Halaman ini diterjemahkan oleh Cloud Translation API.

Membatasi traffic masuk jaringan untuk Cloud Run

Halaman ini menjelaskan cara menggunakan setelan traffic masuk untuk membatasi akses jaringan ke layanan Cloud Run Anda.

Di tingkat jaringan, endpoint layanan Cloud Run dapat dijangkau dari jalur masuk jaringan berikut:

URL run.app default, yang dapat Anda nonaktifkan
Pemetaan domain yang dikonfigurasi
Load Balancer Aplikasi Eksternal atau Load Balancer Aplikasi Internal yang dikonfigurasi

Semua jalur ingress jaringan tunduk pada setelan ingress layanan. Setelan ingress dan jalur ingress default memungkinkan resource apa pun di internet menjangkau layanan Cloud Run Anda. Anda dapat menggunakan batasan kustom untuk membatasi setelan ingress bagi organisasi Anda atau untuk sekumpulan project. Autentikasi IAM masih berlaku untuk permintaan yang mencapai endpoint layanan dari jalur masuk jaringan sebelumnya. Untuk pendekatan berlapis guna mengelola akses, gunakan setelan traffic masuk jaringan dan autentikasi IAM.

Gunakan tag jaringan untuk membatasi akses VM konektor ke resource VPC.

Setelan masuk jaringan yang tersedia

Berikut adalah setelan yang tersedia:

Setelan Deskripsi

Internal

Setelan	Deskripsi
Internal	Batasan maksimum. Mengizinkan permintaan dari sumber berikut: Load Balancer Aplikasi internal, termasuk permintaan dari jaringan VPC Bersama saat dirutekan melalui Load Balancer Aplikasi internal. Resource yang diizinkan oleh perimeter Kontrol Layanan VPC apa pun yang berisi layanan Cloud Run Anda. Cloud Run harus dikonfigurasi sebagai layanan terbatas. Jaringan VPC yang berada dalam project yang sama dengan layanan Cloud Run Anda. Traffic masuk VPC Bersama: Jaringan VPC Bersama tempat revisi Anda dikonfigurasi untuk mengirim traffic. Untuk mengetahui informasi tentang kapan traffic VPC Bersama dikenali sebagai "internal", lihat Pertimbangan khusus untuk VPC Bersama. Produk Google Cloud berikut, jika berada dalam project atau perimeter Kontrol Layanan VPC yang sama dengan layanan Cloud Run Anda dan jika menggunakan URL `run.app` default, bukan domain kustom: Cloud Scheduler Cloud Tasks Dialogflow CX Eventarc Pub/Sub Monitor sintetis (termasuk cek uptime) Workflows BigQuery Permintaan dari sumber ini tetap berada dalam jaringan Google, meskipun permintaan tersebut mengakses layanan Anda di`run.app` URL. Permintaan dari sumber lain, termasuk internet, tidak dapat menjangkau layanan Anda di `run.app` URL atau domain kustom.
Cloud Load Balancing dan Internal	Setelan ini mengizinkan permintaan dari resource berikut: Resource yang diizinkan oleh setelan "internal" yang lebih ketat Load Balancer Aplikasi Eksternal Gunakan setelan ini untuk melakukan hal berikut: Terima permintaan dari internet melalui Aplikasi eksternal Load Balancer. Permintaan langsung ke URL `run.app` dari internet tidak diizinkan. Pastikan permintaan dari internet tunduk pada fitur Load Balancer Aplikasi eksternal, seperti Identity-Aware Proxy, Google Cloud Armor, dan Cloud CDN. Catatan: Untuk mengaktifkan setelan ini di gcloud CLI, gunakan `internal-and-cloud-load-balancing`. Untuk mengaktifkan setelan ini di konsol Google Cloud , pilih Internal > Izinkan traffic dari Load Balancer Aplikasi eksternal.
Semua	Batasan minimum. Mengizinkan semua permintaan, termasuk permintaan langsung dari internet ke URL `run.app`.

Batasan maksimum. Mengizinkan permintaan dari sumber berikut:

Load Balancer Aplikasi internal, termasuk permintaan dari jaringan VPC Bersama saat dirutekan melalui Load Balancer Aplikasi internal.
Resource yang diizinkan oleh perimeter Kontrol Layanan VPC apa pun yang berisi layanan Cloud Run Anda. Cloud Run harus dikonfigurasi sebagai layanan terbatas.
Jaringan VPC yang berada dalam project yang sama dengan layanan Cloud Run Anda.
Traffic masuk VPC Bersama: Jaringan VPC Bersama tempat revisi Anda dikonfigurasi untuk mengirim traffic. Untuk mengetahui informasi tentang kapan traffic VPC Bersama dikenali sebagai "internal", lihat Pertimbangan khusus untuk VPC Bersama.
Produk Google Cloud berikut, jika berada dalam project atau perimeter Kontrol Layanan VPC yang sama dengan layanan Cloud Run Anda dan jika menggunakan URL run.app default, bukan domain kustom:

Cloud Scheduler
Cloud Tasks
Dialogflow CX
Eventarc
Pub/Sub
Monitor sintetis (termasuk cek uptime)
Workflows
BigQuery

Permintaan dari sumber ini tetap berada dalam jaringan Google, meskipun permintaan tersebut mengakses layanan Anda dirun.app URL. Permintaan dari sumber lain, termasuk internet, tidak dapat menjangkau layanan Anda di run.app URL atau domain kustom.

