Mengonfigurasi Kontrol Layanan VPC dan cluster pribadi

Halaman ini menjelaskan cara kerja Kontrol Layanan VPC dan cluster pribadi serta cara menyiapkannya di Cloud Workstations.

Kontrol Layanan VPC

Kontrol Layanan VPC memberikan keamanan tambahan untuk workstation Anda guna membantu mengurangi risiko pemindahan data yang tidak sah. Dengan Kontrol Layanan VPC, Anda dapat menambahkan project ke perimeter layanan yang dapat membantu melindungi resource dan layanan dari permintaan yang berasal dari luar perimeter.

Berikut adalah persyaratan untuk menggunakan Cloud Workstations dalam perimeter layanan VPC:

  • Untuk membantu melindungi Cloud Workstations, Anda harus membatasi Compute Engine API di perimeter layanan setiap kali Anda membatasi Cloud Workstations API.

  • Pastikan Google Cloud Storage API dan Artifact Registry API dapat diakses VPC di perimeter layanan Anda. Tindakan ini diperlukan untuk menarik gambar ke workstation Anda. Sebaiknya Anda juga mengizinkan Cloud Logging API dan Cloud Error Reporting API dapat diakses VPC di perimeter layanan Anda, meskipun hal ini tidak diperlukan untuk menggunakan Cloud Workstations.

  • Pastikan cluster workstation Anda pribadi. Mengonfigurasi cluster pribadi mencegah koneksi ke workstation Anda dari luar perimeter layanan VPC Anda. Layanan Cloud Workstations mencegah pembuatan cluster publik dalam perimeter layanan VPC.
  • Pastikan Anda menonaktifkan alamat IP publik dalam konfigurasi workstation Anda. Jika tidak dilakukan, VM dengan alamat IP publik akan ada di project Anda. Sebaiknya Anda menggunakan constraints/compute.vmExternalIpAccess batasan kebijakan organisasi untuk menonaktifkan alamat IP publik untuk semua VM di perimeter layanan VPC Anda. Untuk mengetahui detailnya, lihat Membatasi alamat IP eksternal ke VM tertentu.

Untuk mempelajari perimeter layanan lebih lanjut, lihat Detail dan konfigurasi perimeter layanan.

Arsitektur

Saat Anda mengonfigurasi cluster workstation sebagai pribadi, bidang kontrol cluster workstation hanya memiliki alamat IP internal. Artinya, klien dari internet publik tidak dapat terhubung ke workstation yang termasuk dalam cluster workstation. Untuk menggunakan cluster pribadi, Anda harus menghubungkan cluster pribadi ke jaringan Virtual Private Cloud (VPC) secara manual melalui endpoint Private Service Connect.

Konfigurasi dengan cluster pribadi memerlukan dua endpoint PSC:

  • Secara default, Cloud Workstations membuat endpoint PSC terpisah untuk menghubungkan bidang kontrol ke VM workstation.

  • Anda harus membuat endpoint PSC tambahan untuk cluster pribadi. Untuk terhubung dari mesin lokal ke workstation di cluster pribadi, mesin lokal Anda harus terhubung ke jaringan VPC Anda. Gunakan Cloud VPN atau Cloud Interconnect untuk menghubungkan jaringan eksternal tempat Anda menjalankan mesin ke jaringan VPC. Endpoint PSC tambahan ini harus dibuat di jaringan yang sama dengan jaringan eksternal yang terhubung ke Cloud VPN atau Cloud Interconnect.

Diagram berikut mengilustrasikan contoh arsitektur cluster pribadi:

Gambar 1. Cluster pribadi

Sebelum memulai

Sebelum memulai, pastikan Anda menyelesaikan langkah-langkah penyiapan yang diperlukan berikut:

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Enable the Cloud Workstations API.

