Menyiapkan lingkungan untuk menggunakan kumpulan pribadi di jaringan VPC

Halaman ini menunjukkan cara menyiapkan lingkungan jaringan Anda untuk menggunakan kumpulan pribadi dalam jaringan VPC. Jika Anda belum memahami kolam renang pribadi, baca Ringkasan kumpulan pribadi.

Memahami opsi konfigurasi jaringan

Kumpulan pribadi dihosting di jaringan Virtual Private Cloud milik Google yang disebut jaringan produsen layanan. Saat menyiapkan kumpulan pribadi, Anda dapat memilih untuk menggunakan jaringan produsen layanan atau menyiapkan koneksi pribadi antara jaringan produsen layanan dan jaringan VPC yang berisi resource Anda.

Pilih salah satu skema konfigurasi jaringan berikut bergantung pada kebutuhan organisasi Anda:

  • Gunakan jaringan produsen layanan saja: Gunakan opsi ini jika:

    Ini adalah opsi jaringan default untuk membuat kumpulan pribadi dan tidak memerlukan penyiapan jaringan apa pun. Jika Anda tertarik dengan opsi ini, lanjutkan ke membuat kolam renang pribadi.

  • Menyiapkan koneksi pribadi antara jaringan produsen layanan dan jaringan VPC Anda: Koneksi pribadi memungkinkan instance VM di jaringan VPC Anda dan kumpulan pribadi untuk berkomunikasi secara eksklusif menggunakan alamat IP internal. Gunakan opsi ini jika:

    • Anda ingin build mengakses resource di jaringan VPC
    • Anda ingin jenis dan ukuran mesin yang dapat dikonfigurasi

Menyiapkan koneksi pribadi antara jaringan VPC Anda dan jaringan produsen layanan

  1. Anda harus memiliki jaringan VPC yang sudah ada yang akan digunakan untuk terhubung ke jaringan produsen layanan.

  2. Untuk menggunakan contoh command line dalam panduan ini, instal dan konfigurasi Google Cloud CLI.

  3. Aktifkan API:

    Konsol


    Aktifkan API Cloud Build and the Service Networking.

    Mengaktifkan API

    gcloud

    Aktifkan Cloud Build dan Service Networking API:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
    
  4. Untuk mendapatkan izin yang diperlukan untuk menyiapkan koneksi pribadi, minta administrator untuk memberi Anda peran IAM Admin Jaringan Compute Engine (roles/compute.networkAdmin) pada project Google Cloud tempat jaringan VPC berada. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

    Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

  5. Di jaringan VPC, alokasikan rentang IP internal bernama:

    Rentang IP yang Anda tetapkan di sini tunduk pada aturan firewall yang ditetapkan dalam jaringan VPC.

    Cloud Build mencadangkan rentang IP 192.168.10.0/24 dan 172.17.0.0/16 untuk jaringan bridge Docker. Saat mengalokasikan rentang IP untuk resource di project Anda, sebaiknya pilih rentang di luar 192.168.10.0/24 dan 172.17.0.0/16 jika builder Cloud Build mengakses resource ini.

    Misalnya, rentang alamat bidang kontrol Google Kubernetes Engine 192.168.10.96/28 tidak akan dapat diakses dari builder Cloud Build gke-deploy karena tumpang-tindih.

    Konsol

    1. Buka halaman jaringan VPC di Konsol Google Cloud.

      Buka halaman Jaringan VPC

    2. Pilih jaringan VPC yang akan terhubung ke jaringan VPC kumpulan pribadi.

    3. Pilih tab Akses layanan pribadi.

    4. Di tab Akses layanan pribadi, pilih tab Dialokasikan IP rentang untuk layanan.

    5. Klik Alokasikan rentang IP.

    6. Masukkan Name dan Description untuk rentang yang dialokasikan.

    7. Tentukan IP range untuk alokasi:

      • Untuk menentukan rentang alamat IP, pilih Custom, lalu masukkan blok CIDR.
      • Untuk menentukan panjang awalan dan mengizinkan Google memilih rentang yang tersedia, pilih Otomatis, lalu masukkan panjang awalan. Panjang awalan harus /24 atau lebih rendah, seperti /22, /21, dll.
    8. Klik Allocate untuk membuat rentang yang dialokasikan.