Cloud Load Balancing dan Internal

Setelan ini mengizinkan permintaan dari resource berikut:

Resource yang diizinkan oleh setelan "internal" yang lebih ketat
Load Balancer Aplikasi Eksternal

Gunakan setelan ini untuk melakukan hal berikut:

Terima permintaan dari internet melalui Aplikasi eksternal Load Balancer. Permintaan langsung ke URL run.app dari internet tidak diizinkan.
Pastikan permintaan dari internet tunduk pada fitur Load Balancer Aplikasi eksternal, seperti Identity-Aware Proxy, Google Cloud Armor, dan Cloud CDN.

Catatan: Untuk mengaktifkan setelan ini di gcloud CLI, gunakan internal-and-cloud-load-balancing. Untuk mengaktifkan setelan ini di konsol Google Cloud , pilih Internal > Izinkan traffic dari Load Balancer Aplikasi eksternal.

Semua Batasan minimum. Mengizinkan semua permintaan, termasuk permintaan langsung dari internet ke URL run.app.

Mengakses layanan internal

Pertimbangan tambahan berikut berlaku:

Saat mengakses layanan internal, panggil layanan seperti yang biasa Anda lakukan menggunakan URL-nya, baik URL run.app default maupun domain kustom yang disiapkan di Cloud Run.
Untuk permintaan dari instance VM Compute Engine, tidak diperlukan penyiapan lebih lanjut untuk mesin yang memiliki alamat IP eksternal atau yang menggunakan Cloud NAT. Jika tidak, baca bagian Menerima permintaan dari jaringan VPC.
Saat memanggil dari Cloud Run atau App Engine ke layanan Cloud Run yang disetel ke "Internal" atau "Internal dan Cloud Load Balancing", traffic harus dirutekan melalui jaringan VPC yang dianggap internal. Lihat Menerima permintaan dari layanan Cloud Run atau App Engine lainnya.
Permintaan dari resource dalam jaringan VPC pada project yang sama adalah "internal" meskipun resource asalnya memiliki alamat IP eksternal.
Permintaan dari resource lokal yang terhubung ke jaringan VPC menggunakan Cloud VPN dan Cloud Interconnect dianggap "internal".

Menetapkan ingress

Anda dapat menyetel traffic masuk menggunakan konsol Google Cloud , Google Cloud CLI, YAML, atau Terraform.

Konsol

Di konsol Google Cloud , buka halaman Cloud Run:

Buka Cloud Run
Jika Anda mengonfigurasi layanan baru, pilih Layanan dari menu, lalu klik Deploy container untuk menampilkan formulir Buat layanan. Isi halaman setelan layanan awal.
Jika Anda mengonfigurasi layanan yang ada, klik layanan tersebut, lalu klik tab Networking.
Pilih traffic masuk yang ingin Anda izinkan:
Klik Buat atau Simpan.

gcloud

Jika Anda men-deploy layanan baru, deploy layanan dengan flag --ingress:
```
gcloud run deploy SERVICE --image IMAGE_URL --ingress INGRESS
```
Ganti
- INGRESS dengan salah satu setelan masuk yang tersedia:
  - all
  - internal
  - internal-and-cloud-load-balancing
- SERVICE dengan nama layanan Anda
- IMAGE_URL dengan referensi ke image container, misalnya, us-docker.pkg.dev/cloudrun/container/hello:latest. Jika Anda menggunakan Artifact Registry, repositori REPO_NAME harus sudah dibuat. URL memiliki bentuk LOCATION-docker.pkg.dev/PROJECT_ID/REPO_NAME/PATH:TAG
Jika Anda mengubah layanan masuk yang sudah ada:
```
gcloud run services update SERVICE --ingress INGRESS
```
Ganti
- INGRESS dengan salah satu setelan masuk yang tersedia:
  - all
  - internal
  - internal-and-cloud-load-balancing
- SERVICE dengan nama layanan Anda

YAML

Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:
```
gcloud run services describe SERVICE --format export > service.yaml
```
Update anotasi run.googleapis.com/ingress::
```
apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  annotations:
    run.googleapis.com/ingress: INGRESS
  name: SERVICE
spec:
  template:
    metadata:
      name: REVISION
```
Ganti
- SERVICE dengan nama Cloud Run Anda.
- INGRESS dengan salah satu setelan masuk yang tersedia:
  - all
  - internal
  - internal-and-cloud-load-balancing
- REVISION dengan nama revisi baru atau hapus (jika ada). Jika Anda memberikan nama revisi baru, nama tersebut harus memenuhi kriteria berikut:
  - Dimulai denganSERVICE-
  - Hanya berisi huruf kecil, angka, dan -
  - Tidak diakhiri dengan -
  - Tidak melebihi 63 karakter
Ganti layanan dengan konfigurasi barunya menggunakan perintah berikut:
```
gcloud run services replace service.yaml
```

