Jaringan pribadi dan Cloud Run

Halaman ini membahas opsi konfigurasi untuk menyertakan resource Cloud Run di jaringan pribadi Anda.

Untuk mendapatkan hasil maksimal dari konten ini, Anda harus memahami konsep berikut:

Guna mengamankan traffic jaringan untuk layanan dan aplikasinya, banyak organisasi menggunakan jaringan pribadi di Google Cloud dengan kontrol perimeter untuk mencegah pemindahan data yang tidak sah. Jaringan pribadi Anda mungkin memiliki properti berikut:

  • Anda mungkin memiliki sejumlah resource, seperti VM, yang berada di satu atau beberapa jaringan VPC.
  • VM ini mungkin dimiliki oleh banyak project yang berbeda, dan mungkin terhubung bersama dengan VPC Bersama.
  • Anda mungkin memiliki workload lokal atau workload di cloud lain yang terhubung ke lingkungan ini menggunakanCloud VPN atau Cloud Interconnect.
  • Anda mungkin telah mengaktifkan perimeter Kontrol Layanan VPC untuk mengurangi risiko pemindahan data yang tidak sah.
  • Anda mungkin memiliki beberapa jaringan pribadi, satu untuk setiap lingkungan yang berbeda, misalnya satu untuk produksi, satu untuk staging, dan satu untuk pengembangan.

Tidak seperti VM, resource Cloud Run secara default tidak dikaitkan dengan jaringan VPC tertentu. Halaman ini menjelaskan cara menggabungkan resource Cloud Run ke dalam jaringan pribadi Anda.

Narasi jaringan serverless

Untuk mempelajari berbagai konfigurasi perusahaan umum untuk jaringan publik dan pribadi, baca Narasi jaringan serverless kami.

Titik awal ini memperkenalkan skenario Cloud Run dasar hingga lanjutan berikut:

  • Men-deploy aplikasi "Hello, World!" yang menggunakan domain kustom dengan aman
  • Mengembangkan aplikasi perusahaan dan microservice
  • Mengakses database dan sistem file secara publik atau pribadi
  • Terhubung dengan penyedia SaaS
  • Menerapkan kontrol keamanan

Lihat daftar modul Terraform yang sesuai.

Menerima permintaan dari jaringan pribadi Anda

Penerimaan permintaan dari jaringan pribadi Anda memerlukan konfigurasi berdasarkan kondisi berikut:

  • Asal permintaan.
  • Apakah resource Cloud Run hanya mengizinkan permintaan dari jaringan pribadi Anda.

Misalnya, penerimaan permintaan dari jaringan VPC mungkin memerlukan konfigurasi yang berbeda dibandingkan menerima permintaan dari resource lokal dan cloud lainnya.

Menerima permintaan dari resource Cloud Run atau App Engine lainnya

Saat resource Cloud Run tujuan Anda menerima traffic dari resource Cloud Run atau App Engine lain, dan menggunakan setelan ingress "internal" atau "internal dan load balancing", traffic harus menggunakan jaringan VPC agar dianggap internal.

Untuk menerima permintaan dari resource Cloud Run atau App Engine lainnya, lakukan langkah-langkah berikut:

  1. Konfigurasikan resource source untuk menggunakan traffic keluar VPC Langsung atau konektor.

  2. Pastikan traffic ke rute Cloud Run melalui jaringan VPC menggunakan salah satu opsi berikut:

    • Konfigurasikan resource source untuk mengirim semua traffic melalui jaringan VPC dan mengaktifkan Akses Google Pribadi pada subnet yang terkait dengan traffic keluar VPC Langsung atau konektor.
    • Siapkan Private Service Connect atau Load Balancer Aplikasi internal untuk menghadap ke resource Cloud Run tujuan Anda. Dengan konfigurasi ini, Anda dapat mengakses Cloud Run menggunakan alamat IP internal, sehingga permintaan dirutekan melalui jaringan VPC.
    • Aktifkan Akses Google Pribadi di subnet yang terkait dengan resource sumber dan konfigurasi DNS untuk me-resolve URL run.app ke rentang private.googleapis.com (199.36.153.8/30) atau restricted.googleapis.com (199.36.153.4/30). Permintaan ke rentang ini dirutekan melalui jaringan VPC.

