Beberapa atau semua informasi di halaman ini mungkin tidak berlaku untuk Trusted Cloud oleh S3NS.

Halaman ini diterjemahkan oleh Cloud Translation API.

Melindungi Compute Engine menggunakan perimeter Kontrol Layanan VPC

Tutorial ini menunjukkan cara melindungi Compute Engine menggunakan perimeter layanan dan memecahkan masalah pelanggaran ingress untuk mengizinkan akses yang sah ke Compute Engine.

Kontrol Layanan VPC memungkinkan Anda menentukan perimeter layanan di sekitar resource layanan yang dikelola Google untuk mengontrol komunikasi ke dan di antara layanan tersebut. Anda dapat membuat perimeter zero-trust di sekitar resource sensitif Anda, dengan membatasi akses ke alamat IP, pengguna, dan perangkat yang diberi otorisasi. Kemampuan ini memungkinkan Anda menentukan kebijakan keamanan yang mencegah akses ke layanan yang dikelola Google di luar perimeter tepercaya, memblokir akses ke data dari lokasi yang tidak tepercaya, dan memitigasi risiko pemindahan data yang tidak sah.

Tutorial ini ditujukan untuk Trusted Cloud administrator organisasi yang ingin mempelajari konsep dasar Kontrol Layanan VPC.

Tujuan

Pahami dasar-dasar Kontrol Layanan VPC.
Membuat perimeter layanan.
Lindungi project menggunakan Kontrol Layanan VPC.
Memecahkan masalah pelanggaran ingress Kontrol Layanan VPC.

Biaya

Dalam dokumen ini, Anda akan menggunakan komponen Trusted Cloud by S3NSyang dapat ditagih berikut:

Compute Engine VM instance

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga.

Pengguna Trusted Cloud baru mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

Anda harus memiliki Trusted Cloud resource organisasi. Jika Anda belum memiliki akun Google Workspace atau Cloud Identity, Anda harus mendapatkannya dan resource organisasi akan otomatis dibuat untuk Anda.
Buat folder, Exercise, di tingkat organisasi.
Buat dua project, My-Project-1 dan My-Project-2, di folder Exercise dalam organisasi yang sama.
- Verify that billing is enabled for your Trusted Cloud project.
Pastikan Anda memiliki izin dan peran berikut di tingkat organisasi:
- Izin dan peran yang diperlukan untuk mengonfigurasi Kontrol Layanan VPC.
- Izin dan peran yang diperlukan untuk mengelola Compute Engine.

Membuat perimeter layanan

Buat perimeter layanan yang melindungi Compute Engine API di project My-Project-2:

Di konsol Trusted Cloud , buka halaman VPC Service Controls.

Buka Kontrol Layanan VPC

Pastikan Anda berada dalam cakupan organisasi.
Klik Kelola kebijakan.
Buat kebijakan akses baru yang dicakup ke folder Exercise.
Buat perimeter baru dengan detail berikut:
- Judul: MyFirstPerimeter
- Jenis perimeter: Reguler
- Mode penerapan: Diterapkan
- Resource yang akan dilindungi: project My-Project-2
- Layanan terbatas: Compute Engine API

Memverifikasi perimeter

Di bagian ini, Anda dapat membuat permintaan akses ke resource dalam project untuk mengonfirmasi apakah perimeter melindungi resource yang dimaksud.

Akses project My-Project-1 dan pastikan Anda dapat mengakses Compute Engine dengan membuka halaman VM instances.

Buka instance VM

Anda akan dapat mengakses karena My-Project-1 tidak dilindungi oleh perimeter yang Anda buat sebelumnya.
Akses project My-Project-2 dan pastikan Anda dapat mengakses Compute Engine dengan membuka halaman VM instances.

Anda akan melihat bahwa Kontrol Layanan VPC menolak permintaan Anda untuk mengakses Compute Engine karena perimeter MyFirstPerimeter melindungi My-Project-2 dan Compute Engine API.

Memecahkan masalah pelanggaran

Log audit Kontrol Layanan VPC mencakup detail tentang permintaan ke resource yang dilindungi dan alasan Kontrol Layanan VPC menolak permintaan tersebut. Anda memerlukan informasi ini untuk mengidentifikasi dan memecahkan masalah pelanggaran di project My-Project-2.

Lihat log audit

Temukan ID unik pelanggaran Kontrol Layanan VPC di My-Project-2 log audit project:
1. Di konsol Trusted Cloud , buka halaman Logs Explorer:
  Buka Logs Explorer
  
  Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.
2. Pilih project My-Project-2.
3. Untuk menampilkan semua log audit, masukkan kueri berikut ke kolom editor kueri:
```
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
```
4. Klik Run query.
Kueri ini menampilkan semua log audit Kontrol Layanan VPC. Untuk menemukan detail pelanggaran terkait akses ke Compute Engine API di project My-Project-2, periksa log error terakhir.

Catatan: Untuk memfilter log secara lebih terperinci, Anda dapat menggunakan contoh kueri ini dan menambahkan ID unik Kontrol Layanan VPC yang Anda terima saat memverifikasi perimeter.