    Enable the API

  7. Pastikan Anda memiliki peran IAM Admin Cloud Workstations di project sehingga Anda dapat membuat konfigurasi workstation. Untuk memeriksa peran IAM Anda di konsol Google Cloud , buka halaman IAM:

    Buka IAM

  8. Cloud Workstations dihosting di VM yang di-boot dari image publik Container-Optimized OS (COS) yang telah dikonfigurasi sebelumnya di Compute Engine. Jika batasan kebijakan organisasi constraints/compute.trustedimageProjects diterapkan, Anda harus menetapkan batasan akses image agar pengguna dapat membuat disk boot dari projects/cos-cloud atau semua image publik.
  9. Opsional: Aktifkan Container File System API untuk memungkinkan startup workstation yang lebih cepat.

    Mengaktifkan Container File System API

    Untuk mengetahui informasi selengkapnya, lihat Mengurangi waktu startup workstation dengan Streaming image.

    10. Membuat cluster pribadi

    Ikuti langkah-langkah berikut untuk membuat cluster pribadi:

    1. Di konsol Google Cloud , buka halaman Cloud Workstations.

      Buka Cloud Workstations

    2. Buka halaman Pengelolaan cluster workstation.

    3. Klik Buat.

    4. Masukkan Name dan pilih Region untuk cluster workstation Anda.

    5. Di bagian Networking, pilih Networks in this project.

    6. Pilih Network dan Subnetwork.

    7. Untuk Gateway type, pilih Private gateway.

    8. Opsional: Tentukan satu atau beberapa project tambahan yang menghosting endpoint Private Service Connect yang memungkinkan akses HTTP ke cluster pribadi Anda. Secara default, endpoint ini hanya dapat dibuat di project cluster workstation dan project host jaringan VPC (jika berbeda). Jika perlu, project ini juga dapat ditentukan setelah pembuatan cluster.

    9. Klik Buat. Saat cluster sedang dibuat, statusnya akan muncul sebagai Memperbarui.

      Pembuatan cluster memerlukan waktu beberapa menit hingga selesai. Setelah pembuatan cluster selesai, status cluster mungkin muncul sebagai Degraded. Setelah Anda menyelesaikan langkah-langkah di bagian Buat endpoint PSC, status cluster akan berubah menjadi Siap dalam beberapa menit.

    Mengaktifkan konektivitas cluster pribadi

    Klien tidak dapat terhubung ke workstation di cluster workstation pribadi dari internet publik. Klien harus berada di jaringan yang terhubung ke cluster workstation menggunakan Private Service Connect (PSC). Ikuti langkah-langkah di bagian ini untuk terhubung ke workstation:

    1. Buat endpoint PSC yang menargetkan lampiran layanan workstation Anda.

    2. Buat zona DNS pribadi.

    3. Gunakan Cloud DNS untuk membuat data DNS yang memetakan nama host cluster Anda ke endpoint PSC.

    Membuat endpoint Private Service Connect

    Ikuti langkah-langkah berikut untuk membuat endpoint PSC:

    1. Di konsol Google Cloud , buka Private Service Connect.

      Buka Private Service Connect

    2. Klik tab Connected endpoints, lalu klik addConnect endpoint.

    3. Untuk Target, pilih Published service.

    4. Di kolom Target service, masukkan URI lampiran layanan yang dibuat untuk cluster workstation. Temukan ini dengan membuka cluster workstation Anda di konsol dan mencari kolom Service attachment URI di bagian Network settings.

    5. Di kolom Endpoint, masukkan nama endpoint.

    6. Pilih Network untuk endpoint, lalu pilih Subnetwork. Jaringan ini harus berupa jaringan yang ingin Anda gunakan untuk terhubung ke workstation Anda, dan harus berupa jaringan yang sama dengan jaringan eksternal yang terhubung ke Cloud VPN atau Cloud Interconnect.

    7. Pilih IP address untuk endpoint.

      Jika Anda memerlukan alamat IP baru, pilih Create IP address:

      1. Masukkan Name dan Description opsional untuk alamat IP.
      2. Untuk Static IP address, pilih Assign automatically. Untuk Custom IP address, pilih Let me choose dan masukkan alamat IP yang ingin Anda gunakan.
      3. Untuk Purpose, pilih Non-shared.
      4. Klik Reserve.

