukkan nama untuk kumpulan pribadi Anda.
2. Pilih region tempat Anda ingin membuat pool pribadi.
3. Pilih jenis mesin Compute Engine yang ingin Anda gunakan untuk kumpulan pribadi.
4. Masukkan nomor project Google Cloud tempat Anda membuat jaringan VPC.
5. Masukkan nama jaringan VPC Anda.
6. Hapus centang pada Tetapkan IP eksternal.
7. Klik Buat.

gcloud

Buat file konfigurasi pool pribadi dalam format YAML atau JSON, dan tetapkan flag egressOption ke NO_PUBLIC_EGRESS:
```
privatePoolV1Config:
  networkConfig:
    egressOption: NO_PUBLIC_EGRESS
    peeredNetwork: PEERED_NETWORK
  workerConfig:
    diskSizeGb: 'PRIVATE_POOL_DISK_SIZE'
    machineType: PRIVATE_POOL_MACHINE_TYPE
```
Dengan:
- PEERED_NETWORK adalah URL resource jaringan dari jaringan yang di-peering ke jaringan penyedia layanan. PEERED_NETWORK harus dalam format projects/NETWORK_PROJECT_ID/global/networks/NETWORK_NAME, dengan NETWORK_PROJECT_ID adalah project ID project Google Cloud yang memiliki jaringan VPC Anda dan NETWORK_NAME adalah nama jaringan VPC Anda.
- PRIVATE_POOL_MACHINE_TYPE adalah jenis mesin Compute Engine untuk instance kumpulan pribadi. Untuk jenis mesin yang didukung, lihat Skema file konfigurasi kumpulan pribadi.
- PRIVATE_POOL_DISK_SIZE adalah ukuran disk untuk instance pool pribadi dalam GB. Tentukan nilai yang lebih besar dari atau sama dengan 100 dan kurang dari atau sama dengan 1000. Jika Anda menentukan 0, Cloud Build akan menggunakan nilai default 100.
- egressOption adalah tanda untuk mengaktifkan perimeter Kontrol Layanan VPC untuk pool pribadi Anda. Tetapkan ini ke NO_PUBLIC_EGRESS untuk membuat kumpulan pribadi Anda dalam perimeter Kontrol Layanan VPC.
Jalankan perintah gcloud berikut, dengan PRIVATEPOOL_ID adalah ID unik untuk pool pribadi Anda, PRIVATEPOOL_CONFIG_FILE adalah nama file konfigurasi pool pribadi Anda, dan REGION adalah region tempat Anda ingin membuat pool pribadi:
```
gcloud builds worker-pools create PRIVATEPOOL_ID --config-from-file PRIVATEPOOL_CONFIG_FILE --region REGION
```

Opsional: Aktifkan panggilan internet publik di jaringan VPC

Pastikan jaringan VPC Anda dikonfigurasi untuk mengizinkan konektivitas jaringan ke tempat repositori Anda dihosting (misalnya, github.com) dengan setelan berikut:

Pastikan kolom egressOption di file konfigurasi pool pribadi disetel ke PUBLIC_EGRESS, atau siapkan pool pribadi Anda untuk menggunakan IP eksternal statis.
Jaringan VPC tempat kumpulan pribadi Anda berjalan ditentukan sebagai PeeredNetwork. Untuk mengizinkan panggilan ke host repositori Anda, pastikan jaringan VPC ini mengizinkan traffic keluar publik ke host repositori Anda. Untuk mengetahui informasi tentang cara melakukannya, lihat rute dan aturan firewall.

Batasan

Perlindungan Kontrol Layanan VPC hanya tersedia untuk build yang dijalankan di pool pribadi; Anda tidak dapat menggunakan Kontrol Layanan VPC dengan build yang dijalankan di pool default.
Pemicu Cloud Build Pub/Sub tidak didukung saat Kontrol Layanan VPC digunakan.

Langkah berikutnya

Pelajari cara menjalankan build di pool pribadi.
Pelajari cara mengonfigurasi kasus penggunaan jaringan yang umum digunakan.