    gcloud

    Untuk menentukan rentang alamat IP dan panjang awalan (subnet mask), gunakan flag addresses dan prefix-length. Panjang awalan harus /24 atau lebih rendah, seperti /22, /21, dll. Misalnya, untuk mengalokasikan blok CIDR 192.168.0.0/16, tentukan 192.168.0.0 untuk alamat dan 16 untuk panjang awalan.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --addresses=192.168.0.0 \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Untuk menentukan panjang awalan saja (subnet mask), cukup gunakan flag prefix-length. Saat Anda menghilangkan rentang alamat IP, Google Cloud akan otomatis memilih rentang alamat IP yang tidak digunakan di jaringan VPC Anda. Contoh berikut ini memilih rentang alamat IP yang tidak digunakan dengan panjang awalan bit 16.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Ganti nilai placeholder dalam perintah dengan yang berikut ini:

    • RESERVED_RANGE_NAME: nama untuk rentang yang dialokasikan, seperti my-allocated-range.
    • DESCRIPTION: deskripsi untuk rentang, seperti allocated for my-service.
    • VPC_NETWORK: Nama jaringan VPC Anda, seperti my-vpc-network.

  6. Buat koneksi pribadi antara jaringan produsen layanan dan jaringan VPC Anda:

    Konsol

    1. Buka halaman jaringan VPC di Konsol Google Cloud.

      Buka halaman Jaringan VPC

    2. Pilih jaringan VPC yang akan terhubung ke jaringan VPC kumpulan pribadi.

    3. Pilih tab Akses layanan pribadi.

    4. Di tab Private service access, pilih tab Private connections to services.

    5. Klik Create connection untuk membuat koneksi pribadi antara jaringan Anda dan jaringan produsen layanan.

    6. Untuk Nilai yang ditetapkan, pilih rentang yang dialokasikan yang Anda buat di langkah sebelumnya.

    7. Klik Hubungkan untuk membuat koneksi.

    gcloud

    1. Membuat koneksi pribadi:

      gcloud services vpc-peerings connect \
          --service=servicenetworking.googleapis.com \
          --ranges=ALLOCATED_RANGE_NAME \
          --network=VPC_NETWORK \
          --project=PROJECT_ID
      

      Ganti nilai placeholder dalam perintah dengan yang berikut ini:

      • ALLOCATED_RANGE_NAME: nama rentang yang dialokasikan yang Anda buat di langkah sebelumnya.
      • VPC_NETWORK: nama jaringan VPC Anda.
      • PROJECT_ID: ID project yang berisi jaringan VPC Anda.

      Perintah tersebut memulai operasi yang berjalan lama, dan menampilkan nama operasi.

    2. Periksa apakah operasi berhasil atau tidak, dengan mengganti OPERATION_NAME dengan nama operasi yang ditampilkan dari langkah sebelumnya.

      gcloud services vpc-peerings operations describe \
          --name=OPERATION_NAME
      
  7. [OPSIONAL: Skenario VPC Bersama]. Jika Anda menggunakan VPC Bersama, buat rentang IP yang dialokasikan dan koneksi pribadi di project host. Biasanya, administrator jaringan dalam project host harus melakukan tugas ini. Setelah project host disiapkan dengan koneksi pribadi, instance VM dalam project layanan dapat menggunakan koneksi pribadi dengan jaringan produsen layanan. Project yang menghosting koneksi VPC dan project yang berisi kumpulan pribadi harus menjadi bagian dari organisasi yang sama.

  8. [OPSIONAL: Menggunakan aturan firewall]. Jika Anda membuat aturan firewall masuk di jaringan VPC, tentukan rentang IP yang sama dengan yang Anda alokasikan di sini di filter sumber untuk aturan ingress.

Langkah selanjutnya