Menerima permintaan dari jaringan VPC

Secara default, hanya resource yang memiliki alamat IP eksternal atau menggunakan Cloud NAT yang dapat langsung mengakses internet dan layananGoogle Cloud seperti Pub/Sub dan Cloud Run. Untuk resource lainnya, ada beberapa opsi untuk mengaktifkan jalur traffic ke Cloud Run:

  • Jalur paling langsung adalah mengaktifkan Akses Google Pribadi di subnet yang menghosting resource Anda. Jika Akses Google Pribadi diaktifkan, resource di subnet dapat mengakses resource Cloud Run Anda di URL run.app default. Traffic dari jaringan VPC Anda ke Cloud Run tetap berada di jaringan Google. Dalam hal ini, rentang IP untuk permintaan yang dikirim ke resource Cloud Run adalah 0.0.0.0/32. Artinya, dalam entri log permintaan, atribut remoteIp dari HttpRequest akan menjadi 0.0.0.0.
  • Jika Anda perlu mengakses resource Cloud Run (bersama dengan Google API lainnya) melalui alamat IP internal di jaringan VPC, pertimbangkan untuk membuat endpoint Private Service Connect dan mengonfigurasi zona DNS pribadi untuk run.app. Dengan konfigurasi ini, resource di jaringan VPC dapat mengakses resource Cloud Run di URL run.app default melalui alamat IP endpoint Private Service Connect.
  • Jika Anda memerlukan kemampuan dan kontrol load balancing, pertimbangkan untuk menggunakan Load Balancer Aplikasi internal. Dengan pendekatan ini, resource di jaringan VPC mengakses resource Cloud Run Anda menggunakan URL yang terkait dengan Load Balancer Aplikasi internal.
  • Jika ingin mengekspos layanan Anda ke klien internal sebagai layanan terkelola dan dapat mengontrol project yang dapat mengaksesnya, Anda dapat menghostingnya dengan Load Balancer Aplikasi internal dan memublikasikan layanan menggunakan Private Service Connect. Project yang perlu menggunakan layanan dapat mengaksesnya menggunakan endpoint Private Service Connect atau backend Private Service Connect.

Respons akan ditampilkan menggunakan jalur yang sama dengan yang dilalui permintaan.

Pertimbangkan dengan khusus untuk VPC bersama

Saat menggunakan setelan internal dengan kontrol masuk Cloud Run untuk menerapkan bahwa semua traffic harus berasal dari jaringan pribadi Anda, traffic VPC Bersama hanya dikenali sebagai "internal" dalam situasi berikut:

  • Resource Cloud Run berjalan di project host VPC Bersama.

  • Ingress VPC Bersama: resource Cloud Run dilampirkan ke jaringan VPC Bersama. Dalam skenario ini, perhatikan pertimbangan berikut:

    • Hanya revisi layanan yang telah mengonfigurasi Traffic keluar VPC Langsung atau yang telah mengonfigurasi konektor Akses VPC Serverless untuk mengirim traffic ke jaringan VPC Bersama yang akan juga menerima traffic dari jaringan VPC Bersama yang sama.

    • Permintaan menggunakan jalur yang berbeda berdasarkan arah traffic. Permintaan yang dikirim dari Cloud Run ke jaringan VPC Bersama dirutekan oleh traffic keluar VPC Langsung atau konektor. Namun, permintaan yang dikirim dari jaringan VPC Bersama ke Cloud Run menggunakan jalur ingress standar.

    • Untuk melepaskan resource Cloud Run dari jaringan VPC Bersama, deploy ulang tanpa akses jaringan VPC, atau dengan resource yang dikonfigurasi untuk mengirim traffic ke jaringan VPC yang berbeda.

  • Anda menggunakan Load Balancer Aplikasi internal untuk mem-proxy traffic.

  • Anda telah menempatkan host VPC Bersama dan semua project layanan di dalam perimeter Kontrol Layanan VPC yang sama. Untuk menyiapkan Kontrol Layanan VPC, lihat Menggunakan Kontrol Layanan VPC (VPC SC).

Pertimbangan khusus untuk jaringan VPC lain di luar project Anda

Saat menggunakan setelan internal dengan kontrol masuk Cloud Run untuk menerapkan bahwa semua traffic harus berasal dari jaringan pribadi Anda, traffic dari jaringan VPC lain di luar project Anda tidak dikenali sebagai "internal" kecuali dalam situasi berikut:

  • Kontrol Layanan VPC dikonfigurasi untuk mengizinkan traffic dengan run.googleapis.com sebagai layanan terbatas, dan Akses Google Pribadi diaktifkan untuk subnet sumber.
  • Resource Cloud Run Anda dipublikasikan sebagai layanan terkelola dengan menggunakan Private Service Connect (memerlukan Load Balancer Aplikasi internal), dan diakses dari jaringan VPC lain.

Peering dengan jaringan VPC yang berada di luar project Anda tidak mengizinkan traffic dikenali sebagai "internal".