Terraform

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

Tambahkan kode berikut ke resource google_cloud_run_v2_service di konfigurasi Terraform Anda:

resource "google_cloud_run_v2_service" "default" {
  provider = google-beta
  name     = "ingress-service"
  location = "us-central1"

  deletion_protection = false # set to "true" in production

  # For valid annotation values and descriptions, see
  # https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/cloud_run_v2_service#ingress
  ingress = "INGRESS_TRAFFIC_INTERNAL_ONLY"

  template {
    containers {
      image = "us-docker.pkg.dev/cloudrun/container/hello" #public image for your service
    }
  }
}

Menonaktifkan URL default

Nonaktifkan URL run.app default layanan Cloud Run agar hanya mengizinkan traffic dari jalur masuk layanan lainnya: Cloud Load Balancing dan pemetaan domain yang dikonfigurasi.

Untuk menonaktifkan URL default, lakukan langkah-langkah berikut menggunakan Google Cloud CLI, YAML, atau Terraform.

Command line

Untuk menonaktifkan URL run.app untuk layanan, jalankan perintah gcloud beta run services update dengan flag --no-default-url, atau teruskan flag --no-default-url ke perintah gcloud run deploy:
```
gcloud beta run services update SERVICE_NAME --no-default-url
```
dengan SERVICE_NAME adalah nama layanan Cloud Run Anda.

Dalam output, URL ditampilkan sebagai None.

Untuk memulihkan URL default, gunakan flag --default-url.

YAML

Jika Anda membuat layanan baru, lewati langkah ini. Jika Anda mengupdate layanan yang sudah ada, download konfigurasi YAML-nya:
```
gcloud run services describe SERVICE --format export > service.yaml
```
Untuk menonaktifkan URL run.app, gunakan anotasi run.googleapis.com/default-url-disabled:
```
apiVersion: serving.knative.dev/v1
kind: Service
metadata:
  annotations:
    run.googleapis.com/default-url-disabled: true
    run.googleapis.com/launch-stage: BETA
  name: SERVICE
spec:
  template:
    metadata:
      name: REVISION
```
Ganti
- SERVICE dengan nama layanan Cloud Run Anda.
- REVISION dengan nama revisi baru atau hapus (jika ada). Jika Anda memberikan nama revisi baru, nama tersebut harus memenuhi kriteria berikut:
  - Dimulai denganSERVICE-
  - Hanya berisi huruf kecil, angka, dan -
  - Tidak diakhiri dengan -
  - Tidak melebihi 63 karakter
Buat atau perbarui layanan menggunakan perintah berikut:
```
gcloud run services replace service.yaml
```

Untuk memulihkan URL default, hapus anotasi run.googleapis.com/default-url-disabled tersebut.

Terraform

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

Tambahkan kode berikut ke resource google_cloud_run_v2_service di konfigurasi Terraform Anda:

  resource "google_cloud_run_v2_service" "disable_default_url_service" {
    name     = "cloudrun-service"
    location = "europe-west1"
    launch_stage = "BETA"
    default_uri_disabled = true

    template {
      containers {
        image = "us-docker.pkg.dev/cloudrun/container/hello"
      }
      annotations = {
        "run.googleapis.com/ingress" = "all"   # "all" or "internal-only"
      }

    }
  }

Verifikasi bahwa baris launch_stage dan default_uri_disabled ada di file main.tf Anda. Resource google_cloud_run_v2_service sebelumnya menentukan layanan Cloud Run dengan URL default yang dinonaktifkan di Pratinjau.

Untuk memulihkan URL default, hapus argumen default_uri_disabled dan launch_stage.

Layanan Google Cloud berikut menggunakan URL run.app default untuk memanggil Cloud Run. Menonaktifkan URL run.app default akan mencegah layanan ini berfungsi seperti yang diharapkan:

URL cloudfunctions.net dari Cloud Functions v2 API berdasarkan layanan Cloud Run.
Cloud Scheduler
Cloud Service Mesh
Cloud Tasks
Dialogflow CX
Eventarc
Firebase App Hosting
Firebase Hosting
Pub/Sub
Monitor sintetis dan cek uptime
Workflows

Langkah berikutnya

Pelajari setelan keluar.
Siapkan Load Balancer Aplikasi internal untuk Cloud Run.
Siapkan Load Balancer Aplikasi eksternal dengan Cloud Run.
Mengonfigurasi metode autentikasi IAM untuk mengakses layanan.

Membatasi traffic masuk jaringan untuk Cloud Run Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Setelan masuk jaringan yang tersedia

Mengakses layanan internal

Menetapkan ingress

Konsol

gcloud

YAML

Terraform

Menonaktifkan URL default

Command line

YAML

Terraform

Langkah berikutnya

Membatasi traffic masuk jaringan untuk Cloud Run