    8. Pilih Namespace dari menu drop-down atau buat namespace baru. Region diisi berdasarkan subnetwork yang dipilih.

    9. Klik Add endpoint.

    10. Salin alamat IP endpoint agar Anda dapat menggunakannya di bagian berikutnya untuk Membuat zona DNS pribadi dan data DNS.

    Membuat zona DNS pribadi

    Ikuti langkah-langkah berikut untuk membuat zona DNS pribadi untuk cluster workstation ini dengan Nama DNS yang ditetapkan ke clusterHostname Anda, yang dapat Anda temukan dengan membuka cluster workstation di konsol.

    1. Di konsol Google Cloud , buka halaman Create a DNS zone.

      Buka Membuat zona DNS

    2. Untuk Zone type, pilih Private.

    3. Masukkan Nama zona seperti private-workstations-cluster-zone.

    4. Masukkan akhiran nama DNS untuk zona pribadi. Semua data di zona ini menggunakan akhiran yang sama. Tetapkan nama ini ke clusterHostname Anda.

      Untuk menemukan clusterHostname, buka halaman Cloud Workstations  > Cluster management di konsol Google Cloud , lalu klik cluster workstation Anda untuk melihat nama host.

    5. Opsional: Tambahkan deskripsi.

    6. Di bagian Options, pilih Default (pribadi).

    7. Pilih jaringan tempat Anda membuat endpoint PSC di bagian sebelumnya karena alamat IP hanya valid di jaringan tersebut.

    8. Klik Buat.

    Untuk mengetahui informasi selengkapnya tentang zona DNS pribadi, lihat dokumentasi Cloud DNS tentang cara Membuat zona pribadi dan Praktik terbaik untuk zona pribadi Cloud DNS.

    Membuat data DNS

    Untuk menambahkan data yang memetakan *.<clusterHostname> ke alamat IP yang dicadangkan saat Anda membuat endpoint Private Service Connect, ikuti langkah-langkah berikut:

    1. Di Google Cloud konsol, buka halaman Cloud DNS zones.

      Buka Cloud DNS zones

    2. Klik nama zona terkelola yang ingin Anda tambahi data.

    3. Di halaman Zone details, klik Add Standard.

    4. Di halaman Create record set, di kolom DNS name, masukkan *.<clusterHostname>.

    5. Di kolom IP Address, masukkan alamat IP yang Anda cadangkan untuk endpoint Private Service Connect di bagian sebelumnya.

    6. Klik Buat.

    7. Jaringan VPC Anda kini harus terhubung ke cluster workstation dan Anda dapat terhubung ke workstation menggunakan jaringan ini.

    Mengaktifkan resolusi DNS di lokal

    Untuk menggunakan editor berbasis browser default di workstation, gunakan browser dari mesin yang terhubung ke jaringan VPC. Anda dapat menggunakan Cloud VPN atau Cloud Interconnect untuk terhubung dari jaringan eksternal tempat Anda menjalankan browser ke jaringan VPC.

    Untuk terhubung dari jaringan eksternal, Anda perlu mengonfigurasi DNS di jaringan eksternal. Mirip dengan langkah-langkah sebelumnya, Anda dapat membuat zona DNS untuk clusterHostname dan menambahkan data yang memetakan *.<clusterHostname> ke alamat IP yang dicadangkan saat Anda membuat endpoint Private Service Connect. Atau, Anda dapat menyiapkan zona penerusan DNS atau kebijakan server DNS untuk mengizinkan pencarian nama DNS antara lingkungan lokal dan Google Cloud Anda.

    Anda mungkin juga perlu menambahkan *cloudworkstations.dev ke daftar yang diizinkan infrastruktur lokal Anda.

    Langkah berikutnya