Menerima permintaan dari layanan Google Cloud lain

Permintaan ke Cloud Run dari layanan Google Cloud seperti Pub/Sub tetap berada dalam jaringan Google.

Ada beberapa pertimbangan khusus jika Anda telah mengonfigurasi kontrol ingress Cloud Run agar hanya mengizinkan traffic "internal":

  • Permintaan dari BigQuery, Cloud Scheduler, Cloud Tasks, Dialogflow CX, Eventarc, Pub/Sub, monitor sintetis (termasuk pemeriksaan waktu aktif), dan Workflows dalam project atau perimeter Kontrol Layanan VPC yang sama dikenali sebagai "internal".
  • Permintaan dari Cloud Run atau App Engine yang dikirim dari dalam project atau perimeter Kontrol Layanan VPC yang sama memerlukan konfigurasi tambahan sebelum diakui sebagai "internal". Untuk mengetahui detailnya, lihat bagian Menerima permintaan dari layanan Cloud Run atau App Engine lainnya.
  • Jika layanan Google Cloud yang Anda pilih tidak dapat mengakses resource Cloud Run yang memiliki ingress yang ditetapkan ke internal, perhatikan bahwa banyak layanan yang mendukung autentikasi ke Cloud Run, seperti Pub/Sub (mendukung internal dan autentikasi), API Gateway, dan Dialogflow CX (mendukung internal dan autentikasi). Bergantung pada kebutuhan keamanan Anda, resource Cloud Run tujuan mungkin cukup untuk meminta autentikasi, bukan ingress "internal".
  • Permintaan dari layanan Google Cloud yang tidak disebutkan sebelumnya tidak diakui sebagai internal dan tidak dapat diterima oleh resource Cloud Run yang menetapkan ingress ke internal atau internal-and-cloud-load-balancing.

Menerima permintaan dari resource lokal atau cloud lainnya

Ada beberapa cara untuk menerima permintaan secara pribadi dari resource lokal dan cloud lainnya.

Mewajibkan permintaan berasal dari jaringan pribadi Anda

Untuk mencegah traffic masuk (masuk) dari sumber eksternal, Anda menentukan setelan masuk yang terbatas. Setelan ingress yang paling ketat adalah internal. Dengan traffic masuk ditetapkan ke internal, layanan Anda hanya mengizinkan permintaan dari project Anda, jaringan VPC Bersama tempat project Anda terpasang, dan perimeter Kontrol Layanan VPC Anda. Ada beberapa batasan pada setelan ini, bergantung pada dari mana permintaan berasal. Untuk mempelajari batasan ini dan cara mengatasinya, lihat bagian Menerima permintaan dari jaringan pribadi Anda.

Anda dapat menentukan setelan ingress untuk setiap resource Cloud Run, atau menerapkan penggunaan setelan ingress yang diinginkan untuk semua resource Cloud Run di organisasi Anda.

  • Untuk menentukan setelan ingress bagi setiap resource Cloud Run: Lihat Menetapkan ingress.
  • Untuk menerapkan setelan ingress tertentu bagi semua resource Cloud Run di project, folder, atau organisasi Anda: Konfigurasikan batasan kebijakan organisasi run.allowedIngress. Untuk mempelajari caranya, lihat Menyesuaikan kebijakan untuk batasan daftar.

Kirim permintaan ke jaringan pribadi Anda

Jika resource Cloud Run perlu mengakses resource di jaringan pribadi, Anda dapat mengonfigurasi jalur untuk permintaan pribadi ke jaringan Anda. Konfigurasi ini bergantung pada tujuan akhir permintaan.

Mengirim permintaan ke jaringan VPC Anda

Untuk mengirim permintaan ke jaringan VPC, Anda harus mengonfigurasi traffic VPC Langsung atau konektor Akses VPC Tanpa Server. Membandingkan Traffic keluar VPC langsung dan konektor VPC. Tinjau harga untuk memahami biaya.

Saat konektor atau traffic keluar VPC Langsung dikonfigurasi, pertimbangan berikut berlaku secara default:

  • Semua kueri DNS dikirim ke server DNS yang dikonfigurasi untuk jaringan VPC yang terkait dengan penyiapan traffic keluar jaringan VPC Anda.

  • Permintaan ke alamat IP internal dirutekan ke jaringan VPC menggunakan traffic keluar VPC Langsung atau konektor. Permintaan ke tujuan publik akan terus dirutekan langsung ke internet, kecuali jika setelan traffic keluar Anda dikonfigurasi sebaliknya.