Untuk mengetahui informasi selengkapnya, lihat Melihat log.
Di panel Hasil kueri, klik Kontrol Layanan VPC di samping penolakan yang ingin Anda pecahkan masalahnya, lalu klik Pecahkan masalah penolakan.

Halaman Pemecah masalah Kontrol Layanan VPC akan terbuka. Halaman ini menampilkan alasan pelanggaran dan informasi lainnya seperti apakah pelanggaran tersebut merupakan pelanggaran masuk atau keluar.

Dalam tutorial ini, cari informasi berikut:
```
"principalEmail": "USER@DOMAIN"
"callerIp": "PUBLIC_IP_ADDRESS"
"serviceName": "compute.googleapis.com"
"servicePerimeterName":
"accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter
"ingressViolations": [
        {
"targetResource": "projects/PROJECT_NUMBER",
"servicePerimeter": "accessPolicies/POLICY_NUMBER/servicePerimeters/MyFirstPerimeter"
        }
      ],
"violationReason": "NO_MATCHING_ACCESS_LEVEL",
"resourceNames": "PROJECT_ID"
```
Alasan pelanggaran adalah "NO_MATCHING_ACCESS_LEVEL". Pelanggaran "NO_MATCHING_ACCESS_LEVEL" terjadi saat alamat IP, jenis perangkat, atau identitas pengguna tidak cocok dengan aturan masuk atau tingkat akses yang terkait dengan perimeter. Jika alamat IP pemanggil tidak ada atau muncul sebagai alamat IP internal dalam log, maka pelanggaran ini dapat disebabkan oleh layanan Trusted Cloud yang tidak didukung oleh Kontrol Layanan VPC.

Untuk memperbaiki penolakan ini di project My-Project-2, Anda memiliki dua opsi:

Buat tingkat akses yang mengizinkan akses ke alamat IP sistem Anda ke project di dalam perimeter.
Buat aturan masuk yang mengizinkan akses ke klien API dari luar perimeter ke resource di dalam perimeter.

Bagian berikut menggambarkan cara memecahkan masalah penolakan ini dengan membuat tingkat akses.

Buat tingkat akses

Di konsol Trusted Cloud , buka halaman Access Context Manager di cakupan folder Exercise.

Buka Access Context Manager
Buat tingkat akses dengan detail berikut:
- Untuk Buat kondisi di, pilih Mode dasar.
- Untuk Jika kondisi terpenuhi, tampilkan, pilih Benar.
- Pilih atribut Subnet IP, tentukan alamat IP publik sistem Anda.
- Pilih atribut Lokasi geografis, tentukan lokasi geografis Anda.
Tingkat akses ini hanya mengizinkan akses jika alamat IP dan lokasi geografis cocok.
Buka halaman VPC Service Controls di cakupan organisasi.

Buka Kontrol Layanan VPC
Pilih kebijakan akses yang Anda buat sebelumnya dalam tutorial ini.
Tambahkan tingkat akses yang Anda buat di cakupan folder Exercise ke perimeter MyFirstPerimeter.

Menguji akses

Setelah menambahkan tingkat akses, pastikan Anda dapat mengakses Compute Engine di project My-Project-2 dan membuat instance VM.

Di konsol Trusted Cloud , buka halaman VM instances.

Buka instance VM
Buat instance VM.

Catatan: Pertahankan nilai default di kolom dan buat instance VM berbiaya rendah.

Setelah sekitar satu menit, Compute Engine akan membuat instance VM dan tindakan ini memverifikasi bahwa Anda memiliki akses penuh ke Compute Engine yang dilindungi di dalam perimeter.

Pembersihan

Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

Menghapus project

Perhatian: Menghapus project memiliki efek berikut:

Semua hal dalam project akan dihapus. Jika menggunakan project yang sudah ada untuk tugas dalam dokumen ini, saat Anda menghapusnya, pekerjaan lain yang telah Anda lakukan dalam project tersebut juga akan terhapus.
Project ID kustom hilang. Saat membuat project ini, Anda mungkin telah membuat project ID kustom yang ingin digunakan di masa mendatang. Untuk mempertahankan URL yang menggunakan project ID, seperti URL appspot.com, hapus resource yang dipilih di dalam project, bukan menghapus seluruh project.

Jika Anda berencana mempelajari beberapa arsitektur, tutorial atau panduan memulai, dengan menggunakan kembali project dapat membantu Anda agar tidak melampaui batas kuota project.

In the Trusted Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Menghapus resource satu per satu

Menghapus instance VM

In the Trusted Cloud console, go to the VM instances page.
Go to VM instances
Select the checkbox for the instance that you want to delete.
To delete the instance, click More actions, click Delete, and then follow the instructions.

Menghapus resource Kontrol Layanan VPC

Hapus perimeter layanan.
Hapus tingkat akses yang Anda buat di cakupan folder Exercise.

Langkah berikutnya

Mendiagnosis masalah menggunakan pemecah masalah Kontrol Layanan VPC