Dengan permintaan yang dirutekan menggunakan traffic keluar VPC Langsung atau konektor, respons akan ditampilkan menggunakan jalur yang dilalui permintaan tersebut. Permintaan dari jaringan VPC Anda ke Cloud Run diaktifkan dengan menggunakan teknologi lain dan tidak dirutekan melalui traffic keluar VPC Langsung atau konektor, dan respons terhadap permintaan tersebut ditampilkan menggunakan jalur yang sama. Untuk mempelajari lebih lanjut cara mengirim permintaan dari jaringan VPC Anda ke Cloud Run, lihat Menerima permintaan dari jaringan VPC.

Mengirim permintaan ke jaringan CPC di luar project Anda

Untuk mengirim permintaan ke jaringan VPC di luar project Anda:

  1. Untuk pengguna VPC Bersama, lihat Menghubungkan ke jaringan VPC Bersama.
  2. Untuk jaringan VPC lain, konfigurasikan traffic keluar VPC Langsung atau konektor untuk terhubung ke VPC di project Anda.
    • Jaringan VPC yang di-peering: Untuk mengirim ke VPC yang di-peering ke VPC yang menggunakan traffic keluar jaringan VPC, tidak ada konfigurasi tambahan yang diperlukan. Namun, VM di subnet traffic keluar jaringan VPC yang menghosting harus dapat menjangkau jaringan VPC target.
    • Jaringan VPC lain: Untuk jaringan VPC di luar project Anda yang bukan bagian dari lingkungan VPC Bersama yang sama atau di-peering ke jaringan VPC project Anda, konfigurasikan Private Service Connect setelah menyiapkan traffic keluar jaringan VPC.

Mengirim permintaan ke resource dan layanan Google Cloud Cloud Run lainnya

Permintaan dari satu resource Cloud Run ke resource Cloud Run lainnya atau ke layananGoogle Cloud lainnya tetap berada dalam jaringan internal Google dan tunduk pada Kontrol Layanan VPC.

Untuk permintaan ke resource Cloud Run dengan setelan ingress yang ketat, konfigurasi tambahan diperlukan. Lihat Menerima permintaan dari resource Cloud Run atau App Engine lainnya.

Kirim permintaan ke resource lokal dan cloud lainnya

Untuk mengirim permintaan ke resource lokal dan cloud lainnya melalui jaringan pribadi, Anda harus melakukan hal berikut:

  1. Pastikan jaringan VPC Anda dikonfigurasi untuk mengarahkan traffic ke tujuan secara pribadi, seperti melalui tunnel VPN.
  2. Konfigurasi layanan Anda untuk mengirim permintaan ke jaringan VPC Anda.
  3. Wajibkan semua permintaan masuk ke jaringan VPC Anda.

Mewajibkan semua permintaan untuk masuk ke jaringan VPC Anda

Untuk mewajibkan semua permintaan dari resource Cloud Run Anda dimasukkan ke jaringan VPC Anda, tentukan setelan traffic keluar jaringan VPC all-traffic. Anda dapat menentukan setelan egress untuk setiap resource Cloud Run yang menggunakan traffic keluar jaringan VPC, atau Anda dapat menerapkan penggunaan setelan egress yang diinginkan untuk semua resource Cloud Run di project, folder, atau organisasi Anda.

Hal ini berguna dalam situasi berikut:

  1. Anda ingin menyiapkan alamat IP keluar statis untuk resource Cloud Run.
  2. Anda ingin menerapkan aturan firewall untuk semua traffic keluar dari resource Cloud Run.
  3. Anda ingin mengirim permintaan ke resource lokal dan cloud lainnya melalui jaringan pribadi.

Jika resource Cloud Run Anda membuat permintaan ke tujuan akhir di luar jaringan VPC Anda, mewajibkan semua permintaan untuk masuk ke jaringan VPC Anda akan meningkatkan penggunaan bandwidth pada konektor Akses VPC Serverless yang dikonfigurasi dan dapat meningkatkan biaya yang sesuai. Konektor secara otomatis akan menyebarkan skala saat traffic meningkat, tetapi tidak akan meningkatkan skala jika traffic berkurang. Tinjau harga untuk memahami biaya.

Kontrol tambahan

  • Kontrol perimeter: Guna mengurangi risiko pemindahan data yang tidak sah untuk grup resource, tempatkan resource dalam perimeter kontekstual menggunakan Kontrol Layanan VPC.
  • Kontrol terperinci: Untuk mengontrol akses traffic dari resource tertentu dalam jaringan pribadi Anda, seperti resource Cloud Run atau virtual machine Compute Engine tertentu, gunakan akun layanan untuk mengontrol izin dan otentikasi.

Langkah berikutnya

Jika Anda menggunakan Terraform, kode contoh Terraform tersedia untuk menyiapkan resource Cloud Run di jaringan pribadi.